BSI C3A: Souveränitäts-Kriterien für Cloud-Dienste
C3A (Criteria Enabling Cloud Computing Autonomy) ergänzt den C5-Sicherheits-Katalog des BSI um eine Souveränitäts-Dimension. Der Beitrag erklärt die sechs Zielfelder, den Bezug zum EU Cloud Sovereignty Framework und wo C3A im Vergaberecht greift.
Inhalt dieses Beitrags
- Problem
- Kurze Antwort
- Tiefgang
- Verhältnis zu C5
- Die sechs Zielfelder
- Bezug zum EU Cloud Sovereignty Framework
- Integration in IT-Grundschutz und MST-NCD
- Abgelehnte Alternativen
- Was Sie jetzt tun sollten
- Wie Dernium hier hilft
- Verifikation
- Offene Punkte
- Häufige Fragen
- Ersetzt C3A den bestehenden C5-Katalog?
- Was bedeutet "Souveränität" in diesem Zusammenhang konkret?
- Kann ich C3A heute schon in einer Ausschreibung verwenden?
- Wie hängt C3A mit dem EU Cloud Sovereignty Framework zusammen?
Problem
Cloud-Beschaffung in der Verwaltung verlangt heute zwei Antworten, die historisch in einem Begriff verschmolzen wurden: ist der Dienst technisch sicher, und ist er wirtschaftlich, juristisch und betrieblich unabhängig von außereuropäischen Einflüssen. Der bestehende BSI-Kriterienkatalog C5 (BSI = Bundesamt für Sicherheit in der Informationstechnik; C5 = Cloud Computing Compliance Criteria Catalogue) beantwortet die erste Frage. Für die zweite gab es bisher keinen verbindlichen Maßstab, sondern Marketing-Begriffe ("souveräne Cloud", "Data Residency") ohne testbare Substanz.
Für wen ist das? Für Beschaffer und Anbieter, die Cloud-Souveränität nachweisbar bewerten wollen.
Kurze Antwort
C3A (Criteria Enabling Cloud Computing Autonomy) ist ein neuer Prüf-Katalog, der die bekannte Sicherheitsprüfung um eine zweite Achse erweitert: digitale Souveränität, also Unabhängigkeit von außereuropäischen Einflüssen. Das Wichtigste in Kürze:
- C3A wird gemeinsam mit der französischen ANSSI (der nationalen Cybersicherheitsbehörde Frankreichs) entwickelt.
- Er ersetzt C5 nicht, sondern ergänzt ihn um sechs Souveränitäts-Zielfelder (von Eigentümerstruktur bis Notfall-Protokolle im Verteidigungsfall).
- Er ist als Brücke vom EU Cloud Sovereignty Framework (CSF) der EU-Kommission ins deutsche Zertifizierungs-System gedacht.
- Schon heute lässt er sich als Zuschlagskriterium in Cloud-Ausschreibungen referenzieren.
- Stand Mai 2026 liegt er noch nicht in finaler Fassung vor; jede Bezugnahme sollte den Stand datieren.
Tiefgang
Verhältnis zu C5
C5 deckt klassische Cloud-Sicherheit ab: Organisation, Personal, Asset-Management (Verwaltung der IT-Werte), Verschlüsselung, Incident-Response (Reaktion auf Sicherheitsvorfälle), physische Sicherheit, Compliance. Es ist auf ISO 27001 (den internationalen Standard für Informationssicherheits-Managementsysteme) abgebildet und enthält ergänzende Anforderungen zu Transparenz und Datenkontrolle. C3A setzt darüber an: Wer betreibt? Wer haftet? Wer kann unter welchem Recht zur Datenherausgabe verpflichtet werden? Welche personellen Abhängigkeiten existieren?
Praktisch bedeutet das: ein Anbieter kann C5-konform sein, ohne C3A-konform zu sein, und umgekehrt. Die Beschaffung muss beide Achsen separat prüfen.
Die sechs Zielfelder
Aus den öffentlich kommunizierten Inhalten lassen sich die folgenden Achsen identifizieren:
- Eigentumsstruktur und gesellschaftsrechtliche Kontrolle des Anbieters.
- Anwendbare Jurisdiktion auf alle an der Leistungserbringung beteiligten Personen und Unternehmen.
- Provenance (Herkunft und rechtliche Zuordnung) des operativen Personals einschließlich Administrations- und Wartungszugriffen.
- Lieferketten-Transparenz der Software- und Hardware-Komponenten.
- Betriebs-Resilienz (Widerstandsfähigkeit) bei einseitiger Abkopplung durch Drittland-Sanktionen oder Lieferstopps.
- Übergabe- und Notfall-Protokolle, einschließlich Schlüsselbesitz im Verteidigungsfall.
Die genaue Strukturierung wird mit der finalen Katalog-Version verbindlich; bis dahin gilt diese Aufzählung als Orientierung.
Bezug zum EU Cloud Sovereignty Framework
Das EU CSF der EU-Kommission definiert acht Sovereignty Objectives (Souveränitäts-Ziele auf EU-Ebene). C3A bildet diese auf einen deutsch-französischen Prüf-Maßstab ab und stellt damit die Voraussetzung dar, im späteren EU Cloud and AI Development Act (einem geplanten EU-Rechtsakt zur Förderung europäischer Cloud- und KI-Infrastruktur) als Bewertungs-Grundlage benutzt zu werden. Wer heute eine Cloud-Ausschreibung formuliert, kann C3A bereits als Zuschlagskriterium nach Paragraf 127 GWB (Gesetz gegen Wettbewerbsbeschränkungen, regelt die Zuschlagskriterien bei öffentlichen Vergaben) referenzieren, weil der Bezug zum Auftragsgegenstand (sicherer und souveräner Cloud-Betrieb) konkret und prüfbar ist.
Integration in IT-Grundschutz und MST-NCD
C3A ist nicht als isolierter Katalog gedacht. Über den IT-Grundschutz (das methodische BSI-Rahmenwerk für Informationssicherheit) und den Mindeststandard zur Nutzung externer Cloud-Dienste (MST-NCD) wird er in die Praxis der Bundesverwaltung gezogen. Wer eine C5-Bescheinigung vorweist, hat damit die Sicherheits-Seite belegt; C3A-Konformität ist der zusätzliche Nachweis auf der Souveränitäts-Seite.
Abgelehnte Alternativen
EU CSF als alleinigen Maßstab anwenden. Das CSF ist auf der EU-Ebene formuliert, ohne nationale Konkretisierung der Prüf-Mechanik. Für eine deutsche Vergabe wird man immer einen national konsolidierten Katalog brauchen, sonst sind Streit-Fragen ("welche Evidenz reicht?") nicht entscheidbar.
Einzel-Kriterien aus dem Sovereign Cloud Compass übernehmen. Das ist ein offener Bewertungs-Rahmen aus dem Open-Source-Umfeld, sehr nützlich für Selbstprüfung, aber keine staatlich getragene Maßstab-Quelle. C3A schließt diese Lücke, weil BSI und ANSSI als Aussteller dahinterstehen.
Was Sie jetzt tun sollten
- Zwei Achsen getrennt prüfen. Behandeln Sie Sicherheit (C5) und Souveränität (C3A) als eigenständige Anforderungen. Eine C5-Bescheinigung allein belegt keine Souveränität.
- Ausschreibungen vorbereiten. Verankern Sie Souveränitäts-Anforderungen schon jetzt als Zuschlagskriterium nach Paragraf 127 GWB und benennen Sie den Bezug zum Auftragsgegenstand konkret.
- Anbieter entlang der sechs Zielfelder befragen. Lassen Sie sich zu Eigentümerstruktur, Jurisdiktion, Personal-Herkunft, Lieferkette, Abkopplungs-Resilienz und Schlüsselbesitz schriftliche, prüfbare Antworten geben.
- Schlüssel-Custody klären. Stellen Sie sicher, dass das Schlüsselmaterial für Verschlüsselung nicht in einer Drittland-Verwahrung liegt, auf die außereuropäisches Recht zugreifen kann.
- Stand datieren. Solange C3A nicht final ist, vermerken Sie bei jeder Bezugnahme den Bearbeitungsstand, etwa "C3A in der Konsultations-Fassung Mai 2026".
Wie Dernium hier hilft
Dernium ist auf C3A-Konformität ausgelegt, weil die Designentscheidungen seit Gründung in dieselbe Richtung zeigen: Gesellschaftssitz und Belegschaft ausschließlich in Deutschland, kein US-Hyperscaler (großer außereuropäischer Cloud-Konzern) im Datenpfad, eigener Auth-Stack (eigene Anmelde- und Identitäts-Infrastruktur), eigener Container-Registry-Pfad (eigener Speicher für die Software-Bausteine), kein Drittland-Custody für Schlüsselmaterial. Dernium Desk, Dernium Office und die Mail-Härtungs-Schiene um Mailcheck sind so gebaut, dass ein C3A-Audit die operativen Antworten ohne Vertrags-Akrobatik liefern kann. Die Vorgehensweise ist im Hauptartikel zur öffentlichen Beschaffung ausgearbeitet.
Verifikation
Siehe Verweise im Fließtext. Der Katalog wird in Konsultation finalisiert; verbindliche Versionsstände werden vom BSI bekanntgegeben.
Offene Punkte
C3A ist im Mai 2026 noch nicht in der finalen Fassung. Die exakte Abbildung auf C5-Kontrollen, die formale Bescheinigungs-Logik und die Pflicht der Bundesverwaltung zur Nutzung als Vergabe-Kriterium werden über Verwaltungs-Rechtsakte und Mindeststandards nachgeführt. Wer heute referenziert, sollte den Stand ausdrücklich datieren ("C3A in der Konsultations-Fassung Mai 2026").
Häufige Fragen
Ersetzt C3A den bestehenden C5-Katalog?
Nein. C3A ergänzt C5, ersetzt ihn aber nicht. C5 beantwortet die Frage nach der technischen Sicherheit eines Cloud-Dienstes, C3A die nach der digitalen Souveränität, also der Unabhängigkeit von außereuropäischen rechtlichen und betrieblichen Einflüssen. Ein Anbieter muss beide Achsen getrennt nachweisen, weil das eine das andere nicht impliziert.
Was bedeutet "Souveränität" in diesem Zusammenhang konkret?
Sie meint, dass Betrieb, Haftung, anwendbares Recht und Schlüsselbesitz eines Cloud-Dienstes nicht unter den Zugriff außereuropäischer Stellen geraten. C3A fasst das in sechs Zielfelder: Eigentümerstruktur, Jurisdiktion, Herkunft des Personals, Lieferketten-Transparenz, Widerstandsfähigkeit gegen Abkopplung und Notfall-Protokolle einschließlich Schlüsselbesitz im Verteidigungsfall.
Kann ich C3A heute schon in einer Ausschreibung verwenden?
Ja, mit Einschränkung. Sie können C3A bereits als Zuschlagskriterium nach Paragraf 127 GWB heranziehen, weil der Bezug zum Auftragsgegenstand sicherer und souveräner Cloud-Betrieb konkret und prüfbar ist. Da der Katalog (Stand Mai 2026) aber noch nicht final ist, sollten Sie den Bearbeitungsstand ausdrücklich nennen und die Kriterien so formulieren, dass sie auch ohne die finale Fassung bewertbar bleiben.
Wie hängt C3A mit dem EU Cloud Sovereignty Framework zusammen?
Das EU CSF der Kommission definiert acht Souveränitäts-Ziele auf europäischer Ebene, aber ohne nationale Festlegung, welche Nachweise im Einzelnen genügen. C3A übersetzt diese Ziele in einen konkreten, deutsch-französischen Prüf-Maßstab und schafft damit die nationale Konkretisierung, die für eine rechtssichere Vergabe gebraucht wird.