Vincent Strubel, Generaldirektor der ANSSI, veröffentlichte auf LinkedIn einen klärenden Artikel im Anschluss an Debatten, die durch die SecNumCloud-Zertifizierung eines „hybriden“ Cloud-Angebots ausgelöst wurden, das amerikanische Technologie nutzt, betrieben von einem europäischen Anbieter.

SecNumCloud ist eine von der ANSSI vergebene Zertifizierung, die bescheinigt, dass ein Cloud-Dienst ein hohes Sicherheitsniveau aufweist, das für sensible Nutzungen durch den französischen Staat und Unternehmen geeignet ist. Der Bewertungsprozess prüft mehr als 1200 Anforderungen, die technische, rechtliche und organisatorische Risiken abdecken.

Hinsichtlich extraterritorialen Rechts garantiert SecNumCloud, dass Daten keinen außereuropäischen Bestimmungen unterliegen, gegen die Kunden keinen Rechtsbehelf hätten. Die Anforderung eines europäischen Anbieters (Unternehmenssitz und Kapitalbeteiligung), die Unzugänglichkeit der Daten für außereuropäische Subunternehmer sowie die operative Autonomie schützen vor Anordnungen im Rahmen des CLOUD Act oder der amerikanischen FISA-Gesetze. Auch das „Kill-Switch“-Szenario wird abgedeckt: Ein zertifizierter europäischer Anbieter kann nicht gezwungen werden, seine Dienste aufgrund von Sanktionen oder Exportbeschränkungen einzustellen.

Strubel räumt dennoch eine wichtige Einschränkung ein: „SecNumCloud bedeutet nicht die Abwesenheit von Abhängigkeit.“ Kein Akteur könne „den gesamten Cloud-Technologie-Stack, vom Linux-Kernel bis zu Openstack, autark forken und pflegen.“ Eine Unterbrechung des Zugangs zu außereuropäischen Anbietern würde zu einer schrittweisen Verschlechterung der Sicherheit führen.

Die Datenlokalisierung innerhalb der Europäischen Union ist verpflichtend, wodurch die physische Infrastruktur dem europäischen Recht unterliegt und das Eingreifen von CERT-FR und anderen staatlichen Stellen im Falle eines Vorfalls erleichtert wird.

Auf technischer Ebene stellen Cyberangriffe „die greifbarste Bedrohung für sensible Cloud-Nutzungen“ dar. Das Referenzrahmenwerk schreibt eine strikte Trennung zwischen Kunden, eine isolierte Administrationskette, ein sicheres Update-Management sowie eine systematische Datenverschlüsselung vor. Das menschliche Risiko wird durch ein eigenes Kapitel zum Personalmanagement abgedeckt.

Als Antwort auf häufig gestellte Fragen präzisiert Strubel, dass hybride Angebote genau dieselben Anforderungen erfüllen wie andere zertifizierte Angebote. Er verwendet eine erhellende Metapher: Ausschließlich kapitalistische Kriterien oder ausschließlich technische Kriterien anzulegen, wäre so, als hätte man ein Haus „mit gepanzerten Fensterläden und Gitterstäben vor den Fenstern, dessen Tür jedoch nur durch einen Vorhang verschlossen wäre.“

SecNumCloud adressiert zwei der drei Herausforderungen digitaler Souveränität (kein leichtes Opfer zu sein, eigene Regeln anzuwenden), schafft jedoch keine alternativen technologischen Lösungen. Es handelt sich um ein formalisiertes Cybersicherheitsinstrument, nicht um eine Industriepolitik.