Kritik an BSI-Rahmen: Scheinsouveränität für die europäische Cloud?

Die Debatte über die digitale Souveränität in Europa macht vor den Rechnerwolken längst nicht mehr Halt. Im Zentrum der Kritik steht aktuell das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinem jüngst veröffentlichten Kriterienkatalog C3A (Cloud Computing Autonomy). Der europäische Cloudverband CISPE und mehrere Provider vom alten Kontinent erheben dagegen schwerwiegende Vorwürfe: Die Bonner Behörde verspreche zwar Unabhängigkeit, legitimiere letztlich aber den ununterbrochenen Einsatz von US-Hyperscalern als Subunternehmer. Sie öffne damit extraterritorialen Risiken sowie strukturellen Vendor-Lock-ins Tür und Tor.

Die heise online vorliegende CISPE-Analyse macht große Schlupflöcher im C3A-Katalog aus. So sehe das Framework zwar vor, dass der primäre Cloud-Anbieter unter europäischer Kontrolle stehen müsse. Bei den weitaus wichtigeren Subunternehmern weiche das BSI diese Linie aber drastisch auf: Für sie wird lediglich eine registrierte Hauptniederlassung in Deutschland oder der EU verlangt.

Eine tatsächliche Eigentumskontrolle durch europäische Unternehmen ist nicht vorgeschrieben. Europäische Anbieter können im Rahmen von C3A also problemlos auf US-Infrastruktur-Giganten setzen, die vollumfänglich dem Zugriff ausländischer Behörden und Gesetzen wie dem US Cloud Act ausgesetzt sind. Damit müssen sie gegebenenfalls Daten an Behörden in den USA herausrücken.

Bürokratie statt echtem Schutz

Diese extraterritoriale Offenheit wird in dem Regelwerk nicht unterbunden, sondern formalisiert. Der Katalog verlangt von den Anbietern lediglich eine jährliche Risikoanalyse solcher Auslandszugriffe. Die Kritiker bemängeln dies als Papiertiger-Bürokratie: Es gebe keinerlei Verpflichtung, die identifizierten Risiken technisch zu minimieren oder organisatorisch auszuschließen. Da sich die Betrachtung zudem nur auf kundengenerierte Informationen beziehe, blieben andere kritische Datentöpfe wie Metadaten, Telemetrie oder Account-Informationen völlig schutzlos.

Gleichzeitig baut das BSI Hürden auf, die für den breiten europäischen Mittelstand unüberwindbar scheinen. Der Katalog fordert etwa, dass Anbieter innerhalb der EU eine tägliche Kopie des Quelltextes vorhalten und eigene Build-Umgebungen betreiben müssen, um Software im Ernstfall unabhängig patchen zu können. Was nach maximaler Resilienz klingt, geht dem CISPE zufolge aber an der wirtschaftlichen Realität vorbei. Kein europäisches mittelständisches Unternehmen verfüge über die Verhandlungsmacht oder die Ressourcen, um von globalen Softwarekonzernen den Zugriff auf proprietären Source-Code zu erzwingen oder komplexe Drittsoftware in Eigenregie weiterzuentwickeln.

Wettbewerbsnachteil für den Mittelstand

Damit bewirkt das Framework das exakte Gegenteil seines Ziels: Es schließt den innovativen europäischen Mittelstand de facto aus und begünstigt jene Konstrukte, die ohnehin auf die Technologie der US-Hyperscaler aufsetzen. Als prominentes Beispiel nennen die Autoren der Stellungnahme das deutsche Cloud-Modell Delos von SAP und Microsoft. Solche Großprojekte könnten die extremen Anforderungen an die Quellcode-Hinterlegung erfüllen. Sie zementierten so aber genau jene technologische Abhängigkeit, die Europa eigentlich überwinden wolle.

Verschärft wird das Problem durch das Fehlen jeglicher Interoperabilitäts- oder Portabilitätsvorgaben, die einen Schutz vor unfairem Anbieterwechsel oder plötzlichen Kündigungen bieten würden. Das BSI fokussiere sich fast ausschließlich darauf, dass der Provider selbst im Krisenfall betriebsbereit bleibt, moniert der Verband. Die Freiheit des Kunden, seine Daten flexibel zu migrieren oder sich von proprietären Systemen zu lösen, spiele in dem Katalog keine Rolle.

Richtungsentscheidung für Europa

Angesichts des von der EU-Kommission im Kontext des Pakets für technologische Souveränität geplanten Cloud & AI Development Act (CADA) droht das BSI-Rahmenwerk einen gefährlichen Präzedenzfall zu schaffen. Die europäische Tech-Szene steht vor der Richtungsentscheidung, welche Definition von digitaler Souveränität künftig gelten soll: Eine echte operative und technologische Unabhängigkeit oder eine bürokratisch kontrollierte, aber fortwährende Interdependenz von den globalen Tech-Monopolen.

Demgegenüber unterstrich jüngst Luise Kranich, Leiterin der Abteilung Technologiestrategie beim BSI, dass Souveränität nicht mit Isolation gleichzusetzen sei: Völlige Autarkie und maximaler Einfluss auf die Anbieter sei nicht nur nicht möglich, sondern auch nicht gewünscht. Das Amt fokussiere sich mit C3A stattdessen darauf, Abhängigkeiten kontrollierbar zu gestalten. Dass der Entwurf US-Konzernen vorab zur Prüfung vorlag, verteidigte Kranich als strategischen Härtetest: „Wenn sie sagen: ‚Könnt ihr so machen‘, dann sind wir nicht streng genug.“ Die Hyperscaler müssten erkennen, dass mehr gefordert sei „als ein Projektchen in einem deutschem Rechenzentrum“.

(nie)