AdobeStock_607869709_yutthana
Digitale Souveränität: Welche Cloud-Lösungen gibt es?
Souveräne Cloud-Angebote boomen. Microsoft, Google, AWS und europäische Anbieter wie STACKIT versprechen Datenschutz und Kontrolle, doch viele Fragen bleiben offen.
In Europa wächst der politische und regulatorische Druck, IT-Systeme so zu gestalten, dass sie den Prinzipien digitaler Souveränität genügen. Dabei geht es nicht nur um die physische Datenlokalisierung, sondern um weitreichendere Aspekte wie Zugriffstrennung, Schlüsselkontrolle, technische Eigenständigkeit des Betriebs und rechtliche Immunität gegenüber Drittstaaten.
Die großen Hyperscaler Microsoft, AWS und Google präsentieren unterschiedliche Konzepte, die teils tiefergehend, teils oberflächlicher auf diese Anforderungen reagieren. Ergänzt wird das Spektrum durch eine wachsende Zahl europäischer Cloud-Anbieter, deren Architekturen unabhängig, aber technologisch weniger breit aufgestellt sind.
Was ist Microsoft Sovereign Cloud?
Microsoft verfolgt bei seiner Sovereign Cloud einen modularen Ansatz, bei dem zentrale Komponenten wie Azure, Microsoft 365 und das Schlüsselmanagement durch zusätzliche Dienste ergänzt werden, die mehr Kontrolle und Sichtbarkeit für europäische Kunden ermöglichen sollen. Die Architektur baut dabei auf der bestehenden globalen Azure-Basis auf. Die sogenannte Sovereign Landing Zone bildet die konfigurierbare Schicht, über die sich Governance-, Compliance- und Betriebsvorgaben länderspezifisch anpassen lassen. Die Umsetzung erfolgt über eine Sammlung vorgefertigter Richtlinien, Automatisierungsskripte und Azure Policy Sets.
Mit dem Data Guardian für den europäischen Betrieb führt Microsoft eine Instanz ein, die über technische und organisatorische Prozesse hinweg sicherstellen soll, dass vorgegebene Betriebsbedingungen eingehalten werden. Die Steuerung basiert auf Azure Arc und Compliance Center, das unter anderem prüft, ob Datenflüsse europäisch lokalisiert bleiben. Es handelt sich dabei jedoch um ein Reporting- und Monitoring-Werkzeug, nicht um eine physische Entkopplung der Umgebung.
Die externe Schlüsselverwaltung (External Key Management) erlaubt Kunden, Verschlüsselungsschlüssel außerhalb des Microsoft-Ökosystems zu speichern und zu kontrollieren. Dabei kommen dedizierte HSM-Lösungen oder Drittanbieter zum Einsatz, die über definierte APIs mit Microsoft-Diensten kommunizieren. Allerdings bleibt die Abhängigkeit zur Azure-Kryptografie-Infrastruktur bestehen, sodass Microsoft technisch nicht vollständig ausgeschlossen ist, zum Beispiel bei Schlüsselrotation, Backup-Vorgängen oder in Notfallszenarien.
Das regulierte Umweltmanagement (Regulated Environment Management) liefert branchenspezifische Voreinstellungen für regulierte Sektoren wie Finanzwesen, kritische Infrastrukturen oder Behörden. Diese Vorlagen sind auf Spezifikationen wie ISO/IEC 27001, BSI C5 oder NIS2 ausgerichtet, greifen aber nicht alle nationalen Auslegungen oder sektoralen Detailanforderungen auf. Sie lassen sich anpassen, aber nicht unabhängig verwalten.
Eine vollständig getrennte Umgebung bietet Microsoft 365 Local, das über nationale Partner wie die Deutsche Telekom oder Orange betrieben wird. Hier liegt die administrative Verantwortung nicht bei Microsoft selbst, sondern bei einem europäischen Unternehmen. Die technische Plattform bleibt jedoch Microsoft-eigen und unterliegt in Teilen zentralem Lifecycle-Management, zum Beispiel bei Sicherheits-Updates, Feature-Releases oder Zertifikatsausstellung. Die Steuerbarkeit durch die Kunden selbst ist eingeschränkt.
Was ist Google Sovereign Cloud und Distributed Cloud?
Google geht in seinem Souveränitätsmodell in Richtung organisatorischer Auslagerung. In Frankreich betreibt das Joint Venture S3NS mit Thales eine Variante der Google Cloud, bei der der Betrieb vollständig unter europäischer Kontrolle stehen soll. Die Plattform basiert auf Google-Technologien, wird jedoch unabhängig verwaltet. Der Zugriff von Google auf administrative Funktionen ist laut eigenen Angaben eingeschränkt, aber nicht vollständig ausgeschlossen, insbesondere bei Sicherheitsereignissen oder systemweiten Störungen.
Im Rahmen einer strategischen Partnerschaft mit Google wird STACKIT, die Cloud-Plattform der Schwarz Gruppe (Lidl), künftig als souveränes Speicherziel für den Google Workspace fungieren. Grundlage ist ein Modell, das auf clientseitiger Verschlüsselung und einer ausschließlich in Europa betriebenen Infrastruktur basiert. Die Datenhoheit verbleibt dabei vollständig bei den Nutzern, da Verschlüsselung und Schlüsselverwaltung lokal erfolgen und nicht vom Cloud-Dienstleister kontrolliert werden können. Diese Integration richtet sich explizit an Organisationen mit hohen Anforderungen an Vertraulichkeit, etwa im öffentlichen Sektor oder im Gesundheits- und Finanzwesen.
Die Kombination aus den skalierbaren Workspace-Funktionen von Google und der Datensouveränität von STACKIT markiert einen neuen Ansatz, der international etablierte Anwendungen mit regulatorischer Konformität in Einklang bringen soll. Die technische Umsetzung wird entscheidend davon abhängen, wie granular Zugriffs- und Verwaltungsrechte delegiert werden können und inwieweit die verwendeten APIs, Dienste und Metadaten tatsächlich außerhalb der Kontrolle von Google bleiben.
Die Lösung Google Distributed Cloud mit Air Gap stellt eine Variante dar, bei der sämtliche Cloud-Dienste in einer isolierten Umgebung ohne Verbindung zum Internet oder Google-Backbone betrieben werden können. Die Grundlage bilden Kubernetes-Systeme, die auf eigener Hardware betrieben werden müssen. Konfiguration, Betrieb und Patch-Management liegen vollständig in der Verantwortung des Kunden oder eines Partners. Diese Variante ist sicherheitstechnisch entkoppelt, skaliert aber nur begrenzt und deckt nur einen Teil der Google Cloud ab.
Die Datensouveränitätslösung erlaubt es, Datenlokalisierungsrichtlinien zu definieren, die verhindern sollen, dass personenbezogene oder sensitive Daten bestimmte Regionen verlassen. Die Umsetzung basiert auf Regionenbindung und Servicekontrollen, ist aber nur effektiv, wenn alle genutzten Dienste die Richtlinien vollständig unterstützen, was nicht für alle APIs oder internen Services zutrifft.
Was ist AWS European Sovereign Cloud?
Amazon hat mit der AWS European Sovereign Cloud ebenfalls ein isoliertes Cloud-Angebot für Europa angekündigt. Die Architektur soll unabhängig von bestehenden globalen Regionen aufgebaut und ausschließlich durch Personal in der EU verwaltet werden. Zum Einsatz kommt die Virtualisierungsplattform AWS Nitro System, die eine strikte Trennung zwischen Management- und Nutzerebene auf Hardwareebene durchsetzt.
Die geplanten Regionen werden in der EU betrieben, mit eigener Authentifizierung, eigenem Support-Modell und lokaler Governance. Technische Details zur Netzwerkarchitektur, zum Support-Prozedere oder zu Plattformdiensten wie IAM, CloudTrail oder KMS sind bislang nicht vollständig veröffentlicht. Auch zur Anwendungsbreite bleibt unklar, ob sämtliche AWS-Dienste in der Sovereign Cloud angeboten werden oder nur eine Teilmenge.
Positiv hervorzuheben ist die geplante Integration des europäischen CISPE-Verhaltenskodex, dem sich AWS offiziell verpflichtet hat. In der Praxis hängt die Umsetzung jedoch maßgeblich davon ab, ob Amazon bereit ist, operative Eingriffe wie Lizenzprüfung, Billing-Infrastruktur oder zentrale Zertifikatsdienste ebenfalls vollständig zu dezentralisieren.
Welchen europäischen Anbieter gibt es?
Europäische Anbieter wie IONOS, Schwarz Digits StackIT, Zadara, Clever Cloud, OVHcloud, Anexia, 3DS Outscale, Scaleway oder Nuvla bieten vollständig in der EU betriebene Cloud-Infrastrukturen, die oft auf Open-Source-Stacks oder dedizierten Private-Cloud-Lösungen basieren. Diese Modelle bieten ein hohes Maß an Kontrolle und Rechtsklarheit, da die Betreiber vollständig europäischem Recht unterliegen und keine organisatorischen Bindungen an US-Konzerne bestehen.
Technologisch decken viele dieser Plattformen die Grundbedürfnisse moderner Cloud-Nutzung ab, etwa Virtualisierung, Objektspeicher, Managed Kubernetes, Datenbanken oder S3-kompatiblen Storage. Teilweise existieren auch Integrationen für PaaS-Umgebungen und containerisierte Workloads. In den Bereichen Serverless Computing, Analytics, globale Skalierbarkeit und Entwicklerökosysteme bleibt die Funktionalität allerdings begrenzt. Auch fehlen in vielen Fällen standardisierte APIs oder Zertifizierungen für internationale Compliance-Frameworks.
Fazit
Ein vollständiger Bruch mit den Hyperscalern ist in vielen Fällen technisch kaum realisierbar, insbesondere wenn moderne Softwareentwicklung, Machine-Learning-Pipelines oder globale laufende Anwendungen involviert sind. Für rein europäische Workloads mit klar definierter Infrastruktur bieten regionale Anbieter jedoch eine rechtssichere und operativ vollständig kontrollierbare Alternative.
Die Sovereign-Modelle von Microsoft, Google und AWS bieten umfangreiche Governance-Features, erreichen aber, Stand heute, nur bedingt vollständige technische Autonomie. Wer digitale Souveränität konsequent umsetzen will, muss zwischen Funktionstiefe und Kontrollgrad abwägen, und bestehende Architekturen möglicherweise grundlegend überdenken.
