Das Thema der digitalen Souveränität nimmt insbesondere in Deutschland immer mehr Fahrt auf und stellt vor allem Behörden vor viele regulatorische Herausforderungen.
In dieser Blog-Serie werden die Angebote der Cloud Services zu „souveränen Cloud-Lösungen“ beleuchtet. Was davon ist „Souveränitäts-Washing“, welche Lösungen bieten tatsächlich die gewünschten Freiheiten, was überhaupt ist die digitale Souveränität im Kontext Cloud?
Teil 1 thematisiert die Anforderungen der digitalen Souveränität. Anschließend wird eine Auswahl der Superscaler, also europäische Alternativen, vorgestellt.
Status Quo
Digitale Souveränität ist ein zentrales Anliegen der deutschen IT-Politik. Sie beschreibt die Fähigkeit von Individuen, Unternehmen und staatlichen Institutionen, ihre digitalen Ressourcen und Daten unabhängig und sicher zu verwalten.
Dabei geht es im Wesentlichen um vier Anforderungen:
- Volle Datensouveränität, bspw. DSGVO-Konformität, kein Zugriff auf Daten durch US-Behörden
- Technologische Souveränität, bspw. Update-Kontrolle
- Offene Standards und Schnittstellen zur Erleichterung eines Anbieterwechsels (Vermeidung Vendor-Lock-In)
- Offene Quellcodes
Für Behörden auf kommunaler, Landes- und Bundesebene ist dies besonders wichtig, um die Kontrolle über kritische Infrastrukturen zu behalten und die Datensicherheit zu gewährleisten. (Quelle: CIO Bund). Vereinfacht gilt nach Definitionen diverser Quellen die vollständige Kontrolle über die eigenen Daten als Hauptmerkmal für eine souveräne Cloud.
Digitale Souveränität ist jedoch nicht gleichzusetzen mit Abschottung oder Autarkie. Die Forderung geht über eine reine Daten-Souveränität hinaus, umfasst unter anderem auch den Zugriff auf Quellcodes. (Quelle: Zendis Whitepaper)
Herausforderungen im Rahmen von Datenschutz und -souveränität
Behörden in Deutschland stehen vor der Herausforderung, ihre digitale Souveränität zu stärken, um die Abhängigkeit von globalen Technologieanbietern zu verringern. Dies betrifft insbesondere die öffentliche Verwaltung, die oft auf Lösungen von großen internationalen Betreibern angewiesen ist. Die Bundesregierung hat daher Strategien entwickelt, um die digitale Souveränität zu fördern und die Resilienz der IT-Infrastrukturen zu erhöhen.
Die Digitalisierung der Bundesverwaltung nutzt zunehmend Cloud-Dienste, was die Effizienz und Flexibilität erhöhen soll, aber auch Abhängigkeiten und Risiken mit sich bringt, insbesondere in Bezug auf Cybersicherheit, Datenhoheit und digitale Souveränität. Alle Hyperscaler haben ihren Hauptsitz außerhalb der EU, was zusätzliche rechtliche und sicherheitstechnische Herausforderungen darstellt. Dabei geht es in erster Linie um die Einhaltung des Datenschutzes und der DSGVO durch US-amerikanische Unternehmen.
Der US CLOUD Act, dem alle US-amerikanischen Unternehmen und somit die Hyperscaler unterliegen, ermöglicht es US-Behörden im Rechtsfall (elektronisch gespeicherte) Daten von den Cloud-Dienstbetreibern einzufordern, auch wenn diese Daten in Rechenzentren außerhalb der Vereinigten Staaten liegen. Dies steht im Widerspruch zur DSGVO und würde zu Verstößen gegen europäische Datenschutzgesetze führen. Der für viele Bürger und die Behörden auf allen föderalen Ebenen fast noch wichtigere Aspekt ist die sog. Datensouveränität. Die vollständige Kontrolle über die eigenen Daten ist ein zentrales Anliegen für viele europäische Unternehmen und öffentliche Einrichtungen. Die Nutzung von Hyperscalern kann zu einem Verlust dieser Kontrolle führen, was die Datensouveränität beeinträchtigt.
Deutsche Verwaltungscloud-Strategie
Die Deutsche Verwaltungscloud-Strategie betont die Bedeutung einer IT-Strategie, die verschiedene Technologien kombiniert, um den öffentlichen Sektor zu stärken. Offene Standards und anpassbare Softwarelösungen sind entscheidend, um Abhängigkeiten von einzelnen Anbietern zu vermeiden und die Kontrolle über die IT-Infrastruktur zu behalten. Diese Flexibilität fördert die digitale Souveränität, indem Verwaltungen die besten IT-Lösungen für ihre Bedürfnisse wählen können – unabhängig davon, ob sie auf proprietären oder offenen Technologien basieren.
Nach Einschätzung des BSI wird Deutschland seine Abhängigkeit von ausländischen Cloud-Diensten, KI-Technologien und weiteren digitalen Produkten auf absehbare Zeit nicht vollständig überwinden können. Laut Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) wird Deutschland auf absehbare Zeit weiterhin auf ausländische Cloud-Dienste, KI-Technologien und andere digitale Produkte angewiesen sein. BSI-Präsidentin Claudia Plattner betont, dass staatliche IT-Systeme und Daten aktuell nicht ohne Beiträge aus dem außereuropäischen Ausland betrieben werden können. Daher sei es kurzfristig von zentraler Bedeutung, umfassende Kontrollmechanismen zu etablieren. „Wir sind in vielen Bereichen technologisch abhängig.“ Es sei unrealistisch zu erwarten, „dass wir kurzfristig in der Lage sind, all diese Technologien eigenständig zu entwickeln und bereitzustellen“, so Plattner. (Quelle: Tagesspiegel)
Die Rolle der Superscaler
Superscaler wie bspw. IONOS, STACKIT, plusserver und OVHcloud bieten Cloud-Dienste an, die eine wichtige Rolle bei der Stärkung der digitalen Souveränität in Deutschland spielen können. Diese Anbieter bieten Alternativen zu den großen internationalen Cloud-Anbietern und tragen dazu bei, die Abhängigkeit von diesen zu reduzieren.
IONOS
IONOS, ein deutscher Anbieter und Tochterunternehmen der United Internet AG, stellt seit über zehn Jahren eine eigens entwickelte Public-Cloud-Lösung bereit, die speziell für die Anforderungen europäischer Unternehmen und Behörden konzipiert wurde.
Das Unternehmen betreibt Rechenzentren in Deutschland, Paris, London, Spanien und den Vereinigten Staaten. Dabei stehen Datenschutz und Datensicherheit im Mittelpunkt. Seitens IONOS werden keine Daten automatisiert in andere Lokationen repliziert. Kundendaten innerhalb der EU unterliegen somit den strengen europäischen Datenschutzrichtlinien. Zertifizierungen wie ISO 9001, ISO 27001, ISO 50001, BSI C5 und IT-Grundschutz gewährleisten eine umfassend gesicherte Infrastruktur. IONOS bietet einen mehrsprachigen, rund um die Uhr erreichbaren Kundendienst aus Deutschland.
IONOS deckt mit seinem Service-Portfolio ein breites Spektrum ab und verzichtet bewusst auf ein Angebot von Software-as-a-Service-Lösungen (SaaS). Über den IONOS Cloud-Marktplatz können Software-Lösungen von ISV-Partnern bezogen werden. Diese Drittanbieter-Softwarelösungen sind speziell auf die Anforderungen verschiedener Branchen und Anwendungsbereiche ausgelegt und lassen sich manuell in die bestehende Cloud-Umgebung integrieren.
Über ein benutzerfreundliches grafisches Interface (GUI) ist ein direkter visueller und administrativer Zugriff auf die Cloud-Struktur möglich, während sämtliche Services gleichzeitig über eine REST-API administriert werden können.
Es werden zusätzlich weitere Cloud-Services angeboten: Eine dedizierte Private-Cloud-Umgebung auf VMware-Basis mit vollständigem Management durch IONOS sowie Bare-Metal-Server (dedizierte physikalische Server) mit Root-Zugriff, über die auch Systeme mit NVIDIA GPUs angeboten werden.
STACKIT
STACKIT, ein weiterer deutscher Anbieter (IT- und Digitalmarke der Schwarz Gruppe), bietet Lösungen mit hoher Flexibilität und Anpassungsfähigkeit. Basierend auf Open-Source-Technologien kommt dies insbesondere Behörden bei der sicheren und unabhängigen Gestaltung ihrer IT-Infrastrukturen entgegen. Die Rechenzentren von STACKIT befinden sich in Deutschland und Österreich.
Zum Portfolio gehören Public-, Private- und Hybrid-Cloud-Angebote sowie Container-Services (IaaS, PaaS). Ergänzend stehen SaaS-Lösungen sowie individuelle Angebote zur Verfügung. Neben Cloud-Lösungen bietet STACKIT Beratung und Consulting, Colocation-Services, umfangreiche Managed Services und DevOps-Unterstützung. Themen wie IoT, Security-Konzepte und Confidential Computing runden das Spektrum ab. Ein Marktplatz für Drittanbieter-Lösungen ermöglicht zusätzliche Erweiterungen.
STACKIT hat gängige Zertifizierungen wie ISO 27001, aber auch ein C5 Testat Typ 2. Eine IT-Grundschutz-Zertifizierung ist aktuell in Arbeit. Für die Nutzer steht ein deutschsprachiger Support bereit.
pluscloud open von plusserver
plusserver bietet Cloud-Lösungen für Unternehmen und Behörden und legt dabei großen Wert auf Datenschutz und Compliance. pluscloud open ist vollständig quelloffen und basiert auf dem Sovereign Cloud Stack (SCS).
Mit Rechenzentren in Deutschland (Köln, Düsseldorf, Hamburg) und einem starken Fokus auf Datensicherheit unterstützt plusserver seine Kunden dabei, ihre digitale Souveränität zu wahren. plusserver betreibt Rechenzentren ausschließlich in Deutschland und bietet deutsch- sowie englischsprachigen Support.
OVHcloud
OVHcloud, ein französischer Anbieter, bietet ebenfalls eine Vielzahl von Cloud-Diensten an, die sich durch hohe Leistung und transparente Preisgestaltung auszeichnen. Das Angebot umfasst dedizierte Server, virtuelle Maschinen, Public und Private Cloud-Lösungen sowie Bare-Metal-Server, die für hohe Leistung und Skalierbarkeit ausgelegt sind. OVHcloud bietet außerdem Managed Kubernetes, Object Storage, Datenbanklösungen und KI- sowie Big-Data-Services an.
Der Superscaler legt großen Wert auf die Einhaltung europäischer Datenschutzstandards und bietet seinen Kunden die Möglichkeit, ihre Daten sicher und unabhängig zu verwalten. OVHcloud betreibt Rechenzentren in Frankreich, Deutschland, Polen sowie dem Vereinigten Königreich, Nordamerika und Sydney sowie Singapur.
Ergänzend zu den Rechenzentren setzt OVHcloud sog. Local Zones ein, um weltweit je nach Kundenbedarf und lokalen Bedingungen das Angebot zu erweitern. Eine Local Zone ist ein flexibles Bereitstellungs-Modell von OVHcloud. Sie erfordert nur eine einfache Infrastruktur und Shared Hosting.
OVHcloud verfügt über verschiedene Zertifizierungen, darunter ISO 27001 sowie ISO 27701. Der Anbieter stellt technischen Support bereit, der je nach Service Level Agreement (SLA) unterschiedliche Reaktionszeiten und Supportkanäle umfasst.
SINA Cloud von secunet
Die SINA Cloud von secunet ist eine hochsichere Cloud-Plattform, die speziell für die Verarbeitung von Verschlusssachen (VS) bis zur Einstufung GEHEIM entwickelt wurde. Sie wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zugelassen und ist damit die erste Cloud-Lösung in Deutschland, die diese Anforderungen erfüllt.
Damit können Behörden und sicherheitsbetreute Unternehmen erstmals hochsensible Informationen rechtskonform in der Cloud verarbeiten – ein bedeutender Schritt für die digitale Souveränität Deutschlands.
Die mandantenfähige und skalierbare Lösung wurde auf Open-Source entwickelt (OpenStack, Yaook, NixOS) und ist laut Aussage der secunet ohne Vendor-Lock-in. Die Kryptografie basiert auf der SINA-Technologie. Die On-Premises-Version ist bereits verfügbar, ein Angebot als IaaS durch secunet ist noch im Jahr 2025 geplant.
Interessant ist, dass secunet die Lösung für andere deutsche Cloud-Anbieter öffnet, um gemeinsame Angebote zu schaffen und die Abhängigkeit von außereuropäischen Technologien zu reduzieren.
Fazit: Digitale Souveränität in Deutschland – Strategien, Risiken und europäische Cloud-Alternativen für Behörden
Die digitale Souveränität gewinnt in Deutschland zunehmend an Bedeutung, insbesondere für Behörden, die vor komplexen regulatorischen und technologischen Herausforderungen stehen. Sie umfasst weit mehr als nur Datenschutz – zentrale Aspekte sind die vollständige Kontrolle über Daten, technologische Unabhängigkeit, offene Standards und der Zugang zu Quellcodes.
Die Nutzung internationaler Hyperscaler birgt Risiken, insbesondere durch gesetzliche Regelungen wie den US CLOUD Act, der im Konflikt mit der DSGVO steht. Daher strebt die öffentliche Verwaltung nach Alternativen, um Abhängigkeiten zu reduzieren und kritische Infrastrukturen zu schützen.
Europäische Anbieter – oft als „Superscaler“ bezeichnet – wie IONOS, STACKIT, plusserver und OVHcloud bieten vielversprechende Ansätze für souveräne Cloud-Lösungen. Sie ermöglichen mehr Kontrolle und Sicherheit, sind jedoch nicht vollständig autark, wie auch das BSI betont. Kurzfristig ist daher der Aufbau wirksamer Kontrollmechanismen entscheidend. Die Deutsche Verwaltungscloud-Strategie setzt auf technologische Vielfalt und Offenheit, um Flexibilität und Resilienz zu fördern. Digitale Souveränität bedeutet also nicht Abschottung, sondern bewusste Gestaltung von IT-Infrastrukturen, die den Anforderungen von Datenschutz, Sicherheit und Unabhängigkeit gerecht werden.
Ausblick: Wie Hyperscaler mit souveränen Cloud-Angeboten auf EU-Anforderungen reagieren
Im zweiten Teil wird beleuchtet, wie Hyperscaler wie Microsoft, Amazon, Google und Oracle mit souveränen Cloud-Lösungen auf die steigenden Anforderungen an Datenschutz, Compliance und digitale Souveränität reagieren. Welche Strategien und Partnerschaften stellen den Betrieb innerhalb europäischer Rechtsräume sicher?
Es werden die unterschiedlichen Modelle vorgestellt – von regionalen Sovereign Clouds bis hin zu vollständig isolierten „Disconnected Solutions“. Zudem wird aufgezeigt, wie diese Angebote den Zugang zu regulierten Märkten wie dem öffentlichen Sektor, Gesundheits- und Finanzwesen eröffnen. Abschließend wird ein Ausblick auf kommende Markteinführungen und deren Bedeutung für hybride Multi-Cloud-Strategien gegeben.