Die Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) haben sich auf eine enge Zusammenarbeit bei Cloud-Sicherheitskriterien verständigt. Die Kooperation zweier wichtiger europäischer Akteure soll einen Tag vor dem deutsch-französischen Digitalgipfel ein Aufbruchsignal sein: Bei erhöhtem Sicherheitsbedarf soll künftig grenzüberschreitend gedacht werden.
"Wir müssen einen unterbrechungsfreien Betrieb und eine effektive Kontrolle über unsere sensiblen Daten in den Clouds sicherstellen", sagt BSI-Präsidentin Claudia Plattner. Frankreich und Deutschland gehe es darum, "Hand in Hand die Risiken zu adressieren, die durch extraterritoriales Recht oder Abhängigkeiten entstehen", ergänzt ANSSI-Generaldirektor Vincent Strubel.
Europäische Cloudanbieter stehen bislang vor dem Problem, dass jeder der 27 EU-Nationalstaaten für Remoteanwendungen und Speicher jeweils eigene Vorgaben für "sichere Clouds" hat, für die oft auch einzeln Zertifizierungen und Sicherheitsüberprüfungen durchgeführt werden müssen.
Mit dem von der EU-Kommission angekündigten "Cloud Sovereignty Framework" soll sich das grundsätzlich ändern. Darauf wollen die beiden Cybersicherheitsbehörden in Bonn und Paris nun aufbauen. Ziel sei es, kompatible Kriterien und Methoden zu deren Einhaltung zu entwickeln.
ANSSI treibt seit 2016 das an die ISO 270001-Norm angelehnte SecNumCloud-Framework voran. Auch das BSI arbeitet an Cloud-Mindeststandards, derzeit sind die sogenannten C5-Kriterienkataloge die Vorgaben der Bonner IT-Sicherheitsspezialisten.
Angesichts stark steigender Nachfrage seitens geheimschutzbedürftiger Stellen hatte Plattner zuletzt grundsätzliche Überlegungen veröffentlicht, wie Daten mit einem geringeren Schutzniveau auch in der US-Cloud gespeichert werden könnten. Dafür musste die BSI-Präsidentin aus Teilen der europäischen Open-Source-Community einige Kritik einstecken. Die gemeinsame Erklärung von BSI und ANSSI enthält nun ein klares Bekenntnis zu europäischen Stakeholdern und Open Source-Technologien.
Zögen die beiden Schwergewichte unter den EU-Cybersicherheitsbehörden aber tatsächlich dauerhaft an einem Strang, könnten sie gleich zwei Probleme adressieren: zum einen, dass die Kosten für Anbieter – und in der Folge die Preise für Anwender – durch die Vielzahl der nationalen Vorschriften hoch sind. Zum anderen, dass hierdurch auch das Betreiben von Rechenzentren nach nationalen Vorschriften im EU-Ausland vereinfacht wird.
Allerdings ist die Idee, gemeinsam an den Kriterien für sichere Cloudumgebungen zu arbeiten, nicht ganz neu: Vor neun Jahren wollten der damalige BSI-Präsident Arne Schönbohm und sein französischer Counterpart Guilaume Poupard bereits ein Label für eine "European Secure Cloud" entwickeln, als Zeichen der guten deutsch-französischen Digitalkooperation. Und auch dieses Mal heißt es in der gemeinsamen Erklärung der beiden Seiten an relevanter Stelle: Das gemeinsame Vorgehen solle stattfinden, "wo möglich".
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare