IT-Sicherheit – dreherIT – Lösungen, die weiterdenken.

VPN am Limit: Warum Zero-Trust zum neuen Sicherheitsstandard wird

Frank Dreher — Tue, 11 Nov 2025 16:16:36 +0000

Die Arbeitswelt hat sich in wenigen Jahren grundlegend gewandelt: Teams arbeiten flexibel von zuhause, von mobilen Geräten oder aus verteilten Niederlassungen. Anwendungen liegen längst nicht mehr ausschließlich im eigenen Rechenzentrum, sondern zunehmend in europäischen Cloud-Diensten wie Microsoft 365 oder Google Workspace. Gleichzeitig haben sich die Bedrohungen professionalisiert – Angriffe zielen heute gezielt auf Identitäten, Endgeräte und Netzwerkzugänge.

Diese Realität stellt klassische VPN-Infrastrukturen vor ein Problem. Das Modell, das jahrzehntelang als Standard galt, stößt erkennbar an seine Grenzen. Deshalb etablieren Unternehmen weltweit einen alternativen Ansatz: Zero-Trust-Networking. In diesem Artikel zeigen wir, warum klassische VPNs nicht mehr ausreichen – und weshalb Zero-Trust der logische nächste Schritt ist.

Warum klassische VPNs ihre Schutzwirkung verlieren

Das traditionelle VPN-Modell basiert auf einer Grundannahme, die heute nicht mehr zutrifft: Wer sich mit dem VPN verbindet, gilt automatisch als vertrauenswürdig. Nach erfolgreichem Login erhält ein Nutzer Zugriff auf große Teile des internen Netzwerks – unabhängig davon, ob er sich gerade im Büro, im Homeoffice oder in einem öffentlichen WLAN befindet.

Dieses Modell erzeugt mehrere Sicherheitsprobleme:

1. Breite Netzsicht („Lateral Movement“)

Sobald ein Angreifer ein einziges Gerät kompromittiert oder Zugangsdaten erbeutet, kann er sich im internen Netzwerk seitlich bewegen. Diese Bewegungen sind schwer zu erkennen und zählen zu den häufigsten Mustern bei Ransomware-Angriffen.

2. Zentrale Schwachstellen am VPN-Gateway

VPN-Gateways sind ein attraktives Ziel. Bleiben Sicherheitsupdates aus oder treten Schwachstellen in VPN-Clients auf, kann ein einziges Gerät zum Einstiegspunkt für Angreifer werden.

3. Unnötige Latenz bei Cloud-Diensten

Da der gesamte Verkehr über einen zentralen Tunnel geführt wird, entstehen unnötig lange Wege („Backhauling“). Das bremst moderne Cloud-Anwendungen sichtbar aus – insbesondere Videokonferenzen und Kollaborationstools.

4. Hoher administrativer Aufwand

Zertifikate, statische IP-Freigaben, manuelle Firewall-Regeln und verschiedene Client-Versionen sorgen für Komplexität. Fehler an dieser Stelle sind einer der häufigsten Gründe für Sicherheitsvorfälle.

VPNs wurden für ein anderes Zeitalter entwickelt – eines mit stationären Arbeitsplätzen und klaren Netzwerkgrenzen. Genau diese Grenzen verschwimmen heute.

Zero-Trust: Sicherheit beginnt nicht beim Netzwerk, sondern bei Identität

Zero-Trust-Networking bricht mit der alten Logik des Netzwerkvertrauens. Statt einem „Alles oder nichts“-Zugriff stellt Zero-Trust jede einzelne Verbindung in Frage. Das zugrunde liegende Prinzip lautet:

„Vertraue nichts und niemandem. Überprüfe jeden Zugriff – immer.“

Der Zugriff richtet sich nicht nach der Netzwerkposition, sondern nach:

Identität des Nutzers
Sicherheitszustand des Geräts
Kontext (Ort, Uhrzeit, Risikoindikatoren, Verhalten)
konkreter Anwendung, nicht dem gesamten Netzwerk

Damit entsteht ein Sicherheitsmodell, das exakt auf moderne Arbeitsumgebungen zugeschnitten ist.

Wie Zero-Trust in der Praxis funktioniert

Ein Zero-Trust-System prüft jede Verbindung nach drei Schritten:

1. Identität prüfen

Nutzer müssen sich eindeutig ausweisen – idealerweise per Multi-Faktor-Authentifizierung.

2. Geräte-Compliance prüfen

Nur Geräte, die definierte Sicherheitsrichtlinien erfüllen (z. B. Verschlüsselung, aktuelles Patch-Level), erhalten Zugriff.

3. Zugriff auf konkrete Anwendungen erlauben

Der Zugriff erfolgt nicht mehr auf das gesamte LAN, sondern gezielt auf die benötigten Anwendungen. Dadurch entfällt die breite Netzsicht vollständig.

Das minimiert die Angriffsfläche erheblich und verhindert, dass ein einzelnes kompromittiertes Gerät zum Risiko für das gesamte Unternehmen wird.

Welche Vorteile Zero-Trust Unternehmen bietet

Zero-Trust-Networking adressiert zentrale Schwächen klassischer VPN-Modelle und schafft gleichzeitig eine Grundlage für moderne, verteilte Arbeitsformen.

Die wichtigsten Vorteile auf einen Blick:

Sicherer Zugriff von überall
Homeoffice, Außendienst und Niederlassungen arbeiten stabil ohne VPN-Abbrüche.
Klare Zugangskontrolle statt breiter Netzsicht
Jeder Zugriff ist identitäts- und kontextbasiert. Laterale Bewegungen werden verhindert.
Weniger Komplexität im Betrieb
Keine Zertifikatsdateien, keine statischen Freigaben, deutlich weniger Konfigurationsaufwand.
Optimale Performance für Cloud-Anwendungen
Direkter Zugriff statt Umweg durch einen VPN-Konzentrator.
Nachvollziehbarkeit und Compliance
Alle Zugriffe sind eindeutig dokumentiert – hilfreich für Datenschutz und Audits.
Geeignet für hybride Teams und moderne Arbeitsmodelle
Zero-Trust unterstützt flexible Zusammenarbeit ohne Sicherheitsabstriche.

Fazit: Zero-Trust ist der notwendige Schritt nach dem VPN-Zeitalter

Die Risiken klassischer VPNs sind kein technisches Detail, sondern eine strategische Herausforderung. Die Art, wie Unternehmen arbeiten, hat sich verändert – ihre Sicherheitsarchitektur muss sich ebenfalls weiterentwickeln. Zero-Trust-Networking bietet einen Ansatz, der unmittelbar zu dieser Realität passt: Identitätsbasiert, flexibel, nachvollziehbar und deutlich sicherer als ein herkömmlicher VPN-Tunnel.

Für Unternehmen, die ihre Infrastruktur modernisieren möchten, ist Zero-Trust keine Option für „später“, sondern eine sinnvolle und langfristig notwendige Weiterentwicklung.

Wenn Sie wissen möchten, wie ein Zero-Trust-Ansatz in Ihrer Infrastruktur aussehen kann, beraten wir Sie gerne und zeigen mögliche Wege auf.

Ist Ihre 3-2-1-Strategie schon Realität?

Wir sorgen dafür, dass Ihr Backup-Konzept im Ernstfall auch funktioniert. Schnell, zuverlässig und garantiert wiederherstellbar.

Aus dem Schatten der NSA: Was uns EternalBlue über die Risiken von Closed-Source lehrt

Frank Dreher — Sat, 08 Nov 2025 17:49:59 +0000

Im Jahr 2016 trat eine mysteriöse Gruppe namens „Shadow Brokers“ an die Öffentlichkeit. Sie behauptete, die NSA gehackt zu haben und bot die erbeuteten Daten zum Verkauf an. Das erste Angebot – angeblich für 15.000 Dollar – wurde in der Community als Witz abgetan. Niemand glaubte, dass die Gruppe tatsächlich die NSA gehackt hatte und echte Geheimdaten für einen solch geringen Betrag anbieten würde.

Der Spott endete abrupt, als die Gruppe 2017 einen Teil ihres Arsenals kostenlos veröffentlichte. Darunter: EternalBlue.

EternalBlue war kein gewöhnliches Tool. Es war ein von der NSA entwickelter Exploit, der eine kritische, bis dahin unbekannte Schwachstelle (eine „Zero-Day-Lücke“) im SMB-Protokoll von Microsoft Windows ausnutzte. Wenige Wochen später nutzten Kriminelle genau dieses Tool, um die Ransomware WannaCry zu bauen. Das Ergebnis war eine globale Cyberkrise, die Krankenhäuser, Unternehmen und kritische Infrastrukturen lahmlegte.

Dieser Vorfall ist mehr als nur eine spannende Hacker-Geschichte. Er ist eine der deutlichsten Lektionen über die systemischen Risiken von Closed-Source-Software.

Das Kernproblem: Sicherheit durch Geheimhaltung (Closed-Source)

Was bedeutet „Closed-Source“? Einfach gesagt: Der Quellcode – das „Rezept“ der Software – ist ein Betriebsgeheimnis. Nur der Hersteller (wie Microsoft) kann ihn einsehen und verändern. Die Öffentlichkeit, Forscher und auch die Kunden selbst müssen dem Hersteller blind vertrauen, dass der Code sicher ist.

Der EternalBlue-Exploit (CVE-2017-0144) konnte nur deshalb existieren und über Jahre von der NSA gehortet werden, weil der Quellcode von Microsoft Windows Closed-Source ist.

Bei Closed-Source-Software gilt das Prinzip der „Security through Obscurity“ (Sicherheit durch Dunkelheit):

Mangelnde Transparenz: Niemand außer Microsoft kann den Code einsehen, prüfen oder auditieren. Die Öffentlichkeit (einschließlich Sicherheitsforschern) muss dem Hersteller blind vertrauen, dass der Code sicher ist.
Monopolisierte Fehlerbehebung: Nur der Hersteller (Microsoft) kann die Lücke schließen. Findet eine Organisation wie die NSA eine Lücke, meldet sie diese aber nicht, bleibt die Welt verwundbar.
Gefährliches „Hoarding“: Staatliche Akteure (und Kriminelle) können solche Lücken über Jahre hinweg als „Waffen“ horten und nutzen, ohne dass die Nutzer eine Chance haben, sich zu schützen.

Im Fall von WannaCry war die Welt darauf angewiesen, dass Microsoft einen Patch (MS17-010) entwickelt und dass die Nutzer diesen Patch rechtzeitig einspielen – was Millionen nicht taten.

Das Gedankenexperiment: EternalBlue im Open-Source-Modell

Stellen wir uns nun vor, das SMB-Protokoll oder das Betriebssystem selbst wäre Open-Source gewesen (wie z.B. bei Linux-Implementierungen wie Samba).

Die Open-Source-Philosophie basiert auf Transparenz und dem „Many Eyes Principle“ (auch bekannt als Linus’s Law: „Given enough eyeballs, all bugs are shallow“):

Transparenz & Auditierbarkeit: Jeder – von einem einzelnen Entwickler über Sicherheitsfirmen bis hin zur NSA selbst – kann den Quellcode einsehen.
Frühzeitige Entdeckung: Es ist extrem unwahrscheinlich, dass eine so kritische Lücke wie CVE-2017-0144 über Jahre unentdeckt geblieben wäre. Die globale Community von Sicherheitsforschern „jagt“ ständig nach solchen Fehlern.
Kein „Hoarding“ möglich: Eine Lücke, die im öffentlichen Code sichtbar ist (oder schnell gefunden wird), kann nicht geheim gehalten und als Waffe gehortet werden. Sie wird gemeldet und öffentlich behoben (gepatcht).
Dezentrale Fehlerbehebung: Selbst wenn der ursprüngliche Entwickler langsam reagiert, kann die Community einen Patch entwickeln und bereitstellen.

Das Argument, dass Angreifer den offenen Code ebenfalls einsehen können, ist zwar korrekt, wird aber durch die Realität widerlegt: Die Anzahl der „Verteidiger“ (White-Hats, Forscher, Entwickler), die den Code prüfen, ist ungleich größer als die der Angreifer. Transparenz zwingt zu besserer Code-Qualität.

Fazit für die IT-Strategie

Der Fall EternalBlue ist das ultimative Argument gegen das blinde Vertrauen in „Security through Obscurity“. Er hat gezeigt, dass das Closed-Source-Modell ein systemisches Risiko darstellt: Wir wissen nicht, welche Zero-Day-Lücken jetzt gerade von Akteuren gehortet werden.

Für Unternehmen bedeutet dies:

Vertrauen ist gut, Verifizierbarkeit ist besser: Open-Source-Software ist nicht per se „sicherer“, aber ihre Sicherheit ist verifizierbar. Der Code kann unabhängig auditiert werden.
Reduzierung von Abhängigkeiten: Der Einsatz von Open-Source reduziert die kritische Abhängigkeit von einem einzigen Hersteller, dessen Patch-Zyklen und dessen eigener interner Sicherheit (die bei der NSA offensichtlich versagt hat).
Digitale Souveränität: Wer auf Open-Source setzt, behält die Kontrolle über seine eigene Infrastruktur.

EternalBlue war ein Weckruf. In einer Zeit, in der Cyber-Bedrohungen zunehmen, ist Transparenz – das Kernprinzip von Open-Source – die robusteste Verteidigungsstrategie, die wir haben.

Online-Passwortmanager und HNDL: Ihr digitaler Generalschlüssel auf Abruf?

Frank Dreher — Fri, 07 Nov 2025 00:15:51 +0000

Im ersten Teil „Die tickende Zeitbombe in der Cloud“ haben wir das „Harvest Now, Decrypt Later“ (HNDL)-Risiko für allgemeine Cloud-Daten beleuchtet. Im zweiten Teil wenden wir dieses Prinzip auf das wohl sensibelste Gut an, das viele Nutzer der Cloud anvertrauen: ihre Passwörter.

Online-Passwortmanager wie Bitwarden, 1Password oder LastPass sind ein großer Sicherheitsgewinn. Sie lösen das „Ein-Passwort-für-alles“-Problem und ermöglichen für jeden Dienst einzigartige, komplexe Zugangsdaten. Gleichzeitig konzentrieren sie jedoch alle „Generalschlüssel“ an einem einzigen Ort – häufig in der Cloud.

Das „Zero-Knowledge“-Versprechen

Nahezu alle Cloud-Passwortmanager werben mit einem „Zero-Knowledge“-Modell. Das bedeutet: Alle Daten werden lokal auf Ihrem Gerät (Client-Side Encryption) mit Ihrem Master-Passwort verschlüsselt, bevor sie überhaupt an den Server des Anbieters gesendet werden.

Der Anbieter speichert nach eigener Aussage nur einen verschlüsselten „Daten-Blob“, den er selbst nicht entschlüsseln kann. Gegen heutige Angriffe ist das – bei starkem Master-Passwort und moderner Schlüsselausdehnung (z.B. Argon2, PBKDF2 mit hohen Iterationen) – in aller Regel ein sehr hohes Sicherheitsniveau.

HNDL: Wenn der „Daten-Blob“ zur Zeitkapsel wird

Das HNDL-Szenario stellt eine zusätzliche Perspektive dar: Die eigentliche Gefahr ist nicht, dass der Anbieter heute mitliest, sondern dass Angreifer den vollständig verschlüsselten Tresor kopieren und für die Zukunft aufbewahren.

Der Sicherheitsvorfall bei LastPass 2022 hat dieses Szenario real gemacht: Angreifer erbeuteten verschlüsselte Passwort-Tresore (Vaults) von Kunden. Für Vaults mit schwachen Master-Passwörtern oder wenig robusten KDF-Einstellungen musste man davon ausgehen, dass sie mit genügend Zeit und Rechenleistung angreifbar sind.

Die HNDL-Strategie folgt dabei zwei Schritten:

Harvest (jetzt sammeln): Der verschlüsselte Tresor wird kopiert und gespeichert. Aktuell ist er – bei starken Passwörtern – kaum zu knacken.
Decrypt Later (später entschlüsseln): Über Jahre oder Jahrzehnte können Angreifer mit immer stärkeren Ressourcen (z.B. spezialisierter Hardware oder neuen Angriffsverfahren) versuchen, diesen Tresor offline zu entschlüsseln (und scheinen diese mittlerweile zu knacken).

Zwei Wege zur Entschlüsselung in der Zukunft

Für gestohlene Tresore sind insbesondere zwei Vektoren relevant:

1. Brute-Force des Master-Passworts

Die zentrale Hürde ist die Stärke Ihres Master-Passworts und die Konfiguration der Schlüsselausdehnungsfunktion (z.B. Argon2, PBKDF2). Je schwächer das Passwort oder je niedriger die KDF-Parameter, desto realistischer wird ein erfolgreicher Brute-Force-Angriff – heute oder in einigen Jahren. Beim LastPass-Hack warnten Experten, dass Tresore mit schwachen Passwörtern als kompromittiert gelten müssen.

2. Künftige Kryptografie-Brüche (z.B. Quantencomputer)

Langfristig kommt ein zweiter Aspekt hinzu: Wenn künftige Angreifer in der Lage sind, heute verwendete Algorithmen oder deren Implementierung zu brechen (z.B. durch leistungsfähige Quantencomputer oder neue Krypto-Schwachstellen), kann ein historisch abgegriffener Tresor rückwirkend wertvoll werden – unabhängig davon, ob das Master-Passwort stark war.

Das Risiko ist hier höher als bei vielen „normalen“ Cloud-Speichern: Wird ein Passwort-Tresor kompromittiert, geht es nicht um einzelne Dokumente, sondern potenziell um den Zugang zu Ihrem gesamten digitalen Leben – E-Mail-Konten, Finanzzugänge, Unternehmensanwendungen, Identitäten.

Datensouveränität, Updates und Risikoappetit

Cloud-Passwortmanager sind ein Komfort-Sicherheitskompromiss: Sie erhöhen die Sicherheit gegenüber „Zettelwirtschaft“ und Mehrfachpasswörtern massiv, bündeln aber alle Schlüssel bei einem zentralen Dienstleister. Dieser wird damit zu einem attraktiven Ziel – technisch und (im Falle von US-Anbietern) auch juristisch.

Für die strategische Entscheidung spielen drei Faktoren zusammen:

Kryptografie & Implementierung
Starke Standard-Algorithmen, Zero-Knowledge-Architektur, korrekt konfigurierte KDFs und regelmäßige Updates sind Pflicht – unabhängig vom Betriebsmodell.
Juristischer Rahmen & Datensouveränität
Bei US-Anbietern (auch mit EU-Rechenzentren) bleibt das Restrisiko des US CLOUD Act bestehen: Ein verschlüsselter Daten-Blob kann rechtlich eingefordert und langfristig gespeichert werden – selbst wenn der Anbieter ihn nicht entschlüsseln kann. Für viele Unternehmen ist dieses Risiko akzeptabel, für manche (z.B. bestimmte Berufsgeheimnisträger, KRITIS-nahe Bereiche) nicht.
Operative Fähigkeiten & Delegationswunsch
Wer maximale Souveränität möchte, muss entweder selbst in gehärtete Infrastruktur, Zero-Trust-Zugänge, Monitoring und Backups investieren – oder diese Aufgaben an einen spezialisierten Dienstleister delegieren.

Optionen jenseits des reinen Cloud-Modells

Cloud-Passwortmanager sind ein Kompromiss: Sie bieten enormen Komfort, aber der Preis ist die Übergabe des „Generalschlüssels“ an einen zentralen Dienstleister, der zum perfekten HNDL-Ziel wird.

Je nach Schutzbedarf, Compliance-Vorgaben und Risikoappetit kommen unterschiedliche Betriebsmodelle in Frage:

Self-Hosting-Lösungen:
Open-Source-Varianten (z.B. Bitwarden-kompatible Server) können auf eigener Infrastruktur betrieben werden. Die Tresore verlassen in diesem Modell – auch in verschlüsselter Form – nicht die eigenen oder vertraglich klar kontrollierten Systeme.
Hybride & lokale Passwortmanager:
Moderne Passwortmanager speichern die Datenbank primär lokal und bieten Funktionen wie Gruppenverwaltung und Tagging. Die Synchronisation kann über eigene Dienste erfolgen – z.B. per WebDAV, Nextcloud oder einen dedizierten, selbst betriebenen Sync-Dienst.
Klassische Offline-Tools:
Lösungen wie KeePass speichern die Passwortdatenbank als lokale Datei. Die volle Verantwortung für Sicherung, Versionierung und sicheren Zugriff liegt beim Nutzer (z.B. über verschlüsselte USB-Sticks oder einen sicheren internen Speicherort).

Unser Fazit: Komfort vs. Souveränität bewusst entscheiden

Die HNDL-Bedrohung zeigt, dass sich maximale Bequemlichkeit und maximale Langzeitsicherheit bei der Passwortverwaltung nicht vollständig zur Deckung bringen lassen. Es bleibt eine bewusste Risikoentscheidung:

Für viele Unternehmen ist ein professioneller Cloud-Passwortmanager mit starker Kryptografie, sauber konfigurierten Sicherheitsparametern und klaren Prozessen der beste Weg.
Für Organisationen mit erhöhtem Schutzbedarf oder strengem Souveränitätsanspruch kann ein souverän betriebenes oder gemanagtes Self-Hosting-Modell die stimmigere Wahl sein.

Genau diesen Spagat zwischen Komfort und Datensouveränität lösen wir für Sie – mit der für Ihren Kontext passenden technischen Lösung und, auf Wunsch, mit gezielten Schulungen für Ihre Mitarbeitenden.

Schluss mit dem Passwort-Chaos

Wir liefern die passende, sichere Lösung für Ihr Unternehmen: Ob als selbst-gehosteter Passwort-Safe für volle Kontrolle oder als rundum-sorglos Service in unserem Abo.

Windows 11: “Sie sind nicht der Nutzer, Sie sind das Produkt” – die technische Sichtweise

Frank Dreher — Thu, 06 Nov 2025 19:03:47 +0000

Wenn Sie Windows 11 nutzen, hat Ihr Computer einen “Sicherheitschip”, das sogenannte Trusted Platform Module (TPM). Dies war eine zwingende Voraussetzung für das Upgrade. Offiziell dient dieser Chip Ihrer Sicherheit. Bei genauerer Betrachtung entpuppt er sich jedoch als perfektes Werkzeug der Kontrolle – und es ist nicht Ihre Kontrolle.

1. Der digitale Pass: Ihr PC bekommt eine unauslöschliche ID

Jeder TPM-Chip besitzt eine Art eingebrannte, fälschungssichere Seriennummer. Technisch heißt sie “Endorsement Key” (EK). Dieser Schlüssel kann niemals geändert werden. (Quelle: Trusted Computing Group).

Sobald Sie Windows 11 mit einem Microsoft-Konto einrichten und Funktionen wie die BitLocker-Verschlüsselung nutzen, wird dieser “digitale Pass” Ihres Rechners oft unweigerlich an Ihre persönliche Microsoft-ID gebunden. (Quelle: Microsoft-Dokumentation zur BitLocker-Wiederherstellung).

Microsoft (und potenziell jede Anwendung mit ausreichenden Rechten) kann Ihren Rechner nun eindeutig identifizieren. Anonymität auf Hardware-Ebene wird damit technisch ausgehebelt.

2. Die digitale Checkliste: Microsoft entscheidet, was “normal” ist

Dieser TPM-Chip fungiert bei jedem Systemstart als rigoroser Wachposten. Er führt eine “Checkliste” (technisch “PCRs”), was auf Ihrem Rechner passiert:

Ist das BIOS/UEFI unverändert? ✔️
Ist die Hardware dieselbe wie gestern? ✔️
Wird der originale Windows Bootloader geladen? ✔️

Das Problem: Sobald Sie etwas tun, was Microsoft nicht vorgesehen hat – zum Beispiel ein zweites Betriebssystem wie Linux installieren (Dual-Boot) – weicht die Realität von der “Checkliste” ab.

Das TPM meldet dann “Manipulation”. Wenn BitLocker aktiv ist (was bei Copilot+ PCs Standard ist), sperrt sich Ihr Laufwerk. (Quelle: Standard-Funktionsweise der Trusted Computing Group, TCG). Das System unterstellt, dass Sie ein Angreifer sind, obwohl Sie nur Ihr Eigentum nutzen.

3. Der digitale Türsteher: Kontrolle aus der Ferne

Jetzt kommt der entscheidende Punkt. Microsoft hat Cloud-Dienste (wie den “Azure Attestation Service“), die wie ein digitaler Türsteher agieren.

Dieser Dienst kann Ihren PC jederzeit aus der Ferne anfragen: “Schick mir deine signierte Checkliste!” (Quelle: Microsoft Azure-Dokumentation).

Ihr TPM muss gehorchen und meldet zurück: “Checkliste OK” oder “Alarm! Checkliste abweichend (z.B. Linux-Bootloader entdeckt)”.

Damit ist der Mechanismus zur Fernsteuerung etabliert. Microsoft (und jede App, die diesen Dienst nutzt) kann technisch erzwingen, was auf Ihrem PC laufen darf. Eine Banking-App könnte den Start verweigern, weil Sie Linux nutzen. Ein Streaming-Dienst könnte blockieren, weil Ihre Hardware nicht zertifiziert ist.

Sie haben die effektive Kontrolle über Ihren eigenen Computer verloren. Der Hersteller entscheidet, nicht der Besitzer.

4. Die Spekulation (- die Möglichkeit im Hinterkopf)

Hier verlassen wir die nachweisbaren Fakten und betreten den Raum der “Was-wäre-wenn”-Szenarien.

Fakt ist: Die neue Funktion “Windows Recall” erstellt permanent Screenshots von allem, was Sie tun. (Quelle: Microsoft-Ankündigungen).

Fakt ist: Copilot ist eine Cloud-verbundene KI.

Fakt ist: Der U.S. CLOUD Act kann US-Firmen (wie Microsoft) verpflichten, Daten an US-Behörden herauszugeben, egal wo auf der Welt sie gespeichert sind.

Das spekulative Szenario: Was, wenn Microsoft gezwungen wird, Copilot per “stillem Update” anzuweisen, Ihre “Recall”-Datenbank (die Screenshots der letzten Monate) zu analysieren?

Was, wenn eine Regierungsbehörde Microsoft (unter Berufung auf den CLOUD Act) anweist, eine heimliche Anfrage zu starten: “Durchsuche alle Rechner mit Recall nach [Begriff X] und melde die Treffer.”?

Technisch wäre dies ein möglicher Mechanismus für eine unbemerkte, massenhafte Überwachung direkt auf dem Endgerät des Nutzers. Auch wenn dies derzeit reine Spekulation über die Absichten ist: Die Architektur (permanente Aufzeichnung durch Recall + Fernsteuerbarkeit durch Cloud-KI) schafft die Möglichkeit dafür.

Fazit: Handlungsempfehlungen

Die einzige echte Kontrolle besteht darin, diese Mechanismen abzulehnen:

TPM im BIOS/UEFI deaktivieren: Sofern Ihr System dies zulässt. Dies ist der effektivste Weg, dem “digitalen Türsteher” die Grundlage zu entziehen.
Lokale Konten nutzen: Melden Sie sich niemals mit einem Microsoft-Konto bei Windows an. Dies erschwert die Verknüpfung Ihrer Hardware-ID (EK) mit Ihrer persönlichen Identität.
KI-Begleiter ablehnen: Deaktivieren Sie Copilot, Recall und ähnliche Funktionen, die Ihre Aktivitäten aufzeichnen und mit der Cloud verbunden sind.

Echte digitale Souveränität bedeutet, Herr über die eigene Hardware zu sein. Diese Systeme sind darauf ausgelegt, genau das zu untergraben.

Digitale Souveränität: Warum Europas Unabhängigkeit jetzt zählt

Frank Dreher — Thu, 06 Nov 2025 13:19:58 +0000

Einleitung

Wir nutzen sie jeden Tag: Cloud-Dienste speichern unsere Urlaubsfotos, verwalten unsere Geschäftsberichte und steuern unsere Fabriken. Doch während wir die Effizienz dieser digitalen Werkzeuge genießen, stellt sich eine entscheidende Frage: Wem „gehören“ diese Daten wirklich?

Digitale Souveränität ist die Antwort auf diese Frage. Es ist die Fähigkeit, selbstbestimmt über unsere digitalen Geschicke zu entscheiden – und sie ist entscheidend für die Zukunft unserer Wirtschaft, den Schutz unserer Grundrechte und die Stabilität unserer Demokratie.

Was ist „Digitale Souveränität“ überhaupt?

Digitale Souveränität bezeichnet die Fähigkeit von Staaten, Unternehmen und Bürgern, die digitalen Räume, in denen sie agieren, selbstbestimmt zu gestalten und zu kontrollieren.

Es geht dabei nicht um digitale Abschottung oder Isolation. Es geht um Handlungsfähigkeit.

Konkret bedeutet das:

Kontrolle über Daten: Zu wissen, wo die eigenen Daten (von Bürgern, Unternehmen oder Behörden) gespeichert sind, wer darauf zugreifen kann und nach welchen rechtlichen Regeln dies geschieht.
Technologische Unabhängigkeit: Nicht von einzelnen Anbietern oder Technologien (insbesondere aus Drittstaaten) existenziell abhängig zu sein.
Regulatorische Durchsetzung: Die Fähigkeit, eigene Gesetze und Grundwerte – wie die Datenschutz-Grundverordnung (DSGVO) in Europa – auch im digitalen Raum effektiv durchzusetzen.

(Quellen für diese Definitionen finden sich u.a. beim Bundesministerium für Wirtschaft und Klimaschutz (BMWK) oder dem Bundesamt für Sicherheit in der Informationstechnik (BSI), die diesen Begriff als Kernziel definieren.)

Warum wahre Digitale Souveränität so wichtig ist

Die Kontrolle über unsere digitalen Infrastrukturen ist kein „IT-Problem“, sondern eine strategische Notwendigkeit. Wenn wir diese Kontrolle abgeben, entstehen konkrete Risiken für Gesellschaft und Wirtschaft.

Schutz der Grundrechte (Datenschutz)
Europa hat mit der Datenschutz-Grundverordnung (DSGVO) weltweit den höchsten Standard für den Schutz persönlicher Daten gesetzt. Diese Regeln können jedoch untergraben werden, wenn die Daten von Anbietern verwaltet werden, die Gesetzen aus Drittstaaten unterliegen (siehe nächster Punkt). Wahre Souveränität stellt sicher, dass unsere europäischen Grundrechte auch in der digitalen Welt gelten. (Quelle: EuGH-Urteil „Schrems II“, C-311/18, das den Mangel an Schutz bei US-Transfers feststellte)
Wirtschaftliche Wettbewerbsfähigkeit
Eine starke Abhängigkeit von wenigen, außereuropäischen Technologieanbietern (ein sogenanntes Oligopol) schafft „Lock-in“-Effekte. Unternehmen werden abhängig von den Preismodellen, den Technologien und den Geschäftsbedingungen dieser Anbieter. Das hemmt Innovation und schwächt die Verhandlungsposition der europäischen Wirtschaft. Digitale Souveränität bedeutet, den eigenen Tech-Sektor zu stärken und fairen Wettbewerb zu ermöglichen. (Quelle: Analysen des Bundeskartellamts oder der EU-Kommission zur Marktmacht von Hyperscalern)
Sicherheit und Stabilität (KRITIS)
Kritische Infrastrukturen – unsere Energieversorgung, das Gesundheitswesen oder die öffentliche Verwaltung – werden zunehmend digitalisiert und in Clouds verlagert. Wenn diese Systeme auf Plattformen laufen, die von geopolitischen Spannungen oder den Entscheidungen anderer Staaten beeinflusst werden können, stellt dies ein massives nationales Sicherheitsrisiko dar. (Quelle: Warnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Schutz von KRITIS)
Demokratische Kontrolle
Im Kern geht es darum, wer die Regeln für unsere digitale Gesellschaft festlegt. Sind es die Geschäftsbedingungen von globalen Konzernen oder sind es unsere demokratisch legitimierten Gesetze? Digitale Souveränität stellt sicher, dass unsere Gesellschaft die Regeln für den digitalen Raum selbst definieren kann.

Die Herausforderung: Hyperscaler und der U.S. CLOUD Act

Auf dem Papier klingt „Datenspeicherung in der EU“ sicher. In der Praxis gibt es jedoch einen fundamentalen Konflikt, der Europas digitale Souveränität direkt bedroht.

Das Problem: Marktmacht trifft auf US-Gesetz

Das Problem besteht aus zwei Teilen:

Die Marktdominanz (Hyperscaler)
Der Markt für Cloud-Infrastruktur wird weltweit von einer Handvoll US-Unternehmen dominiert, den sogenannten „Hyperscalern“ (hauptsächlich Amazon Web Services (AWS), Microsoft Azure und Google Cloud). Europäische Unternehmen sind oft technisch und operativ von den Diensten dieser Giganten abhängig. (Quelle: Aktuelle Marktanalysen, z.B. von Synergy Research Group oder Gartner)
Der rechtliche Zugriff (U.S. CLOUD Act)
Das Hauptproblem ist der U.S. CLOUD Act (Clarifying Lawful Overseas Use of Data Act) von 2018.
Dieses US-Gesetz verpflichtet amerikanische Unternehmen (und deren Tochtergesellschaften weltweit), US-Behörden (wie dem FBI oder der NSA) Zugriff auf gespeicherte Daten zu gewähren.
Das ist der entscheidende Punkt: Dieser Zugriff muss gewährt werden, selbst wenn die Daten ausschließlich außerhalb der USA – beispielsweise in einem Rechenzentrum in Frankfurt oder Dublin – gespeichert sind.

Der unlösbare Konflikt mit der DSGVO

Hier entsteht die Zwickmühle für europäische Unternehmen:

Europäisches Recht (DSGVO) verbietet die Herausgabe von personenbezogenen Daten an Drittstaaten ohne ein angemessenes Schutzniveau oder eine klare Rechtsgrundlage.
US-Recht (CLOUD Act) erzwingt genau diese Herausgabe, ohne dass europäische Gerichte oder die betroffenen Personen ein Mitspracherecht hätten.

Ein US-Anbieter, der in Europa tätig ist, steckt damit in einem „Conflict of Laws“: Entweder er verstößt gegen die DSGVO (und riskiert massive Strafen in der EU) oder er widersetzt sich dem CLOUD Act (und riskiert Sanktionen in den USA).

Aus diesem Grund hat der Europäische Gerichtshof (EuGH) im Jahr 2020 das Datenschutzabkommen „Privacy Shield“ gekippt (Urteil „Schrems II“). Der Gerichtshof stellte fest, dass die US-Gesetzgebung (inkl. CLOUD Act und ähnlicher Überwachungsgesetze wie FISA 702) keinen ausreichenden Schutz für die Grundrechte von EU-Bürgern bietet. (Quelle: EuGH, Urteil in der Rechtssache C-311/18)

Fazit des Problems: Ein Rechenzentrum mit Standort „Deutschland“ bietet keine Sicherheit, wenn der Betreiber „U.S. Hyperscaler“ heißt.

Lösungsansätze: Der europäische Weg

Die Situation ist komplex, aber Europa ist nicht machtlos. Das Ziel ist nicht, das Internet „abzuschotten“, sondern Handlungsfähigkeit durch strategische Initiativen und klare Regeln zurückzugewinnen.

Förderung europäischer Infrastrukturen (Gaia-X)
Eine der bekanntesten Initiativen ist Gaia-X. Das Ziel von Gaia-X ist nicht, einen neuen Hyperscaler zu bauen, sondern einen Standard für eine föderierte, offene und transparente Dateninfrastruktur zu schaffen. Es soll ein „Marktplatz“ für vertrauenswürdige Cloud-Dienste entstehen, bei dem Anbieter (auch außereuropäische) transparent machen müssen, welche Regeln (z.B. DSGVO-Konformität, Immunität gegen CLOUD Act) sie einhalten. (Quelle: Offizielle Dokumentation von Gaia-X AISBL)
Nutzung von Open Source (Quelloffenheit)
Software, deren Quellcode offenliegt (Open Source), ist ein zentraler Baustein für digitale Souveränität. Sie ermöglicht Transparenz (man kann sehen, was die Software tut), Sicherheit (Fehler können von vielen entdeckt werden) und Anpassbarkeit. Vor allem aber verhindert sie den „Vendor Lock-in“: Man ist nicht an einen einzigen Anbieter gebunden und kann den Dienstleister wechseln oder die Software selbst betreiben.
Souveräne Cloud-Alternativen (Private & Hybrid Clouds)
Für viele sensible Daten (Behörden, Gesundheitswesen, KRITIS) ist die „Public Cloud“ der Hyperscaler keine Option. Hier sind Private Clouds (im eigenen Rechenzentrum betrieben) oder vertrauenswürdige europäische Cloud-Anbieter, die nicht dem U.S. CLOUD Act unterliegen, die souveräne Alternative. Diese bieten oft ein vergleichbares Maß an Flexibilität, aber mit voller rechtlicher und technischer Kontrolle.
Starke europäische Regulierung
Parallel zur Technologie schafft die EU einen neuen Rechtsrahmen. Gesetze wie der Digital Services Act (DSA) und der Digital Markets Act (DMA) zielen darauf ab, die Marktmacht der großen Plattformen (Gatekeeper) zu begrenzen, fairen Wettbewerb zu erzwingen und die Rechte der Nutzer im digitalen Raum zu stärken.

Fazit: Eine strategische Notwendigkeit

Digitale Souveränität ist kein technisches Nischenthema, sondern eine der zentralen strategischen Herausforderungen des 21. Jahrhunderts.

Es geht nicht darum, sich von der Welt abzuschotten, sondern darum, als Europa handlungsfähig zu bleiben. Wenn wir unsere kritischen Infrastrukturen, unsere Wirtschaftsdaten und die Kommunikation unserer Bürger vollständig in die Hände von Anbietern legen, die außereuropäischen Gesetzen wie dem U.S. CLOUD Act unterliegen, geben wir einen wesentlichen Teil unserer Selbstbestimmung auf.

Wahre digitale Souveränität – gestützt auf starke eigene Infrastrukturen, transparente Open-Source-Standards und ein klares Bekenntnis zu unseren Grundrechten (DSGVO) – ist die Voraussetzung für ein freies, sicheres und wettbewerbsfähiges Europa.