Digitale Souveränität oder nur Souveränitätswashing?

Deutschland spricht seit Jahren von digitaler Souveränität. Behörden, Ministerien und Sicherheitsbehörden erklären regelmäßig, wie wichtig Unabhängigkeit von internationalen Technologiekonzernen geworden sei. Gleichzeitig erleben wir jedoch, dass dieselben Institutionen weiterhin auf Infrastrukturen und Dienste setzen, die tief in den Händen amerikanischer Hyperscaler wie Amazon, Google oder Microsoft liegen.

Die aktuelle Diskussion rund um die neuen C3A-Kriterien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zeigt exemplarisch, wie weit Anspruch und Realität inzwischen auseinanderliegen.

Der Begriff „digitale Souveränität“ droht zunehmend zu einem Marketingbegriff zu verkommen. Ein Rechenzentrum in Frankfurt macht eine US-Cloud nicht automatisch souverän. Auch eine deutsche Tochterfirma ändert nichts daran, dass amerikanische Konzerne weiterhin amerikanischem Recht unterliegen. Genau hier beginnt das eigentliche Problem.

Der Cloud Act bleibt Realität

Wer ernsthaft glaubt, Deutschland könne digitale Unabhängigkeit erreichen, während zentrale Verwaltungs- und Kommunikationssysteme weiterhin auf amerikanischen Plattformen betrieben werden, ignoriert die geopolitische Realität.

Der sogenannte CLOUD Act der USA erlaubt amerikanischen Behörden unter bestimmten Voraussetzungen Zugriff auf Daten von US-Unternehmen – unabhängig davon, wo diese Daten gespeichert sind. Ergänzt wird dies durch Regelwerke wie FISA 702 oder Executive Orders im Bereich nationaler Sicherheitsinteressen.

Genau deshalb kritisieren Datenschützer, IT-Sicherheitsforscher und Teile der Open-Source-Community die aktuellen Entwicklungen rund um die BSI-Kriterien massiv.

Der Artikel von Golem bringt die Kritik auf den Punkt:

• https://www.golem.de/news/c3a-kriterien-des-bsi-eine-einladung-fuers-souveraenitaetswashing-2605-208795-2.html

Dort wird deutlich beschrieben, dass viele der diskutierten Kriterien zwar organisatorische oder technische Maßnahmen betrachten, die eigentliche Machtfrage jedoch ausklammern: Wer kontrolliert die Infrastruktur wirklich?

Denn am Ende hilft auch die beste Verschlüsselung wenig, wenn Betrieb, Wartung, Sicherheitsupdates oder zentrale Verwaltungsmechanismen weiterhin unter Kontrolle außereuropäischer Konzerne stehen.

ZenDiS benennt das Problem deutlich

Besonders bemerkenswert ist, dass selbst das Zentrum Digitale Souveränität (ZenDiS) inzwischen offen vor sogenanntem „Souveränitätswashing“ warnt.

Das Whitepaper:

• https://www.zendis.de/media/pages/newsroom/publikationen/souveraenitaets-washing/751a2c5eb1-1755243871/zendis-whitepaper-souveraenitaets-washing.pdf

beschreibt sehr klar, warum scheinbar souveräne Cloud-Angebote oft nur eine Fassade darstellen.

ZenDiS schreibt dort sinngemäß, dass proprietäre Cloud-Infrastrukturen strukturell abhängig bleiben. Besonders kritisch seien:

• zentrale Update-Mechanismen
• proprietäre Verwaltungsdienste
• Abhängigkeiten bei Sicherheitsupdates
• fehlende Kontrolle über Kernkomponenten
• politische Einflussmöglichkeiten fremder Staaten

Das Papier verweist zudem darauf, dass selbst lokal betriebene oder „air-gapped“ Systeme nicht automatisch unabhängig werden, solange essenzielle Komponenten weiterhin vom ursprünglichen Anbieter kontrolliert werden.

Genau das ist der Kern des Problems.

Die Illusion europäischer Cloud-Souveränität

In Deutschland wird häufig versucht, durch neue Begriffe oder Partnerschaftsmodelle politische Lösungen zu simulieren. Dann entstehen Konstrukte wie:

• „Sovereign Cloud“
• „Trusted Cloud“
• „EU-Cloud“
• „Deutsche Microsoft-Cloud“
• „Partnerschaftsmodelle mit Hyperscalern“

Doch die entscheidende Frage bleibt:

Was passiert im Krisenfall?

Was passiert, wenn geopolitische Spannungen eskalieren?
Was passiert bei Sanktionen?
Was passiert, wenn ein Anbieter Updates stoppt oder zentrale Dienste deaktiviert werden?

Digitale Souveränität bedeutet nicht nur Datenschutz.
Digitale Souveränität bedeutet Handlungsfähigkeit.

Ein souveräner Staat muss seine kritischen digitalen Infrastrukturen notfalls vollständig unabhängig betreiben können.

Und genau daran scheitern viele aktuelle Konzepte.

Das BSI hat bereits Vertrauen verspielt

Hinzu kommt, dass das BSI in den vergangenen Jahren selbst nicht immer eine überzeugende Rolle gespielt hat. Besonders kritisch wurde der Umgang mit kompromittierten Microsoft-Schlüsseln und internationalen Sicherheitsvorfällen diskutiert.

Gerade in sicherheitspolitischen Fragen wäre jedoch maximale Konsequenz erforderlich. Stattdessen entsteht oft der Eindruck, dass wirtschaftliche Interessen und politische Pragmatik stärker gewichtet werden als echte Unabhängigkeit.

Wenn dieselben Konzerne, von denen man sich eigentlich unabhängiger machen möchte, gleichzeitig als Partner für „digitale Souveränität“ auftreten, verliert der Begriff jede Glaubwürdigkeit.

Man könnte es auch einfacher formulieren:

Man trinkt nicht aus dem Kakao, durch den man gerade gezogen wird.

Open Source ist keine Ideologie, sondern strategische Notwendigkeit

Wer echte digitale Freiheit will, kommt an Open Source langfristig nicht vorbei.

Das bedeutet nicht, dass jede proprietäre Software automatisch schlecht ist. Aber kritische staatliche Infrastruktur darf nicht vollständig von einzelnen internationalen Konzernen abhängig sein.

Europa braucht:

• offene Standards
• interoperable Systeme
• nachvollziehbaren Quellcode
• eigene Rechenzentrumsstrukturen
• unabhängige Softwarelieferketten
• europäische Alternativen im Cloud-Bereich
• mehr Investitionen in Linux- und Open-Source-Projekte

Digitale Souveränität entsteht nicht durch Marketingkampagnen oder neue Zertifikate.
Sie entsteht durch Kontrolle über die eigene Infrastruktur.

Die eigentliche Gefahr

Die größte Gefahr besteht nicht darin, dass Deutschland technologisch zurückfällt.

Die größere Gefahr ist, dass man politische und technische Abhängigkeiten irgendwann nicht mehr auflösen kann.

Wenn Verwaltung, Bildung, Gesundheitswesen, Kommunikation und Sicherheitsbehörden vollständig auf Plattformen weniger internationaler Konzerne aufbauen, verliert ein Staat langfristig seine digitale Selbstbestimmung.

Und genau deshalb ist die aktuelle Debatte so wichtig.

Digitale Souveränität darf kein Schlagwort bleiben.
Sie ist eine Voraussetzung für demokratische Kontrolle, Datenschutz und staatliche Handlungsfähigkeit im 21. Jahrhundert.

Quellen

• https://www.golem.de/news/c3a-kriterien-des-bsi-eine-einladung-fuers-souveraenitaetswashing-2605-208795-2.html
• https://www.zendis.de/media/pages/newsroom/publikationen/souveraenitaets-washing/751a2c5eb1-1755243871/zendis-whitepaper-souveraenitaets-washing.pdf
• https://www.zendis.de/
• https://www.computerweekly.com/de/feature/BSI-C3A-Souveraenitaetskriterien-fuer-Cloud-Dienste
• https://blackfort-tec.de/insights/bsi-c3a-kriterien-souveraene-cloud-dienste

Siehe auch

• 324.000 Euro für nichts: Hannovers Microsoft-Desaster und das systematische Versagen beim Datenschutz
• Wie Israel Teherans Überwachungskameras hackte – und warum Europa sich das nicht leisten kann
• Vier Jahrzehnte strukturelle Überwachung: Warum die Microsoft-365-Problematik keine Trump-Erfindung ist
• Digitale Geiselhaft: Wie die Politik Deutschland und Europa wissentlich in die Abhängigkeit trieb
• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will