Deutschland und Europa stehen unter dem permanenten Druck von Cyberaggression. Dabei r\u00fcckt neben Cyber Crime (finanziell motivierte Cyberangriffe) und Cyber Conflict (staatlich gelenkte Cyberangriffe) eine dritte Bedrohungsart immer mehr in den gesamtgesellschaftlichen Fokus: Cyber Dominance – die M\u00f6glichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten. Sie stellt die Frage nach digitaler Souver\u00e4nit\u00e4t, die auch und insbesondere Cloud-Dienste betrifft. Mit den Criteria enabling Cloud Computing Autonomy (C3A) hat das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) nun einen richtungsweisenden Handlungsrahmen vorgelegt, der die Souver\u00e4nit\u00e4tseigenschaften von Cloud-Diensten transparent macht.<\/p>\n
BSI-Pr\u00e4sidentin Claudia Plattner: „Digitale Souver\u00e4nit\u00e4t bewegt die Menschen. Uns allen ist klar, dass der europ\u00e4ische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gest\u00e4rkt werden m\u00fcssen. Dabei hilft das BSI im Bereich der Cybersicherheit aktiv mit. Gleichzeitig m\u00fcssen au\u00dfereurop\u00e4ische Produkte – \u00fcberall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung m\u00f6glich wird. Die C3A bieten Transparenz, Orientierung und die M\u00f6glichkeit, Cloud-Dienste nach den Kriterien auszuw\u00e4hlen, die f\u00fcr den jeweiligen Anwendungszweck relevant sind.“<\/p>\n
BSI-Vizepr\u00e4sident Thomas Caspers: „Cloud-Nutzung schafft eine Beziehung zwischen Kundinnen und Kunden einerseits und dem Cloud-Anbieter andererseits. In diesem Zusammenhang k\u00f6nnen Einfl\u00fcsse auf den Anbieter indirekt auch Kunden betreffen. Um diese in die Lage zu versetzen, risikobasierte Entscheidungen zu treffen, sind allgemein anerkannte, objektive und \u00fcberpr\u00fcfbare Kriterien f\u00fcr Selbstbestimmtheit und Autonomie erforderlich. Den Kriterienkatalog C3A haben wir im Rahmen unserer Zusammenarbeit mit nationalen und internationalen Cloud-Providern, mit denen wir Kooperationsvereinbarungen haben, entwickelt: Dabei sind Erkenntnisse aus der Praxis in ein richtungsweisendes Framework geflossen, zu dem wir uns auch mit unseren internationalen Partnerbeh\u00f6rden austauschen.“<\/p>\n
Die Entscheidung \u00fcber die Nutzung von Cloud-Diensten beruht auf dem Modell der geteilten Verantwortung (shared responsibility model) zwischen Cloud-Anbietern und Cloud-Kunden. Es schr\u00e4nkt den Umfang der Entscheidungen ein, die Cloud-Kunden treffen k\u00f6nnen – auch und gerade mit Blick auf die sichere und selbstbestimmte Nutzung der Angebote. W\u00e4hrend die Sicherheitseigenschaften von Cloud-Diensten im Cloud Computing Compliance Criteria Catalogue (C5) des BSI adressiert werden, erm\u00f6glicht der Kriterienkatalog C3A eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann. Die C3A dienen dabei als richtungsweisender Handlungsrahmen und schaffen Transparenz, entfalten jedoch keine regulative Wirkung.<\/p>\n
Die C3A k\u00f6nnen sowohl von Cloud-Anbietern als auch von Cloud-Kunden genutzt werden. Cloud-Anbieter k\u00f6nnen die Einhaltung der Kriterien durch ein Audit nachweisen. Cloud-Kunden k\u00f6nnen das Framework nutzen, um f\u00fcr das eigene Nutzungsszenario relevante Anforderungen zu identifizieren und so ihr angestrebtes Ma\u00df an Souver\u00e4nit\u00e4t festlegen. Das BSI wird im n\u00e4chsten Schritt einen Leitfaden f\u00fcr C3A-Audits ver\u00f6ffentlichen – die Nachweiserbringung wird dabei den etablierten C5-Testierungsprozessen \u00e4hneln.<\/p>\n
Die C3A sind in Kriterien und Zusatzkriterien unterteilt. F\u00fcr einige der Kriterien werden erg\u00e4nzende Informationen bereitgestellt. Je nach Anwendungsfall und Anforderungen des Cloud-Kunden kann festgelegt werden, welche Kriterien und Zusatzkriterien herangezogen werden. So bieten die C3A beispielsweise Auswahloptionen bez\u00fcglich der Lokalisierung (z.B. Standort der Rechenzentren, Herkunft des Betriebspersonals). Je nach Kritikalit\u00e4t des Anwendungsfalls und Ergebnis der eigenen Risikoanalyse k\u00f6nnen Cloud-Nutzende entscheiden, ob sie eine Lokalisierung in Deutschland oder in der EU fordern.<\/p>\n
In Struktur und Zielsetzung orientieren sich die C3A am europ\u00e4ischen Cloud Sovereignty Framework (EU CSF). Dar\u00fcber hinaus werden die „contributing factors“ des EU CSF in den \u00fcberpr\u00fcfbaren Kriterien der C3A aufgegriffen und um erg\u00e4nzende Aspekte erweitert. Die C3A setzen zudem voraus, dass der Cloud-Anbieter die C5-Kriterien erf\u00fcllt. Die Ver\u00f6ffentlichung einer deutschsprachigen Version der C3A ist f\u00fcr Ende des 2. Quartals 2026 geplant.<\/p>\n