Stefan Krempl schreibt in »Kritik an BSI-Rahmen: Scheinsouveränität für die europäische Cloud?« für heise.de

Die heise online vorliegende CISPE-Analyse macht große Schlupflöcher im C3A-Katalog aus. So sehe das Framework zwar vor, dass der primäre Cloud-Anbieter unter europäischer Kontrolle stehen müsse. Bei den weitaus wichtigeren Subunternehmern weiche das BSI diese Linie aber drastisch auf: Für sie wird lediglich eine registrierte Hauptniederlassung in Deutschland oder der EU verlangt.

Anfangs habe ich den Katalog ebenfalls kritisch gesehen. Nachdem ich aber viele Definitionen und Vorgaben zur Souveränität gelesen habe, die von Akteuren aus der öffentlichen Verwaltung stammen, bin ich zu einer anderen Einschätzung gekommen. Definitionen lassen sich zwar einmal festlegen, doch der politische Diskurs entwickelt sich weiter und überholt sie. Wer zurückblickt, erkennt, dass Souveränität über die Jahre immer wieder einen anderen Schwerpunkt bekommen hat. Ich halte all diese Definitionen für sinnvoll, weil sie ein gemeinsames Ziel verfolgen. Sie sollen helfen, neues Wissen aufzubauen, bestehendes zu sichern und Entscheidungen bewusst zu treffen.

Der C3A kann nur ein Leitfaden sein und keine feste Vorgabe oder Verordnung. Die Welt verändert sich zu schnell, und die Abhängigkeiten sind zu groß. Ähnlich wie bei der IT-Sicherheit können Entscheidungsträger vor allem Risiken abwägen und minimieren. Vollständige Souveränität wird es ebenso wenig geben wie vollständige Sicherheit. Aus diesem Grund halte ich den C3A als Leitfaden für gut, weil er Entscheidungsträgern eine Orientierung bietet.