🧠 Editorial

Diese Woche zeigt ziemlich klar, wo es gerade kippt:

Wir reden über digitale Souveränität – und merken gleichzeitig, wie tief wir noch in Abhängigkeiten stecken. Ob Messenger, Cloud oder Infrastruktur: Kontrolle fehlt genau dort, wo sie kritisch wäre.

Der Vercel-Hack, neue staatliche Messenger, Diskussionen um „souveräne" Cloud und Big-Tech-Einfluss auf EU-Regeln sind keine Einzelfälle. Das ist ein Muster.

Wir haben Infrastruktur ausgelagert – und damit auch ein Stück Entscheidungsfähigkeit.

Jetzt wird’s unbequem: Es geht nicht mehr um Tools oder Features, sondern um wer Zugriff hat, wer mitliest und wer im Zweifel den Stecker zieht.

📰Tech-News:

Europas Regierungen bauen eigene Messenger

Was da gerade passiert, ist überfällig.

Europäische Behörden verabschieden sich langsam von WhatsApp & Co. und bauen eigene Messenger – nicht weil die Verschlüsselung schlecht wäre, sondern weil Kontrolle fehlt. Nutzerverwaltung, Metadaten, Archivierung: alles Dinge, die du in Consumer-Apps nicht wirklich im Griff hast.

Der eigentliche Punkt ist aber ein anderer: Wir hängen strukturell an US-Plattformen. Auch Signal ist da keine Ausnahme.

Und genau das wird zunehmend als Risiko verstanden – politisch wie sicherheitstechnisch. Spätestens seit den letzten Vorfällen (Phishing, MDM-Lücken, „verschwundene" Nachrichten) ist klar: Für staatliche Kommunikation reicht „ist doch verschlüsselt" nicht.

Meine Meinung: Der Schritt ist nicht nur sinnvoll, sondern längst notwendig. Digitale Souveränität heißt eben auch, kritische Kommunikation selbst zu betreiben – und nicht bei US-Anbietern zu parken.

Wer sich damit beschäftigt, sollte den heise-Artikel lesen. Hier geht’s nicht um Tools, sondern um Abhängigkeiten.

🔗https://www.heise.de/news/Souveraenitaet-Viele-europaeische-Beamte-muessen-WhatsApp-und-Signal-Adieu-sagen-11261147.html

Vercel gehackt: Wenn Environment Variables plötzlich öffentlich werden

Vercel wurde kompromittiert – und zwar nicht auf spektakuläre Zero-Day-Art, sondern klassisch über ein gekapertes Mitarbeiterkonto (Google Workspace via Context.ai). Ergebnis: Zugriff auf interne Systeme und potenziell Credentials sowie Environment Variables von Kunden.

Die Plattform bleibt online, betroffene Nutzer wurden informiert. Trotzdem ist das genau die Art von Incident, die weh tut: In Env Vars liegen API-Keys, Tokens und Datenbankzugänge – also alles, was moderne Apps am Laufen hält.

Besonders unangenehm: Vercel sitzt direkt in der Deployment- und Supply-Chain-Kette. Wer hier Zugriff bekommt, steht oft schon halb in der Produktion.

Parallel bietet ein angeblicher „Shinyhunters"-Akteur gestohlene Daten zum Verkauf an (inkl. Tokens und Quellcode). Ob echt, ist noch unklar – das Risiko bleibt.

Takeaway: SSO ist kein Schutzschild, CI/CD-Plattformen sind Tier-0-Infrastruktur – und „Secrets in Env Vars" ist nur so sicher wie die Plattform, die sie hält.

🔗https://www.golem.de/news/cyberangriff-trifft-vercel-grosse-cloud-entwicklerplattform-gehackt-2604-207757.html

Cloud aus Europa: Was „souverän" wirklich heißt

Europäische Cloud-Angebote sind nicht automatisch souverän – aber auch nicht unsicher. Das zeigt eine Analyse des cyberintelligence institute zusammen mit der WDR Servicezeit, u. a. mit Einschordnungen von Prof. Dr. Dennis-Kenji Kipker.

Der Kern ist simpel:

1. Recht schlägt Standort Ein Rechenzentrum in der EU reicht nicht. Entscheidend ist, welchem Recht der Anbieter unterliegt – und ob z. B. US-Strukturen indirekt Zugriff ermöglichen.

2. Architektur schlägt Marketing Echte Sicherheit heißt: Verschlüsselung standardmäßig, ohne Zugriffsmöglichkeit für den Anbieter.

Die Unterschiede liegen im Detail: Infrastruktur, Unternehmensstruktur, Transparenz.

Wer sich ernsthaft mit Cloud-Auswahl beschäftigt, sollte sich das anschauen. Der relevante Teil startet ab Minute 14:00 im WDR-Beitrag:

🔗https://lnkd.in/es76fuyc

Der neue Souveränitäts-Standard oder ein klassischer Sales-Funnel?

Tools zur Messung digitaler Souveränität verfolgen im Kern immer dasselbe Ziel: Sie sollen sichtbar machen, wie abhängig eine IT-Infrastruktur wirklich ist, und konkrete Hinweise liefern, wie sich diese Abhängigkeiten reduzieren lassen. Genau das adressiert auch das ES³-Modell von STACKIT – strukturiert, umfassend und mit dem klaren Anspruch, mehr Verbindlichkeit in die Debatte zu bringen.

Das ist ein wichtiger Schritt. Denn der Bedarf, Souveränität greifbar zu machen, ist real. Gleichzeitig zeigt sich bei der Umsetzung ein Punkt, der zumindest diskutiert werden sollte.

Während andere Ansätze – wie auch unser Assessment bei ayedo – bewusst auf Anonymität setzen und den Zugang so niedrig wie möglich halten, koppelt STACKIT die Bewertung an eine vorherige Identifikation. Wer seinen Status verstehen will, gibt Kontext preis und bewegt sich damit bereits in einem Anbieterrahmen.

Gerade in einem Umfeld, in dem Hashtag#digitaleSouveränität darauf abzielt, Abhängigkeiten zu erkennen und zu reduzieren, entsteht dadurch ein gewisser Widerspruch. Die Analyse selbst ist sinnvoll und notwendig – bekommt aber einen faden Beigeschmack, wenn sie gleichzeitig Teil einer Werbemaßnahme wird. Die Anzahl der Dimensionen ist dabei erst einmal zweitrangig. Entscheidend ist, ob die Bewertung unabhängig entsteht – oder bereits Teil eines Systems ist, das ein Interesse an ihrem Ausgang hat.

Ein Assessment kann Orientierung bieten oder Nachfrage erzeugen. Im Idealfall schafft es Transparenz, ohne Erwartungen zu definieren oder den nächsten Schritt vorzugeben.

Das schmälert nicht den grundsätzlichen Beitrag von Initiativen wie ES³. Im Gegenteil: Sie bringen ein wichtiges Thema in die Breite und erhöhen den Druck, sich mit der eigenen Infrastruktur ernsthaft auseinanderzusetzen.

Gerade deshalb lohnt es sich, bei der Ausgestaltung genau hinzusehen. Denn digitale Souveränität endet nicht bei der Frage, wo Systeme betrieben werden – sondern beginnt bei der Art und Weise, wie wir sie bewerten.

🔗https://www.heise.de/news/Schwarz-Digits-stellt-Standard-fuer-digitale-Souveraenitaet-vor-11264086.html

🎙️Podcast Empfehlung:

„Wie üblich" – wenn Microsoft an EU-Gesetzen mitschreibt

Sascha Pallenberg 潘賞世 beschreibt in seinem aktuellen Podcast, wie US-Techkonzerne offenbar direkten Einfluss auf ein EU-Gesetz zu KI-Rechenzentren genommen haben – bis hin zu Formulierungen, die nahezu unverändert übernommen wurden. Im Zentrum steht eine Entscheidung, die eigentlich für Transparenz sorgen sollte und jetzt das Gegenteil bewirkt.

Die EU wollte offenlegen, wie viel Energie, Wasser und Ressourcen diese Infrastruktur verbraucht. Also genau das, was man wissen muss, wenn man den massiven Ausbau politisch steuern will. Am Ende steht im Gesetz eine Vertraulichkeitsklausel, die genau diese Informationen abschirmt. Und dann kommt dieser Satz aus der Kommission: Man habe Feedback berücksichtigt und den Text verabschiedet – „wie üblich".

Das ist der eigentliche Skandal. Nicht die einzelne Klausel, sondern die Selbstverständlichkeit dahinter. Wenn es „üblich" ist, dass Vorschläge von Microsoft und Co. in Gesetzestexte einfließen, dann hat sich das Machtverhältnis längst unwiederbringlich verschoben.

Denn natürlich geht es hier nicht nur um Transparenzberichte. Es geht um die Grundlage der KI-Infrastruktur in Europa. Rechenzentren sind keine abstrakten Cloud-Konstrukte, sondern industrielle Anlagen mit enormem Ressourcenverbrauch. Wer die Daten dazu unter Verschluss hält, entzieht sie jeder ernsthaften Kontrolle.

Gleichzeitig werden Genehmigungsverfahren beschleunigt und Beteiligung reduziert. Mehr Tempo beim Ausbau, weniger Einblick für die Öffentlichkeit??? Das ist keine widersprüchliche Politik, sondern eine klare Linie.

Europa redet von digitaler Souveränität und investiert Milliarden. Aber Souveränität entscheidet sich nicht bei der Frage, wo Rechenzentren stehen. Sie entscheidet sich bei der Frage, wer die Regeln dafür schreibt. Wenn die Antwort darauf „wie üblich" lautet, dann ist das kein Ausrutscher. Dann ist es ein System.

Pallenbergs Podcast zeigt ziemlich präzise, wie dieses System funktioniert – und warum es gefährlicher ist als jede verpasste Technologieinitiative.

🔗https://www.metacheles.de/europas-ki-rechenzentren-so-diktiert-big-tech-die-gesetze/

📰Short-News:

Künstliche Intelligenz: Merz will EU-Regulierung für Industrie-KI lockern

EU-Regulierung für Industrie-KI soll gelockert werden; Regulierung beeinflusst Infrastruktur-Strategien, potenziell Belastung für Souveränität.

🔗https://www.golem.de/news/kuenstliche-intelligenz-merz-will-eu-regulierung-fuer-industrie-ki-lockern-2604-207744.html

Vercel Breach Tied to Context AI Hack Exposes Limited Customer Credentials

Sicherheitsvorfall bei Cloud-Plattform zeigt Abhängigkeitenrisiko: Drittanbietertools ermöglichen Zugriff auf Infrastruktur; stärkt Bedarf an souveränen, offenen Infrastrukturen und redundanten Plattformen.

🔗 https://thehackernews.com/2026/04/vercel-breach-tied-to-context-ai-hack.html

Jugendschutz und Sicherheit: EU-App für Altersnachweis nach zwei Minuten gehackt

Sicherheitslücke in EU-Altersnachweis-App zeigt Governance- und Sicherheitsrisiken europäischer Digitalinfrastruktur; Bedarf an robusten Standards, Souveränität im Rechtsraum.

🔗 https://www.golem.de/news/jugendschutz-und-sicherheit-eu-app-fuer-altersnachweis-nach-zwei-minuten-gehackt-2604-207736.html

✍️Blogpost:

Digitale Souveränität ist ein schönes Buzzword – bis man sie messen soll.

Genau daran scheitert es in der Praxis: Jeder redet über Abhängigkeiten, kaum jemand kann sie konkret benennen. (Außer vielleicht in Werbemaßnahmen ;)

Der ayedo Sovereignty Score versucht genau das zu ändern – mit einem kompakten Assessment, das sichtbar macht, wo man wirklich steht (und wo es unangenehm wird).

Warum das mehr ist als ein weiterer Reifegrad-Score – und wieso die unbequemen Antworten die eigentlich wertvollen sind, erklärt der Artikel.

💬 LinkedIn-Beitrag der Woche

Felix Becker bringt ziemlich direkt auf den Punkt, was viele gerade erst anfangen zu merken: Die Hyperscaler sind nicht nur groß geworden – sie bestimmen inzwischen die Spielregeln.

Sein Argument ist simpel: Wir haben über Jahre Infrastruktur ausgelagert, Know-how abgebaut und uns von „Cloud ist billiger" überzeugen lassen. Jetzt kaufen genau diese Anbieter den Hardware-Markt leer – und verschärfen die Abhängigkeit weiter.

Der unangenehme Teil: Das ist kein temporäres Marktproblem, sondern ein struktureller Lock-in auf Infrastruktur-Ebene. Wenn selbst Hardware zur knappen Ressource wird, ist „wir gehen zurück On-Prem" plötzlich keine echte Option mehr.

Und genau hier wird’s kritisch: Wer heute keine eigene Betriebskompetenz mehr hat, hat morgen auch keine Verhandlungsmacht mehr.

Meine Ergänzung dazu: Es geht nicht nur um Preise oder Vendor Lock-in – sondern um Lieferfähigkeit. Wenn Hyperscaler zuerst beliefert werden, wird Infrastruktur für alle anderen zum nachgelagerten Problem.

https://www.linkedin.com/feed/update/urn:li:activity:7445181947212922881/?utm_source=share&utm_medium=member_desktop&rcm=ACoAADCSWyQBU4m7hUbXDJqk27ftrkLIYOZzONU

😄Meme der Woche: