Cloudbasierte Kommunikationsdienste aus Drittstaaten

Berlin: (hib/STO) Um Risiken beim Einsatz cloudbasierter Kommunikations- und Kollaborationsdienste aus Drittstaaten in der öffentlichen Verwaltung geht es in der Antwort (21/5844(Dokument, öffnet ein neues Fenster)) auf eine Kleine Anfrage der AfD-Fraktion (21/5573(Dokument, öffnet ein neues Fenster)). Danach sieht die Bundesregierung bei einem solchen Einsatz grundsätzlich Risiken durch unberechtigte Zugriffe.

Die Verantwortung für die Sicherheit beim Einsatz der genannten Dienste sowie für die Aspekte von digitaler Souveränität liegt bei den einsetzenden Behörden selbst und ist vom Anwendungsfall sowie den verarbeiteten beziehungsweuise transportierten Daten abhängig, wie die Bundesregierung weiter ausführt. Aus dem Blickwinkel der digitalen Souveränität könne ein Risiko bestehen, wenn aus der Nutzung ein sogenannter Vendor-Lockin-Effekt, die kritische Abhängigkeit zu einem einzelnen Anbieter, resultiert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt der Antwort zufolge verschiedene Hilfsmittel zur Verfügung, um derartigen Risiken zu begegnen. So mache es etwa mit dem „Mindeststandard zu Nutzung externer Cloud-Dienste“ allgemeingültige Vorgaben, die eine nutzende Stelle beachten müsse. Die nutzende Stelle könne aber auch zusätzliche Anforderungen stellen, auch zu Souveränitätsaspekten.

Mit den „Criteria enabling Cloud Computing Autonomy(Externer Link) (C3A)“ habe das BSI zudem einen Handlungsrahmen vorgelegt, der die Souveränitätseigenschaften von Cloud-Diensten transparent macht, schreibt die Bundesregierung ferner. „Während die Sicherheitseigenschaften von Cloud-Diensten im Cloud Computing Compliance Criteria Catalogue (C5) des BSI adressiert werden, ermöglicht der Kriterienkatalog C3A eine Bewertung, ob ein Cloud-Angebot im jeweiligen Risikokontext selbstbestimmt genutzt werden kann“, heißt es in der Antwort des Weiteren.