Kurzfassung

Digitale Souveränität in der Cloud ist keine standardisierte Produkteigenschaft, sondern eine strategische Entscheidung mit individuellen Folgen. Der Markt für souveräne Cloud-Anbieter ist heute geprägt von widersprüchlichen Versprechungen: US-Hyperscaler verschleiern Jurisdiktionsrisiken durch EU-Tochtergesellschaften, während europäische Anbieter EU-Eigentümerschaft als Souveränitätsgarantie vermarkten. Eine Analyse von 17 Anbietern anhand von 31 Kriterien zeigt, dass kein Anbieter als eindeutiger Sieger hervortritt – beide Lager weisen erhebliche Schwächen bei Kryptografie und Schlüsselkontrolle auf.

Personen

  • Kai Müller (iX-Autor)

Themen

  • Cloud-Souveränität
  • Digitale Souveränität
  • Anbietervergleich
  • Datenschutz und Kontrolle

Clarus Lead

Die Lücke zwischen strategischer Absicht und operativer Realität ist heute das zentrale Problem: Entscheidungsträger müssen Cloud-Anbieter wählen, die alle Souveränität versprechen, aber unterschiedliche – teilweise versteckte – Schwächen haben. Zertifizierungen wie BSI-C5, SecNumCloud und ISO 27001 schaffen zwar Sicherheit, etablieren aber auch hohe Markteintrittsbarrieren, die den Wettbewerb verzerren. Der Sovereign Cloud Compass bietet Transparenz, wo Marketing-Versprechen verschwinden.

Detaillierte Zusammenfassung

Das zentrale Phänomen ist das sogenannte „Sovereignty Washing" – die Rhetorik von Souveränität, ohne dass die technische Realität dies vollständig deckt. US-amerikanische Hyperscaler-Konzerne nutzen regulatorisch zugelassene Konstruktionen (EU-Tochtergesellschaften mit EU-Governance), um Jurisdiktionsrisiken zu minimieren, ohne aber die technische Kontrolle über Infrastruktur, Daten oder Verschlüsselung vollständig abzugeben. Europäische Anbieter hingegen werben mit physischem Standort und Eigentumsstruktur, vernachlässigen aber oft technische Sicherheitsmechanismen wie Ende-zu-Ende-Verschlüsselung und Nutzer-kontrollierte Schlüsselverwaltung.

Die Analyse deckt ein Kermproblem auf: Kryptografie und Schlüsselkontrolle sind in der Branche unterentwickelt – unabhängig davon, ob Anbieter europäisch oder amerikanisch sind. Dies bedeutet, dass selbst europäische Anbieter mit EU-Zertifizierung technisch-administrative Kontrolle über Kundendaten behalten können. Hinzu kommt das Lieferkettenrisiko: Souveränität auf der Anbieterebene wird durch Abhängigkeiten von Hardware-Herstellern, Software-Komponenten und Cloud-Infrastruktur-Betreibern (oft nicht-europäisch) relativiert.

Zertifizierungen spielen eine ambivalente Rolle. Sie erhöhen den Vertrauenswert und signalisieren Einhaltung von Standards – erzeugen aber gleichzeitig Markteintrittsbarrieren, die kleinere, innovative europäische Anbieter ausschliessen. Dies führt zu einer paradoxen Situation: Während grosse US-Konzerne de facto Tochtergesellschaften gründen, um Zertifizierungen zu erreichen, können europäische Startups den Zertifizierungsprozess gar nicht durchlaufen.

Kernaussagen

  • „Sovereignty Washing" ist weit verbreitet: Alle Anbieter-Segmente verwenden Souveränitätsrhetorik, ohne technische Kontrolle vollständig abzugeben.
  • Keine eindeutige Sieger-Kategorie: Europäische Anbieter punkten bei Governance, verlieren aber bei technischer Verschlüsselung; US-Hyperscaler das Gegenteil.
  • Kryptografie ist die offene Flanke: Beide Anbieterkategorien setzen unzureichend auf nutzer-kontrollierte Schlüsselverwaltung.
  • Lieferkette unterläuft Souveränität: Physischer Standort in der EU garantiert nicht, dass kritische Komponenten kontrolliert werden.
  • Zertifizierungen wirken doppelschneidig: Sie erhöhen Standards, aber schliessen kleinere Wettbewerber aus.

Kritische Fragen

  1. Evidenz: Auf welcher Methodik basiert die Analyse von 17 Anbietern? Sind die 31 Kriterien wissenschaftlich validiert oder redaktionell gewählt? Welche Quellen wurden für die technische Bewertung herangezogen?

  2. Interessenskonflikte: Welche finanziellen oder redaktionellen Beziehungen bestehen zwischen heise/iX und den 17 analysierten Anbietern? Wurden Anbieter zur Stellungnahme aufgefordert?

  3. Kausalität: Folgt daraus, dass Zertifizierungen Eintrittsbarrieren schaffen, dass Marktkonzentration zu geringerer Sicherheit führt? Oder ist die Sicherheit der zertifizierten Anbieter tatsächlich höher als die von unkertifizierten?

  4. Umsetzbarkeit: Wie kann ein Nutzer konkret vorgehen, um Kryptografie- und Schlüsselkontroll-Lücken bei der Anbieterauswahl zu evaluieren? Welche technischen Tests werden empfohlen?

  5. Lieferkettenrisiko: Wird differenziert zwischen direkten (Anbieter-kontrollierten) und indirekten (Lieferanten-kontrollierten) Abhängigkeiten? Welche Lieferkettenrisiken sind für typische Anwendungsfälle akzeptabel?

  6. Governance vs. Technik: Warum werden Gouvernanz-Eigenschaften (Eigentümerschaft, Standort) und technische Eigenschaften (Verschlüsselung) gleich gewichtet, wenn sie unterschiedliche Schutzniveaus bieten?

Quellenverzeichnis

Primärquelle: Sovereignty Washing: Wie man Cloud-Souveränität wirklich bewertet – heise.de/iX, 2025

Referenzierte Tools:

Relevante Standards:

  • BSI-C5-Attestierung (Bundesamt für Sicherheit in der Informationstechnik)
  • SecNumCloud (Zertifizierung für Cloud-Services in Frankreich)
  • ISO 27001 (Informationssicherheitsmanagementsysteme)

Verifizierungsstatus: ✓ 2025

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt. Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 2025