Cloud Security als deutscher Exportartikel: C5, Sovereign Cloud und der europäische Vorteil

8 Min. Lesezeit

AWS hat 2025 sein BSI-C5-Testat auf 183 Services ausgeweitet – inklusive Singapur. Ein deutsches Sicherheitsframework gilt als Referenzstandard in Asien. Die Schwarz Gruppe investiert 11 Milliarden Euro in STACKIT, SAP steckt 20 Milliarden in die Sovereign Cloud. Und laut Gartner verdreifachen sich Europas Sovereign-Cloud-Ausgaben von 2025 bis 2027. Cloud Security Made in Germany ist kein Nischenprodukt mehr. Es ist ein Exportartikel mit wachsendem Weltmarkt.

Das Wichtigste in Kürze

• C5 als Exportstandard: AWS nutzt das BSI-C5-Testat bereits für 9 Regionen weltweit inklusive Singapur – ein deutsches Sicherheitsframework mit globalem Footprint
• Sovereign Cloud explodiert: Europas Ausgaben verdreifachen sich von 6,9 Milliarden Dollar (2025) auf 23,1 Milliarden (2027), weltweit 80 Milliarden in 2026 (Gartner)
• Deutsche Player: STACKIT (11 Mrd. Investition), SAP Sovereign Cloud (20 Mrd.), T-Systems (Copernicus-Partner, Google-Sovereign-Modell)
• Regulierungsvorteil: NIS2, EU Data Act und CRA bevorzugen strukturell Anbieter mit europäischer Jurisdiktion und nachweisbarer Datensouveränität
• Cloud-Markt Deutschland: 20 Milliarden Euro 2025 (plus 17 Prozent), 90 Prozent der Unternehmen nutzen Cloud, 82 Prozent wollen keine US-Abhängigkeit (Bitkom)

Das C5-Testat: Wie ein deutscher Standard die Welt erobert

Der Cloud Computing Compliance Criteria Catalogue (C5) wurde 2016 vom BSI eingeführt und 2020 grundlegend überarbeitet. Er definiert Mindestanforderungen für sichere Cloud-Dienste in 17 Themengebieten mit rund 125 Einzelkriterien. Zwei Testat-Typen: Type 1 prüft Design und Implementierung zu einem Stichtag, Type 2 prüft die konsistente Wirkung über einen definierten Zeitraum.

Was C5 von anderen Frameworks unterscheidet, ist seine Exportierbarkeit. AWS hat 2025 sein C5-Type-2-Testat mit 183 Services abgeschlossen (2024: 179, 2023: 170 – die Tendenz ist steigend). Die Regionen in scope: Frankfurt, Irland, London, Mailand, Paris, Stockholm, Spanien, Zürich – und Singapur. Ein deutsches Sicherheitsframework, das AWS als Referenz für den asiatischen Markt nutzt. Das ist kein theoretischer Exporterfolg, sondern eine dokumentierte Realität.

Seit dem 1. Juli 2025 ist das C5-Type-2-Testat gesetzlich verpflichtend für Cloud-Dienste, die Gesundheits- und Sozialdaten verarbeiten. Das C5:2025-Update (Community Draft) richtet den Standard explizit auf den europäischen EUCS-Rahmen (Level Substantial) aus. Damit wird C5 zur Brücke zwischen nationalem deutschen Standard und europäischer Harmonisierung.

Im internationalen Vergleich positioniert sich C5 zwischen dem US-amerikanischen FedRAMP (nur für US-Behördenverträge, auf Amerika beschränkt) und dem französischen SecNumCloud (strenger, aber national enger). FedRAMP basiert auf NIST SP 800-53 und gilt ausschließlich für Verträge mit US-Bundesbehörden. SecNumCloud der französischen ANSSI stellt die höchsten Anforderungen in Europa und schließt US-Hyperscaler strukturell aus, weil es keine nicht-EU-Jurisdiktionsexposition zulässt. C5 prüft über unabhängige Wirtschaftsprüfer nach ISAE 3000, ist technologieneutral und exportierbar – das macht es zum international erfolgreichsten der drei Frameworks.

Der praktische Beweis: US-Hyperscaler mussten C5-Testate erwerben, um im deutschen und europäischen Enterprise-Markt wettbewerbsfähig zu bleiben. AWS investiert jährlich in die Erweiterung seines C5-Scope (von 170 Services in 2023 auf 183 in 2025). Microsoft Azure und Google Cloud haben ebenfalls C5-Testate. Ein ursprünglich rein deutscher Standard ist faktisch zur Marktzugangsvoraussetzung für den EU-Cloud-Markt geworden. Das ist Cloud Security als Exportartikel im reinsten Sinne: Nicht die deutsche Cloud wird exportiert, sondern das deutsche Sicherheitsframework.

Quellen: AWS Blog 2025, Gartner Februar 2026, Bitkom Cloud Report 2025

STACKIT, SAP, T-Systems: Drei deutsche Modelle für souveräne Cloud

STACKIT (Schwarz Gruppe) ist das ambitionierteste deutsche Sovereign-Cloud-Projekt. Die Schwarz Gruppe (Lidl, Kaufland) investiert 11 Milliarden Euro in den Aufbau einer eigenen Cloud-Plattform. STACKIT erhielt Ende 2023 das C5-Type-1-Testat, 2024 folgte Type 2. Dazu kommen ISAE 3000 (SOC 2), ISAE 3402 und ISO 27001. Das kombinierte Zertifizierungspaket ermöglicht internationalen Kunden der Schwarz-Gruppe eine einheitliche Compliance-Basis. Parallel kooperiert STACKIT mit Google für souveräne Workplace-Lösungen – ein hybrides Modell, das europäische Kontrolle mit Hyperscaler-Funktionalität verbindet.

SAP Sovereign Cloud (Delos) verfolgt einen anderen Ansatz. SAP hat mit der Tochter Delos eine eigene Sovereign-Cloud-Einheit gegründet und ein Investitionsprogramm von 20 Milliarden Euro angekündigt. Die Positionierung: SAP-Kernsoftware auf europäisch kontrollierten Systemen. Für Unternehmen, die SAP als Rückgrat ihrer Geschäftsprozesse nutzen (und das sind die meisten deutschen Großunternehmen), ist eine souveräne SAP-Cloud eine strategische Notwendigkeit – nicht weil sie die bessere Technologie bietet, sondern weil sie die regulatorische Sicherheit garantiert.

T-Systems operiert mit zwei Modellen gleichzeitig. Die Open Telekom Cloud ist eine international verfügbare OpenStack-Plattform mit Kunden in 195 Ländern und einem IT-Award-Gold 2025 für Sovereign Cloud. Parallel betreibt T-Systems in Partnerschaft mit Google eine spezifische Sovereign Cloud, in der T-Systems als Data Trustee fungiert – alle Daten und Kontrolle verbleiben unter deutschem Recht. Dieses „Hyperscaler-Kapazität, deutsche Kontrolle“-Modell wird als Blueprint für andere Märkte diskutiert. T-Systems ist zudem Partner des EU-Copernicus Data Space Ecosystem – das europäische Erdbeobachtungsprogramm nutzt deutsche Cloud-Infrastruktur.

Der Sovereign-Cloud-Markt explodiert

Die Zahlen von Gartner (Februar 2026) zeigen die Dimension: Weltweit erreichen die Sovereign-Cloud-IaaS-Ausgaben 80 Milliarden Dollar in 2026 – ein Wachstum von 35,6 Prozent gegenüber 2025. Europa überholt dabei 2027 erstmals Nordamerika bei den Sovereign-Cloud-IaaS-Ausgaben.

Die europäischen Zahlen im Detail: 6,9 Milliarden Dollar 2025, 12,6 Milliarden 2026 (plus 83 Prozent) und 23,1 Milliarden 2027. Eine Verdreifachung in zwei Jahren. Treiber sind geopolitische Spannungen, Unsicherheit über die US-Cloud-Gesetzgebung (CLOUD Act) und die Digitale-Souveränitätsstrategie der EU-Kommission.

Für deutsche Cloud-Anbieter ist das eine historische Chance. Der deutsche Cloud-Markt wächst laut Bitkom Cloud Report 2025 um 17 Prozent auf 20 Milliarden Euro. Rechenzentrum-Investitionen in Deutschland: 12 Milliarden Euro allein in 2025. 90 Prozent der deutschen Unternehmen nutzen Cloud-Anwendungen – vor einem Jahr waren es noch 81 Prozent. Und die Nachfrage nach Souveränität ist massiv: 82 Prozent wollen keine technische Abhängigkeit von US-Cloud-Anbietern. 78 Prozent sehen sich aber in der Praxis als abhängig. 82 Prozent wünschen sich Hyperscaler aus Deutschland oder Europa. Der Bitkom-Berichtstitel bringt es auf den Punkt: „Wirtschaft ruft nach einer deutschen Cloud.“

Die Kluft zwischen Wunsch und Realität ist der Markt. 82 Prozent wollen europäische Cloud, aber nur eine Handvoll europäische Anbieter kann die Funktionalität der US-Hyperscaler bieten. Genau hier setzen die deutschen Modelle an: T-Systems als Data Trustee über Google-Infrastruktur, STACKIT als vollständig europäische Alternative und SAP als branchenspezifische Sovereign Cloud für ERP-Workloads. Kein einzelner Ansatz wird den gesamten Markt bedienen, aber zusammen decken sie die wichtigsten Enterprise-Segmente ab.

NIS2, Data Act und CRA: Das regulatorische Dreieck

Drei EU-Regulierungen schaffen zusammen ein Umfeld, das europäische Cloud-Anbieter strukturell bevorzugt.

NIS2 (in Kraft seit Dezember 2025) reguliert Cloud-Anbieter direkt: Risikomanagement, Incident-Reporting, Business Continuity und Supply-Chain-Sicherheit sind Pflicht. Cloud Service Provider, die KRITIS-Kunden bedienen, fallen automatisch unter die Regulierung. Das BSI schätzt rund 30.000 betroffene Unternehmen – und C5 wird zum bevorzugten Nachweisinstrument für NIS2-Compliance.

Der EU Data Act (in Anwendung seit September 2025) adressiert die Wechselhürden und den Schutz vor extraterritorialen Datenzugriffen. Cloud-Anbieter müssen sicherstellen, dass Regierungen aus Drittstaaten nicht auf EU-Daten zugreifen können, wenn dies EU- oder nationalem Recht widerspricht. Der Strafrahmen: bis zu 4 Prozent des globalen Jahresumsatzes. Für Anbieter unter US-CLOUD-Act-Jurisdiktion ist das ein strukturelles Problem. Für europäische Anbieter mit C5-Testat ist es ein Wettbewerbsvorteil.

Der Cyber Resilience Act (vollständige Pflichten ab Dezember 2027) verlangt Security by Design und Kryptoagilität für alle Produkte mit digitalen Elementen. Cloud-basierte Software und Services fallen darunter. Zusammen mit der Post-Quantum-Kryptografie-Migration schafft das CRA Anforderungen, die nur Anbieter mit tiefgreifender Sicherheitsarchitektur erfüllen können.

GAIA-X: Vom Papiertiger zum Trust Framework

GAIA-X hat sich gewandelt. Die ursprüngliche Vision eines „europäischen AWS“ wurde nie realisiert. Was stattdessen entstanden ist: ein funktionierendes Zertifizierungssystem für vertrauenswürdige Cloud-Services. Beim Summit 2025 in Porto wurde das Trust Framework 3.0 „Danube“ freigegeben, das geografische und sektorale Erweiterungen ermöglicht.

Der reale Fortschritt: Fünf Anbieter (Cloud Temple, Thesee DataCenter, OPIQUAD, OVHcloud und Seeweb) haben das höchste GAIA-X Label Level 3 erreicht. CISPE hat zugesagt, bis zu 3.000 GAIA-X-gelabelte Services bis November 2025 bereitzustellen. Das CISPE Sovereign Cloud Manifesto vom Juli 2025 formuliert 5 Themen und 20 konkrete Maßnahmen für souveräne Cloud-Infrastruktur in Europa.

GAIA-X ist kein Hyperscaler-Konkurrent, aber ein Trust-Framework, das europäischen Anbietern ein nachweisbares Vertrauenslabel gibt. In einer Welt, in der 82 Prozent der deutschen Unternehmen europäische Cloud-Alternativen wollen, ist das ein handfester Marktvorteil. Die strategische Verbindung: GAIA-X-Zertifizierung und C5-Testat zusammen bilden das stärkste europäische Cloud-Security-Paket, das ein Anbieter vorweisen kann. Für Unternehmen, die unter NIS2 fallen und gleichzeitig DSGVO-konform arbeiten müssen, reduziert diese Kombination den Compliance-Aufwand erheblich.

Die Kritik an GAIA-X bleibt berechtigt: Die ursprünglichen Ambitionen wurden nicht erfüllt, die Komplexität der Governance hat Fortschritt gebremst und die Relevanz für den einzelnen CIO ist begrenzt. Aber als Infrastruktur-Layer für Datensouveränität in regulierten Branchen (Gesundheit, Finanzen, öffentliche Verwaltung) etabliert sich GAIA-X zunehmend als der Standard, den es braucht, um europäische Compliance-Anforderungen nachweisbar zu erfüllen.

Der Exportvorteil: Warum deutsche Cloud Security international gefragt ist

Das C5-Testat zeigt den Mechanismus: Ein Standard, der streng genug ist, um Vertrauen zu schaffen, und flexibel genug, um international zu funktionieren. SecNumCloud (Frankreich) ist strenger, aber schließt US-Hyperscaler strukturell aus – das begrenzt die Reichweite. FedRAMP (USA) gilt nur für US-Regierungsverträge. C5 besetzt die Mitte: hohe Anforderungen, internationale Anwendbarkeit und Technologieneutralität.

Für deutsche Unternehmen wie T-Systems, STACKIT und SAP bedeutet das: Ihre Cloud-Infrastruktur und ihre Sicherheitsarchitektur sind international exportierbar, weil sie auf einem Standard basieren, den auch die Hyperscaler akzeptieren. Das T-Systems-Modell (Hyperscaler-Technologie unter deutschem Data Trusteeship) könnte zum Exportmodell für andere Länder werden, die Cloud-Funktionalität wollen, ohne ihre Datensouveränität aufzugeben.

Die Made-for-Germany-Initiative mit 735 Milliarden Euro Investitionsvolumen wird einen Teil dieser Mittel in Cloud-Infrastruktur lenken. Und die regulatorische Kaskade (NIS2, Data Act, CRA, EUCS) schafft einen Markt, in dem Compliance kein Kostenfaktor ist, sondern ein Verkaufsargument. Cloud Security Made in Germany wird damit vom Standortschutz zum Exportprodukt.

CISPE warnte im Oktober 2025 explizit vor US-Hyperscalern, die mit dem Begriff „Cloud-Souveränität“ werben, ohne die strukturellen Voraussetzungen zu erfüllen. Echte Souveränität, so die Position, kann nur von Anbietern mit europäischem Hauptsitz garantiert werden. Das ist keine abstrakte Debatte, sondern hat handfeste Konsequenzen: Unternehmen, die unter den EU Data Act fallen, müssen sicherstellen, dass ihre Cloud-Anbieter keine extraterritorialen Datenzugriffsrisiken mit sich bringen. Ein CLOUD-Act-exponierter US-Anbieter kann diese Garantie nicht geben, auch wenn er sein Rechenzentrum in Frankfurt betreibt.

Für die deutsche Wirtschaft ergibt sich daraus ein dreifacher Vorteil. Erstens: Deutsche Cloud-Anbieter profitieren von regulatorisch induzierter Nachfrage (NIS2 plus Data Act plus CRA erzeugen Compliance-Bedarf, den europäische Anbieter besser bedienen können). Zweitens: Das C5-Framework wird als Exportstandard international nachgefragt, weil es Vertrauen schafft, ohne Technologien auszuschließen. Drittens: Die Kombination aus Forschungskompetenz (Fraunhofer, BSI), operativer Cloud-Infrastruktur (T-Systems, STACKIT, SAP) und regulatorischer Strenge (DSGVO, NIS2, Data Act) bildet ein Ökosystem, das kein anderes europäisches Land in dieser Breite bieten kann. Frankreich hat SecNumCloud, aber keinen vergleichbaren Mittelstand mit Cloud-Bedarf. Die Niederlande haben starke Hosting-Infrastruktur, aber keinen eigenen Sicherheitsstandard mit der Reichweite von C5. Deutschland hat beides – und muss es nur noch konsequent vermarkten.

Häufige Fragen

Was ist das BSI-C5-Testat?

Der Cloud Computing Compliance Criteria Catalogue des BSI definiert Mindestanforderungen für sichere Cloud-Dienste in 17 Themengebieten mit rund 125 Einzelkriterien. Type-2-Testate prüfen die konsistente Wirkung über einen definierten Zeitraum und sind seit Juli 2025 für Gesundheitsdaten verpflichtend.

Wie groß ist der Sovereign-Cloud-Markt?

Laut Gartner erreichen die weltweiten Sovereign-Cloud-IaaS-Ausgaben 80 Milliarden Dollar in 2026. Europas Ausgaben verdreifachen sich von 6,9 Milliarden Dollar (2025) auf 23,1 Milliarden (2027). Europa überholt 2027 erstmals Nordamerika.

Welche deutschen Cloud-Anbieter haben C5-Testate?

IONOS, PlusServer, q.beyond AG und STACKIT (Schwarz Digits) gehören zu den zertifizierten deutschen Anbietern. Auch AWS, Microsoft Azure und Google Cloud haben C5-Testate erworben, um im europäischen Markt wettbewerbsfähig zu bleiben.

Was ist der Unterschied zwischen C5, FedRAMP und SecNumCloud?

C5 (BSI/Deutschland) ist technologieneutral und international exportierbar. FedRAMP (USA) gilt nur für US-Behördenverträge. SecNumCloud (ANSSI/Frankreich) ist am strengsten, schließt aber US-Hyperscaler strukturell aus. C5 positioniert sich in der Mitte: hohe Anforderungen bei breiter Anwendbarkeit.

Lebt GAIA-X noch?

Ja, aber mit realistischerem Scope als beim Launch. GAIA-X ist kein Hyperscaler-Konkurrent, sondern ein Trust-Framework und Zertifizierungssystem. Trust Framework 3.0 „Danube“ wurde Ende 2025 freigegeben. Fünf Anbieter haben das höchste Label Level 3 erreicht. CISPE hat 3.000 gelabelte Services zugesagt.

Weiterlesen

• Supply Chain Security: Vom Compliance-Zwang zum Wettbewerbsvorteil
• Post-Quantum-Kryptografie: Deutschland bereitet sich vor
• Reboot Germany: 735 Milliarden, drei Mittelständler und die Frage, ob die Krise wirklich so schlimm ist

Quelle Titelbild: Pexels / Panumas Nikhomkhai (px:1148820)

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor Alec Chizhik