BSI-Präsidentin Claudia Plattner: „Digitale Souveränität bewegt die Menschen. Uns allen ist klar, dass der europäische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gestärkt werden müssen. Dabei hilft das BSI im Bereich der Cybersicherheit aktiv mit. Gleichzeitig müssen außereuropäische Produkte – überall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird. Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“
BSI-Vizepräsident Thomas Caspers: „Cloud-Nutzung schafft eine Beziehung zwischen Kundinnen und Kunden einerseits und dem Cloud-Anbieter andererseits. In diesem Zusammenhang können Einflüsse auf den Anbieter indirekt auch Kunden betreffen. Um diese in die Lage zu versetzen, risikobasierte Entscheidungen zu treffen, sind allgemein anerkannte, objektive und überprüfbare Kriterien für Selbstbestimmtheit und Autonomie erforderlich. Den Kriterienkatalog C3A haben wir im Rahmen unserer Zusammenarbeit mit nationalen und internationalen Cloud-Providern, mit denen wir Kooperationsvereinbarungen haben, entwickelt: Dabei sind Erkenntnisse aus der Praxis in ein richtungsweisendes Framework geflossen, zu dem wir uns auch mit unseren internationalen Partnerbehörden austauschen.“
Die Entscheidung über die Nutzung von Cloud-Diensten beruht auf dem Modell der geteilten Verantwortung (shared responsibility model) zwischen Cloud-Anbietern und Cloud-Kunden. Es schränkt den Umfang der Entscheidungen ein, die Cloud-Kunden treffen können – auch und gerade mit Blick auf die sichere und selbstbestimmte Nutzung der Angebote. Während die Sicherheitseigenschaften von Cloud-Diensten im Cloud Computing Compliance Criteria Catalogue (C5) des BSI adressiert werden, ermöglicht der Kriterienkatalog C3A eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann. Die C3A dienen dabei als richtungsweisender Handlungsrahmen und schaffen Transparenz, entfalten jedoch keine regulative Wirkung.
Die C3A können sowohl von Cloud-Anbietern als auch von Cloud-Kunden genutzt werden. Cloud-Anbieter können die Einhaltung der Kriterien durch ein Audit nachweisen. Cloud-Kunden können das Framework nutzen, um für das eigene Nutzungsszenario relevante Anforderungen zu identifizieren und so ihr angestrebtes Maß an Souveränität festlegen. Das BSI wird im nächsten Schritt einen Leitfaden für C3A-Audits veröffentlichen – die Nachweiserbringung wird dabei den etablierten C5-Testierungsprozessen ähneln.
Die C3A sind in Kriterien und Zusatzkriterien unterteilt. Für einige der Kriterien werden ergänzende Informationen bereitgestellt. Je nach Anwendungsfall und Anforderungen des Cloud-Kunden kann festgelegt werden, welche Kriterien und Zusatzkriterien herangezogen werden. So bieten die C3A beispielsweise Auswahloptionen bezüglich der Lokalisierung (z.B. Standort der Rechenzentren, Herkunft des Betriebspersonals). Je nach Kritikalität des Anwendungsfalls und Ergebnis der eigenen Risikoanalyse können Cloud-Nutzende entscheiden, ob sie eine Lokalisierung in Deutschland oder in der EU fordern.
In Struktur und Zielsetzung orientieren sich die C3A am europäischen Cloud Sovereignty Framework (EU CSF). Darüber hinaus werden die „contributing factors“ des EU CSF in den überprüfbaren Kriterien der C3A aufgegriffen und um ergänzende Aspekte erweitert. Die C3A setzen zudem voraus, dass der Cloud-Anbieter die C5-Kriterien erfüllt. Die Veröffentlichung einer deutschsprachigen Version der C3A ist für Ende des 2. Quartals 2026 geplant.
– – – – –
Weiterführende Links
👉 www.bsi.bund.de
Foto: pixabay
