BSI schafft Kriterien für selbstbestimmte Cloud-Nutzung
Deutschland und Europa geraten digital immer stärker unter Druck. Mit den C3A legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun Kriterien vor, die Cloud-Souveränität messbar machen sollen – ohne neue Regulierung, aber mit klarer Orientierung.
Cloud-Dienste sind längst Teil kritischer Geschäftsprozesse, staatlicher Verwaltung und industrieller Wertschöpfung. Doch je tiefer Unternehmen und Behörden ihre Daten, Anwendungen und Sicherheitsfunktionen in fremde Plattformen verlagern, desto größer wird die Frage nach Kontrolle. Es geht nicht mehr nur um klassische Cyberkriminalität oder staatlich gelenkte Angriffe. Zunehmend rückt eine dritte Risikokategorie in den Fokus: Cyber Dominanz.
Gemeint ist die strukturelle Möglichkeit von Herstellern und Plattformbetreibern, dauerhaft Einfluss auf Systeme, Daten und Betriebsmodelle ihrer Kunden zu behalten. Genau hier setzt der neue Kriterienkatalog Criteria enabling Cloud Computing Autonomy des BSI an. Die C3A sollen transparent machen, unter welchen Bedingungen Cloud-Angebote selbstbestimmt genutzt werden können.
Souveränität statt reiner Sicherheitsprüfung
Während der bereits etablierte Cloud Computing Compliance Criteria Catalogue (C5) des BSI vor allem Sicherheitseigenschaften von Cloud-Diensten adressiert, nimmt C3A eine andere Perspektive ein. Der neue Rahmen fragt nicht nur, ob ein Dienst sicher betrieben wird, sondern ob Kunden im jeweiligen Risikokontext ausreichend autonom handeln können.
Das ist ein wichtiger Unterschied. Denn Cloud-Nutzung folgt dem Modell der geteilten Verantwortung. Anbieter sichern die Plattform technisch ab, Kunden konfigurieren und nutzen die Dienste. Doch diese Aufteilung begrenzt zugleich den Handlungsspielraum der Kunden. Standort von Rechenzentren, Zugriffsmöglichkeiten des Anbieters, Herkunft des Betriebspersonals oder Abhängigkeiten von außereuropäischen Rechtsräumen lassen sich nicht beliebig beeinflussen.
C3A soll diese Abhängigkeiten sichtbar machen. Der Katalog schafft damit keine regulatorische Pflicht, sondern einen Handlungsrahmen für nachvollziehbare Risikoentscheidungen. Cloud-Kunden können prüfen, welche Kriterien für ihren konkreten Anwendungsfall relevant sind. Cloud-Anbieter wiederum können die Einhaltung der Kriterien künftig über Audits nachweisen.
BSI will Orientierung für den Markt schaffen
BSI-Präsidentin Claudia Plattner ordnet die Veröffentlichung in den größeren Kontext digitaler Souveränität ein. Der europäische Markt und die heimische Digitalindustrie müssten in wichtigen Technologiefeldern gestärkt werden. Gleichzeitig gehe es darum, außereuropäische Produkte dort, wo sie weiter eingesetzt werden, so abzusichern, dass eine selbstbestimmte Nutzung möglich bleibt.
Auch BSI-Vizepräsident Thomas Caspers verweist auf die besondere Beziehung zwischen Cloud-Anbietern und Kunden. Einflüsse auf Anbieter können indirekt auch Kunden treffen. Deshalb brauche es objektive, allgemein anerkannte und überprüfbare Kriterien für Autonomie und Selbstbestimmung.
Entwickelt wurde der Kriterienkatalog nach Angaben des Bundesamtes in Zusammenarbeit mit nationalen und internationalen Cloud-Anbietern, mit denen Kooperationsvereinbarungen bestehen. Praktische Erfahrungen aus diesen Kooperationen sind in das Framework eingeflossen. Zudem steht das Bundesamt im Austausch mit internationalen Partnerbehörden.
Kriterien je nach Risiko und Kritikalität
Die C3A sind in Kriterien und Zusatzkriterien unterteilt. Für einzelne Punkte liefert das BSI ergänzende Informationen. Kunden müssen nicht jedes Kriterium pauschal gleich bewerten, sondern können je nach Schutzbedarf und Risikoanalyse entscheiden, welche Anforderungen für ihr Szenario maßgeblich sind.
Ein Beispiel ist die Lokalisierung. Je nach Kritikalität kann gefordert werden, dass Rechenzentren in Deutschland stehen oder dass bestimmte Anforderungen auf die Europäische Union bezogen werden. Auch die Herkunft des Betriebspersonals kann Teil der Bewertung sein. Damit wird Souveränität nicht als abstraktes politisches Schlagwort behandelt, sondern in überprüfbare Anforderungen übersetzt.
Nähe zum europäischen Rahmen
In Struktur und Zielsetzung orientieren sich die C3A am europäischen Cloud Sovereignty Framework (EU CSF). Dessen sogenannte „contributing factors“ werden in den überprüfbaren Kriterien aufgegriffen und um ergänzende Aspekte erweitert. Voraussetzung ist zudem, dass der Cloud-Anbieter die Anforderungen des C5 erfüllt.
Der nächste Schritt ist ein Leitfaden für C3A-Audits. Die Nachweiserbringung soll den etablierten Testierungsprozessen des C5 ähneln. Eine deutschsprachige Version der C3A ist für Ende des zweiten Quartals 2026 geplant. Für Unternehmen und Behörden entsteht damit ein Instrument, das die Cloud-Auswahl künftig stärker an strategischer Kontrolle, Nachvollziehbarkeit und digitaler Selbstbestimmung ausrichten kann.
Der Kriterienkatalog C3A kann hier heruntergeladen werden.
