Glossar · Digitale Souveränität

BSI C5, C3A und ES3 einfach erklärt

Drei Kürzel, die ständig verwechselt werden, und doch Verschiedenes bedeuten. Der C5 steht für Sicherheit, der C3A für Souveränität, ES3 für die technische Grundlage. Diese Seite erklärt jeden Begriff verständlich, grenzt sie klar voneinander ab und zeigt, was sie für die Wahl einer souveränen Cloud konkret bedeuten.

C5
regelt die Informationssicherheit, ist eine Cloud sicher
BSI
C3A
regelt die Souveränität, wer kontrolliert die Cloud, seit 27. April 2026
BSI 2026
ES3
macht Souveränität über offene Bausteine technisch messbar
European Sovereign Stack
C5 zuerst
der C3A setzt die Erfüllung des C5 zwingend voraus
BSI 2026
Sicherheit Souveränität 6 Domänen 4 Stufen
Warum die Verwirrung

Sicher ist nicht dasselbe wie souverän

Die Begriffe klingen ähnlich und tauchen in denselben Anbieterfolien auf. Doch sie beantworten verschiedene Fragen. Wer sie verwechselt, hält eine sichere Cloud für eine souveräne, und das kann in der Vergabe teuer werden.

Woran die Verwechslung liegt

  • Ähnliche Kürzel. C5 und C3A stammen vom selben Amt und klingen fast gleich.
  • Label statt Nachweis. Souveräne Cloud wird als Werbebegriff genutzt, ohne dass klar ist, was gemeint ist.
  • Sicherheit gilt als Beweis. Eine C5-Testierung wird fälschlich als Souveränitätsnachweis gelesen.
  • Standort als Argument. Ein deutsches Rechenzentrum wird mit Souveränität gleichgesetzt.

Was die Begriffe wirklich trennen

  • C5 fragt nach Sicherheit. Ist die Cloud technisch sicher betrieben.
  • C3A fragt nach Kontrolle. Wer kann den Dienst im Ernstfall wirklich steuern.
  • ES3 fragt nach Bausteinen. Mit welchen offenen Komponenten wird Souveränität herstellbar.
  • Nachweise entscheiden. Erst Belege wie ein Disconnect-Test machen Souveränität prüfbar.

Anbieterneutral, ohne Provision. Diese Erklärung beruht auf den BSI-Kriterienkatalogen und öffentlicher Forschung, nicht auf den Aussagen einzelner Anbieter.

Mehr zur Neutralität
Das Glossar

Drei Begriffe, klar definiert

Jeder Begriff kurz erklärt, mit dem, was er regelt, für wen er zählt und einem konkreten Beispiel. So wird aus einem Kürzel eine greifbare Bedeutung.

BSI C5 Cloud Computing Compliance Criteria Catalogue

Der C5 legt fest, ob eine Cloud sicher betrieben wird. Er ist der etablierte Referenzrahmen für Informationssicherheit in der Cloud und in Teilen gesetzlich verankert.

Regelt
Informationssicherheit. Verschlüsselung, Zugriffskontrolle, Protokollierung, Incident Management.
Für wen
Alle, die eine sichere Cloud nachweisen müssen. Teils Pflicht, etwa in der Gesundheits-IT.
Kernfrage
Ist dieser Cloud-Dienst technisch sicher aufgestellt und betrieben.
BSI C3A Criteria enabling Cloud Computing Autonomy

Der C3A legt fest, ob eine Cloud souverän ist, also wer sie im Ernstfall kontrolliert. Veröffentlicht am 27. April 2026, ergänzt er den C5 und setzt ihn voraus.

Regelt
Souveränität in sechs Domänen. Von der Jurisdiktion über den Betrieb bis zur Lieferkette.
Für wen
Behörden, KRITIS, regulierte Branchen. Orientierungsrahmen, kann verpflichtend werden.
Kernfrage
Wer kann diesen Dienst im Ernstfall wirklich kontrollieren und abkoppeln.
ES3 European Sovereign Stack

ES3 macht Souveränität technisch messbar, indem es offene, interoperable Cloud-Bausteine definiert. Es liefert die Grundlage, auf der souveräne Angebote strukturell aufbauen.

Regelt
Technische Bausteine. Offene Standards, Interoperabilität, nachvollziehbare Souveränität.
Für wen
Architektur- und Plattformentscheidungen, die auf offene Unabhängigkeit setzen.
Kernfrage
Mit welchen offenen Bausteinen lässt sich Souveränität herstellen.
Die Abgrenzung

C5, C3A und ES3 im direkten Vergleich

Die Übersicht macht auf einen Blick klar, welcher Rahmen welche Frage beantwortet und wie sie aufeinander aufbauen.

Merkmal BSI C5 BSI C3A ES3
Fokus Sicherheit Souveränität Technik
Kernfrage Ist die Cloud sicher Wer kontrolliert sie Welche offenen Bausteine tragen sie
Baut auf eigenständige Basis setzt C5 voraus offene Standards
Verbindlichkeit teils gesetzlich Orientierung, kann verpflichtend werden Standard im Aufbau
Prüft vor allem Verschlüsselung, Zugriff, Logging Jurisdiktion, Betrieb, Abkoppelbarkeit Interoperabilität, Offenheit
Die Souveränitätsstufen

Vier Stufen von Basisschutz bis vollständiger Souveränität

Der C3A beschreibt Souveränität nicht als Alles oder Nichts, sondern in Stufen. Das hilft, das nötige Niveau zum jeweiligen Schutzbedarf zu wählen.

Stufe 1

Basisschutz

Grundlegende Anforderungen an Standort und Datenschutz sind erfüllt, es bestehen aber noch deutliche Abhängigkeiten.

Stufe 2

Erweiterte Kontrolle

Datenkontrolle und organisatorische Anforderungen sind stärker ausgeprägt, zentrale Abhängigkeiten bleiben bestehen.

Stufe 3

Operative Souveränität

Der Betrieb liegt in EU-Hand und der Dienst lässt sich von Verbindungen außerhalb der EU abkoppeln.

Stufe 4

Vollständige Souveränität

Zusätzlich transparente Lieferkette, ersetzbare Komponenten und eine Open-Source-Basis. Offene Stacks erfüllen dies strukturell.

Vertiefung

Weiterlesen zu den Standards

Diese Analysen aus unserem Magazin vertiefen die einzelnen Kataloge und ihre praktische Anwendung.

Standards · C5, C3A und ES3

Die Kataloge in der Praxis

Von der aktualisierten C5-Fassung über die C3A-Strategie bis zum European Sovereign Stack. Diese Beiträge zeigen, wie sich die Kriterien im Alltag anwenden lassen und worauf es bei der Bewertung ankommt.

Für die Auswahl

Vom Katalog zum Kriterium

Die Standards entfalten ihren Wert erst, wenn sie in prüfbare Anforderungen übersetzt werden. Statt zu fragen, ob ein Anbieter souverän ist, fragt man, welches Niveau er in welcher Domäne belegt, und lässt es sich nachweisen.

So wird aus einem Marketingbegriff eine Entscheidung mit Belegen. Der Souveränitäts-Leitfaden zeigt den vollständigen Weg von der Standortbestimmung bis zur Anbieterwahl.

C5 als Eintrittskarte

Ohne C5-Testierung fehlt die Sicherheitsgrundlage. Souveränität wird erst danach zum Thema.

C3A-Domänen als Checkliste

Die sechs Domänen lassen sich direkt in Vergabekriterien überführen, von der Jurisdiktion bis zur Lieferkette.

Disconnect-Test verlangen

Der Nachweis, dass ein Dienst ohne Verbindungen außerhalb der EU weiterläuft, trennt Label von Substanz.

Das Vorgehen

Fünf Schritte von den Standards zur Entscheidung

So werden aus den Kriterienkatalogen prüfbare Anforderungen, an denen sich jeder Anbieter messen lässt.

1

Schutzbedarf bestimmen

Klären, wie sensibel die Daten sind, denn davon hängt das nötige Niveau ab.

2

C5 als Grundlage

Eine C5-Testierung als Basisnachweis für Sicherheit voraussetzen.

3

C3A-Domänen nutzen

Die sechs Domänen in konkrete, prüfbare Vergabekriterien übersetzen.

4

Nachweise einfordern

Disconnect-Test, Jurisdiktions- und Lieferkettennachweis statt Labels verlangen.

5

Portabilität prüfen

Interoperabilität und Ausstiegsfähigkeit bewerten, um Lock-in zu vermeiden.

FAQ

Häufige Fragen zu C5, C3A und ES3

Kompakte, eigenständige Antworten zu Bedeutung, Abgrenzung und Anwendung der drei Rahmenwerke.

Was ist der BSI C5?

Der C5, kurz für Cloud Computing Compliance Criteria Catalogue, ist ein Kriterienkatalog des BSI, der Mindestanforderungen an die Informationssicherheit von Cloud-Diensten festlegt. Dazu zählen Verschlüsselung, Zugriffskontrolle, Protokollierung und Incident Management. Der C5 ist seit Jahren der Referenzrahmen für sichere Cloud in Deutschland und in Teilen gesetzlich verankert, etwa für die Gesundheits-IT im Sozialgesetzbuch. Er beantwortet die Frage, ob eine Cloud sicher betrieben wird.

Was ist der BSI C3A?

Der C3A, kurz für Criteria enabling Cloud Computing Autonomy, ist ein Kriterienkatalog des BSI, der am 27. April 2026 veröffentlicht wurde. Er ergänzt den C5 um die Frage der digitalen Souveränität, also wer einen Cloud-Dienst im Ernstfall tatsächlich kontrolliert. Der C3A gliedert Souveränität in sechs Domänen und setzt die Erfüllung des C5 voraus. Damit wird Cloud-Souveränität erstmals objektiv und überprüfbar.

Was ist ES3, der European Sovereign Stack?

ES3 steht für einen europäischen Souveränitätsstandard, der Souveränität technisch messbar machen soll. Er zielt darauf, offene, interoperable und nachvollziehbar souveräne Cloud-Bausteine zu definieren, häufig auf Basis offener Standards. Während der C5 die Sicherheit und der C3A die Souveränität eines konkreten Angebots bewertet, liefert ES3 eher die technische Grundlage, auf der souveräne Bausteine aufbauen können.

Wie hängen C5, C3A und ES3 zusammen?

Die drei bauen aufeinander auf. Der C5 ist die Basis und regelt die Sicherheit. Der C3A setzt den C5 voraus und ergänzt die Souveränität. ES3 liefert die technische Grundlage für souveräne, offene Bausteine, die diese Anforderungen strukturell erfüllen können. Vereinfacht gesagt, der C5 fragt, ob eine Cloud sicher ist, der C3A, ob sie souverän ist, und ES3, mit welchen offenen Bausteinen sich Souveränität technisch herstellen lässt.

Ist der C3A verpflichtend?

Der C3A ist an sich nicht verbindlich, sondern ein Orientierungsrahmen. Er kann jedoch in Gesetzen oder Ausschreibungen zur Mindestanforderung erklärt werden und gilt als möglicher Referenzrahmen für die Bundesverwaltung. Über EU-Vorhaben und Sicherheitsgesetze könnten Souveränitätskriterien zusätzlich an Verbindlichkeit gewinnen. In der Praxis wird der C3A daher voraussichtlich schnell zum Maßstab bei Vergabe und Risikobewertung, auch ohne formale Pflicht.

Was sind die sechs Domänen des C3A?

Der C3A gliedert Souveränität in sechs Domänen, oft als SOV-1 bis SOV-6 bezeichnet. Sie betreffen unter anderem die Jurisdiktion, die Datenkontrolle, den operativen Betrieb mit administrativem Zugriff durch Personen in der EU, die Abkoppelbarkeit von Verbindungen außerhalb der EU, die Transparenz der Lieferkette über eine Software Bill of Materials sowie die technologische Unabhängigkeit einschließlich Zugriff auf den Quellcode. Besonders die Abkoppelbarkeit und die Betriebskontrolle sind für viele globale Anbieter schwer zu erfüllen.

Was sind die vier Souveränitätsstufen?

Der C3A beschreibt abgestufte Niveaus von Souveränität. Auf den unteren Stufen sind grundlegende Anforderungen an Standort und Datenschutz erfüllt, aber es bestehen weiterhin Abhängigkeiten, etwa bei Sicherheitsupdates. Auf der höchsten Stufe kommt vollständige digitale Souveränität hinzu, mit transparenter Lieferkette, dokumentierter Ersetzbarkeit aller Komponenten und einer Open-Source-Basis. Plattformen auf offenen Stacks erfüllen diese oberste Stufe eher strukturell als proprietäre Angebote.

Reicht ein Serverstandort in Deutschland für Souveränität aus?

Nein, der physische Standort allein genügt nicht. Entscheidend ist zusätzlich, welcher Jurisdiktion der Anbieter unterliegt, wer den Betrieb kontrolliert und ob der Dienst ohne Abhängigkeiten außerhalb der EU weiterlaufen kann. Ein US-Unternehmen kann auch bei einem Rechenzentrum in Deutschland dem US Cloud Act unterliegen. Genau deshalb betrachten C3A und ES3 die Kontrolle und Abkoppelbarkeit, nicht nur den Standort.

Gibt es Kritik an diesen Standards?

Ja. Der europäische Cloud-Verband CISPE und einige Anbieter kritisieren, dass der C3A Schlupflöcher enthalte, etwa bei den Anforderungen an Subunternehmer, und dass verbindliche Vorgaben zu Interoperabilität und Portabilität fehlten. Dadurch könne der Rahmen bestehende Abhängigkeiten festigen. Das BSI hält dem entgegen, Souveränität bedeute nicht Abschottung, sondern beherrschbare Abhängigkeit. Anwender sollten daher neben der Konformität besonders auf Portabilität achten.

Was bedeuten die Standards für die Softwareauswahl?

Sie liefern die Kriterien, an denen sich Cloud-Anbieter in einer Auswahl messen lassen. Sinnvoll ist, den Schutzbedarf zu bestimmen, eine C5-Testierung als Grundlage zu verlangen und die sechs C3A-Domänen in prüfbare Anforderungen zu übersetzen. Statt sich auf das Label souveräne Cloud zu verlassen, werden konkrete Nachweise eingefordert. So werden die Standards zum praktischen Werkzeug einer anbieterneutralen, nachvollziehbaren Entscheidung.

Machen Sie Souveränität prüfbar

Übersetzen Sie die Standards in konkrete Kriterien und wählen Sie den Anbieter, der sie belegt. Anbieterneutral und auf Basis realer Projekte.