Digitale Souveränität in der Cloud: Der neue C3A-Standard des BSI unter der Lupe
Posted inAllgemein

Digitale Souveränität in der Cloud: Der neue C3A-Standard des BSI unter der Lupe

Nach der Aktualisierung des Sicherheitsstandards C5 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 27. April 2026 mit den C3A (Criteria enabling Cloud Computing Autonomy) einen weiteren Meilenstein gesetzt. Während der C5-Katalog primär die Sicherheit adressiert, geht es bei C3A um die Selbstbestimmtheit und Autonomie der Cloud-Nutzer.

Was ist C3A?

C3A steht für Kriterien zur Ermöglichung von Autonomie im Cloud-Computing. Der Katalog reagiert auf das Phänomen der „Cyber Dominance“ – also die Gefahr, dass Hersteller digitaler Produkte dauerhaft Zugriff auf Systeme und Daten ihrer Kunden behalten und so deren Souveränität einschränken.

Strukturell orientiert sich C3A am europäischen Cloud Sovereignty Framework (EU CSF) und unterteilt sich in sechs Domänen:

  1. Strategische Souveränität (z. B. Gerichtsstand und Unternehmenssitz).
  2. Rechtliche Souveränität (z. B. Schutz vor extraterritorialem Datenzugriff).
  3. Datensouveränität (z. B. Kontrolle über Speicherorte und Verschlüsselung).
  4. Operationelle Souveränität (z. B. Betrieb durch EU-Personal, „Disconnect“-Fähigkeit).
  5. Souveränität der Lieferkette (Transparenz über Software- und Hardware-Zulieferer).
  6. Technologische Souveränität (Verfügbarkeit des Quellcodes und Unabhängigkeit von Dritten).

Vor- und Nachteile der C3A

Vorteile

  • Transparenz und Vergleichbarkeit: Kunden können Cloud-Angebote erstmals nach objektiven Kriterien für Autonomie bewerten und auswählen.
  • Risikobasierte Entscheidung: Durch die Unterteilung in Basis- und Zusatzkriterien können Nutzer den Grad der Souveränität je nach Schutzbedarf (z. B. Standort Deutschland vs. EU) selbst festlegen.
  • Schutz vor politischer Einflussnahme: Kriterien wie die „Disconnect“-Fähigkeit (SOV-4-09) stellen sicher, dass Cloud-Dienste auch bei gekappten Verbindungen außerhalb der EU (z. B. in Krisenfällen) funktionsfähig bleiben.
  • Baut auf Bewährtem auf: C3A setzt die Erfüllung der C5-Sicherheitskriterien voraus und nutzt ähnliche Prüfungsprozesse.

Nachteile und Kritik

  • Keine regulative Wirkung: Das Framework ist ein richtungsweisender Handlungsrahmen, entfaltet aber von sich aus keine rechtliche Bindung.
  • Kosten und Aufwand: Wie schon beim C5 gilt die Testierung als umfangreich und kostenträchtig, was vor allem kleinere Anbieter benachteiligen könnte.
  • Abhängigkeit von der Interpretation: Da eine offizielle deutsche Version erst für Ende des zweiten Quartals 2026 geplant ist, herrscht in der Übergangsphase Interpretationsbedarf bei den englischen Originalkriterien.
  • Potenzielle Kritik: Kritiker könnten einwenden, dass zu strenge Souveränitätsvorgaben (wie der Zugriff auf Quellcode oder strikte lokale Personalvorgaben) die Innovationskraft bremsen oder die Auswahl an globalen Diensten einschränken könnten. C3A soll aber gerade dazu dienen, außereuropäische Produkte „selbstbestimmt“ nutzbar zu machen.

Gibt es schon ein Prüfprogramm?

Aktuell dient das C3A-Dokument selbst als Grundlage. Ein offizieller Leitfaden für C3A-Audits wird vom BSI in einem nächsten Schritt veröffentlicht. Die Nachweiserbringung soll dabei eng an die etablierten C5-Testierungsprozesse angelehnt werden, sodass Wirtschaftsprüfer und Auditoren auf bekannten Strukturen aufbauen können.

Entwurf eines Prüfprogramms (Checkliste für Auditoren)

Basierend auf den Kernkriterien des C3A-Katalogs lässt sich bereits jetzt ein vorläufiges Prüfschema ableiten. Ein Auditor müsste unter anderem folgende Punkte verifizieren:

1. Strategie & Recht (SOV-1 & SOV-2)

  • [ ] Operiert der Anbieter unter EU- (oder optional deutscher) Gerichtsbarkeit?
  • [ ] Liegt die effektive Kontrolle über das Unternehmen bei EU-Konzernen?
  • [ ] Wurde eine Risikoanalyse bezüglich extraterritorialer Gesetze (z. B. US Cloud Act) durchgeführt?

2. Datensouveränität (SOV-3)

  • [ ] Kann der Kunde den genauen Speicherort (Region/Zone) seiner Daten jederzeit prüfen?
  • [ ] Wird die Einbindung externer Schlüsselmanagementsysteme (BYOK/HYOK) unterstützt?
  • [ ] Ist eine clientseitige Verschlüsselung technisch möglich?

3. Betrieb & Technik (SOV-4 & SOV-6)

  • [ ] Verfügt das Betriebspersonal über die geforderte Staatsbürgerschaft und den Wohnsitz in der EU/DE?
  • [ ] Disconnect-Test: Kann der Dienst nachweislich ohne Verbindungen außerhalb der EU (Updates, Lizenzen) weiterbetrieben werden?
  • [ ] Existiert ein Backup des Quellcodes und der Build-Skripte innerhalb der EU?

4. Lieferkette (SOV-5)

  • [ ] Liegt eine detaillierte Software-Stückliste (SBOM) vor, die Herkunftsländer der Komponenten ausweist?
  • [ ] Gibt es Strategien, um kritische Hardware-Abhängigkeiten im Notfall zu ersetzen?

Fazit: Der C3A ist das „Souveränitäts-Upgrade“ zum C5. Er zwingt Anbieter zu maximaler Transparenz und gibt Kunden die Werkzeuge an die Hand, um digitale Abhängigkeiten aktiv zu steuern.

Hinweis: Informationen zur potenziellen Kritik hinsichtlich Innovationsbremsen basieren auf allgemeinen Debatten zur digitalen Souveränität.

BSI Quellen:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260427_C3A.html
https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CloudComputing/C3A_Cloud_Computing_Autonomy.html?nn=520690