Cybersicherheit neu gedacht: Digitale Souveränität als strategische Kernfrage für Deutschland und Europa

Deutschland und Europa stehen unter einem permanenten Druck wachsender Cyberaggression. Dabei prägen längst nicht mehr nur klassische Bedrohungen wie Cyber Crime (finanziell motivierte Angriffe) und Cyber Conflict (staatlich gesteuerte Cyberoperationen) die sicherheitspolitische Lage. Immer stärker rückt eine dritte, oft unterschätzte Dimension in den Fokus: Cyber Dominance.

Gemeint ist damit die strukturelle Möglichkeit von Herstellern digitaler Produkte und Plattformen, dauerhaft Zugriff auf Systeme, Daten und Infrastrukturen ihrer Kunden zu behalten – technisch, organisatorisch oder rechtlich abgesichert. Diese Form der Abhängigkeit berührt den Kern dessen, was heute unter digitaler Souveränität verstanden wird – insbesondere im hochsensiblen Bereich von Cloud-Diensten.

Neue Transparenz für Cloud-Souveränität: C3A des BSI

Mit den C3A – Criteria enabling Cloud Computing Autonomy hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun einen richtungsweisenden Handlungsrahmen vorgelegt. Ziel ist es, die Souveränitätseigenschaften von Cloud-Diensten erstmals systematisch, nachvollziehbar und vergleichbar zu machen.

BSI-Präsidentin Claudia Plattner betont die strategische Bedeutung:

„Digitale Souveränität bewegt die Menschen. Uns allen ist klar, dass der europäische Markt und die hiesige Digitalindustrie in wichtigen Technologiefeldern gestärkt werden müssen. Gleichzeitig müssen außereuropäische Produkte – überall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird. Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind.“

Auch aus Sicht des BSI ist die Cloud-Nutzung stets als geteiltes Verantwortungsmodell (shared responsibility model) zwischen Anbieter und Nutzer zu verstehen. Genau hier setzt C3A an: Während der C5-Kriterienkatalog die Sicherheitsanforderungen adressiert, bewertet C3A die Frage der Selbstbestimmtheit und operativen Kontrolle im jeweiligen Nutzungskontext.

BSI-Vizepräsident Thomas Caspers unterstreicht den praxisorientierten Ansatz:

„Um risikobasierte Entscheidungen treffen zu können, sind objektive und überprüfbare Kriterien für Selbstbestimmtheit erforderlich. C3A ist in enger Zusammenarbeit mit Cloud-Providern entstanden und integriert Erfahrungen aus der Praxis ebenso wie internationale Abstimmungen.“

Vom Sicherheits- zum Souveränitätsrahmen

Die C3A sind bewusst als nicht-regulatorisches, aber strategisch wirksames Framework konzipiert. Sie ermöglichen es sowohl Cloud-Anbietern als auch -Nutzern, Souveränitätsanforderungen transparent abzubilden.

Cloud-Anbieter können die Einhaltung der Kriterien über Auditverfahren nachweisen, während Cloud-Kunden auf Basis ihrer individuellen Risikoprofile festlegen, welches Maß an Souveränität sie in einem konkreten Anwendungsfall benötigen. Aspekte wie Datenlokalisierung, Betriebshoheit oder Zugriffsmöglichkeiten auf Systeme werden dadurch erstmals strukturiert vergleichbar.

Dabei orientiert sich C3A eng am europäischen Cloud Sovereignty Framework (EU CSF) und erweitert dieses um zusätzliche, praxisrelevante Prüfkriterien. Voraussetzung ist stets die Einhaltung der C5-Anforderungen als Sicherheitsbasis.

Politische Relevanz: Souveränität wird zur Standortfrage

Mit C3A verschiebt sich die Debatte über Cloud-Nutzung von einer rein technischen hin zu einer klar politischen und wirtschaftsstrategischen Frage: Wie unabhängig kann und will Europa seine digitalen Infrastrukturen betreiben?

Die Antwort darauf entscheidet über Innovationsfähigkeit, Wettbewerbsfähigkeit und letztlich auch über staatliche Handlungsfähigkeit im digitalen Raum.

Vor diesem Hintergrund fordert die Bundesfachkommission Cybersicherheit des Wirtschaftsrates:

Deutschland und Europa müssen digitale Souveränität als verbindliches Leitprinzip der öffentlichen IT- und Cloud-Beschaffung verankern. Der C3A-Rahmen des BSI ist zügig in Vergabe- und Beschaffungsprozesse zu integrieren, um Transparenz, Vergleichbarkeit und risikobasierte Souveränitätsentscheidungen systematisch zu ermöglichen und europäische Handlungsfähigkeit im digitalen Raum nachhaltig zu stärken.