Cloud-Souveränität: BSI veröffentlicht „C3A“-Kriterien für Cloud-Dienste
Dienstag, 05. Mai 2026
| Redaktion
Teilen auf:
Das BSI veröffentlicht C3A-Kriterien für Cloud-Dienste, die mehr Cloud-Souveränität bringen sollen
Das BSI veröffentlicht C3A-Kriterien für Cloud-Dienste, die mehr Cloud-Souveränität bringen sollen, Bild: Ar_TH / Adobe Stock

Das Bundesamt für Sicherheit in der Informationstechnik BSI hat mit den „C3A“ erstmals einen strukturierten Kriterienkatalog zur Bewertung von Cloud-Souveränität vorgestellt. Vor dem Hintergrund zunehmender Cyber-Bedrohungen adressiert das Framework die Frage, unter welchen Bedingungen Cloud-Dienste selbstbestimmt genutzt werden können. Neben Cyber-Kriminalität und staatlich gesteuerten Angriffen rückt dabei insbesondere das Risiko einer dauerhaften Abhängigkeit von Anbietern in den Fokus.

Cloud-Souveränität als neue Anforderung an Cloud-Dienste

Mit den „C3A“ reagiert das BSI auf eine dritte Dimension der Bedrohungslage: Neben Cyber Crime und Cyber Conflict gewinnt das Thema Cyber Dominance an Bedeutung. Gemeint ist die Möglichkeit von Herstellern digitaler Produkte, langfristig Einfluss auf Systeme und Daten ihrer Kunden zu behalten. BSI-Präsidentin Claudia Plattner beschreibt: „Digitale Souveränität bewegt die Menschen. Uns allen ist klar, dass der europäische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gestärkt werden müssen. Dabei hilft das BSI im Bereich der Cyber-Sicherheit aktiv mit. Gleichzeitig müssen außereuropäische Produkte, überall dort, wo wir diese weiterhin verwenden wollen, so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird. Die ,C3A' bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“

„C3A“ ergänzt bestehende Sicherheitsanforderungen

Die Entscheidung für Cloud-Dienste basiert auf dem Modell der geteilten Verantwortung zwischen Anbieter und Nutzer. Dieses Modell begrenzt den Einfluss von Anwendern auf Sicherheits- und Betriebsaspekte. Während der bestehende Kriterienkatalog „C5“ Sicherheitsanforderungen adressiert, erweitert „C3A“ die Perspektive um die Bewertung der Selbstbestimmtheit. Ziel ist es, transparent zu machen, in welchem Maß ein Cloud-Angebot im jeweiligen Nutzungskontext souverän betrieben werden kann.

BSI-Vizepräsident Thomas Caspers erklärt: „Cloud-Nutzung schafft eine Beziehung zwischen Kundinnen und Kunden einerseits und dem Cloud-Anbieter andererseits. In diesem Zusammenhang können Einflüsse auf den Anbieter indirekt auch Kunden betreffen. Um diese in die Lage zu versetzen, risikobasierte Entscheidungen zu treffen, sind allgemein anerkannte, objektive und überprüfbare Kriterien für Selbstbestimmtheit und Autonomie erforderlich. Den Kriterienkatalog ,C3A' haben wir im Rahmen unserer Zusammenarbeit mit nationalen und internationalen Cloud-Providern, mit denen wir Kooperationsvereinbarungen haben, entwickelt: Dabei sind Erkenntnisse aus der Praxis in ein richtungsweisendes Framework geflossen, zu dem wir uns auch mit unseren internationalen Partnerbehörden austauschen.“

Cloud-Souveränität anhand konkreter Kriterien bewerten

Die „C3A“ gliedern sich in Kriterien und Zusatzkriterien, die je nach Anwendungsfall ausgewählt werden können. Unternehmen erhalten damit die Möglichkeit, Anforderungen an Cloud-Souveränität individuell festzulegen. Ein Beispiel ist die Lokalisierung: Je nach Risikobewertung können Cloud-Nutzende definieren, ob Rechenzentren oder Betriebspersonal in Deutschland oder der Europäischen Union angesiedelt sein müssen. Damit wird Cloud-Souveränität als variabler Zielwert verstanden, der sich an konkreten Einsatzszenarien orientiert.

Nutzung der „C3A“ für Anbieter und Anwender

Sowohl Cloud-Anbieter als auch Cloud-Nutzer können das Framework einsetzen. Anbieter haben die Möglichkeit, die Einhaltung der Kriterien durch Audits nachzuweisen. Anwender wiederum können die Kriterien nutzen, um Anforderungen für ihre eigenen Anwendungen systematisch abzuleiten. Das BSI plant ergänzend einen Leitfaden für entsprechende Audits. Die Nachweisführung soll sich an etablierten Prozessen orientieren, wie sie bereits im Rahmen von „C5“ angewendet werden.

In Struktur und Zielsetzung orientieren sich die „C3A“ am europäischen Cloud Sovereignty Framework. Gleichzeitig werden bestehende Ansätze erweitert und in überprüfbare Kriterien überführt. Die Anwendung der „C3A“ setzt voraus, dass die Anforderungen des „C5“-Katalogs erfüllt sind. Eine deutschsprachige Version des Kriterienkatalogs ist für Ende des zweiten Quartals 2026 angekündigt.

Auch interessant für Sie

Rolf Schumann (Co-CEO Schwarz Digits), BSI-Präsidentin Claudia Plattner und Christian Müller (Co-CEO Schwarz Digits) vereinbaren im Rahmen der Münchner Sicherheitskonferenz eine strategische Partnerschaft zwischen BSI und Schwarz Digits
Zusammenarbeit im Rahmen des Cyber Resilience Act - „AdCo CRA“ in Athen, v.l.n.r: Tommaso Bernabo (DG Connect), Perit Kirkmann-Raave (Enisa), Maika Fohrenbach (DG Connect), Xenia Kyriakidou (Digital Security Authority Zypern - Vice-Chair AdCo CRA), Anna Schwendicke (BSI - Chair AdCo CRA), Luis Miguel Vega Fidalgo (DG Connect), Razvan Gavrila (Enisa)
Bernie Wagner, Bereichsvorstand Sales und Marketing Schwarz Digits und CEO von Stackit
v.l.n.r. BSI-Vizepräsident Thomas Caspers, Staatssekretär Dr. Markus Richter und BSI-Präsidentin Claudia Plattner auf dem 21. Deutschen IT-Sicherheitskongress
IT-Sicherheit
Holger Fischer, Director EMEA Central bei Opswat
Keywords:
BSI Cloud Cybersecurity Security