Digitale Souveränität in Deutschland

BSI definiert neue Kriterien für souveräne Clouds

Cloud, Deutschland
LinkedInRedditWhatsApp

Das BSI veröffentlicht mit C3A eine Checkliste für souveräne Cloud-Anbieter, um die Abhängigkeit von Big Tech zu verringern.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen neuen Kriterienkatalog vorgelegt. Dieses unter dem Namen C3A bekannte Dokument soll Unternehmen und Behörden helfen, die Souveränität von Cloud-Diensten objektiv zu bewerten. Das BSI reagiert damit auf eine Entwicklung, die es als Cyber-Dominanz bezeichnet. Damit ist die Fähigkeit großer internationaler Technik-Konzerne gemeint, dauerhaften Zugriff auf die Systeme und Daten ihrer europäischen Kunden zu behalten. Diese Form der technologischen Übermacht stuft die Behörde als eine ernsthafte Bedrohung für die digitale Selbstbestimmung ein.

Anzeige

Cloud-Dienste nach Kriterien für die Autonomie auswählen

Bei der Vorstellung des Rahmenwerks betonte BSI-Präsidentin Claudia Plattner, dass Europa unter einem ständigen Druck durch Cyber-Angriffe stehe. Neben der klassischen Kriminalität im Netz rücke die Cyber-Dominanz als strategische Gefahr immer stärker in den Mittelpunkt der Gesellschaft. Die neue Checkliste mit dem Titel Criteria enabling Cloud Computing Autonomy soll Transparenz schaffen und es Kunden ermöglichen, Cloud-Dienste nach klaren Kriterien für die Autonomie auszuwählen. Auch wenn das Dokument rechtlich nicht bindend ist, wird es voraussichtlich einen großen Einfluss auf künftige Ausschreibungen und Sicherheits-Anforderungen haben.

„Digitale Souveränität bewegt die Menschen. Uns allen ist klar, dass der europäische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gestärkt werden müssen. Dabei hilft das BSI im Bereich der Cybersicherheit aktiv mit. Gleichzeitig müssen außereuropäische Produkte – überall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird. Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“

BSI-Präsidentin Claudia Plattner

Anzeige

Sechs zentrale Säulen für eine autonome Cloud-Nutzung

Der Kriterienkatalog definiert sechs Bereiche, in denen Anbieter ihre Unabhängigkeit nachweisen müssen. Dazu gehört die strategische Souveränität, welche vorschreibt, dass der Anbieter seinen Sitz in der EU haben muss und effektiv von europäischen Einheiten kontrolliert wird. Im Bereich der rechtlichen Souveränität müssen Anbieter offenlegen, ob sie Gesetzen aus Drittstaaten unterliegen, die den Zugriff auf Daten erlauben könnten. Besonders wichtig ist zudem die Datensouveränität. Hierbei wird gefordert, dass die Verschlüsselungs-Keys ausschließlich beim Kunden verbleiben und der Anbieter technisch keinen Zugriff auf Klartext-Daten hat.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Anforderungen an Personal und Technik in Europa

Die operationelle Souveränität verlangt, dass das Personal mit Zugang zu den Systemen EU-Bürger sein muss. Zudem muss der Dienst in der Lage sein, alle Verbindungen zu Netzwerken außerhalb der EU zu trennen, ohne den Betrieb zu unterbrechen. Auch die Lieferkette muss lückenlos dokumentiert sein, um kritische Abhängigkeiten von Hardware oder Software aus Nicht-EU-Staaten zu vermeiden. Die technologische Souveränität stellt sicher, dass Backups des Quellcodes und Dokumentationen in der EU vorliegen, damit der Betrieb auch bei einem Abbruch der Zusammenarbeit mit Drittanbietern gesichert bleibt.

Ein deutliches Signal an die Tech-Branche aus Übersee

Mit diesem Vorstoß verschärft das BSI den Wettbewerb um sichere Cloud-Lösungen. Bisher konnten große Anbieter oft nur allgemeine Sicherheits-Zertifikate vorweisen, während die tatsächliche Unabhängigkeit von ausländischen Regierungen oft unklar blieb. Das C3A-Schema baut auf dem bestehenden C5-Standard auf und ergänzt diesen um die politische sowie rechtliche Dimension der Unabhängigkeit. Während europäische Anbieter diesen Vorstoß begrüßen dürften, wird die US-amerikanische Industrie solche Regeln vermutlich als Barriere für den Markteintritt kritisieren. Das BSI hält dagegen, dass digitale Souveränität die Voraussetzung für eine sichere Nutzung moderner Technik sei.

„Cloud-Nutzung schafft eine Beziehung zwischen Kundinnen und Kunden einerseits und dem Cloud-Anbieter andererseits. In diesem Zusammenhang können Einflüsse auf den Anbieter indirekt auch Kunden betreffen. Um diese in die Lage zu versetzen, risikobasierte Entscheidungen zu treffen, sind allgemein anerkannte, objektive und überprüfbare Kriterien für Selbstbestimmtheit und Autonomie erforderlich. Den Kriterienkatalog C3A haben wir im Rahmen unserer Zusammenarbeit mit nationalen und internationalen Cloud-Providern, mit denen wir Kooperationsvereinbarungen haben, entwickelt: Dabei sind Erkenntnisse aus der Praxis in ein richtungsweisendes Framework geflossen, zu dem wir uns auch mit unseren internationalen Partnerbehörden austauschen.“

BSI-Vizepräsident Thomas Caspers


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Cybersicherheit, IT-Sicherheit Unternehmen, Cybersecurity Führungskräfte, Cybersecurity Führung, Warum Cybersecurity Chefsache ist, Cybersecurity, IT-Sicherheit
27. April 2026
Warum Cybersecurity keine reine IT-Frage mehr ist – und was Führungskräfte jetzt tun müssen
Cloud, Deutschland
27. April 2026
BSI definiert neue Kriterien für souveräne Clouds
Windows
27. April 2026
Microsoft strukturiert Windows Insider Programm grundlegend um
Meta Quest
27. April 2026
China verhindert KI-Vorstoß von Meta

Weitere Artikel

Microsoft strukturiert Windows Insider Programm grundlegend um
China verhindert KI-Vorstoß von Meta
Cyberangriffe bleiben im Schnitt 108 Tage unentdeckt
Die unlöschbare Backdoor in Cisco-Firewalls: Malware FIRESTARTER
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.