Hyperscaler – dreherIT – Lösungen, die weiterdenken.

Digitale Souveränität: Warum Europas Unabhängigkeit jetzt zählt

Frank Dreher — Thu, 06 Nov 2025 13:19:58 +0000

Einleitung

Wir nutzen sie jeden Tag: Cloud-Dienste speichern unsere Urlaubsfotos, verwalten unsere Geschäftsberichte und steuern unsere Fabriken. Doch während wir die Effizienz dieser digitalen Werkzeuge genießen, stellt sich eine entscheidende Frage: Wem „gehören“ diese Daten wirklich?

Digitale Souveränität ist die Antwort auf diese Frage. Es ist die Fähigkeit, selbstbestimmt über unsere digitalen Geschicke zu entscheiden – und sie ist entscheidend für die Zukunft unserer Wirtschaft, den Schutz unserer Grundrechte und die Stabilität unserer Demokratie.

Was ist „Digitale Souveränität“ überhaupt?

Digitale Souveränität bezeichnet die Fähigkeit von Staaten, Unternehmen und Bürgern, die digitalen Räume, in denen sie agieren, selbstbestimmt zu gestalten und zu kontrollieren.

Es geht dabei nicht um digitale Abschottung oder Isolation. Es geht um Handlungsfähigkeit.

Konkret bedeutet das:

Kontrolle über Daten: Zu wissen, wo die eigenen Daten (von Bürgern, Unternehmen oder Behörden) gespeichert sind, wer darauf zugreifen kann und nach welchen rechtlichen Regeln dies geschieht.
Technologische Unabhängigkeit: Nicht von einzelnen Anbietern oder Technologien (insbesondere aus Drittstaaten) existenziell abhängig zu sein.
Regulatorische Durchsetzung: Die Fähigkeit, eigene Gesetze und Grundwerte – wie die Datenschutz-Grundverordnung (DSGVO) in Europa – auch im digitalen Raum effektiv durchzusetzen.

(Quellen für diese Definitionen finden sich u.a. beim Bundesministerium für Wirtschaft und Klimaschutz (BMWK) oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI), die diesen Begriff als Kernziel definieren.)

Warum wahre Digitale Souveränität so wichtig ist

Die Kontrolle über unsere digitalen Infrastrukturen ist kein „IT-Problem“, sondern eine strategische Notwendigkeit. Wenn wir diese Kontrolle abgeben, entstehen konkrete Risiken für Gesellschaft und Wirtschaft.

Schutz der Grundrechte (Datenschutz)
Europa hat mit der Datenschutz-Grundverordnung (DSGVO) weltweit den höchsten Standard für den Schutz persönlicher Daten gesetzt. Diese Regeln können jedoch untergraben werden, wenn die Daten von Anbietern verwaltet werden, die Gesetzen aus Drittstaaten unterliegen (siehe nächster Punkt). Wahre Souveränität stellt sicher, dass unsere europäischen Grundrechte auch in der digitalen Welt gelten. (Quelle: EuGH-Urteil „Schrems II“, C-311/18, das den Mangel an Schutz bei US-Transfers feststellte)
Wirtschaftliche Wettbewerbsfähigkeit
Eine starke Abhängigkeit von wenigen, außereuropäischen Technologieanbietern (ein sogenanntes Oligopol) schafft „Lock-in“-Effekte. Unternehmen werden abhängig von den Preismodellen, den Technologien und den Geschäftsbedingungen dieser Anbieter. Das hemmt Innovation und schwächt die Verhandlungsposition der europäischen Wirtschaft. Digitale Souveränität bedeutet, den eigenen Tech-Sektor zu stärken und fairen Wettbewerb zu ermöglichen. (Quelle: Analysen des Bundeskartellamts oder der EU-Kommission zur Marktmacht von Hyperscalern)
Sicherheit und Stabilität (KRITIS)
Kritische Infrastrukturen – unsere Energieversorgung, das Gesundheitswesen oder die öffentliche Verwaltung – werden zunehmend digitalisiert und in Clouds verlagert. Wenn diese Systeme auf Plattformen laufen, die von geopolitischen Spannungen oder den Entscheidungen anderer Staaten beeinflusst werden können, stellt dies ein massives nationales Sicherheitsrisiko dar. (Quelle: Warnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Schutz von KRITIS)
Demokratische Kontrolle
Im Kern geht es darum, wer die Regeln für unsere digitale Gesellschaft festlegt. Sind es die Geschäftsbedingungen von globalen Konzernen oder sind es unsere demokratisch legitimierten Gesetze? Digitale Souveränität stellt sicher, dass unsere Gesellschaft die Regeln für den digitalen Raum selbst definieren kann.

Die Herausforderung: Hyperscaler und der U.S. CLOUD Act

Auf dem Papier klingt „Datenspeicherung in der EU“ sicher. In der Praxis gibt es jedoch einen fundamentalen Konflikt, der Europas digitale Souveränität direkt bedroht.

Das Problem: Marktmacht trifft auf US-Gesetz

Das Problem besteht aus zwei Teilen:

Die Marktdominanz (Hyperscaler)
Der Markt für Cloud-Infrastruktur wird weltweit von einer Handvoll US-Unternehmen dominiert, den sogenannten „Hyperscalern“ (hauptsächlich Amazon Web Services (AWS), Microsoft Azure und Google Cloud). Europäische Unternehmen sind oft technisch und operativ von den Diensten dieser Giganten abhängig. (Quelle: Aktuelle Marktanalysen, z.B. von Synergy Research Group oder Gartner)
Der rechtliche Zugriff (U.S. CLOUD Act)
Das Hauptproblem ist der U.S. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018.
Dieses US-Gesetz verpflichtet amerikanische Unternehmen (und deren Tochtergesellschaften weltweit), US-Behörden (wie dem FBI oder der NSA) Zugriff auf gespeicherte Daten zu gewähren.
Das ist der entscheidende Punkt: Dieser Zugriff muss gewährt werden, selbst wenn die Daten ausschließlich außerhalb der USA – beispielsweise in einem Rechenzentrum in Frankfurt oder Dublin – gespeichert sind.

Der unlösbare Konflikt mit der DSGVO

Hier entsteht die Zwickmühle für europäische Unternehmen:

Europäisches Recht (DSGVO) verbietet die Herausgabe von personenbezogenen Daten an Drittstaaten ohne ein angemessenes Schutzniveau oder eine klare Rechtsgrundlage.
US-Recht (CLOUD Act) erzwingt genau diese Herausgabe, ohne dass europäische Gerichte oder die betroffenen Personen ein Mitspracherecht hätten.

Ein US-Anbieter, der in Europa tätig ist, steckt damit in einem „Conflict of Laws“: Entweder er verstößt gegen die DSGVO (und riskiert massive Strafen in der EU) oder er widersetzt sich dem CLOUD Act (und riskiert Sanktionen in den USA).

Aus diesem Grund hat der Europäische Gerichtshof (EuGH) im Jahr 2020 das Datenschutzabkommen „Privacy Shield“ gekippt (Urteil „Schrems II“). Der Gerichtshof stellte fest, dass die US-Gesetzgebung (inkl. CLOUD Act und ähnlicher Überwachungsgesetze wie FISA 702) keinen ausreichenden Schutz für die Grundrechte von EU-Bürgern bietet. (Quelle: EuGH, Urteil in der Rechtssache C-311/18)

Fazit des Problems: Ein Rechenzentrum mit Standort „Deutschland“ bietet keine Sicherheit, wenn der Betreiber „U.S. Hyperscaler“ heißt.

Lösungsansätze: Der europäische Weg

Die Situation ist komplex, aber Europa ist nicht machtlos. Das Ziel ist nicht, das Internet „abzuschotten“, sondern Handlungsfähigkeit durch strategische Initiativen und klare Regeln zurückzugewinnen.

Förderung europäischer Infrastrukturen (Gaia-X)
Eine der bekanntesten Initiativen ist Gaia-X. Das Ziel von Gaia-X ist nicht, einen neuen Hyperscaler zu bauen, sondern einen Standard für eine föderierte, offene und transparente Dateninfrastruktur zu schaffen. Es soll ein „Marktplatz“ für vertrauenswürdige Cloud-Dienste entstehen, bei dem Anbieter (auch außereuropäische) transparent machen müssen, welche Regeln (z.B. DSGVO-Konformität, Immunität gegen CLOUD Act) sie einhalten. (Quelle: Offizielle Dokumentation von Gaia-X AISBL)
Nutzung von Open Source (Quelloffenheit)
Software, deren Quellcode offenliegt (Open Source), ist ein zentraler Baustein für digitale Souveränität. Sie ermöglicht Transparenz (man kann sehen, was die Software tut), Sicherheit (Fehler können von vielen entdeckt werden) und Anpassbarkeit. Vor allem aber verhindert sie den „Vendor Lock-in“: Man ist nicht an einen einzigen Anbieter gebunden und kann den Dienstleister wechseln oder die Software selbst betreiben.
Souveräne Cloud-Alternativen (Private & Hybrid Clouds)
Für viele sensible Daten (Behörden, Gesundheitswesen, KRITIS) ist die „Public Cloud“ der Hyperscaler keine Option. Hier sind Private Clouds (im eigenen Rechenzentrum betrieben) oder vertrauenswürdige europäische Cloud-Anbieter, die nicht dem U.S. CLOUD Act unterliegen, die souveräne Alternative. Diese bieten oft ein vergleichbares Maß an Flexibilität, aber mit voller rechtlicher und technischer Kontrolle.
Starke europäische Regulierung
Parallel zur Technologie schafft die EU einen neuen Rechtsrahmen. Gesetze wie der Digital Services Act (DSA) und der Digital Markets Act (DMA) zielen darauf ab, die Marktmacht der großen Plattformen (Gatekeeper) zu begrenzen, fairen Wettbewerb zu erzwingen und die Rechte der Nutzer im digitalen Raum zu stärken.

Fazit: Eine strategische Notwendigkeit

Digitale Souveränität ist kein technisches Nischenthema, sondern eine der zentralen strategischen Herausforderungen des 21. Jahrhunderts.

Es geht nicht darum, sich von der Welt abzuschotten, sondern darum, als Europa handlungsfähig zu bleiben. Wenn wir unsere kritischen Infrastrukturen, unsere Wirtschaftsdaten und die Kommunikation unserer Bürger vollständig in die Hände von Anbietern legen, die außereuropäischen Gesetzen wie dem U.S. CLOUD Act unterliegen, geben wir einen wesentlichen Teil unserer Selbstbestimmung auf.

Wahre digitale Souveränität – gestützt auf starke eigene Infrastrukturen, transparente Open-Source-Standards und ein klares Bekenntnis zu unseren Grundrechten (DSGVO) – ist die Voraussetzung für ein freies, sicheres und wettbewerbsfähiges Europa.

Die tickende Zeitbombe in der Cloud: Warum “Harvest Now, Decrypt Later” (HNDL) Hyperscaler zum Risiko macht

Frank Dreher — Thu, 30 Oct 2025 13:14:39 +0000

Cloud-Dienste, insbesondere die der großen Hyperscaler, gelten als Inbegriff für Skalierbarkeit, Kosteneffizienz und Bequemlichkeit. Doch hinter dieser Fassade verbirgt sich ein strategisches, langfristiges Risiko, das oft übersehen wird: „Harvest Now, Decrypt Later“ (HNDL).

Dieser Beitrag beleuchtet, warum gerade die zentrale Speicherung von Daten bei Cloud-Anbietern im Licht dieser Bedrohung kritisch gesehen werden muss – und in welchen Fällen die Cloud trotz HNDL-Risiko weiterhin sinnvoll sein kann.

Was ist “Harvest Now, Decrypt Later” (HNDL)?

Die HNDL-Strategie ist einfach und geduldig: Angreifer, häufig staatliche Akteure oder gut ausgestattete Organisationen, sammeln und speichern heute massenhaft verschlüsselte Daten.

Sie tun dies in der klaren Erwartung, dass zukünftige technologische Durchbrüche – allen voran die Entwicklung leistungsfähiger Quantencomputer – es ihnen ermöglichen werden, diese heute als sicher geltende Verschlüsselung zu brechen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt dieses Szenario als ernste Bedrohung für die Langzeitsicherheit klassischer Kryptografie (siehe BSI-Position zu Quantentechnologien).

Wann solche Quantencomputer tatsächlich zur Verfügung stehen, ist nicht sicher. Seriöse Schätzungen reichen von rund zehn bis über dreißig Jahre. Für Daten, die über Jahrzehnte hinweg vertraulich bleiben müssen, reicht diese Zeitspanne jedoch aus, um HNDL bereits heute als strategisches Risiko zu bewerten.

Besonders kritisch sind daher Daten, die langfristig sensibel bleiben: persönliche Informationen, Gesundheits- und Finanzdaten, vertrauliche Geschäftsstrategien, Forschungsdaten oder schutzwürdige staatliche Informationen.

Nicht alle Daten sind gleich kritisch

Wichtig ist die Unterscheidung der Datenklassen:

Kurzlebige oder zeitlich begrenzt sensible Daten (z.B. bestimmte operative Logdaten oder Kampagnen-Reports) verlieren nach einigen Jahren oft einen Großteil ihres Schutzbedarfs. Hier können die Vorteile der Cloud – Skalierbarkeit, Innovation, geringere Einstiegskosten – trotz HNDL-Risiko überwiegen.
Langfristig vertrauliche Daten (z.B. Personalakten, Patientendaten, IP, F&E-Ergebnisse, strategische Verträge) behalten ihren Wert und ihre Sensibilität über Jahrzehnte. Genau für diese Daten verschiebt HNDL die Risikobilanz deutlich zu Ungunsten einer unreflektierten Cloud-Nutzung.

Wer Verantwortung für Informationssicherheit übernimmt, muss daher zuerst klären, welche Daten wirklich langfristig vertraulich bleiben müssen – und diese Daten besonders schützen.

Warum die Cloud das perfekte Ziel für HNDL ist

Wenn man HNDL als reale Bedrohung anerkennt, wird die Nutzung von Cloud-Diensten, insbesondere von Hyperscalern, aus mehreren Gründen problematisch:

Zentrale Datensilos
Cloud-Plattformen sind riesige, zentrale Datensammlungen. Sie sind ein beliebtes und lohnendes Ziel, da Angreifer hier Millionen verschlüsselter Datensätze auf einmal abgreifen können. Schon einzelne erfolgreiche Angriffe liefern Angreifern genug „Material“, um es für zukünftige Entschlüsselungsversuche zu archivieren.

Verlust der Kontrolle
Als Nutzer gibt man seine Daten in die Hände eines Dritten. Man verliert die Kontrolle über die physische und logische Infrastruktur und weiß oft nicht, wie viele Kopien (Backups, Snapshots, Replikationen) existieren, wo sie gespeichert sind oder wie lange sie aufbewahrt werden. Jede zusätzliche Kopie verlängert das Zeitfenster, in dem HNDL-Angriffe potenziell erfolgreich sein können.

Langfristige Speicherung (auch unbeabsichtigt)
Daten in der Cloud können über Jahre in Backups verbleiben, selbst nach einer vermeintlichen Löschung. Für HNDL spielt es keine Rolle, ob ein Datensatz aktiv genutzt wird – entscheidend ist, dass irgendwo eine verschlüsselte Kopie überdauert.

Staatlicher Zugriff (z.B. CLOUD Act)
Anbieter mit Sitz in den USA unterliegen Gesetzen wie dem US CLOUD Act. Dieses Gesetz erlaubt es US-Behörden, Zugriff auf gespeicherte Daten zu verlangen, selbst wenn diese in europäischen Rechenzentren liegen. Selbst bei starker Verschlüsselung können Metadaten, Schlüsselmanagement, Integrationspunkte oder juristisch erzwungene technische Maßnahmen zusätzliche Risiken schaffen – und das steht im Spannungsfeld zur europäischen DSGVO und zum Anspruch auf digitale Souveränität.

Falsche Sicherheit: Argumente, die bei HNDL versagen

Im Kontext von HNDL verlieren gängige Sicherheitsversprechen einen Teil ihrer Überzeugungskraft:

„Aber meine Daten sind doch stark verschlüsselt!“
Ja, aber nur mit heutigen Algorithmen. HNDL ist eine Wette darauf, dass genau diese Verfahren (z.B. RSA oder ECC) durch zukünftige Quantencomputer langfristig brechbar sind. Was heute sicher ist, kann morgen rückwirkend entschlüsselt werden.

„Wir nutzen einen Zero-Knowledge-Anbieter.“
„Zero-Knowledge“ ist oft nur ein Versprechen auf Produktebene. Selbst wenn konsequent umgesetzt, können Metadaten, Indexe oder Zugriffsmuster Rückschlüsse zulassen. Zudem bleibt die Frage, ob wirklich alle Komponenten – inklusive Backups, Suchindizes und Telemetrie – durchgängig nach Zero-Knowledge-Prinzipien gestaltet sind.

„Komfort ist uns wichtiger.“
Das ist eine legitime Geschäftsentscheidung. Aber Komfort darf nicht über Vertraulichkeit gestellt werden, wenn es um langfristig sensible Daten geht. Wer HNDL ignoriert, trifft eine implizite Wette auf die Zukunft der Kryptografie – mit möglichen Folgen in 10, 20 oder 30 Jahren.

Maßnahmen: Krypto-Agilität, PQC und Architektur

Die Bedrohung durch HNDL ist real, auch wenn der genaue Zeitpunkt der praktischen Angriffe noch unklar ist. Wer heute Verantwortung für Daten mit langfristiger Vertraulichkeit übernimmt, muss die Bequemlichkeit der Cloud gegen das Risiko der zukünftigen Entschlüsselung abwägen.

Dazu gehören insbesondere:

Krypto-Agilität
Unternehmen müssen in der Lage sein, kryptografische Verfahren zu wechseln: Schlüssel rotieren, Protokolle anpassen, Algorithmen aktualisieren. Starre Systeme, die einmal „fest verschlüsselt“ wurden und dann zehn oder mehr Jahre unverändert laufen, sind im HNDL-Szenario besonders gefährdet.

Post-Quanten-Kryptografie (PQC)
Die wichtigste technische Antwort auf HNDL ist die Einführung von post-quanten-sicheren Verfahren. Das BSI und internationale Gremien empfehlen bereits dringend, die Migration zu PQC vorzubereiten. Standardisierungsprozesse – etwa beim NIST – laufen, und große Cloud-Anbieter arbeiten daran, entsprechende Bausteine in ihre Plattformen zu integrieren.

Dennoch gilt: Die Bereitstellung von PQC-Bausteinen durch Hyperscaler entlässt Unternehmen nicht aus der Verantwortung. Anwendungen, Datenflüsse, Schlüssel- und Backup-Konzepte müssen aktiv auf PQC und Krypto-Agilität ausgerichtet werden. Bereits heute abgegriffene, klassisch verschlüsselte Daten werden durch spätere PQC-Einführung nicht automatisch sicher.

Architektur- und Standortentscheidungen
Neben der Kryptografie spielt die Architektur eine zentrale Rolle: Wo liegen die besonders sensiblen Langzeitdaten? Wie viele Kopien existieren? Unter welcher Jurisdiktion stehen Speicherorte und Betreiber? Je zentralisierter, globaler und intransparenter eine Datenhaltung ist, desto attraktiver ist sie als Ziel für HNDL.

Fazit: Wo die Cloud passt – und wo Self-Hosting überlegen ist

Cloud-Dienste bieten enorme Vorteile und können – insbesondere für kurzlebige oder weniger kritische Daten – weiterhin eine sinnvolle Option sein. Wer jedoch Daten verarbeitet, die über Jahrzehnte hinweg vertraulich bleiben müssen, kann das HNDL-Risiko nicht ignorieren.

Gerade für hochsensible Langzeitdaten stellt sich daher die Frage, ob eine unreflektierte Cloud-Nutzung überhaupt tragbar ist – oder ob Self-Hosting und volle Kontrolle über die eigene Infrastruktur für diese Datenklasse der einzig verantwortbare Weg zur echten Datensouveränität sind.

Die zentrale Aufgabe für Unternehmen lautet: Daten klassifizieren, Risiken ehrlich bewerten und Architektur sowie Kryptografie so gestalten, dass sie auch der Welt von morgen standhalten – nicht nur der von heute.