{"id":1079,"date":"2026-04-29T15:28:41","date_gmt":"2026-04-29T13:28:41","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1079"},"modified":"2026-04-29T15:29:52","modified_gmt":"2026-04-29T13:29:52","slug":"digitale-souveraenitaet-in-der-cloud-der-neue-c3a-standard-des-bsi-unter-der-lupe","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/04\/29\/digitale-souveraenitaet-in-der-cloud-der-neue-c3a-standard-des-bsi-unter-der-lupe\/","title":{"rendered":"Digitale Souver\u00e4nit\u00e4t in der Cloud: Der neue C3A-Standard des BSI unter der Lupe"},"content":{"rendered":"

Nach der Aktualisierung des Sicherheitsstandards C5 hat das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) am 27. April 2026 mit den C3A (Criteria enabling Cloud Computing Autonomy)<\/strong> einen weiteren Meilenstein gesetzt. W\u00e4hrend der C5-Katalog prim\u00e4r die Sicherheit<\/em> adressiert, geht es bei C3A um die Selbstbestimmtheit und Autonomie<\/strong> der Cloud-Nutzer.<\/p>\n

Was ist C3A?<\/h2>\n

C3A steht f\u00fcr Kriterien zur Erm\u00f6glichung von Autonomie im Cloud-Computing. Der Katalog reagiert auf das Ph\u00e4nomen der \u201eCyber Dominance\u201c<\/strong> \u2013 also die Gefahr, dass Hersteller digitaler Produkte dauerhaft Zugriff auf Systeme und Daten ihrer Kunden behalten und so deren Souver\u00e4nit\u00e4t einschr\u00e4nken.<\/p>\n

Strukturell orientiert sich C3A am europ\u00e4ischen Cloud Sovereignty Framework (EU CSF) und unterteilt sich in sechs Dom\u00e4nen:<\/p>\n

    \n
  1. Strategische Souver\u00e4nit\u00e4t<\/strong> (z. B. Gerichtsstand und Unternehmenssitz).<\/li>\n
  2. Rechtliche Souver\u00e4nit\u00e4t<\/strong> (z. B. Schutz vor extraterritorialem Datenzugriff).<\/li>\n
  3. Datensouver\u00e4nit\u00e4t<\/strong> (z. B. Kontrolle \u00fcber Speicherorte und Verschl\u00fcsselung).<\/li>\n
  4. Operationelle Souver\u00e4nit\u00e4t<\/strong> (z. B. Betrieb durch EU-Personal, \u201eDisconnect\u201c-F\u00e4higkeit).<\/li>\n
  5. Souver\u00e4nit\u00e4t der Lieferkette<\/strong> (Transparenz \u00fcber Software- und Hardware-Zulieferer).<\/li>\n
  6. Technologische Souver\u00e4nit\u00e4t<\/strong> (Verf\u00fcgbarkeit des Quellcodes und Unabh\u00e4ngigkeit von Dritten).<\/li>\n<\/ol>\n

    Vor- und Nachteile der C3A<\/h2>\n

    Vorteile<\/h3>\n
      \n
    • Transparenz und Vergleichbarkeit:<\/strong> Kunden k\u00f6nnen Cloud-Angebote erstmals nach objektiven Kriterien f\u00fcr Autonomie bewerten und ausw\u00e4hlen.<\/li>\n
    • Risikobasierte Entscheidung:<\/strong> Durch die Unterteilung in Basis- und Zusatzkriterien k\u00f6nnen Nutzer den Grad der Souver\u00e4nit\u00e4t je nach Schutzbedarf (z. B. Standort Deutschland vs. EU) selbst festlegen.<\/li>\n
    • Schutz vor politischer Einflussnahme:<\/strong> Kriterien wie die \u201eDisconnect\u201c-F\u00e4higkeit<\/strong> (SOV-4-09) stellen sicher, dass Cloud-Dienste auch bei gekappten Verbindungen au\u00dferhalb der EU (z. B. in Krisenf\u00e4llen) funktionsf\u00e4hig bleiben.<\/li>\n
    • Baut auf Bew\u00e4hrtem auf:<\/strong> C3A setzt die Erf\u00fcllung der C5-Sicherheitskriterien voraus und nutzt \u00e4hnliche Pr\u00fcfungsprozesse.<\/li>\n<\/ul>\n

      Nachteile und Kritik<\/h3>\n
        \n
      • Keine regulative Wirkung:<\/strong> Das Framework ist ein richtungsweisender Handlungsrahmen, entfaltet aber von sich aus keine rechtliche Bindung<\/strong>.<\/li>\n
      • Kosten und Aufwand:<\/strong> Wie schon beim C5 gilt die Testierung als umfangreich und kostentr\u00e4chtig<\/strong>, was vor allem kleinere Anbieter benachteiligen k\u00f6nnte.<\/li>\n
      • Abh\u00e4ngigkeit von der Interpretation:<\/strong> Da eine offizielle deutsche Version erst f\u00fcr Ende des zweiten Quartals 2026 geplant ist, herrscht in der \u00dcbergangsphase Interpretationsbedarf bei den englischen Originalkriterien.<\/li>\n
      • Potenzielle Kritik:<\/strong> Kritiker k\u00f6nnten einwenden, dass zu strenge Souver\u00e4nit\u00e4tsvorgaben (wie der Zugriff auf Quellcode oder strikte lokale Personalvorgaben) die Innovationskraft bremsen oder die Auswahl an globalen Diensten einschr\u00e4nken k\u00f6nnten. C3A soll aber gerade dazu dienen, au\u00dfereurop\u00e4ische Produkte \u201eselbstbestimmt\u201c nutzbar zu machen.<\/li>\n<\/ul>\n

        Gibt es schon ein Pr\u00fcfprogramm?<\/h2>\n

        Aktuell dient das C3A-Dokument selbst als Grundlage. Ein offizieller Leitfaden f\u00fcr C3A-Audits<\/strong> wird vom BSI in einem n\u00e4chsten Schritt ver\u00f6ffentlicht. Die Nachweiserbringung soll dabei eng an die etablierten C5-Testierungsprozesse<\/strong> angelehnt werden, sodass Wirtschaftspr\u00fcfer und Auditoren auf bekannten Strukturen aufbauen k\u00f6nnen.<\/p>\n

        \n

        Entwurf eines Pr\u00fcfprogramms (Checkliste f\u00fcr Auditoren)<\/h2>\n

        Basierend auf den Kernkriterien des C3A-Katalogs l\u00e4sst sich bereits jetzt ein vorl\u00e4ufiges Pr\u00fcfschema ableiten. Ein Auditor m\u00fcsste unter anderem folgende Punkte verifizieren:<\/p>\n

        1. Strategie & Recht (SOV-1 & SOV-2)<\/h3>\n
          \n
        • [ ] Operiert der Anbieter unter EU- (oder optional deutscher) Gerichtsbarkeit?<\/li>\n
        • [ ] Liegt die effektive Kontrolle \u00fcber das Unternehmen bei EU-Konzernen?<\/li>\n
        • [ ] Wurde eine Risikoanalyse bez\u00fcglich extraterritorialer Gesetze (z. B. US Cloud Act) durchgef\u00fchrt?<\/li>\n<\/ul>\n

          2. Datensouver\u00e4nit\u00e4t (SOV-3)<\/h3>\n
            \n
          • [ ] Kann der Kunde den genauen Speicherort (Region\/Zone) seiner Daten jederzeit pr\u00fcfen?<\/li>\n
          • [ ] Wird die Einbindung externer Schl\u00fcsselmanagementsysteme (BYOK\/HYOK) unterst\u00fctzt?<\/li>\n
          • [ ] Ist eine clientseitige Verschl\u00fcsselung technisch m\u00f6glich?<\/li>\n<\/ul>\n

            3. Betrieb & Technik (SOV-4 & SOV-6)<\/h3>\n
              \n
            • [ ] Verf\u00fcgt das Betriebspersonal \u00fcber die geforderte Staatsb\u00fcrgerschaft und den Wohnsitz in der EU\/DE?<\/li>\n
            • [ ] Disconnect-Test:<\/strong> Kann der Dienst nachweislich ohne Verbindungen au\u00dferhalb der EU (Updates, Lizenzen) weiterbetrieben werden?<\/li>\n
            • [ ] Existiert ein Backup des Quellcodes und der Build-Skripte innerhalb der EU?<\/li>\n<\/ul>\n

              4. Lieferkette (SOV-5)<\/h3>\n
                \n
              • [ ] Liegt eine detaillierte Software-St\u00fcckliste (SBOM) vor, die Herkunftsl\u00e4nder der Komponenten ausweist?<\/li>\n
              • [ ] Gibt es Strategien, um kritische Hardware-Abh\u00e4ngigkeiten im Notfall zu ersetzen?<\/li>\n<\/ul>\n
                \n

                Fazit:<\/strong> Der C3A ist das \u201eSouver\u00e4nit\u00e4ts-Upgrade\u201c zum C5. Er zwingt Anbieter zu maximaler Transparenz und gibt Kunden die Werkzeuge an die Hand, um digitale Abh\u00e4ngigkeiten aktiv zu steuern.<\/p>\n

                Hinweis: Informationen zur potenziellen Kritik hinsichtlich Innovationsbremsen basieren auf allgemeinen Debatten zur digitalen Souver\u00e4nit\u00e4t.<\/p>\n

                <\/em>BSI Quellen:
                \nhttps:\/\/www.bsi.bund.de\/DE\/Service-Navi\/Presse\/Pressemitteilungen\/Presse2026\/260427_C3A.html
                \nhttps:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/EN\/BSI\/Publications\/CloudComputing\/C3A_Cloud_Computing_Autonomy.html?nn=520690
                \n<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

                Nach der Aktualisierung des Sicherheitsstandards C5 hat das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI)…<\/p>\n","protected":false},"author":1,"featured_media":642,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1079","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1079","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1079"}],"version-history":[{"count":3,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1079\/revisions"}],"predecessor-version":[{"id":1083,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1079\/revisions\/1083"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/642"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1079"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1079"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1079"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}