Wann kann eine Cloud-Lösung als souverän betrachtet werden? Zu dieser Frage hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen C3A-Katalog vorgestellt. Dieser Katalog enthält eine technisch belastbare Definition, wann eine Cloud-Lösung als souverän eingestuft werden kann.
Souveränitätskriterien für Cloud-Dienste
Das Thema ist mir die Tage bereits mehrfach untergekommen, daher stelle ich die Information mal hier im Blog ein. Nachfolgender Tweet von Dennis Kipker weist auf dieses Angebot hin. Es geht um die Frage, nach welches Kriterien Cloud-Dienste als souverän angesehen werden können. Das BSI hat zum 27. April 2026 die Souveränitätskriterien für Cloud-Dienste angekündigt.
Der Hintergrund des Kriterienkatalogs
Deutschland und Europa ständen unter dem permanenten Druck von Cyberaggression heißt es in der Ankündigung. Dabei rücke neben dem Thema Cyber Crime (finanziell motivierte Cyberangriffe) und Cyber Conflict (staatlich gelenkte Cyberangriffe) eine dritte Bedrohungsart immer mehr in den gesamtgesellschaftlichen Fokus: Cyber Dominance, heißt es. Darunter ist die Möglichkeit von Herstellern digitaler Produkte zu verstehen, dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten.
Das Thema ist vom BSI diplomatisch verpackt worden, im Kern geht es primär um die Dominanz durch US-Cloud-Anbieter, deren Cloud-Produkte im Zeichen der Präsidentschaft von Donald Trump zum Betriebsrisiko werden. Die Entwicklungen, die ich im Beitrag Keine digitale Souveränität: Französischer Richter Nicolas Guillou gerät nach US-Sanktionen in Digitaler Steinzeit; OVH soll Daten eines Kunden an Kanada liefern beschrieben habe, zeigen, wie die Entwicklung verlaufen kann. Und im August 2025 hatte ich im Beitrag Sanktioniert die Trump-Administration bald EU-Vertreter wegen DSA? angedeutet, dass die Dominanz der USA im IT-Bereich samt erzwungener digitaler Abhängigkeit zur Staatsdoktrin erhoben wurde.
Wie definieren wir digitale Souveränität?
Unter diesem Aspekt stelle sich die Frage nach digitaler Souveränität, so das BSI, und weitet dies auf den Aspekt aus, dass diese digitaler Souveränität auch und insbesondere Cloud-Dienste betrifft.
Mit den C3A – Criteria enabling Cloud Computing Autonomy hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun einen Handlungsrahmen vorgelegt, der die Souveränitätseigenschaften von Cloud-Diensten transparent macht. Der C3A-Kriterienkatalog richtet sich am C5-Kriterienkatalog (Cloud Computing Compliance Criteria Catalogue) des BSI aus. Dieser spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden
BSI-Präsidentin Claudia Plattner lässt sich dazu so zitieren: "Digitale Souveränität bewegt die Menschen. Uns allen ist klar, dass der europäische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gestärkt werden müssen. Dabei hilft das BSI im Bereich der Cybersicherheit aktiv mit. Gleichzeitig müssen außereuropäische Produkte – überall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird. Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind."
Die Entscheidung über die Nutzung von Cloud-Diensten beruht auf dem Modell der geteilten Verantwortung (shared responsibility model) zwischen Cloud-Anbietern und Cloud-Kunden. Es schränkt den Umfang der Entscheidungen ein, die Cloud-Kunden treffen können – auch und gerade mit Blick auf die sichere und selbstbestimmte Nutzung der Angebote.
C3A- und C5-Kriterienkatalog
Während die Sicherheitseigenschaften von Cloud-Diensten im Cloud Computing Compliance Criteria Catalogue (C5) des BSI adressiert werden, ermöglicht der Kriterienkatalog C3A eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann. Die C3A dienen dabei als richtungsweisender Handlungsrahmen und schaffen Transparenz, entfalten jedoch keine regulative Wirkung.
Die C3A können laut BSI sowohl von Cloud-Anbietern als auch von Cloud-Kunden genutzt werden.
- Cloud-Anbieter können die Einhaltung der Kriterien durch ein Audit nachweisen.
- Cloud-Kunden können das Framework nutzen, um für das eigene Nutzungsszenario relevante Anforderungen zu identifizieren und so ihr angestrebtes Maß an Souveränität festlegen.
Das BSI will im nächsten Schritt einen Leitfaden für C3A-Audits veröffentlichen – die Nachweiserbringung wird dabei den etablierten C5-Testierungsprozessen ähneln.
Die C3A sind in Kriterien und Zusatzkriterien unterteilt. Für einige der Kriterien werden ergänzende Informationen bereitgestellt. Je nach Anwendungsfall und Anforderungen des Cloud-Kunden kann festgelegt werden, welche Kriterien und Zusatzkriterien herangezogen werden. So bieten die C3A beispielsweise Auswahloptionen bezüglich der Lokalisierung (z.B. Standort der Rechenzentren, Herkunft des Betriebspersonals). Je nach Kritikalität des Anwendungsfalls und Ergebnis der eigenen Risikoanalyse können Cloud-Nutzende entscheiden, ob sie eine Lokalisierung in Deutschland oder in der EU fordern.
In Struktur und Zielsetzung orientieren sich die C3A am europäischen Cloud Sovereignty Framework (EU CSF). Darüber hinaus werden die "contributing factors" des EU CSF in den überprüfbaren Kriterien der C3A aufgegriffen und um ergänzende Aspekte erweitert. Die C3A setzen zudem voraus, dass der Cloud-Anbieter die C5-Kriterien erfüllt.
Die englischsprachige Fassung des "C3A – Criteria enabling Cloud Computing Autonomy" lässt sich von dieser BSI-Seite als PDF-Dokument herunterladen. Die Veröffentlichung einer deutschsprachigen Version der C3A ist für Ende des 2. Quartals 2026 geplant.
MVP: 2013 – 2016
