Mehr Souveränität für die Cloud: Die C3A-Kriterien als neuer Standard
Ein neuer Orientierungsrahmen für Finanzunternehmen zur Bewertung ihrer Cloud Services
Keyfacts:
- Mit einem Katalog von Kriterien hat das Bundesamt für Sicherheit in der Informationstechnik jetzt einen neuen Standard für souveräne Cloud-Dienste veröffentlicht.
- Der C3A-Standard schärft das primär zu Beschaffungszwecken von EU-Institutionen formulierte Cloud Sovereignty Framework der EU-Kommission und überführt es in einen konkreten Handlungsrahmen für Unternehmen auch aus der Finanzindustrie.
- Der C3A-Standard setzt auf dem bekannten C5 für Sicherheitsanforderungen auf und fügt Souveränitätsaspekte hinzu – die Zertifizierungen für Cloud-Dienste-Anbieter werden in den nächsten Monaten erwartet.
Es ist eine Chance für die Finanzindustrie, einen standardisierten Blick auf ihr Bemühen um digitale Souveränität zu werfen – und damit den eigenen Stand und Fortschritt einzuschätzen: Mit den neuen C3A‑Kriterien (Criteria enabling Cloud Computing Autonomy), die das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt veröffentlicht hat, gibt die Behörde Unternehmen einen neuen Orientierungsrahmen zur Souveränität ihrer Cloud-Dienste an die Hand.
Was sind die C3A-Kriterien (Criteria enabling Cloud Computing Autonomy)?
Die C3A legen offen, wie selbstbestimmt ein Cloud‑Dienst genutzt werden kann. Der C3A‑Standard setzt dabei die Erfüllung der bekannten C5‑Kriterien des BSI voraus. Diese sind ist ein etablierter und auditierbarer Sicherheitsmaßstab für Cloud‑Dienste. Der C5-Standard macht das Einhalten von Sicherheitsanforderungen nachweisbar.
Sicherheit bleibt also auch beim C3A die Grundlage, der neue Standard adressiert aber außerdem die Dimension der Souveränität.
Warum ist C3A für die digitale Souveränität so relevant?
Weil es heute nicht nur um die Frage geht, ob ein Cloud-Dienst auf Basis technischer Kriterien sicher ist, sondern auch um Kontrolle und Selbstbestimmung. Neben Cybercrime und staatlichen Angriffen wird auch die sogenannte Cyber Dominance (also eine Einflussnahme durch digitale Produkte, etwa dauerhafte Zugriffsmöglichkeiten durch Hersteller oder Anbieter) zum Risiko.
Organisationen brauchen daher Transparenz darüber, welche Souveränitätseigenschaften ein Cloud‑Angebot tatsächlich mitbringt. Genau dafür liefert der C3A-Katalog objektive, überprüfbare Kriterien – inklusive von Auswahlmöglichkeiten (also zum Beispiel ob der Serverstandort eines Dienstes in Deutschland oder der EU verortet ist, und das je nach Kritikalität und Risikoanalyse).
Technologische Abhängigkeiten bergen Risiken. Digitale Souveränität ist die Grundlage für Sicherheit, Resilienz und Wettbewerbsfähigkeit.
Jetzt mehr erfahren.Vom Cloud Souvereignty Framework der EU zu den C3A-Kriterien für digitale Souveränität
C3A orientiert sich am Cloud Sovereignty Framework der Europäischen Union. Dieses ist primär ein Vergabe‑ und Bewertungsinstrument für EU‑Institutionen und -Behörden und diente bisher nur als Orientierung für die private Wirtschaft. Das BSI übernimmt die Struktur und die Kategorien und die Zielsetzung des EU‑Rahmenwerks und übersetzt seine Kernziele in konkret prüfbare Kriterien für Unternehmen – und erweitert es um weitere Aspekte.
Gleichzeitig grenzt das BSI bewusst ab: SOV‑7 des EU-Frameworks (Security and Compliance Sovereignty) wird bereits über etablierte BSI‑Standards wie den C5 (aktuell noch in Version C5:2020, bald dann auch in zertifizierter Form als C5:2026) und dem IT‑Grundschutz adressiert, während SOV‑8 des EU-Rahmenwerks (Environmental Sustainability) außerhalb des BSI‑Auftrags liegt.
Damit überführt C3A das EU‑Rahmenwerk gezielt dort in eine Handlungsanleitung, wo es um Autonomie und Selbstbestimmung in der Cloud geht, ohne Sicherheitsanforderungen zu duplizieren.
Wie sollten Banken, Versicherungen und andere Finanzunternehmen mit C3A umgehen?
Finanzdienstleister sollten C3A nutzen, um ihre Souveränitätsanforderungen in Beschaffungsvorgängen, in ihrer Architektur und in Verträgen zu verankern – jeweils klar orientiert am Anwendungsfall. Die meisten Anbieter erfüllen einen Großteil der Anforderungen bereits heute.
C3A-Zertifizierungen werden in den nächsten Monaten folgen. Als Beschaffungskriterium wird der C3A-Standard damit erst ab Ende 2026 oder im Frühjahr 2027 sinnvoll.
Dieser Text entstand unter Mitwirkung von Christian Wächter und Kübra Öztürk.
