C3A: Wie das BSI Cloud-Souveränität messbar machen will

Das BSI hat mit dem C3A-Kriterienkatalog einen Rahmen vorgelegt, der Cloud-Souveränität prüfbar machen soll — nicht mehr am Serverstandort, sondern an konkreten Kriterien. Das ist ein wichtiger Schritt. Beim genauen Hinsehen lohnt sich aber ein zweiter Blick auf zwei Stellen: wie der Katalog entstanden ist und was seine Freiwilligkeit bedeutet.

Wenn ein Behörden-Kunde mich fragt, ob eine Cloud „souverän“ ist, war meine ehrliche Antwort lange: Das kommt darauf an, was damit gemeint ist. Standort der Server? Herkunft des Betriebspersonals? Wer im Ernstfall den Stecker ziehen kann? Jeder meinte etwas anderes, und genau diese Unschärfe haben Anbieter gern genutzt. Seit Ende April gibt es dafür einen Rahmen, der die Frage endlich operationalisiert.

Das Bundesamt für Sicherheit in der Informationstechnik hat am 27. April 2026 die Criteria enabling Cloud Computing Autonomy veröffentlicht — kurz C3A. Vorab das Wichtigste: Ich finde es richtig und überfällig, dass das BSI hier arbeitet. Jede ernsthafte Arbeit an überprüfbaren Souveränitäts-Kriterien ist erst einmal ein Gewinn. Die spannende Frage ist nicht ob, sondern wie gut — und da lohnt der Detailblick.

Was C3A eigentlich ist

C3A ist die souveränitäts-orientierte Ergänzung zum etablierten C5, dem Cloud Computing Compliance Criteria Catalogue. Die Arbeitsteilung ist sauber: C5 beantwortet, ob ein Dienst technisch sicher ist. C3A beantwortet, ob er auch selbstbestimmt genutzt werden kann. Wer C3A anlegen will, muss C5 erfüllen — die beiden sind aufeinander aufbauende Ebenen, keine Alternativen.

Der Hintergrund ist ein Begriff, den das BSI prägt: Cyber Dominance. Gemeint ist die Fähigkeit von Herstellern, durch ihre Marktstellung dauerhaft Zugriff auf Systeme und Daten ihrer Kunden zu behalten. Das BSI stellt das bewusst neben Cyber Crime und staatlich gelenkte Angriffe — als dritte Bedrohungsdimension. Wer in den letzten Jahren US-Hyperscaler im öffentlichen Sektor begleitet hat, kennt das Unbehagen dahinter.

Strukturell zerlegt der C3A-Kriterienkatalog Souveränität in sechs Domänen, SOV-1 bis SOV-6, jeweils mit Basiskriterien und erweiterten Kriterien. Einige davon haben echte Zähne. SOV-4 (operative Souveränität) verlangt, dass das gesamte Betriebspersonal aus EU-Bürgern mit EU-Wohnsitz besteht und sich alle Netzverbindungen nach außerhalb der EU vollständig trennen lassen — jährlich nachzuweisen, ohne dass der Betrieb zusammenbricht. SOV-5 fordert eine dokumentierte Lieferkette, idealerweise als Software Bill of Materials. Das sind Kriterien, an denen ein bloß „europäisch gehostetes“ Angebot scheitert.

Warum das ein echter Fortschritt ist

Der eigentliche Wert liegt in der Messbarkeit. Bisher war „souverän“ ein Marketingwort. Das Zentrum für Digitale Souveränität (ZenDiS) hat dafür im Sommer 2025 den treffenden Begriff Souveränitäts-Washing geprägt: Angebote, die mit „souverän“ werben, aber nur Teilaspekte erfüllen. Das prominente Beispiel im ZenDiS-Whitepaper ist die Delos Cloud — deutsches Unternehmen (SAP), aber auf Microsoft Azure aufgebaut, laut Anbieter ohne US-Support nur wenige Monate betriebsfähig.

Genau gegen diese Unschärfe setzt C3A ein Prüfraster. Statt „Server stehen in Frankfurt“ steht jetzt die Frage im Raum: Lässt sich der Dienst auch dann weiterbetreiben, wenn die Updates aus den USA ausbleiben? Wer hat physischen und administrativen Zugriff? Das ist die richtige Verschiebung — weg vom Standortversprechen, hin zur Betriebsfähigkeit unter Druck.

Dazu kommt der rechtliche Kontext, der die Sache zuspitzt. Seit September 2025 gilt der EU Data Act vollständig; Kapitel VII verpflichtet Anbieter zu Maßnahmen gegen unrechtmäßige Zugriffe durch Drittstaaten-Behörden. Für US-Anbieter entsteht ein strukturelles Dilemma, weil CLOUD Act und FISA 702 in die Gegenrichtung ziehen. C3A liefert das Vokabular, um diese Spannung in einer Beschaffungsentscheidung überhaupt greifbar zu machen.

Wo der zweite Blick sich lohnt

Jetzt das Detail, das mich nachdenklich macht: Das BSI hat C3A nach eigener Aussage gemeinsam mit nationalen und internationalen Cloud-Providern entwickelt, mit denen es Kooperationsvereinbarungen unterhält. Vize-Präsident Thomas Caspers nennt die AWS European Sovereign Cloud explizit als Beispiel, an dem man gelernt habe, welche Mechanismen eine Cloud betriebsfähig halten.

Das ist zweischneidig. Praxisnähe ist gut — ein Katalog, der an realen Architekturen entwickelt wurde, ist brauchbarer als einer vom grünen Tisch. Aber es ist eben auch so, dass die Anbieter, die der Katalog prüfen soll, an seiner Entstehung beteiligt waren. Man muss nicht von gezielter Einflussnahme ausgehen, um zu sehen: Kriterien, die kein real existierendes Angebot je erfüllen könnte, hätten es in so einem Prozess schwer. Die Frage ist, ob die Messlatte dort liegt, wo Souveränität anfängt — oder dort, wo die beteiligten Anbieter sie gerade noch erreichen.

Der zweite Punkt ist die Freiwilligkeit. C3A ist ausdrücklich kein Zertifikat und nicht rechtsverbindlich. Kunden wählen selbst, welche Kriterien und welche Lokalisierungsstufe (Deutschland oder EU) für ihren Anwendungsfall gelten. Verbände wie der IAMCP begrüßen das als gebotene Differenzierung, und in der Sache haben sie recht: Nicht jeder Use Case braucht die höchste Stufe.

Der Wert von C3A hängt daran, dass der angekündigte Audit-Leitfaden kommt — und dass Beschaffer ihre Auswahl transparent machen, statt sie zu verstecken.

Die Kehrseite: Dieselbe Flexibilität kann zum Etikett werden. Wenn ein Anbieter „C3A-konform“ auf die Folie schreibt, ohne zu sagen, welche Kriterien auf welcher Stufe — dann ist das genau das Souveränitäts-Washing, das ZenDiS beschreibt, nur mit einem amtlich klingenden Kürzel davor. Der Wert von C3A hängt also daran, dass der angekündigte Audit-Leitfaden kommt und dass Beschaffer die Auswahl transparent machen, statt sie zu verstecken.

Was das für deine Beschaffung heißt

Konkret: C3A ist ab sofort ein nützliches Werkzeug für Lastenhefte — aber nur bei spezifischem Einsatz. „Anbieter muss C3A erfüllen“ ist wertlos. „Anbieter muss SOV-4 auf Lokalisierungsstufe Deutschland nachweisen, inklusive jährlichem Trennbarkeitstest“ ist eine Anforderung, an der sich ein Angebot messen lässt. Der Katalog ist nur so scharf wie die Auswahl, die Sie selbst treffen.

Zusammengefasst

• C3A schließt eine reale Lücke: Souveränität wird von einem Marketingwort zu einem prüfbaren Kriterienraster, aufbauend auf C5.
• Die harten Kriterien (SOV-4 Betriebspersonal und Trennbarkeit, SOV-5 Lieferkette) gehen über das bloße Standortversprechen hinaus — das ist der eigentliche Fortschritt.
• Die Entstehung gemeinsam mit den geprüften Anbietern ist Praxisnähe und potenzielle Schwäche zugleich; die Messlatte verdient kritische Beobachtung.
• Die Freiwilligkeit ist sinnvoll, öffnet aber die Tür für ein neues, amtlich klingendes Etikett — entscheidend wird der angekündigte Audit-Leitfaden.
• Für die Praxis gilt: C3A nur mit konkret benannten Domänen und Stufen ins Lastenheft schreiben, nie pauschal.

Wenn Sie gerade eine Cloud-Beschaffung im öffentlichen Sektor vorbereiten und überlegen, wie sich Souveränität prüfbar in die Anforderungen bringen lässt: Genau an dieser Übersetzung von Katalog zu Lastenheft arbeite ich oft mit Teams. Wenn das aktuell Ihr Thema ist, lassen Sie uns sprechen.