Das Bundesamt für Sicherheit in der Informationstechnik hat einen neuen Kriterienkatalog veröffentlicht, der eine bislang offene Frage strukturiert beantwortet: Wann kann eine Cloud-Lösung als digital souverän gelten? Die „Criteria enabling Cloud Computing Autonomy“, kurz C3A, richten sich an alle, die Cloud-Dienste beschaffen, betreiben oder prüfen — und damit unmittelbar auch an Kommunalverwaltungen, Stadtwerke und kommunale IT-Dienstleister.Hintergrund ist eine Bedrohungsdimension, die in der öffentlichen Debatte bislang weniger präsent war als klassische Cyberangriffe. Neben kriminell motivierten Attacken und staatlich gelenkten Sabotageakten rückt das BSI nun eine dritte Kategorie in den Vordergrund: Cyber Dominance. Gemeint ist die strukturelle Möglichkeit von Herstellern digitaler Produkte, dauerhaft Zugriff auf Systeme und Daten ihrer Kunden zu behalten — unabhängig davon, ob dies missbräuchlich genutzt wird oder nicht. Die Debatte darüber hat seit dem Beginn der zweiten Amtszeit Donald Trumps und der damit verbundenen Unsicherheit über die Verlässlichkeit amerikanischer Technologieanbieter erheblich an Fahrt aufgenommen.Der C3A ergänzt den bestehenden C5-Katalog des BSI, der seit 2016 Sicherheitsanforderungen an Cloud-Dienste definiert und zuletzt im April 2026 aktualisiert wurde. Während der C5 die Frage beantwortet, ob ein Cloud-Dienst technisch sicher ist, zielt der C3A auf eine andere Ebene: ob der Dienst im jeweiligen Risikokontext auch selbstbestimmt genutzt werden kann. Das schließt Fragen ein wie den Standort der Rechenzentren, die Herkunft des Betriebspersonals und — im Extremfall — die Fähigkeit, den Betrieb bei einer Abkopplung vom außereuropäischen Anbieter aufrechtzuerhalten.Der Katalog entfaltet keine regulatorische Verbindlichkeit. Er ist ein Orientierungsrahmen, den Anbieter durch Audits belegen und den Kunden nach eigenem Anforderungsprofil anwenden können. Je nach Kritikalität des Anwendungsfalls lässt sich festlegen, ob etwa eine Lokalisierung der Infrastruktur in Deutschland oder lediglich innerhalb der EU gefordert wird. Ein Audit-Leitfaden soll folgen; eine deutschsprachige Version des Katalogs ist für Ende des zweiten Quartals 2026 angekündigt.(DEKOM/BSI, 27.04.2026) Originalmeldung hier…
