C3A: BSI veröffentlicht Souveränitätskriterien für Cloud-Dienste
27. April 2026
Deutschland und Europa stehen unter dem permanenten Druck von Cyber-Aggression. Dabei rückt neben Cyber Crime (finanziell motivierte Cyber-Angriffe) und Cyber Conflict (staatlich gelenkte Cyber-Angriffe) eine dritte Bedrohungsart immer mehr in den gesamtgesellschaftlichen Fokus: Cyber Dominance – die Möglichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten. Sie stellt die Frage nach digitaler Souveränität, die auch und insbesondere Cloud-Dienste betrifft. Mit den Criteria enabling Cloud Computing Autonomy (C3A) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun einen Handlungsrahmen vorgelegt, der die Souveränitätseigenschaften von Cloud-Diensten transparent macht.
Digitale Souveränität bewegt die Menschen. Dabei sollte allen klar sein, dass der europäische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gestärkt werden müssen. Hier hilft das BSI im Bereich der Cyber-Sicherheit aktiv mit. Gleichzeitig müssen außereuropäische Produkte – überall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird. Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.
Die Cloud-Nutzung schafft eine Beziehung zwischen Kunden einerseits und dem Cloud-Anbieter andererseits. In diesem Zusammenhang können Einflüsse auf den Anbieter indirekt auch Kunden betreffen. Um diese in die Lage zu versetzen, risikobasierte Entscheidungen zu treffen, sind allgemein anerkannte, objektive und überprüfbare Kriterien für Selbstbestimmtheit und Autonomie erforderlich.
Den Kriterienkatalog C3A hat das BSI im Rahmen der Zusammenarbeit mit nationalen und internationalen Cloud-Providern, mit denen Kooperationsvereinbarungen bestehen, entwickelt: Dabei sind Erkenntnisse aus der Praxis in ein richtungsweisendes Framework geflossen, zu dem sich das BSI auch mit internationalen Partnerbehörden austauscht.
Die Entscheidung über die Nutzung von Cloud-Diensten beruht auf dem Modell der geteilten Verantwortung (shared responsibility model) zwischen Cloud-Anbietern und Cloud-Kunden. Es schränkt den Umfang der Entscheidungen ein, die Cloud-Kunden treffen können – auch und gerade mit Blick auf die sichere und selbstbestimmte Nutzung der Angebote. Während die Sicherheitseigenschaften von Cloud-Diensten im Cloud Computing Compliance Criteria Catalogue (C5) des BSI adressiert werden, ermöglicht der Kriterienkatalog C3A eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann. Die C3A dienen dabei als richtungsweisender Handlungsrahmen und schaffen Transparenz, entfalten jedoch keine regulative Wirkung.
Die C3A können sowohl von Cloud-Anbietern als auch von Cloud-Kunden genutzt werden. Cloud-Anbieter können die Einhaltung der Kriterien durch ein Audit nachweisen. Cloud-Kunden können das Framework nutzen, um für das eigene Nutzungsszenario relevante Anforderungen zu identifizieren und so ihr angestrebtes Maß an Souveränität festlegen. Das BSI wird im nächsten Schritt einen Leitfaden für C3A-Audits veröffentlichen – die Nachweiserbringung wird dabei den etablierten C5-Testierungsprozessen ähneln.
Die C3A sind in Kriterien und Zusatzkriterien unterteilt. Für einige der Kriterien werden ergänzende Informationen bereitgestellt. Je nach Anwendungsfall und Anforderungen des Cloud-Kunden kann festgelegt werden, welche Kriterien und Zusatzkriterien herangezogen werden. So bieten die C3A beispielsweise Auswahloptionen bezüglich der Lokalisierung (z.B. Standort der Rechenzentren, Herkunft des Betriebspersonals). Je nach Kritikalität des Anwendungsfalls und Ergebnis der eigenen Risikoanalyse können Cloud-Nutzende entscheiden, ob sie eine Lokalisierung in Deutschland oder in der EU fordern.
In Struktur und Zielsetzung orientieren sich die C3A am europäischen Cloud Sovereignty Framework (EU CSF). Darüber hinaus werden die „contributing factors“ des EU CSF in den überprüfbaren Kriterien der C3A aufgegriffen und um ergänzende Aspekte erweitert. Die C3A setzen zudem voraus, dass der Cloud-Anbieter die C5-Kriterien erfüllt.
