{"id":324260,"date":"2026-04-29T00:02:49","date_gmt":"2026-04-28T22:02:49","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324260"},"modified":"2026-04-28T11:00:28","modified_gmt":"2026-04-28T09:00:28","slug":"bsi-kriterienkatalog-fuer-eine-souveraene-cloud","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/04\/29\/bsi-kriterienkatalog-fuer-eine-souveraene-cloud\/","title":{"rendered":"BSI-Kriterienkatalog f\u00fcr eine \"souver\u00e4ne Cloud\""},"content":{"rendered":"

Wann kann eine Cloud-L\u00f6sung als souver\u00e4n betrachtet werden? Zu dieser Frage hat das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) einen C3A<\/span>-Katalog vorgestellt. Dieser Katalog enth\u00e4lt eine technisch belastbare Definition, wann eine Cloud-L\u00f6sung als<\/span> souver\u00e4n eingestuft werden kann.\u00a0<\/span><\/p>\n

<\/p>\n

Souver\u00e4nit\u00e4tskriterien f\u00fcr Cloud-Dienste<\/h2>\n

\"\"Das Thema ist mir die Tage bereits mehrfach untergekommen, daher stelle ich die Information mal hier im Blog ein. Nachfolgender Tweet<\/a> von Dennis Kipker weist auf dieses Angebot hin. Es geht um die Frage, nach welches Kriterien Cloud-Dienste als souver\u00e4n angesehen werden k\u00f6nnen. Das BSI hat zum 27. April 2026 die Souver\u00e4nit\u00e4tskriterien f\u00fcr Cloud-Dienste<\/a> angek\u00fcndigt.<\/p>\n

\"BSI<\/p>\n

Der Hintergrund des Kriterienkatalogs<\/h2>\n

Deutschland und Europa st\u00e4nden unter dem permanenten Druck von Cyberaggression hei\u00dft es in der Ank\u00fcndigung. Dabei r\u00fccke neben dem Thema Cyber Crime (finanziell motivierte Cyberangriffe) und Cyber Conflict (staatlich gelenkte Cyberangriffe) eine dritte Bedrohungsart immer mehr in den gesamtgesellschaftlichen Fokus: Cyber Dominance, hei\u00dft es. Darunter ist die M\u00f6glichkeit von Herstellern digitaler Produkte zu verstehen, dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten.<\/p>\n

Das Thema ist vom BSI diplomatisch verpackt worden, im Kern geht es prim\u00e4r um die Dominanz durch US-Cloud-Anbieter, deren Cloud-Produkte im Zeichen der Pr\u00e4sidentschaft von Donald Trump zum Betriebsrisiko werden. Die Entwicklungen, die ich im Beitrag\u00a0Keine digitale Souver\u00e4nit\u00e4t: Franz\u00f6sischer Richter Nicolas Guillou ger\u00e4t nach US-Sanktionen in Digitaler Steinzeit; OVH soll Daten eines Kunden an Kanada liefern<\/a> beschrieben habe, zeigen, wie die Entwicklung verlaufen kann. Und im August 2025 hatte ich im Beitrag\u00a0Sanktioniert die Trump-Administration bald EU-Vertreter wegen DSA?<\/a> angedeutet, dass die Dominanz der USA im IT-Bereich samt erzwungener digitaler Abh\u00e4ngigkeit zur Staatsdoktrin erhoben wurde.<\/p>\n

Wie definieren wir digitale Souver\u00e4nit\u00e4t?<\/h2>\n

Unter diesem Aspekt stelle sich die Frage nach digitaler Souver\u00e4nit\u00e4t, so das BSI, und weitet dies auf den Aspekt aus, dass diese digitaler Souver\u00e4nit\u00e4t auch und insbesondere Cloud-Dienste betrifft.<\/p>\n

Mit den C3A – Criteria enabling Cloud Computing Autonomy<\/a> hat das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) nun einen Handlungsrahmen vorgelegt, der die Souver\u00e4nit\u00e4tseigenschaften von Cloud-Diensten transparent macht. Der C3A-Kriterienkatalog richtet sich am C5-Kriterienkatalog<\/a> (Cloud Computing Compliance Criteria Catalogue) des BSI aus. Dieser spezifiziert Mindestanforderungen an sicheres Cloud Computing\u00a0und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Pr\u00fcfer und Kunden<\/p>\n

BSI-Pr\u00e4sidentin Claudia Plattner l\u00e4sst sich dazu so zitieren: \"Digitale Souver\u00e4nit\u00e4t bewegt die Menschen. Uns allen ist klar, dass der europ\u00e4ische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gest\u00e4rkt werden m\u00fcssen. Dabei hilft das BSI im Bereich der Cybersicherheit aktiv mit. Gleichzeitig m\u00fcssen au\u00dfereurop\u00e4ische Produkte \u2013 \u00fcberall dort, wo wir diese weiterhin verwenden wollen \u2013 so abgesichert werden, dass eine selbstbestimmte Nutzung m\u00f6glich wird. Die C3A bieten Transparenz, Orientierung und die M\u00f6glichkeit, Cloud-Dienste nach den Kriterien auszuw\u00e4hlen, die f\u00fcr den jeweiligen Anwendungszweck relevant sind.\"<\/p>\n

Die Entscheidung \u00fcber die Nutzung von Cloud-Diensten beruht auf dem Modell der geteilten Verantwortung (shared responsibility model) zwischen Cloud-Anbietern und Cloud-Kunden. Es schr\u00e4nkt den Umfang der Entscheidungen ein, die Cloud-Kunden treffen k\u00f6nnen \u2013 auch und gerade mit Blick auf die sichere und selbstbestimmte Nutzung der Angebote.<\/p>\n

C3A- und C5-Kriterienkatalog<\/h2>\n

W\u00e4hrend die Sicherheitseigenschaften von Cloud-Diensten im Cloud Computing Compliance Criteria Catalogue<\/a> (C5) des BSI adressiert werden, erm\u00f6glicht der Kriterienkatalog C3A eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann. Die C3A dienen dabei als richtungsweisender Handlungsrahmen und schaffen Transparenz, entfalten jedoch keine regulative Wirkung.<\/p>\n

Die C3A k\u00f6nnen laut BSI sowohl von Cloud-Anbietern als auch von Cloud-Kunden genutzt werden.<\/p>\n