BSIKlare Souveränitätskriterien für Cloud-Dienste

Deutschland und Europa stehen unter dem permanenten Druck von Cyberaggression. Dabei rückt neben finanziell motivierten Cyber-Angriffen (Cyber Crime) und staatlich gelenkten Angriffen (Cyber Conflict) eine dritte Bedrohungsart immer mehr in den gesamtgesellschaftlichen Fokus: Cyber Dominance – die Möglichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten. Cyber Dominance stellt die Frage nach digitaler Souveränität, die auch und insbesondere Cloud-Dienste betrifft. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun unter dem Titel C3A – Criteria enabling Cloud Computing Autonomy einen richtungsweisenden Handlungsrahmen vorgelegt, der die Souveränitätseigenschaften von Cloud-Diensten transparent macht. Derzeit liegt dieser erst in englischer Sprache vor, die Veröffentlichung einer deutschsprachigen Version ist laut BSI für Ende des zweiten Quartals 2026 geplant.

Nutzung außereuropäischer Produkte absichern

„Uns allen ist klar, dass der europäische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gestärkt werden müssen. Dabei hilft das BSI im Bereich der Cybersicherheit aktiv mit. Gleichzeitig müssen außereuropäische Produkte – überall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird“, sagt die BSI-Präsidentin Claudia Plattner. „Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“ Plattner hatte auch früher schon betont, dass angesichts der aktuell bestehenden Marktmacht vor allem der großen US-Konzerne systematisch entschieden werden müsse, welche Technologien eingekauft werden und wie sich „eine gewisse Kontrolle“ gewinnen lasse (wir berichteten). Den Kriterienkatalog C3A hat das BSI im Rahmen einer Zusammenarbeit mit nationalen und internationalen Cloud-Providern, mit denen Kooperationsvereinbarungen bestehen, entwickelt. Auch mit internationalen Partnerbehörden tauschte sich das BSI aus.

C3A für Cloud-Kunden und Provider

Die Entscheidung über die Nutzung von Cloud-Diensten beruht auf dem Modell der geteilten Verantwortung (shared responsibility model) zwischen Cloud-Anbietern und Cloud-Kunden. Damit wird auch der Umfang der Entscheidungen eingeschränkt, die Cloud-Kunden treffen können – gerade mit Blick auf die sichere, selbstbestimmte Nutzung der Angebote. Der Kriterienkatalog C3A soll eine Bewertung erlauben, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann. Cloud-Kunden können das Framework nutzen, um für das eigene Nutzungsszenario relevante Anforderungen zu identifizieren und so ihr angestrebtes Maß an Souveränität festlegen. Die C3A dienen dabei als richtungsweisender Handlungsrahmen und schaffen Transparenz, entfalten jedoch keine regulative Wirkung. Die C3A können aber auch von Cloud-Anbietern genutzt werden: Diese sollen die Einhaltung der Kriterien durch ein Audit nachweisen können. In einem nächsten Schritt will das BSI einen Leitfaden für C3A-Audits veröffentlichen, die Nachweiserbringung soll den bereits etablierten C5-Testierungsprozessen ähneln.