BSI definiert Kriterien für technische Cloud-Souveränität: C3A-Katalog schafft verbindliche Standards

Kurzfassung

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den „Criteria Enabling Cloud Computing Autonomy" (C3A) einen Katalog veröffentlicht, der festlegt, wann eine Cloud-Lösung technisch souverän ist. Die Kriterien adressieren Abhängigkeiten von aussereuropäischen Cloud-Anbietern wie AWS, Azure oder Huawei und definieren konkrete Anforderungen für sichere, unabhängige Infrastruktur. Der C3A-Katalog baut auf bestehenden C5-Sicherheitskriterien auf und wird erwartet die Debatte um den EU-Kommissions-Vorschlag „Cloud and AI Development Act" (CADA) beeinflussen, der für Mai 2026 geplant ist. Das BSI zieht dabei Erfahrungen aus Projekten wie DelosCloud, Stackit und der T-Systems-Sovereign-Cloud ein.

Personen

• Thomas Caspers (Vizepräsident BSI)
• Martin Bierwirth (Referatsleiter Cloud-Sicherheit BSI)
• Henna Virkkunen (EU-Vizepräsidentin)

Themen

• Cloud-Sicherheit und digitale Souveränität
• Europäische IT-Unabhängigkeit
• Compliance und Regulierung
• Kritische Infrastrukturen

Clarus Lead

Die C3A-Initiative reagiert auf strategischen Druck: Die geplante Vorlage des CADA durch die EU-Kommission im Mai 2026 wird eine europäische Definitionsfrage klären, die bislang politisch vage blieb. Das BSI positioniert sich mit einem technisch tragfähigen Vorschlag, um die kommende Regulierungsdebatte konkret zu strukturieren – und damit potenziell die Anforderungen für öffentliche Verwaltung, kritische Infrastrukturen und Rüstung EU-weit zu prägen. Parallel testet Frankreich mit der ANSSI einen nationalen Pfad, bei dem französische Unternehmen verpflichtend beteiligt sind; Deutschlands C3A-Ansatz zielt dagegen auf europäische Standards mit gestuften Anwendungsprofilen.

Detaillierte Zusammenfassung

Die C3A konkretisiert Souveränität in vier Dimensionen. Technische Entkopplung wird am Kriterium SOV-4-09-C deutlich: Cloud-Betreiber müssen im Disconnection-Fall (Abkopplung vom aussereuropäischen System) den Betrieb aufrechterhalten, ohne Verfügbarkeit, Integrität oder Vertraulichkeit zu gefährden. Dies muss dokumentiert und mindestens jährlich getestet werden. Die erweiterte Anforderung SOV-4-09-AC verlangt zusätzlich die Offenlegung von Dokumentation gegenüber lokalen IT-Sicherheitsbehörden.

Juridische und personelle Vorgaben sind ebenfalls gestaffelt. Kriterium SOV-4-01-C1 fordert EU-Staatsbürgerschaft und EU-Wohnsitz für alle Mitarbeiter mit logischem oder physischem Zugriff. Die verschärfte Variante SOV-4-01-C2 beschränkt dies auf Bundesrepublik-Residenz – relevant für Hochsicherheitszonen wie Sicherheitsbehörden oder Bundeswehr. Anbieter dürfen keiner Nicht-EU-Jurisdiktion unterliegen; auch der Ort der IT-Wartungstätigkeiten wird reguliert.

Verteidigungsfallvorsorge ist neu in europäischen Cloud-Katalogen. Die C3A definiert, dass Betreiber im grundgesetzlich geregelten Verteidigungsfall den Betrieb inklusive Material und Personal an Bundesbehörden übergeben müssen. Das BSI hat hierfür zwar keine direkte gesetzliche Zuständigkeit, bereitet aber Standard-Szenarien vor.

Implementierungspfad: Die C3A sind nicht direkt verbindlich, können aber durch Gesetzgebung oder Ausschreibungen zu Mindestanforderungen werden. Sie ergänzen den bereits rechtsverbindlichen C5-Sicherheitskatalog und bauen auf dem IT-Grundschutz sowie dem Baustein OPS 2.2 auf. Für Bundesstellen ist bereits der Mindeststandard zur Nutzung externer Cloud-Dienste (MST-NCD) obligatorisch – die C3A werden diese Verpflichtung erweitern.

Kernaussagen

• Das BSI schafft mit C3A einen verbindlichen Referenzrahmen für Cloud-Souveränität, der technische Sicherheit (C5) mit Unabhängigkeitsanforderungen verbindet
• Konkrete Kriterien adressieren Disconnection-Sicherheit, personelle EU-Beschränkungen und Verteidigungsfallszenarien
• Der Katalog positioniert sich strategisch vor der EU-Kommissions-Vorlage des CADA (Mai 2026) und könnte europäische Regulierung prägen
• Hyperscaler wie AWS oder Azure können C3A-Anforderungen teilweise erfüllen; vollständige Entkopplung wird mehrjährig nicht durchgehend realisierbar sein

Kritische Fragen

1. Evidenz/Datenqualität: Auf welchen technischen Tests und Durchbruchszenarien bauen die Disconnect-Kriterien (SOV-4-09-C) konkret auf? Wie wurde die „Mindestens jährliche Testung" als Sicherheitsintervall validiert?

2. Interessenskonflikte: Das BSI hat bei der C3A-Entwicklung mit Anbietern (AWS, Schwarz-Digits, SAP) gesprochen – wie wurde Neutralität gegenüber grossen Anbietern und Mittelstandsalternativen gewährleistet?

3. Kausalität/Alternativen: Kann eine Cloud-Infrastruktur tatsächlich mehrjährig vollständig entkoppelt von US-Betreibersystemen operieren, oder werden Hidden Dependencies (Software-Updates, Sicherheits-Patches) Autonomie untergraben?

4. Umsetzbarkeit: Welche deutschen oder europäischen Cloud-Anbieter erfüllen bereits die Anforderung SOV-4-01-C2 (Bundesrepublik-Residenz aller Mitarbeiter)? Wie realistisch ist diese Anforderung für Skalierbarkeit?

5. Regulierungsrisiko: Falls die EU den CADA ohne Bezug zu C3A verabschiedet, verliert der deutsche Katalog an Bindungskraft – wie plant das BSI diese Divergenz zu adressieren?

6. Jurisdiktion: Die C3A schliessen Nicht-EU-Jurisdiktion aus – gilt dies auch für Holding-Strukturen mit EU-Tochterunternehmen oder nur für operative Kontrolle?

Quellenverzeichnis

Primärquelle: BSI definiert, wann eine Cloud wirklich souverän ist – https://www.heise.de/news/BSI-definiert-wann-eine-Cloud-wirklich-souveraen-ist-11272737.html (Heise Online, Autor: Falk Steiner)

Verifizierungsstatus: ✓ 2026

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt. Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 2026