BSI legt Kriterienkatalog für souveräne Cloud-Nutzung vor
Mit den "Criteria enabling Cloud Computing Autonomy" (C3A) veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik einen Bewertungsrahmen, der die Souveränitätseigenschaften von Cloud-Diensten messbar machen soll. Verbindlich ist das Framework nicht.
Das BSI reagiert mit dem kürzlich vorgestellten Kriterienkatalog auf eine Bedrohungslage, die das Amt als “Cyber Dominance” bezeichnet: die Möglichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf Systeme und Daten ihrer Kunden zu behalten. Diese Kategorie tritt laut BSI neben finanziell motivierte Angriffe (Cyber Crime) und staatlich gelenkte Operationen (Cyber Conflict) und betreffe insbesondere Cloud-Dienste.
Abgrenzung zum bestehenden C5-Katalog
Der C3A-Katalog ergänzt den bereits etablierten “Cloud Computing Compliance Criteria Catalogue” (C5) des BSI, der die Sicherheitseigenschaften von Cloud-Diensten adressiert. Während C5 die technische Sicherheit prüfe, bewerte C3A, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden könne. Die Erfüllung der C5-Kriterien wird dabei vorausgesetzt.
Hintergrund ist das Modell der geteilten Verantwortung zwischen Anbieter und Kunde. Dieses Modell schränkt nach Darstellung des Bundesamtes den Entscheidungsspielraum der Cloud-Kunden ein, auch hinsichtlich einer selbstbestimmten Nutzung. BSI-Vizepräsident Thomas Caspers verweist darauf, dass Einflüsse auf den Anbieter indirekt auch dessen Kunden treffen könnten. Um risikobasierte Entscheidungen treffen zu können, brauche es allgemein anerkannte, objektive und überprüfbare Kriterien. Entwickelt wurde der Katalog laut Caspers in Zusammenarbeit mit nationalen und internationalen Cloud-Providern, mit denen das BSI Kooperationsvereinbarungen unterhält. Auch der Austausch mit internationalen Partnerbehörden sei Teil des Prozesses.
BSI-Präsidentin Claudia Plattner ordnet das Framework politisch ein: Der europäische Markt und die hiesige Digitalindustrie müssten in wichtigen Technologiefeldern gestärkt werden. Gleichzeitig sollten außereuropäische Produkte dort, wo sie weiter genutzt werden sollen, so abgesichert werden, dass eine selbstbestimmte Nutzung möglich werde.
Aufbau und Anwendung des Frameworks
Die C3A unterscheiden zwischen Kriterien und Zusatzkriterien, zu einigen Kriterien werden ergänzende Informationen bereitgestellt. Cloud-Kunden können nach Angaben des BSI je nach Anwendungsfall festlegen, welche Anforderungen für sie relevant sind, und auf diesem Weg ihr angestrebtes Souveränitätsniveau definieren. Anbieter wiederum können die Einhaltung der Kriterien per Audit nachweisen. Ein Leitfaden für C3A-Audits soll in einem nächsten Schritt folgen, das Nachweisverfahren werde sich an den C5-Testierungsprozessen orientieren.
Konkrete Auswahloptionen bietet der Katalog unter anderem bei der Lokalisierung. Dazu zählen etwa der Standort der Rechenzentren oder die Herkunft des Betriebspersonals. Abhängig von der Kritikalität des Anwendungsfalls und der eigenen Risikoanalyse können Nutzende entscheiden, ob sie eine Lokalisierung in Deutschland oder in der EU verlangen.
In Struktur und Zielsetzung orientiert sich der Katalog am europäischen Cloud Sovereignty Framework (EU CSF). Dessen “contributing factors” werden in den überprüfbaren Kriterien der C3A aufgegriffen und um weitere Aspekte ergänzt. Eine deutschsprachige Fassung des Katalogs ist nach Angaben des Amtes für Ende des zweiten Quartals 2026 geplant.