🧠 Editorial

Ich habe zunehmend das Gefühl, dass Europa digitale Souveränität mit Infrastruktur-Folklore verwechselt.

US-Clouds werden plötzlich „souverän", sobald irgendwo ein deutsches Rechenzentrum steht und ein Telekom-Logo daneben klebt — während Technologie, Plattformkontrolle und Abhängigkeiten exakt dieselben bleiben.

Dass das Google-/Telekom-Modell offenbar keinen Kunden gefunden hat, überrascht mich deshalb überhaupt nicht.

Denn die entscheidende Frage ist nicht, wo Daten liegen. Die entscheidende Frage ist, wer die Plattform kontrolliert, auf der Prozesse, Automatisierung und Geschäftslogik laufen.

Gleichzeitig regulieren wir europäische Anbieter inzwischen so hart, dass viele an Compliance-Kosten scheitern, bevor sie überhaupt skalieren können. Das Ergebnis ist paradox: Europa fordert digitale Unabhängigkeit — und stärkt dabei indirekt genau die Konzerne, von denen man unabhängiger werden wollte.

Parallel dazu hängt moderne Infrastruktur inzwischen an Open-Source-Projekten, GitHub-Tokens und Softwarelieferketten. Der Angriff auf Grafana Labs zeigt ziemlich deutlich, wo die eigentlichen Risiken heute liegen.

2026 fühlt sich manchmal an wie ein Distributed-System-Ausfall mit regulatorischem Overhead.

📰Tech-News:

Cloud-Kooperation von Google und Telekom vor Umbau

Laut einem Bericht des Handelsblatt steht die Kooperation zwischen Google Cloud und T-Systems International für sogenannte „souveräne Cloudlösungen" offenbar vor einem Umbau. Besonders bemerkenswert: Das gemeinsame Air-Gapped-Angebot, das seit 2021 als hochsichere souveräne Infrastruktur vermarktet wurde, soll laut Insidern bis heute keinen einzigen Kunden gefunden haben.

Und genau das überrascht mich überhaupt nicht.

Ich halte es nicht für einen Verlust für die digitale Souveränität Europas, wenn diese Kooperation scheitert oder neu aufgestellt werden muss. Denn dieses Modell war von Anfang an ein Paradebeispiel für #SovereignWashing.

Eine US-Cloud wird nicht souverän, nur weil man ein deutsches Rechenzentrum danebenstellt und ein bisschen Marketing macht. Infrastruktur, Plattformlogik, Innovationskontrolle und technologische Macht bleiben weiterhin bei einem US-Konzern. Genau diese Abhängigkeit wird aber gleichzeitig als europäische Lösung verkauft.

Das ist keine digitale Souveränität. Das ist ein politisch hübsch verpacktes Abhängigkeitsmodell.

Seit Jahren versucht Europa, technologische Kontrolle zu simulieren, ohne die strukturelle Dominanz amerikanischer Plattformen ernsthaft infrage zu stellen. Statt eigene Ökosysteme konsequent aufzubauen, werden Konstrukte geschaffen, die vor allem eines leisten sollen: bestehende Abhängigkeiten regulatorisch akzeptabler aussehen zu lassen.

Besonders problematisch wird das, wenn solche Modelle als strategische Antwort auf europäische Sicherheits- und Datenschutzinteressen präsentiert werden. Denn die entscheidende Frage bleibt unverändert: Wer kontrolliert die Technologie wirklich?

Und genau deshalb gewinnen echte souveräne Alternativen zunehmend an Relevanz. Open-Source-basierte Lösungen und europäische Anbieter werden ernster genommen, weil Unternehmen und Behörden langsam verstehen, dass man digitale Abhängigkeit nicht mit neuen Marketingbegriffen beseitigt.

Europa braucht nach wie vor keine umetikettierten US-Clouds mit Souveränitäts-Sticker. Europa braucht technologische Eigenständigkeit, offene Standards und Anbieter, die nicht nur geografisch in Europa stehen, sondern strukturell unabhängig sind.

🔗https://regionalheute.de/bericht-cloud-kooperation-von-google-und-telekom-vor-umbau-1778674682/

Reicht Cloud „Made in Germany" nicht mehr aus?

Wer heute Cloud-Dienstleister für das Gesundheitswesen, KRITIS-Betreiber oder künftig NIS2-regulierte Unternehmen sein will, muss strenge Sicherheitsstandards erfüllen. Der wichtigste davon: der BSI C5-Standard. Für Behörden und viele Gesundheitsdienstleister ist er längst Pflicht. Für andere Branchen entwickelt er sich de facto zum Zugangsticket.

Genau deshalb wird der aktuelle Fall rund um den Berliner Anbieter Luckycloud brisant.

Denn obwohl dem Unternehmen laut Recherche weder ein C5-Testat noch vergleichbare relevante Zertifizierungen vorliegen, wirbt der Anbieter offensiv um Kunden aus hochregulierten Bereichen wie dem Gesundheitswesen. Das ist nicht nur ein Marketingproblem. Es zeigt ein strukturelles Dilemma der europäischen Cloudpolitik.

Einerseits fordert Deutschland maximale Compliance, maximale Sicherheit und maximale Nachweisbarkeit. Andererseits sind die Hürden inzwischen so hoch und so teuer geworden, dass vor allem große internationale Konzerne profitieren. Denn C5-Zertifizierungen werden ausschließlich durch Wirtschaftsprüfer testiert. Wettbewerb unter den Prüfstellen existiert praktisch nicht. Die Folge sind hohe Kosten und regelmäßige Folgezertifizierungen, die besonders kleinere europäische Anbieter massiv belasten.

Das eigentliche Problem beginnt dort, wo Anbieter versuchen, diese regulatorische Realität kommunikativ zu umgehen.

Luckycloud gilt technisch in vielen Bereichen als solide. Der Anbieter setzt stark auf Open Source und wurde in Fachmedien häufig positiv bewertet. Doch Sicherheitsmarketing ersetzt keine formale Nachweisbarkeit. Gerade in kritischen Infrastrukturen entscheidet nicht das Branding über Vertrauen, sondern überprüfbare Compliance.

Hinzu kommt: Bereits 2018 hatte Luckycloud nach eigenen Angaben mit einem schwerwiegenden Vorfall zu kämpfen. Defekte Hardware und ein fehlerhaftes Update führten damals nicht nur zu längeren Ausfällen, sondern auch zu unwiederbringlichen Datenverlusten bei Kunden. Parallel dazu wurden Vorwürfe laut, das Unternehmen gehe juristisch gegen negative Bewertungen vor. Auch Berichte über problematische Vertragspraktiken stehen im Raum.

Der Fall zeigt ein Grundproblem europäischer Digitalisierung: Zwischen digitaler Souveränität und regulatorischer Realität klafft zunehmend eine Lücke.

Denn Europa braucht dringend eigene Cloudanbieter. Aber Vertrauen in kritischen Bereichen entsteht nicht durch nationale Herkunft oder Open-Source-Rhetorik allein. Entscheidend sind transparente Sicherheitsnachweise, belastbare Prozesse und überprüfbare Standards.

Wenn europäische Anbieter glaubwürdig gegen AWS, Microsoft oder Google antreten wollen, müssen sie genau dort liefern.

🔗https://www.golem.de/news/fehlende-sicherheitstestate-cloudanbieter-im-zwielicht-2605-208687.html

📌Short-News:

Statt Microsoft — Diese vier Office-Pakete solltet ihr kennen

Vier datenschutzfreundliche Office-Alternativen zeigen praktikable Wege, Vendor-Lock-in zu umgehen und Souveränität im Arbeitsalltag zu erhöhen.

🔗https://www.heise.de/news/Video-Statt-Microsoft-Diese-vier-Office-Pakete-solltet-ihr-kennen-11269405.html

Linus Torvalds warnt vor KI-Chaos bei Linux

Linus Torvalds warnt vor KI-generierten Bug-Reports, die Linux-Kernel-Entwicklung behindern. Die Meldung betont Risiken für offene Infrastruktur, Koordination großer Open-Source-Communities und Systemabhängigkeiten.

🔗 https://www.golem.de/news/nahezu-unverwaltbar-linus-torvalds-warnt-vor-ki-chaos-bei-linux-2605-208750.html

Tschüss Google Maps: Navigations-Apps mit OpenStreetMap im Vergleich

Vergleich OpenStreetMap-Alternativen zu Google Maps zeigt Open-Data-Ansätze als souveränes Navigations-Ökosystem; betont Open Standards und europäische Datenhoheit.

🔗 https://www.heise.de/ratgeber/Tschuess-Google-Maps-Navigations-Apps-mit-OpenStreetMap-im-Vergleich-11268273.html

Podcast-Empfehlung:

Digitale Souveränität - Im Ernstfall handlungsfähig bleiben

Ich habe mir am Wochenende den INNOQ Podcast mit Anja Kammer und Gil Breth zum Thema digitale Souveränität angehört — und selten wurde das Thema so angenehm differenziert eingeordnet.

Besonders spannend fand ich, dass dort nicht die übliche Diskussion über „europäische Clouds" oder Datenschutz-Schlagworte geführt wird, sondern sehr klar herausgearbeitet wird, worum es eigentlich geht: technologische Handlungsfähigkeit.

Also die Frage, wie abhängig Unternehmen heute tatsächlich von einzelnen Plattformen, proprietären Services und geopolitischen Rahmenbedingungen geworden sind — und was passiert, wenn genau diese Abhängigkeiten plötzlich zum Risiko werden.

Gerade die Beispiele rund um Vendor Lock-in, geopolitische Einflussnahme und fehlende Wechselfähigkeit fand ich bemerkenswert präzise beschrieben. Vor allem deshalb, weil der Podcast nicht in Alarmismus abrutscht, sondern die Diskussion sehr strategisch führt.

Stark fand ich auch den Blick auf Open Source, offene Standards und Community-getriebene Technologien als mögliche Grundlage echter digitaler Souveränität — nicht ideologisch, sondern aus einer sehr pragmatischen Perspektive heraus.

Man merkt dem Gespräch an, dass dort nicht einfach ein Buzzword diskutiert wird, sondern dass beide sehr tief in der Praxis solcher Transformations- und Infrastrukturthemen unterwegs sind.

Absolute Hörempfehlung für CIOs, CTOs, Architekten und Entscheider, die digitale Souveränität nicht nur als Compliance-Thema betrachten wollen.

🔗 https://www.innoq.com/de/podcast/179-digitale-souveraenitaet/

🚨Alert:

Hacker kapern Github von Grafana Labs

Grafana Labs bestätigt einen Sicherheitsvorfall: Über ein kompromittiertes Token konnten Angreifer auf die Github-Umgebung des Unternehmens zugreifen und offenbar die gesamte Codebasis herunterladen. Kundendaten sollen nach aktuellem Stand nicht betroffen sein. Die Angreifer versuchten laut Grafana Labs jedoch, das Unternehmen mit der Veröffentlichung des erbeuteten Quellcodes zu erpressen.

Brisant ist der Fall vor allem wegen der Rolle von Grafana in modernen IT-Infrastrukturen. Die Open-Source-Plattform gehört in vielen Unternehmen weltweit zur Standardausstattung für Monitoring und Observability. Ein erfolgreicher Angriff auf die Entwicklungsumgebung eines solchen Projekts ist deshalb mehr als ein isolierter Sicherheitsvorfall. Er zeigt, wie kritisch die Absicherung von Build- und Entwicklerumgebungen inzwischen geworden ist.

Grafana Labs hat die kompromittierten Zugangsdaten gesperrt und Untersuchungen eingeleitet. Hinweise auf die Ursache des Token-Leaks liegen dem Unternehmen offenbar bereits vor. Wer hinter dem Angriff steckt, ist offiziell nicht bestätigt. In einschlägigen Kreisen wird jedoch eine Gruppe namens „Coinbase Cartel" genannt.

Bemerkenswert ist auch die Reaktion des Unternehmens: Grafana Labs lehnt eine Lösegeldzahlung ausdrücklich ab. Eine Position, die zunehmend relevant wird. Denn Angriffe auf Softwarelieferketten und Entwicklerplattformen entwickeln sich längst zu einem eigenen Geschäftsmodell organisierter Cyberkriminalität.

🔗https://www.golem.de/news/quellcode-erbeutet-hacker-kapern-github-umgebung-von-grafana-2605-208761.html

🧨Unpopular Opinion:

Der Begriff „digitale Souveränität" ist in Europa inzwischen derart verwässert worden, dass er häufig nur noch als politisches Schlagwort dient, hinter dem sich dieselben technologischen Abhängigkeiten verbergen, die man angeblich überwinden will.

Denn wer digitale Souveränität ernsthaft auf die Frage reduziert, ob Daten in Frankfurt oder in Virginia gespeichert werden, hat das eigentliche Machtproblem digitaler Infrastrukturen nicht verstanden.

Abhängigkeit entsteht nicht primär dort, wo Daten liegen. Abhängigkeit entsteht dort, wo Prozesse, Geschäftslogik und operative Abläufe technisch an proprietäre Plattformen gebunden werden, deren Regeln, Schnittstellen und Preismodelle einseitig durch den Anbieter definiert werden.

Genau deshalb greift die europäische Debatte systematisch zu kurz.

Es reicht nicht, Daten exportieren zu können, wenn gleichzeitig die gesamte Verarbeitungslogik eines Unternehmens untrennbar mit einem einzelnen Anbieter verwoben bleibt. Denn was heute als „Cloudstrategie" verkauft wird, ist in vielen Fällen nichts anderes als die schrittweise Externalisierung zentraler Unternehmensprozesse in proprietäre Ökosysteme, deren wirtschaftliche und technologische Kontrolle vollständig außerhalb der eigenen Organisation liegt.

Die eigentliche Abhängigkeit beginnt dort, wo Unternehmen nicht mehr frei migrieren können, ohne geschäftskritische Prozesse neu entwickeln, Integrationen neu aufbauen, Automatisierungen neu modellieren und operative Abläufe fundamental umstrukturieren zu müssen.

Und genau an diesem Punkt wird aus technischer Plattformbindung ein strategisches Machtgefälle.

Viele Unternehmen reden deshalb über Datensouveränität, während sie gleichzeitig ihre komplette Prozessarchitektur in geschlossene SaaS-Ökosysteme verlagern, deren Lock-in-Effekte nicht zufällig entstehen, sondern zentraler Bestandteil der Geschäftsmodelle sind. Denn moderne Plattformdominanz basiert längst nicht mehr auf proprietären Dateiformaten allein, sondern auf tief integrierten Prozessabhängigkeiten, die einen Anbieterwechsel wirtschaftlich irrational machen sollen.

Wer heute seine Geschäftsprozesse nicht portabel halten kann, besitzt faktisch keine digitale Souveränität — unabhängig davon, welche Compliance-Zertifikate im Vertrieb präsentiert werden.

Hinzu kommt ein weiterer Widerspruch, über den in Europa erstaunlich selten gesprochen wird: Solange europäische Cloudanbieter ihre strategischen Kernleistungen auf Partnerschaften, proprietäre Integrationen oder technologische Abhängigkeiten von US-Konzernen aufbauen, bleibt der Anspruch digitaler Souveränität weitgehend symbolisch.

Denn viele sogenannte europäische Alternativen bestehen in der Praxis aus amerikanischen Kontrollschichten mit europäischem Branding. Europäische Rechenzentren ändern nichts daran, wenn zentrale Plattformdienste, Identitätsmodelle, KI-Services, Orchestrierungsebenen oder Betriebslogiken weiterhin durch US-Unternehmen kontrolliert werden.

Digitale Souveränität entsteht nicht durch geografische Nähe zum Rechenzentrum, sondern durch Kontrolle über die technologische Wertschöpfungskette.

Genau deshalb führt langfristig kein Weg an einem konsequenten Cloud-native-Ansatz vorbei, der auf offenen Standards, containerisierten Architekturen, interoperablen Plattformmodellen und portablen Betriebsprozessen basiert. Nicht weil „Cloud Native" ein moderner Architekturtrend wäre, sondern weil nur solche Architekturen die notwendige Austauschbarkeit schaffen, um technologische Machtkonzentration überhaupt begrenzen zu können.

Wer Anwendungen, Prozesse und Infrastrukturen sauber abstrahiert, standardisiert und portabel gestaltet, reduziert Abhängigkeiten. Wer dagegen proprietäre Plattformservices tief in seine operative Kernlogik integriert, verlagert die eigene Souveränität schrittweise an externe Anbieter.

Und genau deshalb sind offene Standards weit mehr als technische Detailfragen für Architekten oder Entwickler. Sie sind wirtschaftspolitische Infrastruktur. Denn nur offene Standards schaffen die Voraussetzung dafür, dass Daten, Prozesse, Schnittstellen und Automatisierungen systemübergreifend migrierbar bleiben, ohne dass Unternehmen ihre operative Handlungsfähigkeit verlieren.

Und genau daran entscheidet sich am Ende auch Verhandlungsmacht.

Wer jederzeit den Anbieter wechseln kann, kontrolliert seine Kosten. Wer seine Prozesse unabhängig betreiben kann, bleibt strategisch handlungsfähig. Wer auf offene Standards setzt, reduziert strukturelle Abhängigkeiten und stärkt Wettbewerb, Innovationsfähigkeit und langfristige Resilienz.

Digitale Souveränität bedeutet deshalb nicht, europäische Logos auf dieselben Lock-in-Modelle zu kleben, die man bei amerikanischen Hyperscalern kritisiert. Digitale Souveränität bedeutet, technische und wirtschaftliche Wechselmöglichkeiten real aufrechtzuerhalten.

Alles andere ist kein Souveränitätsmodell, sondern lediglich eine geografisch verlagerte Form derselben Abhängigkeit.

😄Meme der Woche: