In der Theorie machen in die Cloud verlagerte Workloads Behörden schneller, effizienter und bürgernaher. Wer aber Vorgaben wie C5, DSGVO und NIS-2 erfüllen will, braucht mehr als eine leistungsfähige IT-Infrastruktur. Diese Brücke schlägt der Sovereign Cloud Stack (SCS) der Open Source Business Alliance (OSBA).
Der Sovereign Cloud Stack übersetzt Anforderungen aus DSGVO und NIS-2 in klar definierte, auditierbare Kontrollen für einen sicheren und hochverfügbaren Cloud-Betrieb.
„Jeder soll seine Behördengänge einfach, schnell, sicher und rund um die Uhr online von zu Hause aus erledigen können.“ Diesen Anspruch formulierte Markus Söder 2014 im Bayerischen Landtag. Zwölf Jahre später zeigt sich, wie ambitioniert dieses Vorhaben auch heute noch ist: Nach wie vor ringen deutsche Verwaltungen darum, Anträge, Bescheide und Statusabfragen so reibungslos und komfortabel zu gestalten wie das Online-Banking.
Dabei scheitert es inzwischen nicht mehr – oder zumindest eher selten – an der Technik. Oft sind es gewachsene Strukturen, Zuständigkeiten, Medienbrüche, Altsysteme und Vergaberegeln, die Digitalisierungsprojekte im öffentlichen Sektor zäher als erhofft gestalten.
Zugleich sind mit Vorgaben wie der DSGVO und NIS-2 die Herausforderungen an Kontrolle und Nachweisbarkeit in den vergangenen Jahren enorm gestiegen. Register, Fachverfahren und Verfahrensdaten im behördlichen Umfeld sind in der Regel so sensibel, dass schon kleine Unklarheiten darüber, wer wann auf welche Daten zugreifen darf und wie sich diese Regeln prüfbar belegen lassen, schnell zum Risiko für das Vertrauen der Öffentlichkeit werden.
(K)eine Frage des Standorts
Kritisch wird es für staatliche Institutionen insbesondere dann, wenn ein Anbieter, dessen Konzernmutter oder zentrale Funktionen außerhalb der EU verankert sind, oder eine operative Steuerung aus einem Drittstaat möglich ist. Immer wieder wird in diesem Zusammenhang auf den 2001 verabschiedeten US Patriot Act verwiesen: Er verbindet bestimmte Auskunfts- und Überwachungsbefugnisse mit Geheimhaltungspflichten, sodass Anordnungen von US-Behörden nicht in jedem Fall transparent überprüfbar sind.
Damit steht der Patriot Act im Widerspruch zu DSGVO und NIS2, die Kontrolle, Nachweisbarkeit und belastbare Schutzprozesse für sensible Verwaltungsdaten verlangen. Einen Schritt weiter geht der US Cloud Act (2018). Er kann US-Anbieter verpflichten, Daten herauszugeben, die sich in ihrer tatsächlichen Verfügungsgewalt befinden, auch wenn sie außerhalb der USA gespeichert sind. Entscheidend ist also weniger der Serverstandort als vielmehr die Frage, ob der Provider Zugriff vermitteln oder Daten bereitstellen kann.
Sovereign Cloud Stack (SCS): Framework für Datenhoheit
EU-Behörden, die den Umzug in die Cloud erwägen, sollten deshalb zunächst drei essenzielle Fragen klären: Wer verfügt nach der Migration über welche rechtlichen Hebel, um Zugriffe anordnen und durchsetzen zu können und über welche Unternehmen läuft dieser Prozess? Wo liegen Schlüssel, Logs und Administratorrechte und wer kontrolliert sie? Und schließlich: Mit welchem Personal, Tools und Prozessen verläuft ein Exit, wenn Daten und Workloads in eine andere Umgebung migriert werden sollen?
Hier kommt der Sovereign Cloud Stack ins Spiel: Er übersetzt Anforderungen aus DSGVO und NIS2 in klar definierte, auditierbare Kontrollen für Cloud-Betrieb, Berechtigungen, Verschlüsselung, Protokollierung und Wiederanlauf. Damit wird die Cloud für Behörden zum System, das auch im harten Audit belastbar begründet werden kann und im Ernstfall handlungsfähig bleibt. Das Prinzip des Sovereign Cloud Stacks folgt einem Schichtenmodell.
Jede Schicht wird so gebaut und betrieben, dass Datenhoheit, Auditierbarkeit und Wechseloptionen ohne Einschränkungen erhalten bleiben. So lässt sich der Sovereign Cloud Stack als eine Art Framework lesen, der die Cloud in verständliche Ebenen zerlegt und für jede Ebene konkretisiert, was Behörden kontrollieren und später nachweisen können müssen.
Mit SCS ist hier das von der Open Source Business Alliance (OSBA) getragene Open-Source-Vorhaben gemeint. Der SCS definiert offene, nachvollziehbare Standards und Prüfkriterien, damit Cloud-Umgebungen verschiedener Anbieter kompatibel sind und sich Anwendungen und Daten planbar zwischen SCS-konformen Anbietern betreiben oder migrieren lassen. Kurz: SCS ist kein einzelnes Produkt, sondern ein gemeinsamer Bauplan mit Zertifizierbarkeit, der Interoperabilität und Anbieterunabhängigkeit absichert.
Stabiler Betrieb durch Automatisierung
Was das in der Praxis bedeutet, zeigt das Schichtenmodell: Es beginnt bei der technischen Basis und arbeitet sich Ebene für Ebene nach oben. Ganz unten steht die Basis. Dazu zählen Rechenzentrum, Netzwerk, Storage und Virtualisierung. Für das Rechenzentrum München wird die noris Sovereign Cloud als nach BSI C5 testiert deklariert und als DSGVO- sowie KRITIS-konform eingeordnet. Souverän ist diese Schicht freilich nur, wenn Betrieb und Aufsicht im EU-Rechtsraum liegen und klar ist, wer physisch und organisatorisch Zugriff auf die Infrastruktur hat.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Darüber liegt der Software-Stack der Cloud-Plattform, abgebildet durch OpenStack mit standardisierten Schnittstellen. Hier werden Mandanten getrennt, Netze segmentiert und Ressourcen standardisiert bereitgestellt. Das übergeordnete Ziel – ein Betrieb, der sich überall reproduzieren lässt: Deployments, Updates und Patches folgen zertifizierten Prozessen. Greifbar gemacht wird diese Ebene über mehrere Verfügbarkeitszonen für hochverfügbare Setups, S3-kompatiblen Object Storage mit standortverteilter Ablage sowie den Zugriff standardisierter REST-API.
Sollen Anwendungen containerisiert laufen, lässt sich darauf aufbauend eine Container-Ebene nutzen. Kubernetes und Automatisierung sorgen dafür, dass Workloads konsistent ausgerollt, skaliert und im Störfall reproduzierbar wiederhergestellt werden können. Entscheidend danach ist die Steuerungs- und Betriebsebene. Dort wird das auditierbare Rollen- und Rechtekonzept umgesetzt.
Privilegierte Zugriffe von Administratoren müssen streng geregelt, zeitlich kontrolliert und vollständig protokolliert sein; Administratorfunktionen dürfen nicht nebenbei über normale Nutzerkonten laufen. Und auch die Verschlüsselung ist hier geregelt. Sie schützt aber nur dann, wenn die Schlüsselverwaltung klar getrennt ist.
Ergänzend dazu braucht es technische Regeln, die Daten in passende Sicherheitszonen zwingen, und eine Protokollierung, die revisionssicher ist, damit sich Vorfälle nachvollziehen und rekonstruieren lassen. Hier kommt unter anderem ein Identity and Access Management (IAM) mit optionaler Multi-Faktor-Authentifizierung zum Einsatz, um Betrieb und Änderungen kontrolliert auszusteuern. Damit wird nachvollziehbar, wer was wann darf und was tatsächlich passiert ist.
Souveränität: Mehr als ein Versprechen
Der Unterschied zur „normalen“ Cloud liegt also weniger im Funktionsumfang als in der Frage, wer den Betrieb wirklich kontrolliert. Nicht umsonst entstehen die größten Risiken dort, wo zentrale Administration, Fernwartung, Supportzugänge oder Telemetrie unbemerkt dauerhaft Zugriff gestattet wird. Ein souveräner Stack reduziert diese Angriffsflächen und gewährleistet, dass sie jederzeit nachvollziehbar prüfbar sind.
Gerade bei Fachverfahren in Behörden ist das von immenser Wichtigkeit. Ein realistischer Weg für die öffentliche Hand beginnt deshalb idealerweise in klaren Etappen: Daten klassifizieren, Zonen sauber trennen, Schnittstellen definieren, Rollen und Rechte festlegen und die Kontrolle von Schlüsseln bestimmen. Auf dieser stabilen Basis lassen sich dann Workloads schrittweise verlagern, übergangsweise häufig in hybriden Szenarien.
Portale und Integrationsdienste lassen sich leicht skalieren und vorverlagern, wohingegen Datenbanken mit den hochsensiblen Bestandsdaten zunächst in streng kontrollierten Zonen des Rechenzentrums gesichert werden. Souveränität zeigt sich dann weniger in großen Versprechen als in der Fähigkeit, Zugriffe lückenlos zu dokumentieren und im Audit belastbar zu belegen.
Der Autor Joachim Astel ist Mitbegründer und Vorstand der noris network AG.
:quality(80)/p7i.vogel.de/wcms/27/12/2712be28ea8f67a75e32f57d7c19462d/0129145815v2.jpeg "Der Sovereign Cloud Stack übersetzt Anforderungen aus DSGVO und NIS-2 in klar definierte, auditierbare Kontrollen für einen sicheren und hochverfügbaren Cloud-Betrieb. (Bild: © Catsby_Art - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/43/b3/43b33e50faf1938562316b4f4bebf829/0129178528v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1f/28/1f2891478d7d50c2f8b65e9e9bb6f27f/0129164635v1.jpeg "Im Open-Code-Repository der deutschen Verwaltung gehört GA-Lotse zu den Top-20-Projekten. (Bild: © Gesundheitsamt FFM)")
:quality(80)/p7i.vogel.de/wcms/eb/02/eb02d55fe7a871827bdaff0371dc08bd/0129090301v3.jpeg "Dr. Daniela Dylakiewicz, Amtschefin der Sächsischen Staatskanzlei und Beauftragte für Informationstechnologie des Freistaates Sachsen. (Bild: Pawel Sosnowski)")
:quality(80)/p7i.vogel.de/wcms/62/07/6207b653b3428c529c9bc6004701b14e/0129185059v2.jpeg "Schweden zieht nach: In den Grundschulen sollen Handys aus dem Schulalltag verschwinden. (Bild: © JackF – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/0c/320c26b32364c01042fa00b6e8ac07cb/0129180588v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt. (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/5d/305d4b954505630521c0c617eea3ebe9/0129121214v2.jpeg "Wenn Register-Informationen digital abrufbar, aktuell und konsistent vorliegen, können Prüf- und Freigabeentscheidungen schneller getroffen werden, weil Nachforderungen, Nachreichungen und erneute Prüfschleifen deutlich seltener werden. (Bild: © Andrew505 – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/08/f7086bdbf995dd01a59ee4c05c98c18e/0128147516v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/d6/3fd65ee8c363863ad83fb6f06d6c4673/0128557921v2.jpeg "Die jährlich stattfindende Didacta ist die größte Bildungsmesse in Europa und die wichtigste Weiterbildungsveranstaltung für Lehrkräfte. (Bild: © Koelnmesse GmbH / didacta / Alita Holzhauer)")
:quality(80)/p7i.vogel.de/wcms/7c/f1/7cf1421ed7c704eddc6167553c39d438/0129022115v1.jpeg "Die sovero GmbH ist Softwareanbieter für ECM- und Workflowlösungen und durchführender Partner für Aktendigitalisierungsprojekte in Kommunalverwaltungen. (Bild: sovero)")
:quality(80)/p7i.vogel.de/wcms/7e/01/7e01f9af699f512a4ee3bbb345c9ddb9/0128945446v2.jpeg "Mit dem Deutschland-Stack soll eine souveräne, europäisch anschlussfähige und interoperable digitale Infrastruktur für Bund, Länder und Kommunen geschaffen werden. (CanvaKI-generiert)")
:quality(80)/p7i.vogel.de/wcms/92/0d/920d464a10fdaabbed2a225131b40428/0128865118v2.jpeg "Ein Deep Dive in digitiale Bildung – und das vom heimischen Rechner aus: Das ist die LEARNTEC xChange. (Bild: Messe Karlsruhe / Jannik Hammes)")
:quality(80)/p7i.vogel.de/wcms/18/96/1896e3a6ff5662cb8cc3916e70eaaca1/0128771682v1.jpeg "(Bild: © Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/a2/1c/a21c5cbcfc2114968d324ef51f71a997/0128496655v2.jpeg "(Illustration: Landkreis Regensburg)")
:quality(80)/p7i.vogel.de/wcms/55/49/5549944daffc8a848b82db8f3abcee30/0127845342v1.jpeg "Der Autor, Matthias J. Szymansky, ist Leiter Competence Center Analytics & AI, Materna. (Bild: Materna )")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/fb/68fb93af0a60e/logo-square.jpeg "logo-square (meinvideotermin.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/f3/66f3bc1423b16/syseleven-l-logo-hoch-cmyk.svg "syseleven-l-logo-hoch-cmyk (SysEleven GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/92/6492d97a1172a/mgmlogo.png "mgmlogo (mgm)")
:quality(80)/p7i.vogel.de/wcms/f3/c4/f3c4a34e8f06b0d84e898bec169666e5/0121496501v2.jpeg "Sovereign Cloud Stack (SCS): OSBA und Mitgliedsunternehmen gründen das Forum „SCS-Standards“ für Standards und Zertifizierungen hinsichtlich des SCS sowie deren Weiterentwicklungen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d1/39/d13943c6523a82f574e9494be4f6324e/0118673704v4.jpeg "Die Gründung des Forums „Sovereign Cloud Stack Standardisierung“ innerhalb der OSB Alliance ist einer der Wege zur Weiterführung des SCS-Projekts. (©Serhii – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/26/3726a4af8e6b12888a971864aeb269ad/0126339665v1.jpeg "Digitale Souveränität: Das ZenDiS-Whitepaper warnt vor Abhängigkeiten durch proprietäre Systeme und US-Recht und erklärt, warum viele Cloud-Angebote nicht wirklich unabhängig sind. (Bild: © BonzEarthsnapper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/8d/998d398678c57001f141f4a3c0c2d6af/0127551036v1.jpeg "Delos Cloud soll die digitale Verwaltung auf eine souveräne Infrastruktur heben. Doch die US-Gesetzgebung bleibt ein Unsicherheitsfaktor für die Datensouveränität europäischer Behörden. (Bild: Landtag, Stuttgart / Till Westermayer (tillwe) / CC BY-SA 2.0 / flickr.com)")