Mit dem C3A-Kriterienkatalog (Criteria enabling Cloud Computing Autonomy) definiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) erstmals einen strukturierten Rahmen, um digitale Souveränität in der Cloud messbar und vergleichbar zu machen.
Für Unternehmen und Behörden im DACH-Raum verändert sich damit die Bewertung von Cloud-Strategien grundlegend: Nicht mehr nur Sicherheit zählt, sondern die Fähigkeit zur digitalen Selbstbestimmung.
Eine souveräne Cloud ist kein technisches Feature, sondern eine strategische Architekturentscheidung. Sie bestimmt, ob Organisationen langfristig unabhängig, compliant und handlungsfähig bleiben.
Insbesondere geopolitische Risiken, regulatorische Anforderungen und Abhängigkeiten von Hyperscalern erhöhen den Druck, Cloud-Modelle neu zu bewerten. Der C3A-Katalog macht deutlich: Souveränität entsteht nicht automatisch, sondern muss aktiv gestaltet werden.
Für IAM-Verantwortliche bedeutet das konkret: Identitäten, Zugriffe und Schlüssel werden zum zentralen Steuerungsinstrument der Souveränität, gleichzeitig muss der Cloud Service Provider (CSP) sorgfältig ausgewählt werden um die eigenen Sicherheitprozesse nicht zu konterkarieren.
Im Mittelpunkt stehen sechs zentrale Dimensionen von Souveränität: von strategischer und rechtlicher Kontrolle über Datenhoheit bis hin zu operativer, technologischer und lieferkettenbezogener Unabhängigkeit. Der Katalog fordert unter anderem klare EU- bzw. Deutschland-Bezüge bei Recht, Betrieb und Kontrolle, umfassende Transparenz über Datenflüsse und Abhängigkeiten sowie technische Fähigkeiten wie externe Schlüsselverwaltung, Abschottung von Nicht-EU-Verbindungen (Disconnect) und unabhängige Weiterentwicklung von Cloud-Services.
Der C3A-Kriterienkatalog ist bewusst nicht als isolierter Standard konzipiert, sondern baut auf bestehenden Initiativen zur Cloud-Sicherheit und -Souveränität auf. Insbesondere orientiert sich C3A strukturell und inhaltlich am EU Cloud Sovereignty Framework (EU-CSF) und übernimmt dessen grundlegende Kategorien und Zielsetzungen. Gleichzeitig erweitert das BSI diese um konkret prüfbare Kriterien, um Souveränität nicht nur konzeptionell, sondern auch operationalisierbar und auditierbar zu machen.
Eine zentrale Voraussetzung für die Anwendung von C3A ist die Erfüllung etablierter Sicherheitsstandards wie BSI-C5 (Cloud Computing Compliance Criteria Catalouge). Während C5 insbesondere die Informationssicherheit und Compliance adressiert, fokussiert C3A ergänzend auf die Dimension der Autonomie bzw. Selbstbestimmung. Bestimmte Bereiche – etwa klassische Sicherheits- und Compliance-Aspekte (SOV-7) – werden daher bewusst nicht erneut behandelt, da sie bereits durch C5 und andere BSI-Standards wie den IT-Grundschutz abgedeckt sind.
Damit entsteht ein abgestimmtes Gesamtbild: C5 stellt die sicherheitstechnische Basis, während C3A die Souveränitätsanforderungen darüber hinaus definiert. Zusammen mit dem EU CSF ergibt sich ein mehrschichtiges Rahmenwerk, das Organisationen sowohl bei der Absicherung als auch bei der strategischen Bewertung von Cloud-Diensten unterstützt.
Eine souveräne Cloud beginnt mit der Frage, wer tatsächlich die Kontrolle ausübt.
Daher stellt der C3A-Katalog Anforderungen an Gerichtsbarkeit (EU/Deutschland), Unternehmenssitz sowie Eigentums- und Kontrollstrukturen. Ziel ist es sicherzustellen, dass maßgebliche Entscheidungen nicht durch außereuropäische Akteure beeinflusst werden können.
Zusätzlich müssen Änderungen in Eigentum oder Governance frühzeitig transparent gemacht werden. Für Cloud Service Provider (CSPs) bedeutet dies potenziell tiefgreifende Anpassungen ihrer Unternehmensstruktur, insbesondere für global agierende Anbieter mit Muttergesellschaften außerhalb der EU.
Für Kunden erhöht sich die Transparenz und Planbarkeit hinsichtlich politischer und wirtschaftlicher Einflussfaktoren.
Nutzer von internationalen Hyperscalern stehen vor der Herausforderung, dass diese Anforderungen häufig nicht vollständig erfüllt werden, da Kontrolle und Sitz typischerweise außerhalb der EU liegen.
Die Kriterien unter SOV-2 fokussiert auf die rechtlichen Rahmenbedingungen und deren Auswirkungen auf die Cloud-Nutzung. Es verlangt von Anbietern, Risiken durch extraterritoriale Gesetze systematisch zu identifizieren und zu bewerten, sowie Auditierbarkeit durch europäische Behörden sicherzustellen. Zudem müssen Mechanismen vorhanden sein, die im Krisenfall eine staatliche Übernahme des Betriebs ermöglichen.
Für CSPs bedeutet dies erhöhte Anforderungen an Compliance, Dokumentation und Zusammenarbeit mit Behörden.
Kunden profitieren von besseren Kontrollmöglichkeiten und erhöhter Rechtssicherheit.
Für Nutzer von internationalen Hyperscalern entsteht ein besonderes Risiko durch Gesetze wie den US CLOUD Act, die potenziell Zugriff auf Daten durch US-Behörden ermöglichen und damit im Widerspruch zu europäischen Souveränitätsanforderungen stehen.
Für IAM-Architekturen heißt das: Zugriffsmodelle müssen nicht nur technisch, sondern auch rechtlich abgesichert sein.
SOV-3 stellt die Kontrolle über Daten als Kern einer souveränen Cloud in den Mittelpunkt.
Der C3A-Katalog stellt Anforderungen an Datenresidenz, Transparenz über Speicherorte und Datenflüsse sowie technische Maßnahmen wie externe Schlüsselverwaltung, Integration eigener Identity Provider und umfassendes Logging. Zusätzlich wird Client-seitige Verschlüsselung gefordert, bei der der Kunde alleinige Kontrolle über Schlüssel behält.
Für CSPs bedeutet dies erhebliche technische Anpassungen, insbesondere bei Plattform- und SaaS-Angeboten.
Kunden gewinnen dadurch die Möglichkeit, Datenverarbeitung aktiv zu steuern und Risiken besser zu kontrollieren.
Für Nutzer von internationalen Hyperscalern ist dies oft nur eingeschränkt realisierbar, da vollständige Trennung von Datenzugriffen und Schlüsselkontrolle nicht immer gewährleistet ist und potenzielle Zugriffe durch Drittstaaten bestehen.
Gerade hier zeigt sich die zentrale Rolle von IAM: Ohne Kontrolle über Identitäten und Schlüssel gibt es keine souveräne Cloud.
Eine souveräne Cloud muss auch im Betrieb unabhängig bleiben.
Dazu gehören der Einsatz von EU-basiertem Personal, kontrollierte administrative Zugriffe, unabhängige Netzwerkanbindungen sowie detaillierte Kontrolle über Datenflüsse und Drittparteien. Besonders hervorzuheben ist die Fähigkeit zum Disconnect, also zur vollständigen Abkopplung von Nicht-EU-Verbindungen ohne Beeinträchtigung des Betriebs.
Für CSPs bedeutet dies tiefgreifende Änderungen in Betriebsmodellen, Infrastrukturdesign und organisatorischen Prozessen.
Kunden profitieren von höherer Resilienz und besserer Kontrolle über den laufenden Betrieb.
Für Nutzer von internationalen Hyperscalern ist dies kritisch, da deren globale Betriebsmodelle häufig auf zentralisierten Strukturen und internationalen Abhängigkeiten basieren, die eine vollständige operative Souveränität erschweren.
Die Abhängigkeit von Dritt- und Viertanbietern ist einer der größten blinden Flecken in Cloud-Strategien.
SOV-5 adressiert daher die Transparenz und Kontrolle über die gesamte Lieferkette eines Cloud-Dienstes. Anbieter müssen detailliert dokumentieren, welche Software-, Hardware- und Service-Abhängigkeiten bestehen, einschließlich Herkunft und Risiken. Zudem sind Prozesse zur Risikobewertung und zur Substitution kritischer Komponenten erforderlich. Auch Themen wie Exportbeschränkungen und Kapazitätsmanagement werden berücksichtigt.
Für CSPs bedeutet dies einen hohen Aufwand in der Inventarisierung, Dokumentation und im Risikomanagement entlang der Supply Chain.
Kunden erhalten dadurch erstmals eine fundierte Grundlage zur Bewertung von Abhängigkeiten und potenziellen Risiken.
Für eine souveräne Cloud bedeutet das: Nicht nur der Anbieter selbst, sondern die gesamte Wertschöpfungskette muss kontrollierbar sein.
SOV-6 zielt auf die technologische Unabhängigkeit und langfristige Handlungsfähigkeit der souveränen Cloud ab. Es fordert unter anderem Zugriff auf Quellcode oder gleichwertige Kontrolle, die unabhängige Weiterentwicklung von Services und Notfallstrategien bei Ausfall von Drittanbietern. Anbieter müssen in der Lage sein, Sicherheitslücken eigenständig zu beheben und Dienste ohne externe Abhängigkeiten weiterzuentwickeln.
Für CSPs bedeutet dies erhebliche Investitionen in Personal, Infrastruktur und Entwicklungsprozesse.
Kunden profitieren von höherer Resilienz und geringerer Abhängigkeit von einzelnen Herstellern.
Für Architekten bedeutet das: Proprietäre Plattformen müssen kritisch hinterfragt werden, wenn eine souveräne Cloud das Ziel ist.
Die Anforderungen des C3A lassen sich nicht ohne eine klare IAM-Strategie umsetzen.
Zentrale Handlungsfelder sind:
IAM wird damit vom operativen System zur zentralen Steuerungsschicht der Cloud-Souveränität.
Der C3A-Katalog macht eine zentrale Spannung sichtbar: Globale Hyperscaler bieten Skalierung und Innovation, erfüllen aber zentrale Anforderungen an eine souveräne Cloud oft nur eingeschränkt.
Typische Herausforderungen sind:
Organisationen müssen daher bewusst entscheiden: Effizienz vs. Souveränität ist eine strategische Abwägung.
Eine souveräne Cloud erfordert meist höhere Anfangsinvestitionen, reduziert jedoch langfristig Abhängigkeiten und Folgekosten. Während Hyperscaler mit niedrigen Einstiegskosten locken, entstehen dort häufig Vendor-Lock-in, steigende Nutzungskosten und eingeschränkte Flexibilität. Souveräne Cloud-Modelle verschieben die Kosten bewusst nach vorne.
Organisationen investieren in Kontrolle über Identitäten, Schlüssel und Architektur, gewinnen dafür aber Planungssicherheit und Unabhängigkeit. Für Entscheider gilt daher: Nicht nur kurzfristige Kosten bewerten, sondern auch Lock-in-Risiken, regulatorische Anforderungen und langfristige Exit-Kosten berücksichtigen.
Der C3A-Kriterienkatalog des BSI macht deutlich, dass Cloud-Souveränität weit über klassische Sicherheitsanforderungen hinausgeht. Er beschreibt ein ganzheitliches Zielbild, in dem rechtliche, technische, operative und strategische Kontrolle zusammenwirken müssen, um echte digitale Selbstbestimmung zu erreichen.
Für Cloud Service Provider bedeutet dies einen Paradigmenwechsel: Weg von global optimierten Standardplattformen hin zu regional differenzierten, transparenten und kontrollierbaren Angeboten. Für Kunden wird Souveränität zu einem zentralen Auswahlkriterium, das aktiv eingefordert und bewertet werden muss.
Besonders im Umgang mit internationalen Hyperscalern zeigt sich: Die Erfüllung hoher Souveränitätsanforderungen ist häufig nur eingeschränkt möglich oder erfordert komplexe Zusatzmaßnahmen. Organisationen stehen daher vor der strategischen Entscheidung, Abhängigkeiten bewusst zu akzeptieren oder gezielt in souveränere Alternativen zu investieren.
Damit wird Cloud-Souveränität zu einem wesentlichen Baustein digitaler Resilienz – und zu einem entscheidenden Wettbewerbsfaktor in einer zunehmend geopolitisch geprägten IT-Landschaft.
Gerade erst – Ende April 2026 – vorgestellt, entfaltet der C3A-Kriterienkatalog keine unmittelbare regulatorische Wirkung. Als sehr konkreter Maßstab erlaubt er die gezielte Bewertung der Cloud-Strategie von Behörden und Unternehmen und der zu ergreifenden Maßnahmen. Cloud Service Provider in der EU werden sich anhand dieser Kriterien wettbewerblich auszurichten wissen, während internationale Hyperscaler Marktzugangserschwernisse beklagen werden.
Die Umsetzung einer souveränen Cloud erfordert eine enge Verzahnung von Architektur, Governance und IAM.
IPG unterstützt dabei mit:
Ziel ist eine Architektur, die nicht nur compliant ist, sondern langfristig kontrollierbar, resilient und souverän bleibt.
Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.
