Deutschland und Europa sehen sich zunehmend mit unterschiedlichen Formen von Cyberbedrohungen konfrontiert. Neben klassischer Cyberkriminalit\u00e4t und staatlich gesteuerten Angriffen r\u00fcckt eine dritte Dimension st\u00e4rker in den Fokus: strukturelle Abh\u00e4ngigkeiten von Technologieanbietern. Diese sogenannte \u201eCyber Dominance\u201c beschreibt die M\u00f6glichkeit von Herstellern, dauerhaft Einfluss auf Systeme und Daten ihrer Kunden auszu\u00fcben. Vor diesem Hintergrund gewinnt das Thema digitale Souver\u00e4nit\u00e4t an strategischer Bedeutung. Insbesondere Cloud-Dienste stehen dabei im Zentrum der Debatte.<\/p>\n\n\n\n
Mit den \u201eCriteria enabling Cloud Computing Autonomy\u201c (C3A) hat das Bundesamt f\u00fcr Sicherheit in der Informationstechnik einen neuen Handlungsrahmen ver\u00f6ffentlicht, der Transparenz \u00fcber Souver\u00e4nit\u00e4tseigenschaften von Cloud-Angeboten schaffen soll. Ziel ist es, Unternehmen und Beh\u00f6rden eine fundierte Entscheidungsgrundlage f\u00fcr die Auswahl und Nutzung von Cloud-Diensten zu bieten.<\/p>\n\n\n\n
BSI-Pr\u00e4sidentin Claudia Plattner betont die gesellschaftliche Relevanz des Themas: Digitale Souver\u00e4nit\u00e4t sei ein zentrales Anliegen, das sowohl die St\u00e4rkung der europ\u00e4ischen Digitalwirtschaft als auch den sicheren Einsatz internationaler Technologien erfordere. Die C3A sollen dabei helfen, Cloud-Dienste nach anwendungsspezifischen Kriterien zu bewerten und eine selbstbestimmte Nutzung zu erm\u00f6glichen.<\/p>\n\n\n\n
Auch Thomas Caspers verweist auf die komplexe Beziehung zwischen Cloud-Anbietern und -Nutzern. Da externe Einfl\u00fcsse auf Anbieter indirekt auch Kunden betreffen k\u00f6nnen, seien objektive und \u00fcberpr\u00fcfbare Kriterien notwendig. Die C3A wurden in Zusammenarbeit mit nationalen und internationalen Cloud-Providern entwickelt und basieren auf praktischen Erkenntnissen sowie einem kontinuierlichen Austausch mit Partnerbeh\u00f6rden.<\/p>\n\n\n\n
Die Nutzung von Cloud-Diensten folgt dem Prinzip der geteilten Verantwortung (\u201eShared Responsibility Model\u201c). Dieses begrenzt jedoch die Einflussm\u00f6glichkeiten der Anwender, insbesondere im Hinblick auf Sicherheit und Autonomie. W\u00e4hrend der bestehende Kriterienkatalog Cloud Computing Compliance Criteria Catalogue (C5) Sicherheitsaspekte adressiert, erm\u00f6glichen die C3A eine erg\u00e4nzende Bewertung der digitalen Selbstbestimmtheit im jeweiligen Nutzungskontext. Dabei haben die C3A keine regulatorische Wirkung, sondern dienen als Orientierungs- und Bewertungsinstrument.<\/p>\n\n\n\n
Sowohl Anbieter als auch Nutzer k\u00f6nnen den Kriterienkatalog anwenden. Cloud-Anbieter haben die M\u00f6glichkeit, die Einhaltung der Anforderungen durch Audits nachzuweisen. Nutzer wiederum k\u00f6nnen auf dieser Basis ihre individuellen Anforderungen definieren und das gew\u00fcnschte Ma\u00df an Souver\u00e4nit\u00e4t festlegen. Ein entsprechender Leitfaden f\u00fcr C3A-Audits ist in Vorbereitung und soll sich an den etablierten Testierungsprozessen des C5 orientieren.<\/p>\n\n\n\n
Inhaltlich sind die C3A modular aufgebaut und unterscheiden zwischen Kern- und Zusatzkriterien. Dazu z\u00e4hlen unter anderem Aspekte der Lokalisierung, etwa der Standort von Rechenzentren oder die Herkunft des Betriebspersonals. Je nach Risikobewertung k\u00f6nnen Organisationen festlegen, ob beispielsweise eine Datenverarbeitung innerhalb Deutschlands oder der Europ\u00e4ischen Union erforderlich ist.<\/p>\n\n\n\n
Konzeptionell orientieren sich die C3A am europ\u00e4ischen Cloud Sovereignty Framework (EU CSF) und erweitern dieses um konkret \u00fcberpr\u00fcfbare Kriterien. Voraussetzung f\u00fcr die Anwendung ist, dass Cloud-Anbieter bereits die Anforderungen des C5 erf\u00fcllen. Eine deutschsprachige Version der C3A soll bis Ende des zweiten Quartals 2026 ver\u00f6ffentlicht werden.<\/p>\n\n\n\n