Das Bundesamt für Sicherheit in der Informationstechnik hat neue Kriterien zur Bewertung der digitalen Souveränität von Cloud-Diensten veröffentlicht. Mit dem Rahmenwerk „Criteria enabling Cloud Computing Autonomy“ will die Behörde eine Grundlage schaffen, um die selbstbestimmte Nutzung von Cloud-Angeboten besser einschätzen zu können.

Das BSI sieht neben kriminellen und staatlich gesteuerten Cyberangriffen eine weitere Entwicklung: Hersteller digitaler Produkte behalten zunehmend Zugriff auf Systeme und Daten ihrer Kunden. Daraus ergibt sich nach Einschätzung der Behörde die Notwendigkeit, digitale Souveränität stärker zu berücksichtigen, insbesondere bei Cloud-Diensten.

Die neuen Kriterien ergänzen bestehende Sicherheitsanforderungen und richten sich auf die Frage, inwieweit Nutzer Kontrolle über ihre Daten und Anwendungen behalten. Während der bestehende Kriterienkatalog für Cloud-Sicherheit technische Schutzmaßnahmen abdeckt, ermöglicht das neue Rahmenwerk eine Bewertung der Handlungsspielräume von Cloud-Kunden im jeweiligen Nutzungskontext. Das BSI betont, dass die Kriterien keine regulatorische Wirkung entfalten, sondern als Orientierung dienen.

Cloud-Anbieter können die Einhaltung der Vorgaben prüfen lassen, während Anwender die Kriterien nutzen können, um Anforderungen für ihre eigenen Einsatzszenarien abzuleiten. Dabei spielen unter anderem Aspekte wie der Standort von Rechenzentren oder der Einsatz von Personal innerhalb bestimmter Regionen eine Rolle.

Das BSI orientiert sich bei Aufbau und Zielsetzung an europäischen Ansätzen zur Cloud-Souveränität und plant, die Anwendung der Kriterien durch einen ergänzenden Leitfaden weiter zu konkretisieren.