Das Bundesamt für Sicherheit in der Informationstechnik hat soeben definiert, was „souveräne Cloud“ wirklich bedeutet. Das Ergebnis ist ein nüchterner Spiegel, vor allem für US-Hyperscaler. So prüfen Sie Ihren Cloud-Anbieter …
„Digital souverän“: Das behaupten viele Cloud-Anbieter von sich. Bislang fehlte ein allgemein anerkannter Maßstab, der diese Behauptung prüfbar macht. Das hat sich am 27. April 2026 geändert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem Kriterienkatalog C3A, kurz für Criteria enabling Cloud Computing Autonomy, erstmals einen Framework vorgelegt, der die Souveränitätseigenschaften von Cloud-Diensten objektiv und überprüfbar macht.
Das Dokument ist nicht regulatorisch verpflichtend, aber es wird schnell zum Referenzrahmen werden – für Vergabeentscheidungen, für Risikobeurteilungen, und für den gesunden Menschenverstand beim nächsten Anbieter-Pitch.
Was prüft der C3A?
Der Katalog gliedert sich in sechs Souveränitätsbereiche, jeweils mit abgestuften Anforderungen: EU-Niveau, Deutschland-Niveau sowie Zusatzkriterien.
- 1. Strategische Souveränität (SOV-1):
Unter welchem Recht operiert der Anbieter? Wo hat er seinen Hauptsitz? Und entscheidend: Wer kontrolliert ihn tatsächlich? Ein Anbieter, dessen Mutterkonzern außerhalb der EU sitzt, erfüllt diese Kriterien strukturell nicht, egal wo die Server stehen. - 2. Rechtliche Souveränität (SOV-2):
Muss der Anbieter jährlich außereuropäische Gesetze mit grenzüberschreitender Wirkung analysieren und bewerten? Ja, so steht es im C3A. US Cloud Act, FISA 702 – wer diese Risiken nicht systematisch bewertet und kommuniziert, erfüllt die Mindestanforderungen nicht. - 3. Datenhoheit (SOV-3):
Wo werden Daten gespeichert und verarbeitet? Kann der Kunde eigene Verschlüsselungsschlüssel außerhalb der Anbieterumgebung verwalten? Kann er einen externen Identity Provider einbinden? Kann er auf vollständige Zugriffslogs zugreifen? Jede dieser Fragen ist im C3A ein eigenes, prüfbares Kriterium. - 4. Operativer Betrieb (SOV-4):
Sind alle Personen mit Administrationszugriff EU-Bürger mit EU-Wohnsitz? Ist der administrative Zugriff von außerhalb der EU technisch eingeschränkt? Kann der Cloud-Dienst vollständig von nicht-EU-Netzverbindungen getrennt werden und bleibt er funktionsfähig? Die letzten beiden Punkte sind für viele globale Hyperscaler faktisch nicht erfüllbar. - 5. Lieferkettensouveränität (SOV-5):
Welche Software- und Hardwarekomponenten stecken im Cloud-Dienst, und aus welchen Ländern stammen sie? Der C3A fordert eine Software Bill of Materials (SBOM) und Transparenz über externe Dienstabhängigkeiten. Wer nicht sagen kann, was in seiner Cloud steckt, kann keine Souveränität versprechen. - 6. Technologische Souveränität (SOV-6):
Hat der Anbieter den Quellcode seiner Dienste im EU-Raum aktuell, versioniert, mit vollständiger Dokumentation verfügbar, sodass der Betrieb jederzeit ohne externe Abhängigkeiten möglich ist? Das ist der Open Source-Gedanke als C3A-Kriterium.
Was bedeutet der C3A für Ihre Cloud-Entscheidung?
Der C3A ist kein Zertifizierungsrahmen, aber ein präzises Werkzeug.
Sie können anhand des C3A-Dokuments, das sie direkt beim BSI abrufen können, Ihren heutigen Cloud-Anbieter Kriterium für Kriterium befragen. Die Antworten werden in vielen Fällen unbequem sein. Denn AWS, Microsoft Azure und Google Cloud werden an mehreren Stellen strukturell scheitern: US-Muttergesellschaft, US-Eigentümerkontrolle, US-Recht mit extraterritorialer Wirkung, globales Betriebspersonal.
Wer dagegen auf Open Source-Lösungen, deutsche Anbieter und europäische Rechenzentren setzt, wird bei der C3A-Prüfung besser abschneiden. Denn deutsches Recht und deutsche Rechenzentren erfüllen die höchste C3A-Stufe.
Unser Angebot für Sie
Wir haben den C3A-Kriterienkatalog für unsere eigene Cloud-Infrastruktur analysiert. Wenn Sie wissen möchten, wie Ihre aktuelle IT-Lösung im C3A-Spiegel abschneidet oder wie ein souveräner Wechsel konkret aussehen würde, sprechen Sie uns an.
Endlich unabhängig werden
WEITERE NACHRICHTEN
NEWSLETTER
Melden Sie sich für unseren informativen Newsletter an.
Jeden 1. Donnerstag im Monat informieren wir Sie über spannende Themen aus der IT-Welt.
