Der BSI C3A ist da: Das Ende der Briefkasten-Souveränität?!
Seit dem 27, April 2026 ist der lang erwartete BSI C3A da und beendet die Ära, in der „digitale Souveränität“ lediglich ein Synonym für eine deutsche Postanschrift und ein lokales Rechenzentrum war. Für viele selbsternannte souveräne Anbieter bedeutet dieses Papier ein massives Paket an technologischen Hausaufgaben. Wer bisher nur mit Standort-Marketing gepunktet hat, muss jetzt architektonisch Farbe bekennen.
Aber wie genau trennt jetzt der C3A die Spreu vom Weizen?
1. Daten-Souveränität: Architektur schlägt Adresse (BSI C3A SOV-3)
Der C3A verlagert die Kontrolle konsequent zurück zum Kunden.
- Client-Side Encryption (CSE): Der Provider muss Client-Side Encryption ermöglichen, bei der die Schlüssel ausschließlich beim Kunden außerhalb der Provider-Umgebung liegen. Das schließt den technischen Zugriff des Providers auf die Daten prinzipiell aus.
- External Key Management (EKM): Die Integration externer KMS-Systeme ist für IaaS/PaaS Pflicht und wird für SaaS als zusätzlicher Maßstab gesetzt.
- External Identity Provider (IdP): Hier wird es für viele Anbieter eng. Gefordert wird ein stateless authentication model, das keine Kopien von Benutzerkonten in der Provider-Umgebung erzwingt. Die Autorisierung muss dynamisch über Claims direkt vom Kunden-IdP gesteuert werden.
2. Operative Autarkie & Disconnect (BSI C3A SOV-4)
Souveränität bedeutet bei C3A die Fähigkeit zur Isolation. Wer am „Tropf“ einer globalen Mutter oder eines Drittanbieters hängt, scheitert an diesen Hürden:
- Kill-Switch-Resistenz: Der Anbieter muss in der Lage sein, alle Nicht-EU-Netzwerkverbindungen (inklusive Lizenz- und Heartbeat-Servern) zu kappen, ohne die Verfügbarkeit oder Integrität des Dienstes zu gefährden.
Die 90-Tage-Regel: Nach einem Disconnect muss der Betrieb inklusive Update-Prozessen für mindestens 90 Tage autark aufrechterhalten werden können.
3. Patch-Autonomie: Wissen statt Weiterleitung (BSI C3A SOV-6)
Der C3A fordert echte technologische Tiefe:
- Unabhängige Remediation: Im Ernstfall muss der Provider Sicherheitslücken unabhängig vom Software-Hersteller schließen können.
- Engineering-Power: Dafür müssen lokales Spezialisten-Personal und Build-Umgebungen vorgehalten werden, um Notfall-Patches selbst zu kompilieren und auszurollen.
Ich finde, der C3A ist der längst überfällige Impuls für echten technologischen Fortschritt. Souveränität wird von einer juristischen Floskel zu einer Engineering-Disziplin hochgestuft. Anbieter müssen nun beweisen, dass sie ihre Stacks nicht nur betreiben, sondern technologisch beherrschen. Das ist ein Sieg für die IT-Sicherheit und die echte Autonomie der Kunden.
Cloud Migration ist nur ein Teil unserer täglichen Arbeit und genau solche Erfahrungen möchten wir in unserem Blog teilen. Wenn Sie mehr darüber erfahren möchten, wie wir Technologien einsetzen, Herausforderungen meistern und gemeinsam Lösungen entwickeln, dann lohnt sich ein Blick in unsere weiteren Beiträge, z.B. zu unseren praktischen Erfahrungen im Use of OpenStack in customer projects. Vielleicht finden Sie dort genau die Inspiration, die sie gerade brauchen.
