MQ-Illustrations - stock.adobe.c
BSI C3A: Souveränitätskriterien für Cloud-Dienste
Das Bundesamt für Sicherheit in der Informationstechnik hat einen Handlungsrahmen veröffentlicht, der helfen soll, die Souveränität von Cloud-Diensten transparenter zu machen.
Zu Beginn des April 2026 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine neue Version des Kriterienkatalogs für sicheres Cloud Computing vorgelegt. Dem C5:2026 (Cloud Computing Compliance Criteria Catalogue) folgt nun mit die C3A (Criteria enabling Cloud Computing Autonomy) als Handlungsrahmen im Hinblick auf die Souveränität veröffentlicht.
Mit den C3A richtet sich das BSI sowohl an Cloud-Anbieter wie auch an Cloud-Kunden. So sollen Anbieter die Einhaltung der Kriterien zukünftig durch einen Audit nachweisen können. Unternehmen, die Cloud-Dienste nutzen, sollen die C3A nutzen können um ihre eigenen Nutzungsszenarien hinsichtlich der Kriterien auf Souveränität abzuklopfen und ein angestrebtes Niveau für die eigenen Workloads und Szenarien festzulegen. Dies kann ja nach Einsatz und Art sehr variieren.
Im Hinblick auf Struktur und Zielsetzung orientiert sich die C3A kam europäischen Cloud Sovereignty Framework (EU CSF). Dies würde sich auch in den überprüfbaren Kriterien widerspiegeln, allerdings habe man diese erweitert. Die Bereiche Security und Compliance in Sachen Souveränität seien im C3A bewusst nicht berücksichtigt. So würden sich diese durch die oben genannten C5-Kriterien sowie im IT-Grundschutz abgedeckt.
So setzt denn C3A auch voraus, dass der Cloud-Dienstleister die C5-Kriterien erfüllt, da diese den Sicherheitsaspekt der Souveränitätsdefinition widerspiegeln würden.
„Den Kriterienkatalog C3A haben wir im Rahmen unserer Zusammenarbeit mit nationalen und internationalen Cloud-Providern, mit denen wir Kooperationsvereinbarungen haben, entwickelt: Dabei sind Erkenntnisse aus der Praxis in ein richtungsweisendes Framework geflossen, zu dem wir uns auch mit unseren internationalen Partnerbehörden austauschen.“, so BSI-Vizepräsident Thomas Caspers.
Kriterien für die Souveränität von Cloud-Angeboten
Insgesamt unterteilt der C3A die Aspekte der Souveränität in sechs Kriterienbereiche. Diese reichen von strategischer Souveränität über Themen wie Datenhoheit, rechtliche Souveränität über den operativen Betrieb bis hin zu Lieferkette und Technologie. Wie man es vom C5 kennt, wird in Kriterien und Zusatzkriterien unterschieden. Cloud-Nutzende können sich so entscheiden, wie weit in ihrem Fall die Anforderungen reichen soll.
Bei den einzelnen Kriterien werden noch unterschiedliche Anforderungen unterschieden, beispielsweise ob es genügt, dass der Anbieter der EU-Rechtsordnung unterliegt, oder ob es notwendig sein muss, dass der Cloud-Anbieter einschließlich Streitbeilegung und Vertragsgestaltung deutschem Recht unterliegen muss.
Wie hier bietet die C3A häufig die Auswahloptionen hinsichtlich der Lokalisierung. Das gilt beispielsweise auch für den Standort der Rechenzentren oder die Herkunft des Betriebspersonales. Apropos Betrieb, hier geht es auch darum, dass beispielsweise ein administrativer Zugriff von außerhalb der EU oder Deutschland nicht möglich ist, beziehungsweise bestimmten Anforderungen unterliegt.
Im Bereich der Souveränität im Hinblick auf die Lieferkette geht es beispielsweise um die Abhängigkeiten von Hardware, Software und externen Diensten. Das beinhaltet eine verpflichtende Angabe der für jeden Cloud-Dienst verwendeten Softwarekomponenten sowie eine Liste der beteiligten Softwareanbieter. Hier kommen zum Beispiel Themen wie SBOM ins Spiel.
Bei dem häufig im Fokus stehenden Thema Datenhoheit und Souveränität werden Aspekte wie Schlüsselmanagement, Identitätsprovider sowie Logging und Monitoring berücksichtigt.
Geht es um die technologische Souveränität, nennt die C3A hier die Verfügbarkeit des Quellcodes für den Cloud-Anbieter. Hier soll unter anderem sichergestellt werden, dass der Cloud-Betrieb jederzeit ohne externe Abhängigkeiten gewährleistet werden kann.
BSI C3A: Download, Audits und Ausblick
Die vorgestellten C3A-Kriterien hinsichtlich der Souveränität können Unternehmen dabei unterstützten Cloud-Dienste nach ihren eigenen Anforderungen transparenter auszuwählen. Das BSI möchte damit Cloud-Kunden in die Lage versetzen, risikobasierte Entscheidungen zu treffen. Hierfür habe man diese überprüfbaren Kriterien für die Selbstbestimmtheit zusammengefasst.
„Digitale Souveränität bewegt die Menschen. Uns allen ist klar, dass der europäische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gestärkt werden müssen. Dabei hilft das BSI im Bereich der Cybersicherheit aktiv mit. Gleichzeitig müssen außereuropäische Produkte – überall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird. Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“, so BSI-Präsidentin Claudia Plattner.
Derzeit steht die C3A (Criteria enabling Cloud Computing Autonomy) als PDF in englischer Sprache zum Download bereit. Für das Ende des zweiten Quartals 2026 stellt das BSI die Veröffentlichung einer deutschsprachigen C3A in Aussicht.
Im nächsten Schritt wird das BSI einen Leitfaden für C3A-Audits veröffentlichen. Dabei soll sich die Nachweiserbringung gemäß C3A an den C5-Testierungsprozessen orientieren.
