Europas Cloud-Souveränität in Zeiten geopolitischer Umbrüche

Viele europäische Nutzer von Cloud Computing beschaffen den Großteil ihrer Cloud-Dienste aus dem nicht-europäischen Ausland, meist den USA. In einer Zeit, in der technologische Innovationskraft und geopolitische Dynamiken die globalen Kräfteverhältnisse nachhaltig beeinflussen, steht Europa daher vor einer großen Herausforderung: der Sicherung seiner eigenen Cloud-Souveränität. Mit der zuletzt herausfordernder gewordenen Beziehung zwischen Europa und den USA erhält das Thema somit weitere Brisanz und Dringlichkeit – sowohl für die Cloud-Anwenderorganisationen als auch die Cloud-Anbieter.

Transatlantische Beziehungen im Wandel: Herausforderungen für Europas Cloud-Souveränität

In den vergangenen Monaten hat sich ein bemerkenswerter Wandel der Beziehungen zwischen Europa und den USA vollzogen. Aufgrund dessen Tragweite ist davon auszugehen, dass dieser die Zusammenarbeit zwischen den einstigen Partnern umfangreich und nachhaltig beeinflussen wird.

Europäische Cloud-Anbieter und Cloud-Anwenderunternehmen müssen sich dringend die Frage stellen, inwieweit ihre ausländischen Partner und Lieferanten in finanzieller, wirtschaftlicher und technologischer Hinsicht weiterhin verlässlich sind.

Beachtung findet in diesem Zusammenhang vor allem die technologische Führungsrolle der überwiegend angelsächsisch dominierten IT-Versorgungskette. Hier stehen vor allem die vielen in Nordamerika ansässigen IT- und Cloud-Anbieter im Fokus, da eine Einschränkung deren Lieferfähigkeit umfangreiche, nachhaltige sowie weitreichende Auswirkungen auf die Leistungsfähigkeit und Verfügbarkeit digitaler Dienste in Europa hätte. Entsprechende Veränderungen wirken sich wiederum unmittelbar auf die Wertschöpfungsketten der europäischen Nutzer aus, unabhängig davon, ob es sich um Software as a Service (SaaS), Plattform as a Service (PaaS) oder Infrastructure as a Service (IaaS) handelt. Einige internationale Cloud-Anbieter haben schon vor einiger Zeit registriert, welche Bedeutung Cloud-Souveränität für Europa hat. Daher haben sie bereits innovative und in ihrer Ausgestaltung unterschiedliche Angebote geschaffen, welche darauf abzielen den Bedarf nach Souveränität zu bedienen.

Cloud-Anwender streben nach Souveränität

Europa bemüht sich schon länger, eine Antwort auf die Dominanz von internationalen Technologieunternehmen zu finden. Hier ist etwa die im Jahr 2019 gegründete Initiative Gaia-X zu nennen, die eine leistungsfähige Dateninfrastruktur für Europa schaffen soll. In Deutschland hat die Bundesregierung zudem im Jahr 2021 mit der Veröffentlichung der Strategie zur Stärkung der digitalen Souveränität einen Schritt unternommen, um digitale Souveränität als zentrales Element ihrer IT-Strategie zu verankern. Diese zielt darauf ab, die Abhängigkeit von internationalen Technologieanbietern zu reduzieren und die Kontrolle über digitale Infrastrukturen im öffentlichen und privaten Sektor zu stärken. Viele weitere Initiativen, die von Verwaltungen, Regierungen, Verbänden, Arbeitskreisen, der IT-Industrie und Cloud-Anwenderorganisationen unterstützt werden, haben durch die Entwicklungen der letzten Monate zusätzliches Momentum erfahren.

Cloud-Anwenderorganisationen setzen mittlerweile verstärkt auf Multi-Cloud-Konzepte sowie generell europäische bzw. inländische Cloud-Dienstleister und Open-Source-Alternativen. Organisationen, die das Nutzen von Cloud-Diensten gerade erst planen, beziehen bereits entsprechende Souveränitäts-Abwägungen in ihre Anforderungen sowie die Auswahl- und Beschaffungsentscheidungen mit ein. Deren Ziel ist es, größere Transparenz zu schaffen, um die mit den geopolitischen Veränderungen verbundenen Risiken im Hinblick auf Verfügbarkeit und Sicherheit zu reduzieren.

Es ist davon auszugehen, dass sich die stärkere Nachfrage europäischer IT-Dienstleistungen positiv auf die Investitionsfähigkeit und Innovationskraft der mittelständischen Cloud-Anbieter auswirkt.

Auch die Cloud-Anbieter haben die Bedeutung des Themas Cloud-Souveränität erkannt. Hierfür sprechen etwa die internationalen, organisatorisch teils aufwendig umgesetzten Partnerschaften der großen Cloud-Anbieter mit in Europa ansässigen Kooperationspartnern, die deren Services unabhängig vom Mutterland lokal implementieren und betreiben. Auch technisch aufwändige Lösungen, die den Cloud-Anwenderunternehmen mehr Kontrolle über ihre Daten verschaffen (Stichwort „Datenhoheit“), gehören bereits zum Portfolio einiger, meist größerer Anbieter. Darüber hinaus bewerben Anbieter die eigenen Bemühungen bezüglich Open-Source-Varianten und besserer Informationssicherheit stärker als noch vor einiger Zeit. Einige wenige Anbieter legen sogar den Quellcode ausgewählter Dienste offen, sodass diese von anderen, inländischen Unternehmen lokal betrieben und angeboten werden können.

Fehlende Regelungen bezüglich Cloud-Souveränität in Europa

Derzeit fehlen in Europa und in Deutschland verbindliche Vorgaben zur Ausgestaltung souveräner Cloud-Dienste. Hier sind die Europäische Kommission sowie die Regierungen und ihre Ämter gefordert, rechtliche und regulatorische Rahmenbedingungen für den privaten und öffentlichen Sektor zu schaffen.

Ein verbindlicher Anforderungskatalog böte sowohl europäischen als auch nicht-europäischen Cloud-Anbietern Orientierung hinsichtlich technischer, organisatorischer und rechtlicher Charakteristiken, die ein Cloud-Dienst bieten muss, damit er für eine aus europäischer Sicht „souveräne“ Nutzung geeignet ist. Cloud-Anwenderorganisationen im Bereich der Öffentlichen Hand und der Privatwirtschaft käme eine solche Orientierung zugute, insbesondere da die Privatwirtschaft auf Basis der neuesten Entwicklungen nun verstärkt in diese Richtung gedrängt wird. Gleichwohl ist anzunehmen, dass der Aufbau souveräner Lösungen für alle Anbieter eine große Herausforderung in Bezug auf Investitionen und die Erbringung von Dienstleistungen darstellt.

Im Bereich Cybersicherheit gibt es bereits umfangreiche, europäische Regelungen wie etwa NIS 2, Digital Markets Act, Cyber Resilience Act, Data Act oder den Digital Operational Resilience Act (kurz „DORA“). Auch Cloud-spezifische Regelungen existieren bereits, etwa der vom Bundesamt für Sicherheit in der Informationstechnik herausgegebene Kriterienkatalog Cloud Computing (kurz „BSI C5“) oder das in der Finalisierung befindliche Zertifizierungsschema „European Cybersecurity Certification Scheme for Cloud Services“ (kurz „EUCS“). Alle genannten Schemen adressieren die Cloud-Souveränität nur bedingt und könnten in einer jeweiligen Weiterentwicklung leicht um entsprechende Aspekte ergänzt werden.

Aufgrund seiner Position könnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) hinsichtlich Cloud-Souveränität eine zentrale Rolle spielen. Der BSI IT-Grundschutz, die BSI Cloud Platform Requirements für souveräne Cloud-Angebote sowie der BSI C5 Kriterienkatalog sind Instrumente, die eine gute Basis zur Ausgestaltung eines Kriterienkatalogs für souveräne Cloud-Dienste darstellen.

Cloud-Souveränität als Fundament für Selbstbestimmtheit

Cloud-Anwenderunternehmen werden ihre IT-Versorgungskette analysieren und ermitteln, an welchen Stellen gegebenenfalls bedeutsame Abhängigkeiten von außereuropäischen Cloud-Anbietern bestehen und welche Risiken sich hieraus für die Sicherheit und Kontinuität des Geschäftsbetriebs eventuell ergeben. Anschließend werden sie gegebenenfalls risikomindernde Folgemaßnahmen identifizieren, sei es durch Multi-Cloud-Ansätze, Open Source, der Nutzung bestehender souveräner Cloud-Angebote ausländischer Anbieter oder den Wechsel hin zu europäischen bzw. inländischen Cloud-Angeboten.

Cloud-Anbieter innerhalb und außerhalb Europas werden wiederum Maßnahmen ergreifen, um die digitale Souveränität ihrer Kunden – der Cloud-Anwenderunternehmen – sicherzustellen und weiter zu stärken. Dies umfasst etwa das Offenlegen und Übergeben von Source-Code, das Einrichten lokaler Rechenzentren, das Gewährleisten des Datenschutzes und der Datenhoheit sowie optimierter Interoperabilität oder das regionale Abgrenzen des Betriebs, beispielsweise mit Betriebspersonal innerhalb der Europäischen Union. Dies kann und muss in einem zweiten Schritt durch transparente Kommunikation nachvollziehbar demonstriert werden, unter Berücksichtigung potenzieller regulatorischer Vorgaben und Berichterstattungspflichten. Auch Kooperationsmodelle mit lokalen Partnern oder das Aufbauen eines lokalen Tenants im Inland, wie es in Deutschland in Kooperation mit einem Hyperscaler bereits erfolgt, können Möglichkeiten sein. Das Einnehmen einer Vorreiterrolle eröffnet hierbei klare Vorteile gegenüber dem Wettbewerb und generiert somit neue Chancen auf dem europäischen Markt, um bestehende Kunden zu halten und neue zu gewinnen.

Cloud-Anbieter und Cloud-Anwenderorganisationen sowie Regulatoren haben gleichermaßen ein Interesse an Cloud-Souveränität in Europa.

Das Herstellen der Cloud-Souveränität Europas verlangt eine gemeinsame Anstrengung unter der Führung der Politik. Regulatoren sollten angesichts der aktuellen geopolitischen Herausforderungen zeitnah Richtlinien für die digitale Souveränität von Privatpersonen, der öffentlichen Verwaltung sowie Unternehmen und Wissenschaft formulieren. Ihre Vorgaben sind richtungsweisend und haben das Potenzial, sowohl dem privaten als auch dem öffentlichen Sektor Orientierung, Rechts- und Investitionssicherheit zu geben. Nur ein konzertiertes Vorgehen von Politik, Verwaltung, Wirtschaft und Wissenschaft inner- und außerhalb Europas kann dazu beitragen, dass die für unsere Gesellschaft essenziellen, digitalen Infrastrukturen künftig souveräner, widerstandsfähiger und sicherer werden. Dadurch kann Europa nicht nur seine Souveränität sichern, sondern auch ein globales Vorbild für digitale Souveränität werden.