Deutschland und Europa stehen unter dem permanenten Druck von Cyberaggression. Dabei rückt neben Cyber Crime (finanziell motivierte Cyberangriffe) und Cyber Conflict (staatlich gelenkte Cyberangriffe) eine dritte Bedrohungsart immer mehr in den gesamtgesellschaftlichen Fokus: Cyber Dominance – die Möglichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten. Sie stellt die Frage nach digitaler Souveränität, die auch und insbesondere Cloud-Dienste betrifft.
Mit den Criteria enabling Cloud Computing Autonomy (C3A) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun einen richtungsweisenden Handlungsrahmen vorgelegt, der die Souveränitätseigenschaften von Cloud-Diensten transparent macht.
BSI-Präsidentin Claudia Plattner: „Digitale Souveränität bewegt die Menschen. Uns allen ist klar, dass der europäische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gestärkt werden müssen. Dabei hilft das BSI im Bereich der Cybersicherheit aktiv mit. Gleichzeitig müssen außereuropäische Produkte – überall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird. Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“
BSI-Vizepräsident Thomas Caspers: „Cloud-Nutzung schafft eine Beziehung zwischen Kundinnen und Kunden einerseits und dem Cloud-Anbieter andererseits. In diesem Zusammenhang können Einflüsse auf den Anbieter indirekt auch Kunden betreffen. Um diese in die Lage zu versetzen, risikobasierte Entscheidungen zu treffen, sind allgemein anerkannte, objektive und überprüfbare Kriterien für Selbstbestimmtheit und Autonomie erforderlich. Den Kriterienkatalog C3A haben wir im Rahmen unserer Zusammenarbeit mit nationalen und internationalen Cloud-Providern, mit denen wir Kooperationsvereinbarungen haben, entwickelt: Dabei sind Erkenntnisse aus der Praxis in ein richtungsweisendes Framework geflossen, zu dem wir uns auch mit unseren internationalen Partnerbehörden austauschen.“
Die Entscheidung über die Nutzung von Cloud-Diensten beruht auf dem Modell der geteilten Verantwortung (shared responsibility model) zwischen Cloud-Anbietern und Cloud-Kunden. Es schränkt den Umfang der Entscheidungen ein, die Cloud-Kunden treffen können – auch und gerade mit Blick auf die sichere und selbstbestimmte Nutzung der Angebote. Während die Sicherheitseigenschaften von Cloud-Diensten im Cloud Computing Compliance Criteria Catalogue (C5) des BSI adressiert werden, ermöglicht der Kriterienkatalog C3A eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann. Die C3A dienen dabei als richtungsweisender Handlungsrahmen und schaffen Transparenz, entfalten jedoch keine regulative Wirkung. Die C3A können sowohl von Cloud-Anbietern als auch von Cloud-Kunden genutzt werden. Cloud-Anbieter können die Einhaltung der Kriterien durch ein Audit nachweisen.
Cloud-Kunden können das Framework nutzen, um für das eigene Nutzungsszenario relevante Anforderungen zu identifizieren und so ihr angestrebtes Maß an Souveränität festlegen. Das BSI wird im nächsten Schritt einen Leitfaden für C3A-Audits veröffentlichen – die Nachweiserbringung wird dabei den etablierten C5-Testierungsprozessen ähneln. Die C3A sind in Kriterien und Zusatzkriterien unterteilt. Für einige der Kriterien werden ergänzende Informationen bereitgestellt. Je nach Anwendungsfall und Anforderungen des Cloud-Kunden kann festgelegt werden, welche Kriterien und Zusatzkriterien herangezogen werden. So bieten die C3A beispielsweise Auswahloptionen bezüglich der Lokalisierung (z.B. Standort der Rechenzentren, Herkunft des Betriebspersonals). Je nach Kritikalität des Anwendungsfalls und Ergebnis der eigenen Risikoanalyse können Cloud-Nutzende entscheiden, ob sie eine Lokalisierung in Deutschland oder in der EU fordern. In Struktur und Zielsetzung orientieren sich die C3A am europäischen Cloud Sovereignty Framework (EU CSF). Darüber hinaus werden die „contributing factors“ des EU CSF in den überprüfbaren Kriterien der C3A aufgegriffen und um ergänzende Aspekte erweitert. Die C3A setzen zudem voraus, dass der Cloud-Anbieter die C5-Kriterien erfüllt. Die Veröffentlichung einer deutschsprachigen Version der C3A ist für Ende des 2. Quartals 2026 geplant. +++ Link zur PM: https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260427_C3A.html Link zum Kriterienkatalog C3A: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/CloudComputing/C3A_Cloud_Computing_Autonomy.pdf?__blob=publicationFile +++ Pressekontakt: Bundesamt für Sicherheit in der Informationstechnik
PM Bundesamt für Sicherheit in der Informationstechnik
