BSI bestimmt Kriterien für souveräne EU-Cloud-Anbieter und warnt vor US-Cyberdominanz

Published: 27. April 2026
Aktualisiert am: 29. April 2026
ursula-big-tech
Image by Getty Images/Thierry Monasse.

Das BSI bezeichnet den dauerhaften Zugriff großer Technologiekonzerne auf Systeme und Daten von Kunden als „Cyberdominanz“, eine Form der Cyberaggression. Die deutsche Cybersicherheitsbehörde hat neue „Souveränitätskriterien“ für die Auswahl von Cloud-Diensten veröffentlicht. Die Checkliste ist freiwillig, könnte aber spürbare Folgen haben, wenn Einkäufer beginnen, die Einhaltung zur Voraussetzung zu machen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), Deutschlands zentrale Behörde für IT-Sicherheit, hat Silicon Valley soeben den Fehdehandschuh hingeworfen.

Die Behörde hat ein unverbindliches Dokument veröffentlicht, das „Kriterien zur Ermöglichung von Cloud-Computing-Autonomie (C3A)“ enthält. Darin wird definiert, was das BSI als „grundlegendes Maß an Souveränität“ versteht. Die Vorgaben sollen Kunden dabei helfen, fundiertere Entscheidungen über Cloud-Anbieter zu treffen.

ADVERTISEMENT

Um die Anforderungen zu erfüllen, müssen Anbieter unter anderem ihren Sitz in der EU haben, von europäischen Unternehmen geführt werden, ausländischen Regierungen keinen Zugang zu Daten gewähren, ihre Rechenzentren innerhalb der EU betreiben, Datenportabilität sicherstellen und dafür sorgen, dass ausschließlich die Kunden die Verschlüsselungsschlüssel in den Händen halten.

„Deutschland und Europa stehen unter dem permanenten Druck von Cyberaggression“, heißt es in der Pressemitteilung des BSI.

„Dabei rückt neben Cyber Crime (finanziell motivierte Cyberangriffe) und Cyber Conflict (staatlich gelenkte Cyberangriffe) eine dritte Bedrohungsart immer mehr in den gesamtgesellschaftlichen Fokus: Cyber Dominance – die Möglichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf die Systeme und Daten ihrer Kunden zu behalten.“

jurgita justinasv Izabelė Pukėnaitė vilius Ernestas Naprys Gintaras Radauskas
Lies neue Artikel bei Google News. Füge uns zu deinen bevorzugten Quellen hinzu
Jetzt folgen

Der neue C3A-Rahmen soll sowohl von Cloud-Anbietern genutzt werden, um ihre Souveränität nachzuweisen, als auch von Cloud-Kunden, um die jeweils relevanten Anforderungen zu ermitteln.

„Um diese in die Lage zu versetzen, risikobasierte Entscheidungen zu treffen, sind allgemein anerkannte, objektive und überprüfbare Kriterien für Selbstbestimmtheit und Autonomie erforderlich“, heißt es in dem Dokument.

BSI-Präsidentin Claudia Plattner betont, digitale Souveränität betreffe alle Bürgerinnen und Bürger, und europäische Technologie müsse in zentralen Bereichen gestärkt werden.

„Gleichzeitig müssen außereuropäische Produkte – überall dort, wo wir diese weiterhin verwenden wollen – so abgesichert werden, dass eine selbstbestimmte Nutzung möglich wird. Die C3A bieten Transparenz, Orientierung und die Möglichkeit, Cloud-Dienste nach den Kriterien auszuwählen, die für den jeweiligen Anwendungszweck relevant sind“, erklärt Plattner.

ADVERTISEMENT
Eine Wolke in einem blauen Himmel, Fragmente der EU-Flagge darunter und ein Google-Logo dahinter
Bild: Cybernews

Was braucht eine „souveräne Cloud“?

Das C3A-Dokument listet sechs übergeordnete Kriteriengruppen auf, die konkrete Anforderungen für den autonomen Einsatz von Cloud-Diensten festlegen.

Die Kriterien sind in Stufen gegliedert – von EU-weiten Anforderungen über länderspezifische Vorgaben bis hin zu Anforderungen auf Ebene einzelner Subunternehmer.

Strategische Souveränität: Cloud-Anbieter müssen unter EU-Recht operieren, ihren Sitz in der EU haben und effektiv von EU-Einheiten kontrolliert werden. Strengere Kriterien schränken dies auf Deutschland ein.

Rechtliche und jurisdiktionelle Souveränität: Technologieunternehmen müssen nicht-europäische Gesetze mit grenzüberschreitenden Auswirkungen auf Vertraulichkeit und Integrität von Kundendaten benennen und Prüfverfahren festlegen.

„Falls ein EU-Mitgliedstaat den Verteidigungsfall ausruft, MUSS der Cloud-Anbieter es diesem Mitgliedstaat ermöglichen, innerhalb der rechtlich zulässigen Möglichkeiten die zum Betrieb der Cloud erforderlichen Kapazitäten, einschließlich der notwendigen physischen Ressourcen und des Personals, zu übernehmen“, lautet eines der Kriterien.

Wurden meine Daten geleakt?
Jetzt prüfen

Datensouveränität: Anbieter müssen offenlegen, wo Daten gespeichert und verarbeitet werden, und sowohl EU-weite als auch deutschlandspezifische Speicheroptionen anbieten. Entscheidend: Verschlüsselungsschlüssel müssen bei den Kunden verbleiben. Anbieter dürfen keinen Zugriff auf die Daten haben und Cloud-Anbieter müssen eine clientseitige Verschlüsselung für alle Daten ermöglichen.

Cloud-Unternehmen müssen zudem mehrere Ebenen von Identitätsmanagementsystemen unterstützen, damit Kunden sich über externe Identitätsanbieter, offene, nicht-proprietäre Standards oder statuslose Authentifizierung anmelden können. Kunden müssen Protokollierungsmöglichkeiten für sämtliche Datenzugriffe erhalten.

ADVERTISEMENT

Betriebliche Souveränität: Personal mit logischem oder physischem Zugriff auf Dienste muss EU-Bürger oder deutsche Staatsbürger sein. Fernzugriffspfade müssen innerhalb der EU liegen. Cloud-Unternehmen müssen außerdem redundante und unabhängige Konnektivität sicherstellen, wobei mindestens ein Anbieter ein in der EU ansässiges Unternehmen sein, über europäische SOC-Kapazitäten (Security Operations Center) verfügen und Sicherheitsupdates kontrollieren muss.

„Der Cloud-Anbieter MUSS in der Lage sein, alle Netzwerkverbindungen außerhalb der EU zum Cloud-Dienst zu kappen, ohne dass Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit des Dienstes beeinträchtigt werden“, lautet eine der Anforderungen.

Lieferkettensouveränität: Anbieter müssen Software-, Hardware- und externe Dienstleistungskomponenten einschließlich Herkunftsland erfassen und Ersatzpläne für kritische Abhängigkeiten außerhalb der EU vorhalten, falls diese ausfallen oder eingeschränkt werden.

Technologische Souveränität: Cloud-Unternehmen müssen aktuelle Quellcode-Sicherungen und die zugehörige Dokumentation in der EU vorhalten. Sie müssen den sicheren Betrieb auch dann aufrechterhalten, wenn wichtige Drittparteien abgekoppelt werden oder zentrale Abhängigkeiten wegfallen.

Eine Europaflagge in Italien
Bild: Alessio Morgese/NurPhoto via Getty Images

US-Technologiekonzerne sehen EU-Regulierung als „Markteintrittsbarriere“

BSI-Vizepräsident Thomas Caspers erläutert, die C3A-Kriterien beruhen auf praktischen Erfahrungen und seien in enger Zusammenarbeit mit nationalen und internationalen Cloud-Anbietern entwickelt worden, mit denen Kooperationsvereinbarungen bestehen.

Das BSI weist darauf hin, dass Cloud-Unternehmen aufgrund des Modells der geteilten Verantwortung die Infrastruktur kontrollieren und die Handlungsspielräume der Kunden dadurch begrenzt seien. Der C3A soll dabei helfen, das tatsächliche Maß an Unabhängigkeit zu bewerten, bevor sich Unternehmen vertraglich binden.

Der C3A baut auf dem C5 auf, dem BSI-Prüfschema aus dem Jahr 2016, das Cloud-Anbietern dabei hilft, operative Sicherheit gegenüber gängigen Cyberangriffen beim Einsatz von Cloud-Diensten nachzuweisen.

Der C3A stützt sich auf den European Cloud Sovereignty Framework (CSF), ein Dokument der Europäischen Kommission, das festlegt, was eine souveräne Cloud in strategischer, rechtlicher, betrieblicher und technologischer Hinsicht ausmacht. Die EU hat dem Ganzen mit einer 180-Millionen-Euro-Ausschreibung für souveräne Cloud-Dienste im vergangenen Jahr auch finanziell Nachdruck verliehen.

ADVERTISEMENT

Die US-amerikanische Technologiebranche hatte die EU-Regulierung zuvor scharf kritisiert und sie als „de facto Markteintrittsbarriere“ bezeichnet, die den Wettbewerb zugunsten inländischer oder EU-ansässiger Anbieter verzerren würde.

Entdecke weitere exklusive Cybernews-Reportagen bei YouTube.

Share
Post
Share
Share
Share
Deutsch English Português (BR) Español Français Niederländisch Italian (IT)
ADVERTISEMENT