Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Souveränität global geliefert

Während US-Konzerne die Cloud-Welt dominieren, kämpfen auch global agierende europäische Unternehmen um ihre technologische Unabhängigkeit – und ihre Zukunft. Es geht nicht um Abschottung, sondern um einen klugen, mehrgleisigen Ansatz zwischen Kooperation, Absicherung und Eigenständigkeit. Unsere Autoren präsentieren Ideen, wie europäische Konzerne in der Cloud eine starke, selbstbestimmte Rolle einnehmen können – mit dem Staat als entscheidendem Akteur, der mit staatsrechtlichen Werkzeugen unterstützend eingreift.

Florian OelmaierGerald BoyneBedrohungenComplianceManagement und WissenSecurity-ManagementSicherheitspolitik
Lesezeit 11 Min.

Immer weniger Unternehmen betrachten ihre IT-Infrastruktur als wettbewerbsrelevantes Differenzierungsmerkmal.

Dementsprechend wird die Fertigungstiefe aus Kostengründen zunehmend reduziert – der Cloudmarkt wächst kontinuierlich. Das Geschäftsmodell der großen Anbieter basiert auf globaler Skalierung, Automatisierung und Standardisierung in gigantischen Rechenzentren. Der europäische Cloudmarkt wird von Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform dominiert – mit einem kombinierten Marktanteil von rund 50%, je nach Quelle – diese Vormachtstellung basiert vor allem auf einem umfassenden Service-Portfolio.

Für diese sogenannten Hyperscaler zählen primär Großkunden. Unternehmen mit Spezialanforderungen oder geringem Bedarf – darunter viele deutsche Mittelständler und „Hidden Champions“ – sind für sie wenig attraktiv.

Für diese Kunden ist „digitale Souveränität“, wie im ersten Beitrag dieser Miniserie [1] beschrieben, herstellbar und – richtig umgesetzt – sogar mit betriebswirtschaftlichen Vorteilen verbunden.

Anders sieht es bei ohnehin global agierenden Konzernen oder stark vernetzten Branchen wie dem Bankwesen aus: Hier muss digitale Souveränität neu gedacht werden. Immerhin stammen rund 66% der Nachfrage im europäischen Cloudmarkt aus dem Großkundensegment [2]. Europäische Lösungen sind in einem solchen Kontext nicht nur schwierig umzusetzen, sondern oft auch wirtschaftlich nicht sinnvoll. Dennoch bleibt das Thema relevant – auch global tätige Unternehmen wollen nicht in geopolitische Abhängigkeiten geraten. Europas Ziel muss es sein, auch für diese Unternehmen digitale Souveränität zu ermöglichen.

Stand der Dinge

Im ersten Teil dieser Artikelserie [1] wurde das fünfstufige Modell der digitalen Souveränität mit den drei Dimensionen Daten, Software und Hardware vorgestellt – Ziel ist die Souveränitätsstufe 4 „vollständige Kontrolle“. Mindestens aber sollten Unternehmen die Wahlfreiheit (Stufe 2) oder Kontrollhoheit (Stufe 3) besitzen. Auch ein bewusstes Eingehen kalkulierter Risiken ist Teil echter Souveränität – idealerweise mit erprobten Notfallplänen.

Die Bundeswehr bringt es auf den Punkt: „Es geht um Weiterentwicklung, es geht um Forschung, es geht um das Einsetzen von IT-Services auch unter Feindbedrohung – und all die Sachen zusammen definieren für uns digitale Souveränität“, wie Oberst Peter Hindermann in einem Hintergrundinterview zu seiner Keynote auf der „Munic Cyber Tactics, Techniques and Procedures“ (MCTTP) am 18. September in München zusammenfasste [3].

Das Dilemma

Um Digitalisierung und Innovation voranzutreiben, brauchen Unternehmen moderne, einfach nutzbare Technologie. Auch ein global tätiger Konzern kann diese nicht vollständig selbst entwickeln, betreiben und warten – die Zusammenarbeit mit großen Tech-Anbietern ist unausweichlich. Doch viele dieser Anbieter stammen aus anderen Rechtsräumen, was ein operationelles Risiko bedeutet. Themen wie Datenschutz, der US Cloud-Act oder das chinesische Überwachungsmodell wurden bereits im vorigen Artikel behandelt.

Die chinesische Regierung hat beschlossen, diese Risiken generell nicht einzugehen und geht einen radikalen Weg: Durch Zwangskooperationen, vollständige Inlandsleistung, Zensur und Überwachung werden ausländische Tech-Konzerne weitgehend ausgeschlossen – ein Modell, das allerdings den Skalierungsvorteilen internationaler Anbieter diametral widerspricht.

Der europäische Markt ist für die US-Cloud-Anbieter bisher sehr lukrativ, sodass sie große Investitionen in europäische Infrastruktur vorgenommen haben. Microsoft hat in einer Partnerschaft mit SAP SE die Delos Cloud GmbH gegründet [4]. AWS hat eine eigene deutsche Entität aufgebaut, von der globalen Plattform separiert und fast 8 Mrd. € Investition in RZ-Infrastrukturen in Brandenburg getätigt [5]. Und auch bei Google [6] und Oracle [7] sieht man zunehmend Investitionen, um einen Europäischen Datenraum nicht nur technisch, sondern auch vertraglich garantieren zu können.

Würde Europa dem chinesischen Beispiel folgen, stünden diese Investitionen auf dem Spiel. Die Hauptmotivation für die US-Anbieter ist die Absicherung der in Europa getätigten Investitionen: AWS, Google und Microsoft haben daher hohes Interesse, ihre in Europa angebotenen Cloud-Services sukzessive so anzupassen, dass diese den Anforderungen der Kunden entsprechen.

Bisher fehlen jedoch klare regulatorische Vorgaben und auch die Anforderungen der Unternehmen bleiben diffus. Europäische Firmen wollen Vertrauen auf eine langfristige Zusage der Lieferkonditionen und der Lieferkette haben. Unter Lieferkonditionen versteht man heute aber nicht mehr nur Preisstabilität, sondern auch die Themen Serviceabschaltung, Compliance et cetera.

Die Hyperscaler versuchen daher Ideen zu entwickeln, wie man dem europäischen Interesse an digitaler Souveränität Rechnung tragen und das Vertrauen europäischer Kunden gewinnen kann. So wird zum Beispiel versprochen, dass kryptografische Schlüssel von Kunden, die in der Cloud zur Anwendung kommen, ausschließlich in der Hand des Kunden liegen und nicht durch den CloudAnbieter genutzt werden können. Verbal wurde auch zugesagt, dass das Betriebsmodell bezüglich der Entwicklungsübergabe (Continuous Integration and Deployment) in lokalen Händen liegen kann. Das würde bedeuten, dass der Quellcode nicht in den USA kompiliert und dann in die Infrastruktur verteilt, sondern für die souveränen Cloud-Lösungen der Quellcode in Europa vorgehalten, lokal kompiliert und durch europäische Betriebsmannschaften ausgerollt wird.

Reichen Selbstverpflichtungen?

Aus der Risikoperspektive gilt es, jene konkret beschreibbaren Ereignisse zu betrachten, die Europas digitale Souveränität gefährden könnten. Auch wenn sich Datenpunkte häufen, bleibt das Risiko bislang eher theoretisch. Träte jedoch ein solcher Fall ein, wären die Auswirkungen auf Einzelunternehmen sowie auf die Gesamtwirtschaft verheerend: Digitalisierung, Innovation und der technische Fortschritt insgesamt würden ausgebremst – mit einem unmittelbaren Verlust an Wirtschaftskraft und Wettbewerbsfähigkeit.

In einem solchen Szenario kann ein bloßes Vertrauen in vertragliche Zusagen und technische Stabilität – also in Verbindlichkeit und Verfügbarkeit – allein seitens des Tech-Anbieters nicht ausreichen! Es bedarf vielmehr zusätzlich einer unabhängigen Prüfung, ob

  • ein technischer Fremdzugriff aus dem Ausland zuverlässig ausgeschlossen ist,
  • die Betriebsmannschaft einen europäischen Arbeitsvertrag hat (Datenschutzklausel) und
  • die Bedingungen zur Serviceabschaltung mit den Kundenanforderungen übereinstimmen.

Da Hyperscaler aus Gründen der Skalierbarkeit nicht auf individuelle Anforderungen eingehen können, müssen sie standardisierte vertragliche, technische und prozessuale Anpassungen vornehmen, die dann von unabhängigen Dritten testiert werden. Nur so kann Vertrauen in das Souveränitätsversprechen der Anbieter entstehen.

Wie aber sehen die konkreten nicht-erfüllten Anforderungen aus? Welche Souveränitätszusagen benötigt Europa? Welche Risiken sollen adressiert werden? In den Augen der Autoren sind hier allem voran die folgenden Punkte zu nennen:

  • Auch im Falle geopolitischer Konflikte muss eine Abschaltung oder ein Entwicklungsstopp von Services verhindert werden.
  • Die eigenständige Handlungsfähigkeit Europas darf auch unter Krisenbedingungen nicht eingeschränkt sein.
  • Recovery- und Erweiterungsmaßnahmen müssen in Europa autark möglich sein.
  • Potenzielle Backdoors müssen in Europa identifiziert werden können.
  • Manipulationen außerhalb europäischen Einflusses müssen erkennbar und adressierbar sein.

Zentrale Anforderungen

Daraus ergeben sich die folgenden drei zentralen Anforderungen an Hyperscaler:

  • Mindestens 30 % des relevanten Entwickler- und Betriebspersonals müssen in Europa tätig sein – nachweisbar über Check-in-Quoten im Quellcode.
  • Ein vollständiges europäisches Software-Repository muss existieren, das alle für den Betrieb relevanten Services umfasst. Dieses Repository wird ausschließlich in Europa betrieben und gespeichert.
  • Compilation und Deployment für europäische Rechenzentren erfolgen ausschließlich aus diesem Repository und über in Europa betriebene Systeme. Die Software erhält eine spezifische EU-Signatur, deren Schlüsselverwaltung ebenfalls ausschließlich in Europa liegt.

Diese Anforderungen können zunächst vertraglich eingefordert werden – im öff entlichen Sektor etwa über einen Dienstvertrag mit ergänzenden Vertragsbedingungen (EVB-IT).

Anschließend könnten sie in bestehende Testierungs- und Zertifi zierungsschemata integriert werden – zum Beispiel in das „European Cybersecurity Certifi cation Scheme for Cloud Services“ (EUCS) der ENISA [8] oder den „Cloud Computing Compliance Criteria Catalogue“ (Kriterienkatalog C5) des deutschen BSI [9]. All das ließe sich durch unabhängige Dritte prüfen – Banken könnten aufgrund ihres üblicherweise uneingeschränkten Audit rechts zeitnah direkt prüfen, aber auch andere Kunden könnten entsprechende Prüfungen einfordern.

Zwar lässt sich eine geopolitische Eskalation nicht fundamental verhindern, doch ein Anbieter, der diese Vorgaben nicht einhält, riskiert den Zugriff auf einen wesentlichen Teil seiner Belegschaft und möglicherweise zentrale Kompetenzen – im Extremfall würde er in Teilen seine Handlungsfähigkeit verlieren. Es besteht also ein echtes Eigeninteresse der Anbieter, dieses Szenario zu vermeiden – und die eigene Lobbyarbeit im jeweiligen Herkunftsland entsprechend auszurichten.

Gleichzeitig hätten europäische Behörden vollständigen Zugriff auf den Quellcode und könnten gezielt nach Backdoors oder Manipulationen suchen. Im Extremfall könnten die in Europa vorgehaltenen Entwickler und Daten bei einer staatlich angeordneten Zwangsabspaltung die Basis für einen neuen europäischen Konkurrenten bilden.

Diese Maßnahmen können – wie erwähnt – das Ausbleiben einer Eskalation nicht garantieren, schaffen aber ein „Gleichgewicht des Schreckens“. Mit einem solchen Drohpotenzial sollte sich eine Auseinandersetzung daher weitestgehend verhindern lassen.

Motivation für globale Anbieter

Anders als China würde Europa mit solchen Bedingungen keine vollständige Entkopplung der Strukturen und damit keinen Verlust des Skalierungsvorteils fordern. Im Gegenteil: Die EU verlangte lediglich, dass sich globale Anbieter auch tatsächlich global aufstellen – mit Ressourcen, die geografisch ausgewogen verteilt sind.

Diese echte Globalisierung würde nicht nur Europa nützen, sondern auch den Anbietern selbst: Wer in mehreren Regionen präsent ist, wird nicht länger allein von den Vorgaben einer einzelnen Regierung abhängig. Die Abhängigkeit reduziert sich, weil keine einzelne Regierung vollständige Kontrolle ausüben kann. Für geopolitische Machtspiele wird der Anbieter damit unbrauchbar – ein strategischer Vorteil.

Gleichzeitig haben viele Anbieter ihre Marktmacht in der Vergangenheit ausgereizt – nicht nur US-Konzerne, auch europäische wie SAP: Kunden mussten Preiserhöhungen oder strategische Kurswechsel hinnehmen. Inzwischen ist die Kundenbasis jedoch groß und homogen. Wenn europäische Unternehmen – etwa im Rahmen gesetzlicher Compliance-Anforderungen – ihre Erwartungen gebündelt formulieren, entsteht Marktmacht! Anbieter werden reagieren, um ihre Investitionen nicht zu gefährden.

Dabei geht es nicht um Einkaufskonsortien, sondern um eine koordinierte, schriftlich fixierte Positionierung gegenüber den Anbietern – etwa über Branchen-/ Interessensverbände oder Großkunden. Der funktionierende Wettbewerb unter den Cloud-Anbietern dürfte dann für die notwendige Umsetzung sorgen.

Kalter Krieg in der digitalen Welt

Kurzfristig ist der skizzierte Ansatz allerdings nicht vollständig umsetzbar. Daher muss auch betrachtet werden, welche Mittel bereits heute zur Verfügung stehen – nicht zuletzt im Fall eines Technologie-Embargos, etwa durch eine US Executive Order, welche die Europäische oder deutsche digitale Souveränität einschränken würde.

Analog zur Logik des kalten Kriegs sollten klare, symmetrische Gegenmaßnahmen definiert sein: Ein Aggressor muss wissen, dass eine Handlung eine spürbare Reaktion zur Folge hätte. Die EU war bei früheren Auseinandersetzungen – beispielsweise in Zollfragen – schlecht vorbereitet. Das darf sich nicht wiederholen! Es gilt daher, frühzeitig einen Katalog von Vergeltungsmaßnahmen zu spezifizieren.

Diskutiert wird oft eine Digitalsteuer, doch auch weitergehende Maßnahmen sind denkbar: Europa könnte etwa Unternehmen verbieten, Betriebsstätten oder Services in den USA zu betreiben – sofern diese Unternehmen europäischem Recht unterliegen.

Und es gibt europäische Unternehmen mit starker Präsenz in den USA – darunter SAP und T-Mobile, aber auch Energieversorger, Rechenzentrumsbetreiber, Logistiker oder Einzelhandelsketten. Diese unterliegen europäischen Weisungsbefugnissen – ein strategisches Druckmittel, das die EU nutzen könnte.

Im Falle eines Versuchs, die Digitalwirtschaft in der EU zu erpressen oder zu schädigen, wären damit staatsrechtliche Werkzeuge verfügbar. Eine solche Strategie der Abschreckung kann aber nur glaubhaft sein, wenn sich die EU einig ist. Ein entsprechender Katalog an Gegenmaßnahmen müsste klar definiert, politisch abgestimmt und an konkrete Auslöser gekoppelt sein. Eine tatsächliche Eskalation wäre damit nicht ausgeschlossen, aber deutlich unwahrscheinlicher.

Wie Ansgar Baums in der FAZ herausgestellt hat [10], geht es nicht um konstruktive politische Allianzen, sondern rein um ökonomische Interessen. Abhängigkeiten können – klug eingesetzt – der eigenen Selbstbestimmung dienen. Dazu sind neue, internationale Kooperationen notwendig. Die Fähigkeit, Alternativen zu schaffen, ist der Schlüssel zur digitalen Souveränität.

Fazit

Der europäische Weg zur digitalen Souveränität muss daher mehrgleisig angelegt sein:

  • Der Aufbau eigener unabhängiger Technologieanbieter muss (wie im ersten Teil der Serie beschrieben) strategisch gefördert werden. Diese wären von den oben genannten Anforderungen systembedingt nicht betroffen.
  • Gleichzeitig ist es für exportorientierte Volkswirtschaften wirtschaftlich wie ökologisch sinnvoll, globale Kooperationen nicht zu verhindern, sondern intelligent zu gestalten. Nicht jede Nation muss jede Technologie entwickeln, so wie nicht jede Nation bestimmte Rohstoff e selbst wirtschaftlich erschließen kann.
  • Und drittens müssen – als „ultimo ratio“ – staatsrechtliche Schritte vorbereitet werden, die als Abschreckung eine Einschränkung der digitalen Souveränität verhindern.

Anstatt eines kostspieligen Gegeneinanders sollte man einen Weg suchen, der für alle Beteiligten gangbar ist: einen Weg, der Fortschritt ermöglicht, IT-Kosten planbar senkt und Innovation in der Basistechnologie der Infrastructure as a Service (IaaS) zur Commodity macht – einen Weg, auf dem europäische Kompetenzen marktdifferenzierend von dieser Basis profitieren, ohne sich gegen globale Anbieter abzuschotten, solange diese auch tatsächlich global agieren.

So entstünde ein gleichberechtigtes Spielfeld, auf dem europäische IT-Unternehmen konkurrenzfähige Services entwickeln könnten. Zugleich braucht es aber auch die nötige Abschreckung, um Foulspiel zu ahnden. Auf diesem Weg können alle Seiten ökonomischen Nutzen und Stabilität gewinnen.

Gerald Boyne ist freier Berater zu IT-Security & Compliance, Resilienz und Souveränität. Florian Oelmaier ist CTO der IS4IT GmbH.

Literatur

[1] Florian Oelmaier, Gerald Boyne, Souveränität umfassend definiert, Warum digitale Souveränität viel mehr ist als nur Datensouveränität, 2025# 4, S.  73, https://www.kes-informationssicherheit.de/print/titelthema-digitale-souveraenitaet-mehr-als-hoheit-ueberdaten/souveraenitaet-umfassend-definiert/ (<kes>+)

[2] Preeti Wadhwani, Größe des europäischen CloudComputing-Marktes – nach Servicemodell, Unternehmensgröße, Bereitstellungsmodell, Anwendung, Wachstumsprognose 2025–2034, Global Markets Insights (GMI), Berichts-ID GMI2902, Januar 2025, www.gminsights.com/de/industry-analysis/europecloud-computing-market (kostenpflichtig)

[3] Melanie Staudacher, Wie sieht digitale Souveränität bei der deutschen Bundeswehr aus?, Security Insider, Juli 2025, www.security-insider.de/mcttp-digitale-souveraenitaet-bundeswehr-a-e7d1e5ccf9f0a0ccee2deb3e04013d29/  

[4] Delos Cloud, Unternehmensinformationen, undatiert, www.deloscloud.de/about-us.html [5] Amazon, AWS enthüllt neue Souveränitätskontrollen und Governance-Struktur für die AWS European Sovereign Cloud, Unternehmensmeldung, Juni 2025, https://press.aboutamazon.com/de/unternehmensmeldungen/2025/6/aws-enthuellt-neue-souveraenitaetskontrollen-und-governance-struktur-fuer-die-awseuropean-sovereign-cloud

[6] Hayete Gallot, Advancing sovereignty, choice, and security in the cloud for our customers, Google Cloud Blog, Mai 2025, https://cloud.google.com/blog/products/identity-security/google-advances-sovereigntychoice-and-security-in-the-cloud?hl=en

[7] Oracle Cloud Infrastructure (OCI), EU Sovereign Cloud, undatiert, www.oracle.com/de/cloud/eusovereign-cloud/

[8] European Union Agency for Cybersecurity (ENISA), EUCS – Cloud Services Scheme, Dezember 2020, www.enisa.europa.eu/publications/eucs-cloud-servicescheme

[9] Bundesamt für Sicherheit in der Informationstechnik (BSI), Cloud Computing Compliance Criteria Catalogue – Kriterienkatalog C5, Januar 2020, www.bsi.bund.de/dok/7685384

[10] Felix Hoffmann, Kalter Krieg um die KI: „Friss oder stirb“, F.A.Z. Podcast „Machtprobe“, August 2025, www.faz.net/podcasts/f-a-z-podcast-machtprobe/kalter-krieg-um-die-ki-friss-oder-stirb-110614531.html (kostenpflichtig)

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.