C3A: Der neue BSI-Maßstab für souveräne Clouds im Überblick

Wer „souverän“ sagt, meint oft nur „europäisch gehostet“. Beim Thema Souveränität herrscht einerseits eine große Aufmerksamkeit, aber andererseits in der Umsetzung eine große Ahnungslosigkeit. Das nutzen einige Hersteller aus, um, wie das ZenDiS in einem Whitepaper anprangert, Souveränitäts-Washing zu betreiben und den Kunden damit Sand in die Augen zu streuen, statt für mehr Transparenz zu sorgen. Das ZenDiS-Whitepaper analysiert Tobias Haar, während Jörn Petereit den Sovereign Cloud Compass vorstellt, mit dem sich souverän vermarktete Cloud-Angebote vergleichen lassen. Dabei zeigt er unterschiedliche Strategien des Souveränitäts-Washing auf.

Nun legt das BSI erstmals ein hartes Prüfraster an Cloud-Dienste an. Die Criteria Enabling Cloud Computing Autonomy (C3A) reichen vom Eigentümer bis zum Betrieb im Verteidigungsfall. Der Katalog ergänzt den bereits etablierten Cloud Computing Compliance Criteria Catalogue C5 um die Dimension Souveränität.

Der C3A-Katalog lehnt sich an das EU Cloud Sovereignty Framework EU CSF an, das die Generaldirektion DIGIT ursprünglich für die EU-eigene IT entwickelt hatte. Darauf beziehen sich auch der Sovereign Cloud Compass und das Whitepaper des ZenDiS. Aus den acht Souveränitätszielen des EU CSF übernimmt das BSI sechs, die der Kasten „C3A-Kriterien im Überblick“ weiter aufschlüsselt. Die Ziele zur Sicherheits- und Compliancesouveränität sowie zur ökologischen Nachhaltigkeit lässt das BSI weg: Für Sicherheit und Compliance liefern C5, NIS2 und DORA bereits eigene, breitere Standards.

Das war die Leseprobe unseres heise-Plus-Artikels „C3A: Der neue BSI-Maßstab für souveräne Clouds im Überblick“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.