Rahmenwerk für digitale Souveränität
BSI legt Kriterienkatalog für souveräne Clouds vor
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Kriterienkatalog für souveräne Cloud Dienste veröffentlicht und damit erstmals klar definiert, welche Anforderungen es an eine „souveräne Cloud“ stellt. Deutlich wird dabei auch, welche Angebote nicht darunterfallen: Die klassischen Public Cloud Lösungen von Microsoft Azure, AWS und Google gelten demnach nicht als souverän. Anders kann dies bei spezifischen Angeboten wie der European Sovereign Cloud von AWS oder bei europäischen Anbietern wie Stackit sein. Der Kriterienkatalog versteht sich zunächst als richtungsweisender Handlungsrahmen, hat aktuell jedoch noch keine regulatorische Wirkung.
29.04.26
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Kriterienkatalog für souveräne Cloud Dienste veröffentlicht und damit erstmals klar definiert, welche Anforderungen es an eine „souveräne Cloud“ stellt. Deutlich wird dabei auch, welche Angebote nicht darunterfallen: Die klassischen Public Cloud Lösungen von Microsoft Azure, AWS und Google gelten demnach nicht als souverän. Anders kann dies bei spezifischen Angeboten wie der European Sovereign Cloud von AWS oder bei europäischen Anbietern wie Stackit sein. Der Kriterienkatalog versteht sich zunächst als richtungsweisender Handlungsrahmen, hat aktuell jedoch noch keine regulatorische Wirkung.
Neu ist vor allem die technische und inhaltliche Ausformulierung des Begriffs Souveränität. Grundlage für die Bewertung der Cloud‑Sicherheit bleibt der C5‑Kriterienkatalog des BSI, der nun um mehrere Souveränitätsdimensionen ergänzt wird. Dazu zählt die strategische Souveränität, nach der Cloud‑Anbieter deutschem oder EU‑Recht unterliegen müssen und eine effektive Kontrolle durch deutsche oder europäische Behörden gewährleistet sein muss. Zudem sind Kunden frühzeitig zu informieren, wenn Nicht‑EU‑Akteure Anteile erwerben oder ein Unternehmen übernehmen. Die rechtliche Souveränität verpflichtet Anbieter dazu, einmal jährlich die Auswirkungen von Nicht‑EU‑Gesetzen auf ihr Geschäft zu analysieren und Risiken zu bewerten – einschließlich Regelungen für den Verteidigungsfall.
Weitere zentrale Aspekte sind die Daten‑ und Betriebssouveränität. Hier legt das BSI fest, wie viel Kontrolle Kunden über ihre Daten und Metadaten haben müssen, wo diese gespeichert werden und, dass Rechenzentren im Ernstfall bis zu 90 Tage ohne Verbindungen zu Nicht‑EU‑Staaten betrieben werden können. Ergänzt wird dies durch Anforderungen an transparente Lieferketten sowie an die technologische Souveränität, etwa durch die Vorgabe, dass ein aktuelles Backup des Quellcodes innerhalb der EU vorliegen muss.
Parallel dazu hat die EU‑Kommission angekündigt, Ende Mai eine Verordnung zur Regulierung von Cloud Computing und Künstlicher Intelligenz vorzulegen – den sogenannten Cloud and AI Development Act (Cada). Der neue BSI‑Kriterienkatalog wurde bereits mit Blick auf dessen nationale Umsetzung entwickelt, da erwartet wird, dass die EU künftig deutlich strengere Souveränitätsanforderungen an Cloud‑Dienste stellen wird.