BSI schafft Rahmen für mehr digitale Souveränität in der Cloud

Deutschland und Europa sehen sich zunehmend mit unterschiedlichen Formen von Cyberbedrohungen konfrontiert. Neben klassischer Cyberkriminalität und staatlich gesteuerten Angriffen rückt eine dritte Dimension stärker in den Fokus: strukturelle Abhängigkeiten von Technologieanbietern. Diese sogenannte „Cyber Dominance“ beschreibt die Möglichkeit von Herstellern, dauerhaft Einfluss auf Systeme und Daten ihrer Kunden auszuüben. Vor diesem Hintergrund gewinnt das Thema digitale Souveränität an strategischer Bedeutung. Insbesondere Cloud-Dienste stehen dabei im Zentrum der Debatte.

Mit den „Criteria enabling Cloud Computing Autonomy“ (C3A) hat das Bundesamt für Sicherheit in der Informationstechnik einen neuen Handlungsrahmen veröffentlicht, der Transparenz über Souveränitätseigenschaften von Cloud-Angeboten schaffen soll. Ziel ist es, Unternehmen und Behörden eine fundierte Entscheidungsgrundlage für die Auswahl und Nutzung von Cloud-Diensten zu bieten.

BSI-Präsidentin Claudia Plattner betont die gesellschaftliche Relevanz des Themas: Digitale Souveränität sei ein zentrales Anliegen, das sowohl die Stärkung der europäischen Digitalwirtschaft als auch den sicheren Einsatz internationaler Technologien erfordere. Die C3A sollen dabei helfen, Cloud-Dienste nach anwendungsspezifischen Kriterien zu bewerten und eine selbstbestimmte Nutzung zu ermöglichen.

Auch Thomas Caspers verweist auf die komplexe Beziehung zwischen Cloud-Anbietern und -Nutzern. Da externe Einflüsse auf Anbieter indirekt auch Kunden betreffen können, seien objektive und überprüfbare Kriterien notwendig. Die C3A wurden in Zusammenarbeit mit nationalen und internationalen Cloud-Providern entwickelt und basieren auf praktischen Erkenntnissen sowie einem kontinuierlichen Austausch mit Partnerbehörden.

Die Nutzung von Cloud-Diensten folgt dem Prinzip der geteilten Verantwortung („Shared Responsibility Model“). Dieses begrenzt jedoch die Einflussmöglichkeiten der Anwender, insbesondere im Hinblick auf Sicherheit und Autonomie. Während der bestehende Kriterienkatalog Cloud Computing Compliance Criteria Catalogue (C5) Sicherheitsaspekte adressiert, ermöglichen die C3A eine ergänzende Bewertung der digitalen Selbstbestimmtheit im jeweiligen Nutzungskontext. Dabei haben die C3A keine regulatorische Wirkung, sondern dienen als Orientierungs- und Bewertungsinstrument.

Sowohl Anbieter als auch Nutzer können den Kriterienkatalog anwenden. Cloud-Anbieter haben die Möglichkeit, die Einhaltung der Anforderungen durch Audits nachzuweisen. Nutzer wiederum können auf dieser Basis ihre individuellen Anforderungen definieren und das gewünschte Maß an Souveränität festlegen. Ein entsprechender Leitfaden für C3A-Audits ist in Vorbereitung und soll sich an den etablierten Testierungsprozessen des C5 orientieren.

Inhaltlich sind die C3A modular aufgebaut und unterscheiden zwischen Kern- und Zusatzkriterien. Dazu zählen unter anderem Aspekte der Lokalisierung, etwa der Standort von Rechenzentren oder die Herkunft des Betriebspersonals. Je nach Risikobewertung können Organisationen festlegen, ob beispielsweise eine Datenverarbeitung innerhalb Deutschlands oder der Europäischen Union erforderlich ist.

Konzeptionell orientieren sich die C3A am europäischen Cloud Sovereignty Framework (EU CSF) und erweitern dieses um konkret überprüfbare Kriterien. Voraussetzung für die Anwendung ist, dass Cloud-Anbieter bereits die Anforderungen des C5 erfüllen. Eine deutschsprachige Version der C3A soll bis Ende des zweiten Quartals 2026 veröffentlicht werden.

Link zum Kriterienkatalog C3A: Criteria enabling Cloud Computing Autonomy (C3A)