Kurz notiert : Souveränitätskriterien für Cloud-Dienste
Deutschland und Europa stehen unter dem permanenten Druck von Cyberaggression. Dabei rückt neben Cyber-Crime (finanziell motivierte Cyberangriffe) und Cyber-Conflicts (staatlich gelenkte Cyberangriffe) eine dritte Bedrohungsart immer mehr in den gesamtgesellschaftlichen Fokus: Cyber-Dominance – die Möglichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten. Sie stellt die Frage nach digitaler Souveränität, die auch und insbesondere Cloud-Dienste betrifft. Mit den „Criteria Enabling Cloud Computing Autonomy“ (C3A) hat das BSI Ende April einen Handlungsrahmen vorgelegt, der die Souveränitätseigenschaften von Cloud-Diensten transparent macht.
BSI-Präsidentin Claudia Plattner: „Digitale Souveränität bewegt die Menschen. Uns allen ist klar, dass der europäische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gestärkt werden müssen. Dabei hilft das BSI im Bereich der Cybersicherheit aktiv mit. Gleichzeitig müssen außereuropäische Produkte – überall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird. Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“
Die Entscheidung über die Nutzung von CloudDiensten beruht auf dem Modell der geteilten Verantwortung (Shared-Responsibility-Model) zwischen CloudAnbietern und -Kunden. Es schränkt den Umfang der Entscheidungen ein, die Cloud-Kunden treffen können – auch und gerade mit Blick auf die sichere und selbstbestimmte Nutzung der Angebote. Während die Sicherheitseigenschaften von Cloud-Diensten im „Cloud Computing Compliance Criteria Catalogue“ (C5) des BSI adressiert werden, ermöglicht der Kriterienkatalog C3A eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann. Die C3A dienen dabei als richtungsweisender Handlungsrahmen und schaffen Transparenz, entfalten jedoch keine regulative Wirkung.
Die C3A können sowohl Cloud-Anbieter als auch -Kunden nutzen: Anbieter können die Einhaltung der Kriterien durch ein Audit nachweisen – Kunden können das Framework nutzen, um für das eigene Nutzungsszenario relevante Anforderungen zu identifizieren und so ihr angestrebtes Maß an Souveränität festlegen. Das BSI wird im nächsten Schritt einen Leitfaden für C3A-Audits veröffentlichen – die Nachweiserbringung wird dabei den etablierten C5-Testierungsprozessen ähneln.
In Struktur und Zielsetzung orientieren sich die C3A am europäischen „Cloud Sovereignty Framework“ (EU CSF). Darüber hinaus werden die „Contributing Factors“ des EU CSF in den überprüfbaren Kriterien der C3A aufgegriffen und um ergänzende Aspekte erweitert. Die C3A setzen zudem voraus, dass der Cloud-Anbieter die C5-Kriterien erfüllt. Auf www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationenund-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/C3A/C3A_node.html stehen die C3A zunächst in englischer Sprache zum kostenlosen Download bereit – die Veröffentlichung einer deutschsprachigen Version ist für Ende des 2. Quartals 2026 geplant.