BSI definiert: Wann eine Cloud wirklich souverän ist
Seit Monaten wird diskutiert, ob die Abhängigkeit von nichteuropäischen Cloud-Anbietern zu groß ist. AWS, Azure, Alibaba, Huawei Cloud. Besonders für die öffentliche Verwaltung und Betreiber kritischer Infrastrukturen gilt: Viele Versprechungen, wenig Klarheit.
Das BSI hat jetzt mit den C3A, Criteria Enabling Cloud Computing Autonomy, konkrete Kriterien vorgelegt. Thomas Caspers, Vizepräsident des BSI: „Es geht uns um technisch tragfähige Lösungen, die konkrete Bedingungen formulieren."
Was das C3A-System definiert
Die C3A bauen auf den Kriterien der EU-Generaldirektion DIGIT auf und konkretisieren diese um breitere Praxiserfahrungen. Frankreich (ANSSI) und das BSI haben umfangreiche Erfahrungen gesammelt: SAP-Microsoft DelosCloud, Stackit von Schwarz-Digits, T-Systems Sovereign Cloud mit Google, AWS European Sovereign Cloud.
Das System definiert konkrete Anforderungen in drei Bereichen: technisch, juristisch und personell.
Disconnect: Was passiert, wenn die Verbindung gekappt wird
Das Kriterium SOV-4-09-C definiert, was bei einem Disconnect vom außereuropäischen Betreiber gewährleistet sein muss. Der Kern: Der Betrieb muss weiterlaufen, ohne dass Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit leiden.
Dazu gehört ein dokumentierter Prozess für die Abkopplung. Der Betreiber muss das mindestens einmal jährlich testen und dokumentieren. Inklusive der Testergebnisse. Wer das weitergehende Kriterium SOV-4-09-AC erfüllen will, muss seine Dokumentation auf Verlangen mit den zuständigen IT-Sicherheitsbehörden teilen.
Mitarbeiter: EU-Bürger mit EU-Wohnsitz
SOV-4-01-C1 verlangt, dass alle Mitarbeiter mit logischem oder physischem Zugang zu Betriebsmitteln des Cloud-Dienstleisters EU-Staatsbürgerschaft und EU-Wohnsitz haben müssen. Noch schärfer: SOV-4-01-C2 verlangt deutschen Wohnsitz für Hochsicherheitsanwendungen wie Sicherheitsbehörden oder Bundeswehr.
Verteidigungsfall: Betrieb an Bundesbehörden übergeben
Für den Verteidigungsfall enthält C3A klare Kriterien. Cloud-Dienstleister müssen in der Lage sein, den Betrieb an Bundesbehörden zu übergeben. Inklusive des notwendigen Materials und Personals. Das ist keine theoretische Anforderung. Das ist Notstandsgesetzgebung.
Die Praxis: Nachweise führen wird schwer
C3A ist aus sich heraus nicht verbindlich. Caspers: „Sie können aber im Rahmen von Gesetzgebung oder bei Ausschreibungen zu Mindestanforderungen erklärt werden." Genau das wird wahrscheinlich passieren. Der Cloud and AI Development Act (CADA) der EU-Kommission soll am 27. Mai vorgelegt werden. EU-Vizekommissionspräsidentin Henna Virkkunen wird damit klarere Kriterien für Cloud-Souveränität vorgeben.
Für Cloud-Anbieter bedeutet das: Die Nachweise zu führen, wird anspruchsvoll. Jährliche Disconnect-Tests, Mitarbeiter mit EU-Staatsbürgerschaft und Wohnsitz, dokumentierte Übergabeprozesse für den Verteidigungsfall. Wer das nicht vorweisen kann, wird bei öffentlichen Aufträgen und KRITIS-Ausschreibungen nicht mehr zum Zug kommen.
Für Kunden bedeutet das: Die Auswahl wird kleiner, aber die verbleibenden Anbieter werden verlässlicher. Ob das reicht, um die Abhängigkeit von US-Hyperscalern zu verringern, steht in den Sternen. C3A definiert die Kriterien. Die Anbieter müssen sie erfüllen.
Quellen: