C3A: Was die neuen BSI-Kriterien für CISOs bedeuten

Lange Zeit war „digitale Souveränität“ ein eher abstrakter Begriff in strategischen Papieren – ein Zielwert ohne klare Metrik. Doch mit der Veröffentlichung der Criteria enabling Cloud Computing Autonomy (C3A) durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ändert sich die Spielregel. Für CISOs und IT-Leiter bedeutet das: Souveränität rückt aus der philosophischen Ecke direkt in das operative Risikomanagement und die Compliance-Auditierung. Für Organisationen unter NIS-2-Regulierung bieten die C3A eine methodische Grundlage, um Abhängigkeiten in der Lieferkette systematisch zu identifizieren und zu bewerten.

Mit der Finalisierung der Criteria enabling Cloud Computing Autonomy (C3A) durch das BSI rückt die operative Unabhängigkeit von Cloud-Diensten in den Fokus des Risikomanagements.

Vom Vertrauensvorschuss zur technischen Validierung

C3A: Warum digitale Souveränität zur messbaren Metrik im Risikomanagement wird

Die bisherige Basis für Cloud-Sicherheit war der C5-Prüfstandard. Er liefert ein exzellentes Fundament für die Informationssicherheit, klammert jedoch die Frage der Abhängigkeiten und der rechtlichen Zugriffsmöglichkeiten weitgehend aus. Genau hier setzen die C3A an. Sie definieren Souveränität nicht als binären Zustand, sondern als ein Spektrum in sechs Dimensionen: von der strategischen Hoheit über die Datensouveränität bis hin zur operativen Autonomie.

Insbesondere im Kontext der NIS-2-Regulierung gewinnen die Kriterien an Bedeutung. Gemäß Artikel 21 NIS-2 sind Unternehmen verpflichtet, die Sicherheit ihrer Lieferketten zu gewährleisten. Wer Cloud-Dienste nutzt, muss nun nachweisen, wie er die Abhängigkeit von außereuropäischen Jurisdiktionen und die damit verbundenen Risiken (Stichwort: US Cloud Act) bewertet.

Die sechs Dimensionen der Cloud-Souveränität

Das BSI unterteilt Souveränität in:

Strategische Souveränität: Langfristige Handlungsfähigkeit und Vermeidung von Lock-in-Effekten.
Rechtliche Souveränität: Schutz vor unberechtigten Zugriffen aus Drittstaaten (z. B. US Cloud Act).
Datensouveränität: Kontrolle über den gesamten Lebenszyklus der Daten.
Operative Souveränität: Sicherstellung des Betriebs und der Administrationshoheit.
Lieferkettensouveränität: Transparenz über Sub-Dienstleister und Komponenten.
Technologische Souveränität: Verfügbarkeit von Alternativen und Interoperabilität.

Personalanforderungen nach SOV-4-01-C2

Ein Kriterium der operativen Dimension betrifft den Zugriff auf die Cloud-Infrastruktur. Die Anforderungsstufe SOV-4-01-C2 legt fest, dass sämtliche Mitarbeiter des Cloud-Dienstleisters, die über einen logischen oder physischen Zugang zu den Betriebsmitteln verfügen, zwingend die Staatsbürgerschaft eines EU-Mitgliedstaates besitzen und ihren Wohnsitz innerhalb der Bundesrepublik Deutschland haben müssen. Diese Regelung zielt auf eine maximale rechtliche Durchgriffsbarkeit und operative Kontrolle durch nationale Sicherheitsbehörden ab.

Das „Disconnect“-Kriterium und die jährliche Prüfpflicht

Das Kriterium SOV-4-09-C fordert, dass ein Cloud-Dienst auch dann integer und verfügbar bleibt, wenn die Verbindung zu außereuropäischen Instanzen unterbrochen wird. Unternehmen, die dieses Souveränitätsniveau beanspruchen, unterliegen einer jährlichen Prüfpflicht. Dabei muss technisch nachgewiesen werden, dass die lokale Instanz autonom arbeitsfähig bleibt. Dies ist insbesondere für KRITIS-Sektoren ein relevanter Faktor zur Erhöhung der Resilienz.

Regulatorische Einordnung: Handlungsrahmen statt Gesetz

Für die Risikobewertung ist entscheidend, welche rechtliche Verbindlichkeit gilt:

MST-NCD: Der Mindeststandard zur Nutzung externer Cloud-Dienste ist gemäß § 44 BSIG für die Bundesverwaltung verbindlich.
C3A: Für Unternehmen der Privatwirtschaft, einschließlich KRITIS und NIS-2-regulierte Einheiten, fungieren die C3A als nicht rechtsverbindlicher Orientierungsrahmen. Sie können jedoch als Anforderungskatalog in Ausschreibungen oder zur Erfüllung der Sorgfaltspflichten im Risikomanagement herangezogen werden.

Umsetzung durch EASM und VRM

Die technische Validierung dieser Kriterien erfolgt durch eine Kombination aus External Attack Surface Management (EASM) und Vendor Risk Management (VRM)

Asset-Geolokalisierung: EASM-Analysen detektieren Infrastruktur-Komponenten in Jurisdiktionen, die den Souveränitätszielen widersprechen (z. B. Schatten-IT in Drittstaaten).
Lieferketten-Monitoring: VRM-Workflows automatisieren die Abfrage der sechs C3A-Dimensionen bei Dienstleistern. Dies ermöglicht eine kontinuierliche Überwachung der Souveränitätsparameter über den gesamten Lebenszyklus der Geschäftsbeziehung hinweg.

Schutzmaßnahmen und Handlungsempfehlungen

Um die BSI-Kriterien und die Anforderungen der NIS2-Richtlinie zu erfüllen, sollten Unternehmen folgende Maßnahmen priorisieren:

Cloud-Anbieter systematisch nach den BSI-Kriterien für Souveränität bewerten und dokumentieren
Verträge mit Cloud-Dienstleistern so gestalten, dass Datenhoheit und Auditierbarkeit gewährleistet sind
Technische Maßnahmen wie Verschlüsselung und Zugriffskontrollen konsequent umsetzen
Asset-Inventarisierung und Datenflüsse kontinuierlich überwachen und dokumentieren
Regelmäßige Audits durchführen, um die Einhaltung der BSI-Kriterien und NIS2-Anforderungen nachzuweisen
Prozesse etablieren, um bei Anbieterwechsel die Kontrolle über Daten und Systeme sicherzustellen

C3A–Compliance bewerten und nachweisen

LocateRisk unterstützt Unternehmen dabei, die Souveränität ihrer Cloud-Dienste zu bewerten und regulatorische Nachweise effizient zu führen. Die Plattform ermöglicht es, Cloud-Anbieter und Lieferanten kontinuierlich zu überwachen und relevante Risiken frühzeitig zu erkennen. Über die Asset-Inventarisierung lassen sich Datenflüsse und Systemlandschaften transparent abbilden, was für Audits und Compliance-Prüfungen nach NIS2 erforderlich ist. Mehr zur Methodik unter Vendor Risk Management
Prüfen Sie, ob Ihre externen Assets und Lieferanten den aktuellen, technischen BSI- und NIS2-Anforderungen genügen: Kostenlosen Analy se starten

Quellen und weitere Infos
BSI: Criteria enabling Cloud Computing Autonomy (C3A) – Offizielles PDF-Dokument des BSI.

BSI: Mindeststandard zur Nutzung externer Cloud-Dienste (MST-NCD) – Geltungsbereich und Anforderungen für die Bundesverwaltung.

Heise Online: BSI definiert Kriterien für Cloud-Souveränität – Fachbericht zur Veröffentlichung der C3A.

LocateRisk: Vendor Risk Management im Fokus – Strategien zur automatisierten Lieferkettenbewertung.

Technisches FAQ: Operative Unabhängigkeit im Cloud-Sicherheitsmanagement

Warum reichen die bisherigen C5-Testate für die neue Cloud-Souveränität nicht mehr aus?

Der C5-Standard ist ein hervorragendes Instrument zur Prüfung der Informationssicherheit, doch er adressiert primär die Schutzziele Vertraulichkeit und Integrität. Die C3A gehen einen entscheidenden Schritt weiter: Sie bewerten die Abhängigkeit. Während C5 bestätigt, dass die Haustür verschlossen ist, prüfen die C3A, wer den Zweitschlüssel besitzt und ob der Vermieter den Zugang einseitig sperren kann. Für Unternehmen bedeutet das den Übergang von einem reinen Sicherheitscheck hin zu einer Bewertung der operativen Autonomie und rechtlichen Durchgriffsbarkeit.

Welche Rolle spielt die Personal-Anforderung (SOV-4-01-C2) in der Praxis?

Das BSI fordert hier für die höchste Stufe Personal mit festem Wohnsitz in Deutschland. Ein einfaches „Hosting in Deutschland“ verliert seinen Wert, wenn der administrative Support aus Jurisdiktionen erfolgt, die dem US Cloud Act unterliegen. Die Daten liegen zwar lokal, die Kontrolle darüber wandert jedoch über Management-Schnittstellen ins Ausland. CISOs müssen hier eine technische Validierung fordern, statt sich auf pauschale Provider-Zusagen zu verlassen.

Wie unterstützt External Attack Surface Management (EASM) die Einhaltung der C3A?

EASM dient als technisches Korrektiv. Durch die Identifikation aller mit dem Internet verbundenen Systeme und deren Geolokalisierung lassen sich Abweichungen von der Souveränitätsstrategie sofort aufzeigen. Wenn Cloud-Instanzen oder Kommunikationsendpunkte plötzlich in Regionen auftauchen, die nicht dem vereinbarten Geofencing entsprechen, wird dies sofort sichtbar. Es transformiert Souveränität von einer statischen Klausel im Dienstleistungsvertrag in einen kontinuierlich überwachbaren Prozess.

Was verbirgt sich hinter dem „Mapping Gap“ und warum ist er für die Cloud-Autonomie gefährlich?

Herkömmliche Schwachstellen-Scanner warten oft Wochen auf die Anreicherung von Daten durch die NVD (National Vulnerability Database). In dieser Zeit ist die Cloud-Infrastruktur ungeschützt. Unsere Preemptive Intelligence schließt diesen Zeitraum, indem sie kritische Lücken ab dem Tag der Veröffentlichung identifiziert. Für die Cloud-Autonomie ist das essenziell: Nur wer seine Schwachstellen schneller kennt als der Angreifer, behält die operative Kontrolle über seine Systeme und verhindert den Kontrollverlust durch externe Infiltration.

Wie lassen sich die C3A-Anforderungen effizient in das Vendor Risk Management (VRM) integrieren?

Die manuelle Prüfung von Providern über statische Fragebögen ist bei der Komplexität moderner Cloud-Architekturen nicht mehr prozesssicher. Ein automatisiertes VRM ermöglicht es, die sechs Dimensionen der C3A kontinuierlich zu überwachen. Anstatt einmal im Jahr ein „Bauchgefühl“ abzufragen, liefert LocateRisk datenbasierte Belege über den Sicherheitsstatus und die Standorte der Dienstleister. Dies ist insbesondere für die Einhaltung der NIS-2-Sorgfaltspflichten in der Lieferkette der einzige Weg, Haftungsrisiken für das Management effektiv zu minimieren.

Fragen Sie jetzt Ihre persönliche Live-Demo an

Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.

Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!

Ihr AnsprechpartnerLukas BaumannCEO

+49 6151 6290246

Jetzt Kontakt aufnehmen