Wie das BSI‑Kriterium C3A die Cloud‑Souveränität für deutsche Unternehmen neu definiert

Warum C3A zur Pflichtlektüre für Cloud-Architekten wird

Wenn Ihre Cloud-Architektur nur auf Verfügbarkeit, Kosten und klassische Sicherheitskontrollen optimiert ist, bleibt ein Risiko oft unsichtbar: die strukturelle Abhängigkeit vom Anbieter. Das BSI beschreibt diese Lage mit dem Begriff Cyber Dominance. Gemeint ist die Möglichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten. [1]

Genau hier verschiebt C3A die Perspektive. Der Kriterienkatalog „Criteria enabling Cloud Computing Autonomy“ soll Cloud-Dienste nach ihrer Souveränität bewertbar machen und digitale Souveränität damit nicht nur als politisches Schlagwort, sondern als prüfbaren Auswahlfaktor behandeln. Das BSI will damit Transparenz schaffen und Cloud-Kunden in die Lage versetzen, Angebote nach dem jeweiligen Anwendungszweck zu wählen. [2]

Für Cloud-Architekten ist das mehr als ein neuer Begriff im Kriterienkatalog. Wer heute Plattformen, Betriebsmodelle und Provider-Strategien entwirft, muss nicht nur die Frage beantworten, ob ein Dienst sicher ist. Entscheidend wird auch, ob ein Unternehmen ihn im eigenen Risikokontext selbstbestimmt nutzen kann. Das BSI begründet den Bedarf an objektiven, überprüfbaren Kriterien ausdrücklich mit dem Modell der geteilten Verantwortung: Weil Verantwortung zwischen Anbieter und Kunde verteilt ist, reichen pauschale Sicherheitsaussagen für eine belastbare Entscheidung nicht aus. [2]

Für die Praxis heißt das: C3A zwingt Architekten, Abhängigkeiten sauberer zu modellieren. Dazu gehören nicht nur technische Integrationen, sondern auch die Frage, wie stark ein Anbieter die spätere Handlungsfreiheit des Kunden prägt. Wenn ein Cloud-Design zwar performant ist, aber im Ernstfall keine selbstbestimmte Nutzung mehr zulässt, bleibt es aus Souveränitätssicht unvollständig. Wer solche Abwägungen systematisch einordnen will, sollte auch den Softwareauswahl-Prozess sauber aufsetzen, damit technische und organisatorische Kriterien nicht vermischt werden.

Wer Cloud-Strategien für regulierte Umgebungen verantwortet, sollte C3A deshalb nicht als Zusatzdokument ablegen. Der Katalog markiert den Punkt, an dem technische Architektur, Lieferantenbewertung und digitale Selbstbestimmtheit zusammenlaufen. Für deutsche Unternehmen mit hohen Sicherheits- und Datenschutzanforderungen verändert genau das die Reihenfolge der Fragen: zuerst die Abhängigkeit, dann die Kontrolle, dann die Funktionalität.

Wie C3A den bestehenden C5‑Standard ergänzt

C5 und C3A zielen auf unterschiedliche Fragen. C5 bewertet die Informationssicherheit eines Cloud-Dienstes. C3A prüft, ob dieser Dienst im jeweiligen Risikokontext selbstbestimmt nutzbar bleibt. Genau diese Trennung ist für die Providerbewertung relevant, denn ein Dienst kann sicher betrieben werden und trotzdem starke Abhängigkeiten erzeugen. Das BSI beschreibt C3A deshalb als ergänzenden Kriterienkatalog, der die digitale Autonomie transparenter macht. [3]

Sicherheitsabdeckung durch C5

Der C5-Katalog deckt die klassischen Sicherheitsbausteine ab, die IT-Entscheider in jeder Prüfung erwarten: Verschlüsselung, Logging und Incident Management. Damit liefert C5 eine belastbare Basis für Sicherheitsanforderungen in der Cloud. Was C5 nach der im Dossier beschriebenen Abgrenzung jedoch nicht beantwortet, ist die Frage, wer den Dienst im Ernstfall tatsächlich kontrolliert. Genau an dieser Stelle bleibt für Souveränitätsentscheidungen eine Lücke. [3]

Für die Praxis heißt das: Ein C5-Nachweis kann ein Anbieterprofil im Sicherheitsgespräch stärken, ersetzt aber keine Aussage über Abhängigkeiten, Abkoppelbarkeit oder Einflussmöglichkeiten des Kunden. Wer diese beiden Ebenen vermischt, bewertet Sicherheit und Autonomie mit demselben Maßstab. Das führt in regulierten Umgebungen schnell zu Fehlentscheidungen. Auch deshalb lohnt sich der Blick auf Themen wie eine eigene IT-Architektur, wenn Unternehmen kritische Abhängigkeiten bewusst begrenzen wollen. Warum eigene IT-Architekturen strategisch relevant sind

Souveränitätslücken, die C3A schließt

C3A ergänzt C5 um Kriterien zur Autonomie von Cloud-Diensten. Das BSI will damit Transparenz schaffen, damit Unternehmen Angebote anhand ihres Anwendungszwecks auswählen können. Im Fokus stehen dabei nicht nur technische Eigenschaften, sondern auch die Frage, ob ein Dienst kontrollierbar bleibt, ob der Anbieterbetrieb verlässlich eingegrenzt werden kann und wie sich eine spätere Abkoppelung realistisch umsetzen lässt. [4]

Damit verschiebt sich die Bewertungstiefe. Ein Dienst kann sicher sein und trotzdem in einer Form betrieben werden, die dem Kunden wenig Handlungsspielraum lässt. C3A macht genau diese Differenz sichtbar. Für Cloud-Architekten ist das der Punkt, an dem Vendor Lock-in nicht mehr nur als Vertragsproblem erscheint, sondern als prüfbares Souveränitätsrisiko. [4]

Praktisches Beispiel: geteilte Verantwortung als Engstelle

Das Modell der geteilten Verantwortung ist der Kern des Problems. Das BSI beschreibt, dass Verantwortung zwischen Cloud-Anbieter und Cloud-Kunde geteilt wird und diese Aufteilung den Umfang der Entscheidungen des Kunden einschränkt. Für die Souveränität zählt deshalb nicht nur, welche Schutzmechanismen existieren, sondern auch, wie viel Einfluss der Kunde auf Betrieb und Nutzung tatsächlich behält. [2]

Ein praktisches Beispiel ist der Providerzugriff auf Systeme und Daten. Solange ein Anbieter technische oder organisatorische Kontrollpunkte behält, bleibt die Selbstbestimmung des Kunden begrenzt. C3A setzt hier an, indem es solche Abhängigkeiten sichtbar macht und damit die Frage nach Abkoppelbarkeit in die Bewertung holt. Für Unternehmen heißt das: Nicht jeder sichere Cloud-Dienst ist automatisch souverän nutzbar. [2]

Der technische Kern: Was C3A konkret prüfbar macht

C3A zielt nicht auf ein weiteres allgemeines Sicherheitslabel. Der Kriterienkatalog schärft laut den im Dossier genannten Darstellungen unter anderem drei prüfbare Risikoachsen: Abhängigkeit von Nicht-EU-Jurisdiktion, fehlende Kontrolle über Betrieb und Personal sowie mangelnde Abkoppelungsfähigkeit. Diese Einordnung sollte als Arbeitsannahme verstanden werden, nicht als vollständige Taxonomie. [3]

Prüffeld 1: Jurisdiktionsrisiken

Die erste Achse betrifft die Abhängigkeit von nicht-europäischen Rechtssystemen. Genau dort verortet das BSI ein zentrales Souveränitätsrisiko. Für die Bewertung reicht deshalb nicht die Frage, wo der Cloud-Anbieter sitzt. Entscheidend ist, unter welchem Rechtsrahmen Datenzugriffe, Herausgabepflichten und vertragliche Eingriffsmöglichkeiten im Ernstfall stehen. [3]

Für deutsche Unternehmen entsteht daraus ein praktischer Prüfpunkt: Kann ein Dienst auch dann noch selbstbestimmt genutzt werden, wenn der Anbieter außerhalb der EU reguliert wird? Dieses Szenario ist vor allem dort relevant, wo sensible Daten, langlaufende Workloads oder hohe Compliance-Anforderungen zusammenkommen. C3A macht genau diese Abhängigkeit als Risikofaktor sichtbar. [3]

Prüffeld 2: Kontrollierbare Betriebs- und Personalstrukturen

Die zweite Achse betrifft die Kontrolle über Betrieb und Personal. Das BSI beschreibt hier die Möglichkeit, dass Anbieter Einfluss auf Systeme und Daten behalten. Für Architekturteams heißt das: Nicht nur technische Admin-Zugriffe zählen, sondern auch organisatorische Zugriffswege, Rollenmodelle und die Frage, wer im operativen Alltag tatsächlich Entscheidungen trifft. [3]

Wenn ein Provider Betriebsprozesse stark zentralisiert oder Personalzugriffe nur eingeschränkt transparent macht, sinkt die überprüfbare Selbstbestimmung des Kunden. C3A verschiebt den Fokus deshalb auf Nachweisbarkeit: Welche Eingriffe sind möglich, wer kann sie auslösen, und wie klar lässt sich diese Kette im Audit nachvollziehen? Genau an dieser Stelle wird Souveränität zur Architekturfrage und nicht nur zur Vertragsfrage. [3]

Prüffeld 3: Abkoppelbarkeit und Exit‑Fähigkeit

Die dritte Achse ist die Abkoppelbarkeit. Das BSI nennt mangelnde Abkoppelungsfähigkeit explizit als Risiko. Für IT-Verantwortliche ist das der härteste Test, weil er die reale Exit-Fähigkeit eines Dienstes misst. Ein Cloud-Angebot kann im Betrieb stabil wirken und trotzdem problematisch werden, wenn Daten, Betriebslogik oder Schnittstellen so eng gebunden sind, dass ein Wechsel nur mit hohem Aufwand möglich ist.

Operationalisieren lässt sich das über konkrete Fragen: Wie schnell lassen sich Workloads migrieren? Welche Abhängigkeiten entstehen durch proprietäre Steuerungsmechanismen? Und wie vollständig bleiben Daten, Metadaten und Konfigurationen exportierbar? C3A macht diese Fragen prüfbar, weil der Katalog nicht nur auf Nutzung, sondern auf spätere Unabhängigkeit schaut. Das ist für strategische Cloud-Planung ein harter, aber notwendiger Realitätscheck.

Nach den technischen Prüfobjekten folgt die Frage, wie C3A die strategische Planung in Unternehmen verändert.

C3A in der Praxis: Auswirkungen auf Cloud‑Strategien deutscher Unternehmen

Wenn Sie Cloud heute nur über Kosten, Performance und C5 bewerten, bleibt ein Teil des Risikos unsichtbar. Genau dort setzt C3A an. Das BSI beschreibt den Kriterienkatalog als Orientierung für risikobasierte Entscheidungen und als Werkzeug, um Cloud-Dienste nach anwendungsbezogenen Kriterien auszuwählen. [4] Für die Praxis heißt das: C3A wird kein Ersatz für bestehende Governance, sondern ein zusätzlicher Layer, der Souveränität neben Sicherheit und Betriebsanforderungen prüfbar macht.

Governance-Anpassung: Souveränitätsmetriken als Pflichtfeld

In bestehenden Cloud-Governance-Modellen ergänzt C3A die Sicherheitsprüfung um Souveränitätsmetriken. Das BSI will damit Transparenz schaffen und Organisationen in die Lage versetzen, Angebote anhand des jeweiligen Anwendungszwecks zu bewerten. [4] Für IT-Leiter heißt das: In das Freigabe-Set gehört künftig nicht nur die Frage, ob ein Dienst C5-konform betrieben werden kann, sondern auch, wie stark er die Selbstbestimmung des Unternehmens einschränkt. Praktisch lässt sich das als Pflichtfeld in Architektur-Reviews, Risiko-Assessments und Vendor-Boards verankern.

Wer so arbeitet, trennt Betriebsfreigabe und Souveränitätsfreigabe. Das reduziert Scheinsicherheit, weil ein Dienst nicht allein wegen eines guten Security-Befunds durchgewinkt wird. Für Governance-Teams ist das der sauberste Weg, C3A in bestehende Entscheidungsprozesse einzubauen, ohne neue Parallelstrukturen aufzubauen. [4]

Multi‑Cloud: wie C3A Entscheidungsarchitektur verändert

In Multi-Cloud-Setups verschiebt C3A den Fokus von Provider-Vielfalt auf tatsächliche Handlungsoptionen. Wenn zwei Cloud-Dienste dieselbe Sicherheitsklasse liefern, kann C3A trotzdem zeigen, welcher Anbieter im Ernstfall besser abkoppelbar bleibt oder weniger Abhängigkeiten erzeugt. Genau deshalb gehört der Kriterienkatalog in die Providerbewertung vor der zweiten oder dritten Plattform, nicht erst in die Exit-Planung.

Für die Architekturpraxis bedeutet das: Multi-Cloud wird nur dann belastbar, wenn Sie pro Plattform dieselben Souveränitätsfragen stellen. Dazu zählen unter anderem Kontrollierbarkeit, Jurisdiktion und Abkoppelbarkeit. So entsteht eine Entscheidungsarchitektur, die nicht bloß Redundanz verteilt, sondern Risiken bewusst auseinanderzieht. Das ist besonders relevant, wenn Workloads später zwischen Umgebungen verschoben werden sollen oder wenn ein Anbieterwechsel politisch oder regulatorisch wahrscheinlicher wird.

Regulierte Branchen und C3A

Regulierte Branchen ziehen aus C3A den größten unmittelbaren Nutzen. Das liegt daran, dass der C5-Katalog bereits in Teilen gesetzlich verankert ist, etwa im Sozialgesetzbuch für die Gesundheits-IT, während C3A ergänzend die digitale Autonomie bewertet. Für Unternehmen mit hohen Sicherheits- und Datenschutzanforderungen ist das entscheidend: Sie müssen nachweisen können, dass ein Cloud-Dienst nicht nur sicher betrieben wird, sondern auch im Risikokontext selbstbestimmt nutzbar bleibt.

Gerade in Branchen mit strikten Audit-Anforderungen wird C3A damit zu einem nützlichen Vorfilter für Ausschreibungen und Vertragsgespräche. Der Kriterienkatalog hilft, Sicherheitsnachweise und Souveränitätsanforderungen auseinanderzuhalten. Nach der betrieblichen Perspektive folgt nun die Frage, wie C3A die Anbieterbewertung verändert.

Wie C3A die Anbieterbewertung neu kalibriert

Wenn Ihre Provider-Auswahl bisher bei Verschlüsselung, Logging und Incident-Prozessen endete, fehlt ein Teil der Entscheidungslogik. Genau hier setzt C3A an. Das BSI beschreibt den Kriterienkatalog als Werkzeug, mit dem Organisationen Cloud-Dienste nach den für den jeweiligen Anwendungszweck relevanten Kriterien auswählen können. [5] Für Ausschreibungen heißt das: Souveränität wird zu einer eigenen Bewertungsachse, nicht zu einer Fußnote im Sicherheitsanhang.

Für Architektur- und Einkaufsteams verschiebt sich damit die Gewichtung. Ein Dienst kann C5-seitig sauber aufgestellt sein und trotzdem bei Selbstbestimmung, Abhängigkeiten oder Exit-Fähigkeit schwach abschneiden. C3A zwingt dazu, diese Ebene separat zu bewerten. Das reduziert die Gefahr, dass ein Anbieter allein wegen guter Security-Antworten in die engere Wahl kommt, obwohl er im Ernstfall den Handlungsspielraum des Kunden einschränkt.

Vergleichsmatrix: C5 vs. C3A in Ausschreibungen

C5 und C3A beantworten unterschiedliche Fragen. C5 prüft die Informationssicherheit eines Cloud-Dienstes. C3A prüft, ob der Dienst im jeweiligen Risikokontext selbstbestimmt nutzbar bleibt. In der Praxis sollten beide Kriterienblöcke nebeneinander stehen. C5 deckt damit vor allem Schutzmechanismen ab, C3A die Souveränitätsdimension. Wer beide vermischt, sieht nur die halbe Anbieterrealität.

Für die Bewertungsmatrix reicht oft schon eine einfache Trennung: Sicherheitskriterien, Souveränitätskriterien, Nachweise, Restrisiko. So erkennen Sie schneller, ob ein Provider technisch überzeugt, aber juristisch oder operativ zu eng bindet. Genau diese Trennung macht Ausschreibungen belastbarer und verhindert, dass sich Einkaufsentscheidungen hinter einem einzigen Compliance-Label verstecken.

Checkliste: Fragen an Provider im C3A‑Kontext

Die wichtigsten Fragen an Anbieter zielen auf Kontrolle und Abhängigkeit. Wer entscheidet im Störfall über Zugriffe? Unter welchem Rechtsrahmen werden Betriebs- und Kundendaten verarbeitet? Welche Möglichkeiten gibt es, Leistungen, Daten und Konfigurationen sauber zu exportieren? Und wie schnell lässt sich ein Dienst verlassen, ohne Kernprozesse zu gefährden?

Hilfreich ist auch die Frage, welche Teile des Betriebs der Kunde tatsächlich beeinflussen kann und welche ausschließlich beim Anbieter liegen. Damit prüfen Sie nicht nur Verträge, sondern die reale Steuerbarkeit im Alltag. Für Governance-Teams ergibt sich daraus eine klare Arbeitsregel: C3A-Fragen gehören in jedes Provider-Gespräch, bevor Preis und Funktionsumfang die Bewertung dominieren. Wer an dieser Stelle sauber arbeitet, spart später Diskussionen über Lock-in, Audit-Risiken und Exit-Kosten.

Zum Abschluss folgt eine Synthese mit konkreten Schritten für IT-Verantwortliche.

Was IT‑Verantwortliche jetzt konkret tun sollten

Wenn Ihre Cloud-Strategie bisher nur auf Sicherheit, Verfügbarkeit und Kosten optimiert war, fehlt noch eine entscheidende Prüfspur. C3A setzt genau dort an. Das BSI beschreibt den Kriterienkatalog als Handlungsrahmen, der Cloud-Dienste im jeweiligen Risikokontext nach Souveränitätseigenschaften bewertbar macht. [6] Für IT-Verantwortliche heißt das nicht, bestehende Governance über Bord zu werfen. Es heißt, die eigene Bewertungslogik zu erweitern: Sicherheit bleibt Pflicht, Souveränität wird zur separaten Entscheidungsebene.

Der pragmatische Startpunkt ist kein Großprojekt. Prüfen Sie zuerst, wo in Ihrem Portfolio heute ein impliziter Lock-in entsteht. Das kann beim Betriebsmodell liegen, bei der Vertragsstruktur, bei der Jurisdiktion oder bei der fehlenden Exit-Fähigkeit. Genau an diesen Stellen liefert C3A den Mehrwert, weil der Kriterienkatalog Transparenz schafft und die Auswahl von Cloud-Diensten nach dem jeweiligen Anwendungszweck unterstützt. [6]

Die ersten drei Schritte für Ihre Cloud-Strategie

Beginnen Sie mit einer Bestandsaufnahme der kritischen Workloads. Nicht jede Anwendung braucht dasselbe Souveränitätsniveau. Ein internes Entwicklungs-Tool hat andere Anforderungen als eine Plattform mit sensiblen Geschäfts- oder Personaldaten. Ordnen Sie deshalb Ihre Dienste nach Risikoklasse und prüfen Sie anschließend, welche davon ein zusätzliches C3A-Assessment benötigen. So vermeiden Sie, dass Sie Souveränität dort übersteuern, wo sie fachlich wenig bringt, und dort unterschätzen, wo ein Anbieterwechsel teuer würde.

Der zweite Schritt betrifft die Governance. Verankern Sie C3A als Pflichtfrage in Architektur-Reviews, Freigaben und Provider-Vergleichen. Das verhindert, dass Sicherheitsbewertung und Souveränitätsbewertung in getrennten Silos laufen. Wenn Sie ohnehin mit standardisierten Prüfblöcken arbeiten, kann C3A als zusätzliche Prüfsicht neben C5 und den internen Sicherheitsanforderungen laufen. Genau so wird aus dem Katalog ein belastbares Steuerungsinstrument statt eines reinen Papiernachweises.

Im dritten Schritt sollten Sie die Einkaufs- und Vertragsseite einbinden. Die beste technische Bewertung nützt wenig, wenn später unklare Rechte an Datenexport, Betriebszugriff oder Änderungsfreigaben die Ausstiegsszenarien blockieren. Wer C3A früh in Ausschreibungen integriert, senkt das Risiko, erst nach Vertragsabschluss auf strukturelle Abhängigkeiten zu stoßen.

Worauf Sie in der Praxis sofort achten sollten

Wenn Sie mit Fachbereichen, Einkauf und Security sprechen, helfen drei Fragen besonders gut: Wer kontrolliert den Dienst im Ernstfall? Wie leicht lässt sich der Anbieter wechseln? Und welche rechtlichen oder technischen Bindungen beschneiden Ihre Handlungsfreiheit? Diese Fragen sind einfach, aber sie treffen den Kern. C3A wurde genau dafür geschaffen, Cloud-Souveränität objektiver und überprüfbarer zu machen. [6]

Für regulierte Unternehmen ist das mehr als ein Compliance-Thema. Es geht um belastbare Entscheidungsfähigkeit im Betrieb. Wenn Sie heute in die nächste Ausschreibung gehen, sollte C3A neben Sicherheitsanforderungen, Datenschutz und Architekturvorgaben in den Kriterienkatalog aufgenommen werden. Wer diese Prüfung jetzt systematisch aufsetzt, reduziert spätere Reibungsverluste in Audit, Einkauf und Betrieb.

Dies stellt keine Rechtsberatung dar. Wenn Sie diesen Schritt sauber vorbereiten wollen, nutzen Sie eine C3A-Checkliste als Grundlage für Ihre nächste Providerbewertung. Sie bildet die Brücke zwischen strategischem Anspruch und operativer Prüfung. Damit schließen Sie die Bewertung nicht nach Bauchgefühl ab, sondern auf Basis eines klaren Souveränitätsrahmens. Das ist der Punkt, an dem C3A in Ihrer Cloud-Strategie praktisch wirksam wird.