„Souveränitäts-Washing“ bei Cloud-Diensten ZenDiS: Digitale Souveränität ist mehr als ein Standortversprechen

Anbieter zum Thema

Zentrum für Digitale Souveränität der öffentlichen Verwaltung (ZenDiS) GmbH

secunet Security Networks AG

Mein Videotermin Suite | Voigtmann GmbH

SysEleven GmbH

Das ZenDiS warnt vor Etikettenschwindel im Cloud-Markt: „Souveränitäts-Washing“. Gemeint sind Angebote, die als „souverän“ vermarktet werden, in der Praxis jedoch nur Teilaspekte erfüllen etwa, indem sie europäische Rechenzentrumsstandorte oder „Datengrenzen“ hervorheben, ohne echte technologische oder operative Unabhängigkeit zu gewährleisten.

Digitale Souveränität bedeutet laut Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) die Fähigkeit von Staaten oder Organisationen, digitale Infrastrukturen selbstständig, selbstbestimmt und sicher zu gestalten, ohne unkontrollierbare Abhängigkeiten von Anbietern oder Drittstaaten. Dazu gehöre mehr als nur Datenhoheit. Auch technologische Kontrolle, Wechselfähigkeit, Transparenz und Gestaltungsfreiheit seien essenziell.

ZenDiS analysiert in dem aktuellen Whitepaper „Souveränitäts-Washing bei Cloud-Diensten erkennen“ drei zentrale Problemfelder und zeigt strukturelle Risiken proprietärer Systeme auf:

• Update-Abhängigkeit: Ohne kontinuierliche Software- und Sicherheitsupdates durch den US-Anbieter würden Plattformen binnen Wochen unsicher und unbrauchbar.

• Lock-in durch Architektur: Zwar werden offene Standards oft versprochen, tatsächlich verhindern proprietäre Erweiterungen und monolithische Integration oft den einfachen Anbieterwechsel.

• Juristische Risiken: US-Gesetze wie der CLOUD Act oder FISA 702 verpflichten Anbieter zur Herausgabe von Daten – auch bei Speicherung in europäischen Rechenzentren. Damit ist europäische Datenhoheit faktisch nicht gewährleistet.

Quickcheck souveräne Clouds

ZenDiS fasst die Anforderungen an eine souveräne Cloud zusammen:

1. Datensouveränität
Datensouveränität bedeutet nicht nur, dass Daten in europäischen Rechenzentren gespeichert werden. Entscheidend ist, dass kein Zugriff durch Drittstaaten erfolgen kann – auch nicht auf Basis von Gesetzen wie dem US CLOUD Act oder FISA 702, die Anbieter zur Herausgabe von Daten verpflichten, selbst wenn diese in Europa liegen. Eine wirklich souveräne Cloud muss daher sowohl technisch (z. B. durch Verschlüsselung und Schlüsselverwaltung beim Kunden) als auch rechtlich abgesichert sein.

2. Technologische Souveränität
Eine Cloud-Plattform ist nur dann souverän, wenn der Betreiber die volle Kontrolle über Betrieb und Weiterentwicklung hat. Kritische Abhängigkeiten, etwa bei Sicherheitsupdates, Bugfixes oder neuen Releases, sind problematisch, wenn sie ausschließlich durch einen nicht-europäischen Anbieter bereitgestellt werden können. Ohne kontinuierliche Pflege wird eine Plattform innerhalb weniger Wochen unsicher und unbrauchbar. Technologische Souveränität bedeutet deshalb: Updates, Sicherheitspatches und Betriebssteuerung müssen eigenständig möglich sein.

3. Wechselfähigkeit (Portabilität)
Ein zentrales Kriterium für echte Unabhängigkeit ist die Freiheit, den Anbieter wechseln zu können. Proprietäre Architekturen, inkompatible Schnittstellen oder bewusst eingebaute Abhängigkeiten verhindern diesen Schritt. Das Whitepaper betont, dass Wechselfähigkeit nur gewährleistet ist, wenn Cloud-Angebote auf offenen Standards und Open-Source-Technologien basieren. Künftig soll der EU Data Act diese Portabilität rechtlich absichern, indem er Anbieter verpflichtet, standardisierte Schnittstellen bereitzustellen und Kündigungsfristen auf maximal zwei Monate zu begrenzen.

4. Transparenz
Transparenz bedeutet, dass die Funktionsweise einer Cloud-Plattform offengelegt und nachvollziehbar ist. Dazu gehört die Dokumentation von Architektur und Prozessen, aber auch die Möglichkeit, Quellcode oder wesentliche Komponenten einzusehen. Nur so können Kunden sicherstellen, dass keine versteckten Abhängigkeiten existieren und die zugesicherten Souveränitätsmerkmale tatsächlich eingehalten werden. Open Source gilt hier als wichtiges Instrument, um Vertrauen zu schaffen und eine unabhängige Prüfung zu ermöglichen.

Podcast: Strategien für Cloud-Interoperabilität

Wechselfähigkeit zwischen Clouds – wie Interoperabilität die Digitalisierung vorantreibt

Beispiel Delos-Cloud: Teilweise souverän, aber abhängig

Das Whitepaper nennt die Delos-Cloud als Beispiel. Zwar wird die Plattform von SAP betrieben und verspricht Datensouveränität in Deutschland, technisch basiere sie jedoch auf Microsoft Azure und Microsoft 365. Damit bliebe die operative und technologische Abhängigkeit vom US-Konzern bestehen. Kritische Updates oder Sicherheitsfixes könnten ohne US-Support nicht bereitgestellt werden – ein Risiko, das durch geopolitische Spannungen noch verstärkt werde.

Das Whitepaper verweist auf zahlreiche politische Initiativen wie das Projekt Sovereign Cloud Stack im Umfeld von Gaia-X, das durch offene Standards echte Unabhängigkeit ermöglichen soll oder den EU Data Act, der im September 2025 in Kraft tritt, und Anbieter zu Cloud-Portabilität, offenen Schnittstellen und Kündigungsfristen von maximal zwei Monaten verpflichtet. Zudem definiert die Datenschutzkonferenz der Länder (DSK) detaillierte Kriterien für souveräne Clouds, darunter volle Kontrollierbarkeit und Anbieterwechselmöglichkeiten.

Kritische Prüfung erforderlich

Das Whitepaper kommt zu dem Schluss: Nicht jedes „souveräne“ Cloud-Angebot hält, was es verspricht. Politik, Verwaltung und Unternehmen sollten Marketingversprechen kritisch prüfen und sich nicht allein auf Standortangaben oder Betreibermodelle verlassen. ZenDiS arbeitet derzeit an einem „Souveränitätscheck“, der künftig eine standardisierte Bewertung von IT-Angeboten ermöglichen soll.

CCX Cloud Computing Conference 2025 - Empower your Cloud!

Die Zukunft der Cloud gestalten

(ID:50526683)