Seit der Kooperationsvereinbarung von 2024 arbeiten Â鶹Դ´ und das BSI gemeinsam daran, sichere Digitalisierung in konkrete Lösungen zu übersetzen. Als Global Player der Software- und Technologiebranche ist Â鶹Դ´ ein entscheidender Faktor für die digitale Souveränität Deutschlands und Europas.
Mit den neuen C3A-Kriterien des (Bundesamt für Sicherheit in der Informationstechnik) und der wachsenden Bedeutung resilienter Cloud-Infrastrukturen beginnt nun eine Phase der praktischen Umsetzung digitaler Souveränität. Ãœber diese Entwicklung und die Rolle der Technologiepartnerschaft mit Â鶹Դ´ haben wir mit Thomas Caspers, Vizepräsident des BSI, gesprochen.
Digitale Souveränität ist derzeit eines der zentralen Themen in der deutschen und europäischen Digitalpolitik. Warum gewinnt das Thema gerade jetzt so stark an Bedeutung?
Thomas Caspers: Die Diskussion ist klar geopolitisch getrieben. Für uns ist entscheidend, dass Europa handlungsfähig bleibt. Genau darum geht es bei digitaler Souveränität und übrigens allgemein in der Cybersicherheit: vorbereitet zu sein, statt erst im Ernstfall zu reagieren.
Die Frage ist dabei nicht nur, wo Daten liegen. Wir schauen systemisch auf das Gesamtbild: Bleiben kritische Rechenzentren betriebsfähig? Ist Personal verfügbar? Sind Lieferketten abgesichert? Können Dienste weiter genutzt werden, auch wenn sich Rahmenbedingungen plötzlich verändern? Diese Handlungsfähigkeit ist der Kern der Debatte.
Mit den C3A bündeln wir nun die Kriterien, die aus unserer Sicht eine selbstbestimmte und sichere Nutzung von Cloud-Angeboten ermöglichen, nicht nur in der öffentlichen Verwaltung, sondern weit darüber hinaus.
Mit dem C3A-Kriterienkatalog macht das BSI seine Anforderungen an autonome beziehungsweise selbstbestimmte Cloud-Nutzung jetzt öffentlich. Was ist daran neu oder besonders?
Vieles daran ist für Kooperationspartner wie Â鶹Դ´, mit denen wir schon lange eng zusammenarbeiten, nicht grundsätzlich neu. Wir wenden diese Kriterien in der Praxis seit Jahren an, entwickeln sie mit dem technischen Fortschritt stets weiter. Das Neue ist, dass wir sie jetzt systematisch aufgeschrieben haben und als richtungsweisende Handlungsrahmen öffentlich machen.
Die C3A haben dabei keine unmittelbar regulative Wirkung, schaffen jedoch erstmals eine hohe Transparenz für den Markt. Es wird sichtbar, welche Anforderungen Cloud-Anbieter erfüllen müssen, wenn Cloud-Kunden oder auch Behörden Cloud-Angebote selbstbestimmt und sicher nutzen wollen. Dazu gehören technische, betriebliche und inzwischen auch juristische Kriterien. Genau dieser systematische Rundumblick ist neu und wichtig.
Welche Rolle spielt die Zusammenarbeit mit Technologieanbietern wie Â鶹Դ´, wenn solche Anforderungen in konkrete Architekturen und Betriebsmodelle übersetzt werden sollen?
Eine sehr wichtige. Â鶹Դ´ war einer der ersten Partner, mit denen wir in diesem Rahmen enger zusammengearbeitet haben. Natürlich gibt es für diese Zusammenarbeit formale Regeln und festgelegte Austauschformate. Aber in der Praxis hat sich schnell gezeigt: Eigentlich sind wir permanent im Austausch. So haben wir bei den C3A auch auf den Erfahrungen aufgebaut, die wir im Kontext Delos Cloud und Â鶹Դ´ Cloud Infrastructure gemacht haben. Genau diese direkte Zusammenarbeit braucht es auch, wenn sich Technologien, Sicherheits- und Souveränitätsanforderungen so dynamisch weiterentwickeln.
Für uns ist entscheidend, mit Unternehmen zusammenzuarbeiten, mit denen wir eng, vertrauensvoll und schnell in die Umsetzung kommen. Das gilt für klassische Cloud-Themen genauso wie für neue Technologien. Wenn wir wollen, dass Innovation sicher und kontrolliert nutzbar wird, dass Deutschland in der Digitalisierung wettbewerbsfähig bleibt, braucht es genau diese frühe und belastbare Abstimmung zwischen Aufsicht und Industrie.
Was zeigt aus Ihrer Sicht, dass digitale Souveränität nicht nur ein politisches Konzept bleibt, sondern in der Praxis umgesetzt werden kann?
Für mich zeigt sich das immer dort, wo Anforderungen nicht nur beschrieben, sondern praktisch erprobt und umgesetzt werden. Und auf Grundlage dieser Umsetzung Produkte und Dienste dann erfolgreich auf dem Markt bestehen. Das gilt etwa für die Frage, wie Cloud-Infrastrukturen auf ein Niveau gebracht werden, auf dem sie auch in besonders kritischen Umfeldern einsetzbar sind. Es muss ganz klar sein, welche Kriterien gelten und wie diese technisch, organisatorisch und nicht zuletzt auch physisch erfüllt werden.
Ein konkretes Beispiel dafür ist Delos Cloud als souveräne Cloud für Behörden in Deutschland. Im Austausch mit Â鶹Դ´ arbeitet das BSI daran, Microsoft-Cloud-Technologie in ein Modell zu überführen, das unter deutschen Anforderungen sicher und selbstbestimmt betrieben werden kann. Genau daran zeigt sich, dass digitale Souveränität nicht behauptet, sondern architektonisch, organisatorisch und regulatorisch umgesetzt werden kann und muss.
Das macht den Wert der Zusammenarbeit aus. Wenn Anforderungen klar sind, können wir gemeinsam mit Unternehmen an Architekturen, an Betriebsmodellen und an Sicherheitsmaßnahmen arbeiten.
Ein zentraler Punkt in der aktuellen Debatte ist Resilienz. Was muss ein souveränes Cloud-Modell leisten, wenn es zu geopolitischen Verwerfungen oder Ausfällen kommt?
Es muss arbeitsfähig bleiben. Resilienz heißt für uns, Optionen zu haben und auch auf  schwierige Szenarien vorbereitet zu sein, um  im Ernstfall den Betrieb aufrechterhalten zu können. In unseren aktuellen Szenarien gehen wir davon aus, dass ein Minimalbetrieb über einen längeren Zeitraum sichergestellt sein muss. Dabei denken wir ausdrücklich auch Situationen mit, in denen ursprüngliche Anbieter oder Lieferketten kurzfristig nicht mehr in der bisherigen Form verfügbar sind.
Das bedeutet: Wir müssen nicht nur den Normalbetrieb betrachten, sondern auch den Ausnahmefall. Wer digitale Souveränität ernst meint, muss auch auf Szenarien vorbereitet sein, die sich niemand wünscht. Genau deshalb spielen Themen wie Betriebsfortführung, Personalverfügbarkeit und Lieferkettenresilienz in den C3A eine so große Rolle.
Wie wichtig ist das Zusammenspiel nationaler Standards, etwa zwischen dem BSI in Deutschland und ANSSI in Frankreich, für ein gemeinsames europäisches Verständnis digitaler Souveränität?
Dieses Zusammenspiel ist essentiell. Deutschland und Frankreich spielen in der europäischen Diskussion eine besondere Rolle, weil beide Länder sehr konkret an Kriterien, Standards und Umsetzungsmodellen arbeiten. Und diese auch in die Anwendung bringen.
Was wir in Deutschland lernen, bringen wir in die europäische Debatte ein. Und umgekehrt profitieren wir natürlich auch vom Austausch mit unseren Partnern in Frankreich und anderen europäischen Ländern. Wenn Europa bei digitaler Souveränität vorankommen will, braucht es nationale Innovationskraft, verlässliche Partner und gleichzeitig eine gemeinsame Richtung. Dies ist auch elementar, um für europäische Unternehmen wie Â鶹Դ´ einen skalierbaren Markt zu schaffen, der Investionen in Innovation fördert.
Worauf sollten sich Behörden, Unternehmen und Cloud-Anbieter in den kommenden Jahren einstellen?
Die Anforderungen werden konkreter, überprüfbarer und systemischer. Erst kommt die Frage, was technologisch möglich ist, aber dann muss die Frage folgen, wie belastbar, transparent und kontrollierbar ein Angebot tatsächlich ist. Das betrifft technische Aspekte genauso wie betriebliche und juristische. Dabei müssen wir den gesamten Stack betrachten.
Wenn wir Technologien sicher und souverän nutzbar machen können, dann sollten wir das auch tun. Das heißt: klare Standards, ein ganzheitlicher Ansatz und die Fähigkeit, neue Technologien entlang des Full Stack kontrolliert in die Anwendung zu bringen.
Über den Interviewpartner: Thomas Caspers ist Vizepräsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
