Der zweite Teil unserer Blogserie beleuchtet, wie Hyperscaler wie Microsoft, Amazon, Google und Oracle mit souveränen Cloud-Lösungen auf die steigenden Anforderungen an Datenschutz, Compliance und digitale Souveränität reagieren. Welche Strategien und Partnerschaften (z. B. mit T-Systems oder Delos Cloud) sollen den Betrieb innerhalb europäischer Rechtsräume sicherstellen? Welche Modelle gibt es? Und wie wird der Zugang zu regulierten Märkten gewährleistet?
Souveräne Cloud-Lösungen der Hyperscaler
Hyperscaler wie Microsoft, Amazon, Google und andere bieten souveräne Cloud-Lösungen an, um den wachsenden Anforderungen von Regierungen, öffentlichen Einrichtungen und regulierten Branchen gerecht zu werden. Zudem verlangen viele Länder und vor allem Behörden eine Speicherung und Verarbeitung von Daten innerhalb ihrer Landesgrenzen.
Souveräne Clouds bieten unter anderem höhere Sicherheitsmaßnahmen, oft zertifiziert nach lokalen Normen. Erweitert werden diese Sicherheitsmaßnahmen durch die Möglichkeit der Verwendung von lokalen Schlüsselmanagements sowie Zero-Trust-Architekturen mit strengen Zugriffskontrollen.
Viele souveräne Cloud-Angebote entstehen in Kooperation mit nationalen Unternehmen, bspw. T-Systems oder Delos Cloud GmbH. Für Hyperscaler ist es strategisch wichtig, auch in regulierten Märkten wie dem öffentlichen Sektor, Gesundheitswesen oder Finanzwesen präsent zu sein. Souveräne Lösungen öffnen diesen Zugang.
Google Sovereign Cloud
Die Google Cloud Platform (GCP) ist eine umfassende Cloud-Computing-Plattform, die Unternehmen dabei unterstützt, Anwendungen zu entwickeln, zu verwalten und zu skalieren. Die Plattform ist besonders erfolgreich in den Bereichen Datenanalyse und maschinelles Lernen und hilft Unternehmen, innovative Lösungen zu entwickeln und ihre IT-Infrastruktur zu optimieren.
Google Sovereign Cloud ist eine speziell für europäische Kunden entwickelte Cloud-Lösung, die hohe Sicherheits- und Datenschutzstandards erfüllt. Diese Lösung ermöglicht es Behörden, ihre Daten innerhalb der EU zu speichern und zu verwalten, um den europäischen Datenschutzanforderungen gerecht zu werden. In Deutschland können Dienste bspw. über T-Systems bezogen werden (T-Systems Sovereign Cloud von Google Cloud).
Ein wichtiger Aspekt in der Zusammenarbeit mit lokalen Partnern wie T-Systems ist die unabhängige Aufsicht. Diese Partnerschaften gewährleisten, dass die Datenkontrolle und der Support ausschließlich durch in der EU ansässige Mitarbeiter erfolgen. Es gilt nur die europäische Gerichtsbarkeit. (Vgl. heise online.)
Microsoft Sovereign Cloud-Lösungen
Microsoft erweitert sein Cloud-Angebot in Europa mit dem Ziel, mehr Kontrolle, Datenschutz und Ausfallsicherheit für europäische Organisationen zu bieten. Die neuen Lösungen richten sich insbesondere an regulierte Branchen und den öffentlichen Sektor.
Dabei wird es neben der unten aufgeführten Lösung der Delos Cloud (einer sog. National Partner Cloud) zwei „souveräne“ Lösungsangebote geben: Die Sovereign Public Cloud und die Sovereign Private Cloud.
Dabei soll die Datenkontrolle sicherstellen („Pledge“), dass die Daten in der Sovereign Public Cloud in Europa verbleiben und ein Zugriff nur durch europäisches Personal möglich sein soll. Weiterhin wird allerdings die US-Gerichtsbarkeit gelten. (Vgl. heise online.)
Anders wird es bei der Sovereign Private Cloud sein: Hier liegt die komplette Kontrolle der Daten beim Kunden, der Betrieb erfolgt im eigenen Rechenzentrum. (Es handelt sich dabei um Azure Local und Microsoft 365 Local). Diese Lösung kommt ohne eine (direkte) Internet-Verbindung aus.
Amazon European Sovereign Cloud
Amazon Web Services (AWS) ist der älteste der Cloud Service Provider (erste Dienste in 2006) und stellt eine weit verbreitete Cloud-Plattform zur Verfügung, die über 250 vollständig ausgestattete Dienste aus globalen Rechenzentren anbietet. Amazon European Sovereign Cloud (ESC) bietet eine speziell auf die Bedürfnisse europäischer Kunden zugeschnittene Cloud-Infrastruktur. Mit einem starken Fokus auf Datenschutz und Sicherheit gemäß europäischen Anforderungen unterstützt Amazon europäische Behörden dabei, ihre digitalen Infrastrukturen sicher und effizient zu betreiben. Bei der ESC handelt es sich um eine weitere AWS-Region, die allerdings Daten nur innerhalb der EU speichern soll. So wird das IAM (Identity and Access Management) in einem Rechenzentrum in Deutschland umgesetzt. Der Start dieser souveränen Cloud findet in Deutschland (Brandenburg) statt und ist für Dezember 2025 geplant. Nur AWS-Mitarbeiter mit Wohnsitz in der EU, die sich auch in der EU aufhalten, haben Kontrolle über den Betrieb und den Support der Cloud. Weiterhin wird allerdings die US-Gerichtsbarkeit gelten.
Delos Cloud (Microsoft National Partner Clouds)
Die Microsoft Azure-Cloudplattform bietet seit 2010 mittlerweile über 200 Produkte und Dienste an, die darauf ausgelegt sind, bei der Entwicklung innovativer Lösungen zu helfen. Es besteht die Möglichkeit, Anwendungen in verschiedenen Clouds, lokal oder am Edge, zu entwickeln, auszuführen und zu verwalten.
Delos Cloud bietet Cloud-Dienste auf der Basis der Microsoft Azure-Technologie an, die speziell auf die Bedürfnisse der Behörden auf allen drei föderalen Ebenen zugeschnitten sind. Die Delos Cloud bietet eine umfassende Integration von Microsoft Office 365, was die Produktivität und Zusammenarbeit im öffentlichen Sektor verbessert.
Als einziger Cloud-Anbieter nutzt Delos Cloud die Netze des Bundes (NDB). Die Rechenzentren der Delos Cloud werden ausschließlich in Deutschland stehen (Walldorf, Berlin).
Die Delos Cloud Plattform unterstützt durch ihre Technologie- und Anwendungsoffenheit die flexible Digitalisierung von Verwaltungsprozessen und ermöglicht eine nahtlose Integration in eine Multi-Cloud-Landschaft, was ein starkes Fundament für den digitalen öffentlichen Sektor bildet.
Mit einem starken Fokus auf Datenschutz und Compliance unterstützt Delos Cloud seine Kunden auf allen drei föderalen Ebenen, ihre digitale Souveränität zu stärken. Der Start ist für Anfang 2026 geplant. Es wird nur die europäische Gerichtsbarkeit gelten.
Mit der Delos Cloud Public Simulation können Behörden bereits vor dem Servicestart Anfang 2026 erste Szenarien in einer sicheren Umgebung testen und entwickeln, um sich auf die Nutzung der souveränen Cloud vorzubereiten.
Oracle EU Sovereign Cloud
Die Oracle Cloud umfasst 50 vernetzte geografische Regionen, die sowohl Unternehmen als auch Behörden bedienen. Im Gegensatz zu anderen Anbietern bietet jede Region ein einheitliches Set von über 150 Oracle Cloud Infrastructure-Diensten weltweit. Zusätzlich unterstützt Oracle Cloud die Cloud-Strategien der Kunden durch eine vollständige Suite von Oracle Cloud Applications und direkte Verbindungen zu Microsoft Azure und Google Cloud.
Die Oracle EU Sovereign Cloud basiert auf der Oracle Cloud Infrastructure, nutzt aber eigene Rechenzentren innerhalb der EU. Die Cloud-Dienste werden in zwei Regionen bereitgestellt (Frankfurt, Madrid). Diese Rechenzentren sind physisch und logisch von anderen Oracle Cloud-Regionen getrennt, um die europäischen Anforderungen an digitale Souveränität und Datenschutz zu erfüllen. Die Daten und Anwendungen bleiben innerhalb der EU, und der Betrieb sowie der Support werden ausschließlich von in der EU ansässigen Mitarbeitern durchgeführt.
Noch „souveränere“ Cloud-Lösungen der Hyperscaler
Will man die Souveränität auf die Spitze treiben, so bleibt für die Hyperscaler nur eine Disconnected Solution – der Betrieb des (gesamten) Stacks im Rechenzentrum des Kunden (Hinweis: Hochverfügbarkeit und Georedundanz-Anforderungen des BSI beachten). Dabei wird allerdings der eigentliche Wert einer Cloud-Lösung deutlich reduziert, denn die Skalierbarkeit reduziert sich auf das, was die gelieferte On-Prem-Lösung umfasst: Ein reduzierter Pool an Hardware, deren Verantwortung in der Hand des Kunden liegt.
Microsoft bietet dafür die Sovereign Private Cloud auf Basis von Azure Local und M365 Local an. Der Betrieb liegt vollständig in der Verantwortung und den Händen des Kunden.
Google bietet eine vergleichbare Lösung an, die sich Google Distributed Cloud-Disconnected nennt (GDCD), und welche ebenfalls in den Rechenzentren des Kunden durch Mitarbeiter und unter der vollen Verantwortung und Kontrolle des Kunden betrieben wird.
Beide Lösungen benötigen keine (direkte) Internet-Verbindung, Updates sollen über einen dedizierten Host aufgespielt werden und liegen somit ebenfalls in der vollständigen Kontrolle und Entscheidung des Kunden.
Die Hersteller machen die Aussage, dass diese Lösungen auch im Notfall (dem EU-Disconnect von Azure bzw. Google Cloud Platform) ohne Updates drei bis neun Monate weiterlaufen können.
Fazit: Zwischen globaler Cloud-Power und lokaler Souveränität
Souveräne Cloud-Lösungen sind ein entscheidender Baustein für die digitale Transformation in regulierten Branchen und im öffentlichen Sektor. Hyperscaler reagieren mit regionalen Infrastrukturen, Partnerschaften und erweiterten Sicherheitsmechanismen auf die wachsenden Anforderungen an Datenschutz und Compliance. Während Sovereign Clouds den Zugang zu innovativen Technologien ermöglichen, bleibt die vollständige Kontrolle über Daten nur mit Disconnected Solutions gewährleistet – allerdings auf Kosten der Skalierbarkeit. Die kommenden Jahre werden zeigen, wie erfolgreich die Balance zwischen globaler Cloud-Power und lokaler Souveränität gelingt.
Ausblick: Multicloud-Strategien für digitale Souveränität, IT-Sicherheit und Compliance in der öffentlichen Verwaltung
Im dritten Teil der Blogserie wird gezeigt, wie ein Multicloud-Ansatz die digitale Souveränität stärken kann, indem er die Flexibilität, Resilienz und die Vermeidung von Vendor-Lock-In ermöglicht. Wie können Behörden durch die Kombination verschiedener Cloud-Dienste Kosten optimieren und Risiken minimieren? Zudem wird die Bedeutung der Datenklassifizierung für eine effiziente und sichere Nutzung von Cloud-Ressourcen erläutert. Ein weiterer Schwerpunkt liegt auf IT-Sicherheit, regulatorischen Anforderungen (bspw. BSI-Standards) und Zertifizierungen wie C5 oder ISO-Normen. Abschließend werden Herausforderungen wie Egress-Kosten, Nachhaltigkeit und GreenIT-Initiativen der Anbieter beleuchtet.