Bonn, 18.03.2025

Cloud Computing: BSI und Schwarz Digits planen Kooperation

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und STACKIT, der Cloud-Provider von Schwarz Digits aus dem baden-württembergischen Neckarsulm, streben eine strategische Kooperation an. Ziel ist unter anderem die gemeinsame Entwicklung souveräner Cloud-Lösungen, die auch für den Einsatz in der Bundesverwaltung nutzbar gemacht werden können. Für eine moderne und digitale Verwaltung ist die Nutzung von Cloud-Angeboten unumgänglich. Um dabei auch den mit Cloud Computing verbundenen Risiken sowie aktuellen geopolitischen Entwicklungen Rechnung zu tragen, hat das BSI eine Cloud-Strategie entwickelt. Diese sieht zum einen vor, nationale und europäische Cloud-Strukturen konkurrenzfähig zu gestalten, und zum anderen zu analysieren, inwieweit die Public Clouds der Hyperscaler aktiv und sicher in Deutschland nutzbar gemacht werden können.

Um die Cloud-Lösungen der Hersteller eingehend und in der notwendigen Sorgfalt prüfen zu können, bedient sich das BSI des Mittels der Kooperationsvereinbarungen: Sie bilden einen verbindlichen Rechtsrahmen, um auch hoch vertrauliche Informationen auszutauschen und in der Tiefe technische Analysen und Bewertungen durchführen zu können. Zum aktuellen Zeitpunkt hat das BSI entsprechende Kooperationen mit den Cloud Service Providern SAP, Oracle und Google Cloud vereinbart; neben der Partnerschaft mit STACKIT ist auch eine Kooperation mit dem US-amerikanischen Anbieter Amazon Web Services (AWS) geplant.

Im Rahmen der Kooperationen führt das BSI Risiko- und Bedrohungsanalysen durch, um davon technische und strukturelle Sicherheitsanforderungen und -maßnahmen abzuleiten, die standortunabhängig für alle Cloud Service Provider gelten sollen. Der Einsatz kryptographischer Schutzmechanismen, konkret die Verschlüsselung von Daten während ihrer Übertragung in Netzen und beim Speichern, ist in diesem Zusammenhang ein essentieller Baustein. Dies gilt insbesondere, da in Cloud-Angeboten für die Speicherung dieser Informationen die Ressourcen Dritter verwendet werden. Bei diesem Einsatz muss sichergestellt werden, dass heute verschlüsselte Daten auch in Zukunft sicher sind. Dies beugt der Gefahr vor, dass Daten verschlüsselt abgegriffen und in Zukunft dann entschlüsselt werden ("store now, decrypt later"). Bei der Entwicklung, Auswahl und Konfiguration kryptographischer Verfahren müssen daher vorhersehbare technologische Entwicklungen und damit eventuell neu entstehende Bedrohungen berücksichtigt werden. Hierunter fällt einerseits die sukzessive Verbesserung der Leistungsfähigkeit klassischer Hardware, aber auch die potentielle Entwicklung von Quantencomputern. Aus ersterer folgt, dass Schlüssellängen so gewählt werden müssen, dass Verschlüsselungen auch in naher und mittlerer Zukunft Brute-Force-Angriffen standhalten können. Aus letzterer folgt die Notwendigkeit von Post-Quanten-Kryptographie, d.h. der Einsatz von Verfahren, welche auch mit Quantencomputern nicht effizient angegriffen werden können.

Im Interesse der langfristigen Informationssicherheit untersucht das BSI daher in Angeboten insbesondere die eingesetzten kryptographischen Verfahren, um deren Tauglichkeit und Konformität zu nationalen Anforderungen bewerten zu können. Eine geeignete Ausgestaltung der Sicherheitsarchitektur einschließlich Verschlüsselung und externem Schlüsselmanagement kann darüber hinaus den Klartextzugriff durch den Cloud Service Provider selbst unterbinden. In diesem Falle wären Daten beispielsweise auch gegenüber Anfragen auf Basis des CLOUD Act geschützt, da dem Cloud Service Provider technisch die Möglichkeit entzogen ist, sich Zugang zu den geforderten Daten zu verschaffen.

Mit den Kooperationsvereinbarungen werden keine Vergabe- oder Implementierungsentscheidungen getroffen - diese liegen außerhalb der Zuständigkeit des BSI. Das BSI verfolgt das Ziel, ein breites Spektrum an sicheren technologischen Angeboten zu prüfen, aus denen Bedarfsträger wählen können. Voraussetzung hierfür ist die tiefgehende Kenntnis der verfügbaren Angebote und ihrer Sicherheitseigenschaften, um diese in ihrer Wirksamkeit einschätzen und Risiken für die Informationssicherheit bewerten zu können. Das gilt ebenso für das Bewerten der erreichbaren Resilienz, das Analysieren komplexer Lieferketten und damit verbundener Risiken sowie das Erkennen technologischer Abhängigkeiten. Dieses Spektrum muss aus Sicht des BSI so gestaltet sein, dass auch US-amerikanische Angebote unter nationaler oder europäischer Kontrolle genutzt werden können - sowie stets ein Wechsel hin zu nationalen Lösungen möglich sein muss. Durch die breite strategische Aufstellung wird Wahlfreiheit gefördert und zusammen mit dem kontrollierten Einsatz Souveränität und auch das Schutzziel Verfügbarkeit adressiert.

Darüber hinaus ist und bleibt Open-Source-Software eine tragende Säule der IT-Strategie des Bundes. Die langfristige Förderung und Unterstützung von für den Bund strategisch entscheidenden Open-Source-Projekten und die Zusammenarbeit mit Technologieanbietern ergänzen sich und geben sich gegenseitig immer wieder neue Impulse. Nur durch diese breite Zusammenarbeit entfaltet sich die für alle Stakeholder erforderliche Wirkung. Der Beitrag zum Stand der Technik wie auch die Anforderungen und Bedarfe des Bundes und der Bundesverwaltung entscheiden hierbei über die jeweilige Schwerpunktsetzung. Die Schließung von Kooperationsvereinbarungen impliziert ausdrücklich keine Bevorzugung oder Empfehlung bestimmter Anbieter oder Lösungen: Parallel zur Zusammenarbeit mit Public Cloud Service Providern fördert das BSI gemeinsam mit relevanten Stakeholdern der Open Source Community kontinuierlich den Einsatz und die Sicherheit von Open-Source-Lösungen wie NextCloud oder OpenDesk. Dabei kooperiert das BSI eng mit dem Zentrum für Digitale Souveränität (ZenDiS); insbesondere mit Blick auf die Plattform OpenCode. Die Einrichtung eines Open Source Program Office (OSPO) im BSI wird diese Aktivitäten bündeln und die Entwicklung und Umsetzung einheitlicher Sicherheitsstandards im Bereich Open Source beschleunigen.

BSI-Präsidentin Claudia Plattner: "Um die Herausforderungen unserer Zeit zu meistern, müssen wir mit technologischen Innovationen Schritt halten. Um eine wirksame Absicherung kritischer Systeme in Deutschland und Europa zu ermöglichen, ist deren Kontrolle durch nationale und europäische Akteure von entscheidender Bedeutung. Um digitale Produkte und Services unabhängig von äußeren Einflüssen, politischen Interessen und (geo)politischen Szenarien sicher nutzbar zu machen, kommt es darauf an, sie so technisch zu härten, dass ihre sichere, kontrollierte Nutzung unter allen Umständen gewährleistet ist. Die Anforderungen des BSI geben Orientierung bei den strategischen und operativen Entscheidungen des Bundes - auch und gerade unter Abwägung aktueller politischer Entwicklungen. Die Anforderungen des BSI haben aber auch unmittelbaren Einfluss auf die Entwicklung von Angeboten: Ihre Umsetzung fordern wir bei den Herstellern ein. Mit STACKIT von Schwarz Digits haben wir einen Kooperationspartner an unserer Seite, der das Thema Souveränität schon lange erfolgreich und zuverlässig adressiert."

BSI-Vizepräsident Thomas Caspers: "Die Digitalisierung der Verwaltung ist kritisch für die Handlungsfähigkeit des Staates, sie muss daher ein Erfolg werden. Dabei ist es essentiell, die Digitalisierung auch zu beherrschen; die Kontrolle über einen selbstbestimmten Betrieb ist daher Teil eines sicheren Einsatzes moderner digitaler Produkte wie Cloud Services. Diese Kontrolle muss zu jeder Zeit in den Händen nationaler und europäischer Akteure liegen und insbesondere bei neuralgischen Aspekten wie Verschlüsselung, Key Management sowie der Zugriffskontrolle bestehen. Unter Würdigung der aktuellen geopolitischen Entwicklungen möchten wir als BSI zur Versachlichung der Debatte beitragen. Dabei ist es geboten, Technologien und Zusammenhänge in der Tiefe zu verstehen, um substanzielle und fundierte Bewertungen durchführen zu können. Kooperationsvereinbarungen sind die Basis, auf der uns die dafür notwendigen Informationen bereitgestellt werden können."

(Quelle: BSI – Bundesamt für Sicherheit in der Informationstechnik)