Weekly Backlog KW 29/2026
🧠 Editorial Diese Woche hatte alles: offene Datenbanken, offene GitHub-Repositories, offene Fragen …

Diese Woche zeigt sich deutlicher denn je, dass digitale Souveränität keine abstrakte Debatte mehr ist. Während ein Urteil des US Supreme Court erneut die Stabilität transatlantischer Datenabkommen infrage stellt und die Abhängigkeit europäischer Unternehmen von US-Clouds sichtbar macht, entstehen gleichzeitig konkrete Alternativen.
Mecklenburg-Vorpommern setzt auf Nextcloud und europäische KI, Ubuntu stärkt ARM64 als gleichberechtigte Plattform und deutsche Forschungseinrichtungen entwickeln einen offenen RISC-V-Sicherheitschip. Die Richtung ist klar: Europa beginnt, technologische Abhängigkeiten nicht mehr nur zu diskutieren, sondern Schritt für Schritt zu reduzieren.
Daneben werfen wir einen Blick auf eine kritische Sicherheitslücke in Argo CD, eine seit 16 Jahren bestehende Schwachstelle in Linux-KVM sowie weitere Entwicklungen aus der Welt von Open Source, Cloud und Kubernetes.
Viel Spaß beim Lesen!
Wie heise berichtet, verabschiedet sich Mecklenburg-Vorpommern schrittweise von Microsoft-Diensten im Bereich Zusammenarbeit und Cloud. Die bisher genutzte SharePoint-Umgebung wird durch die Open-Source-Plattform Nextcloud ersetzt, die auf der eigenen Infrastruktur des Landes betrieben wird. Der Umstieg der ersten 5.000 Beschäftigten ist bereits abgeschlossen, langfristig sollen mehr als 50.000 Mitarbeitende damit arbeiten.
Spannend ist aber nicht nur der Wechsel zu Nextcloud. Auch beim Thema KI will das Land bewusst europäische Lösungen einsetzen. Statt auf die großen US-Hyperscaler setzt Mecklenburg-Vorpommern auf Sprachmodelle wie Mistral aus Frankreich oder Tilde aus Lettland.
Für mich sind das hervorragende Nachrichten.
Immer mehr öffentliche Verwaltungen erkennen, dass digitale Infrastruktur kein reines IT-Thema ist. Wer zentrale Dienste für Kommunikation, Zusammenarbeit oder künftig auch KI ausschließlich von außereuropäischen Anbietern bezieht, macht sich abhängig – technisch, wirtschaftlich und zunehmend auch politisch.
Digitale Souveränität bedeutet deshalb nicht, alles morgen auszutauschen. Sie bedeutet, dort eigene Kontrolle zurückzugewinnen, wo es möglich und sinnvoll ist. Genau diesen Weg gehen Schleswig-Holstein und jetzt auch Mecklenburg-Vorpommern. Ich hoffe sehr, dass viele weitere Bundesländer diesem Beispiel folgen.
Ein Detail aus dem heise-Artikel hat mich dennoch zum Schmunzeln gebracht: Der vollständige Abschied von Microsoft ist noch nicht geplant. Windows bleibt auf den Arbeitsplatzrechnern vorerst bestehen, ein Umstieg auf Linux habe derzeit keine Priorität.
Sehr geehrter Herr Anschütz: Was nicht ist, kann ja noch werden. 😉
Der wichtigste Schritt ist ohnehin bereits gemacht: Der Wille, digitale Abhängigkeiten systematisch zu reduzieren, ist da. Alles Weitere ist dann keine Grundsatzfrage mehr, sondern eine Frage der Priorisierung.
🔗https://www.heise.de/news/Mecklenburg-Vorpommern-verabschiedet-sich-von-Microsoft-11352440.html

Seit einigen Tagen erscheint bei mir nach jedem Neustart von LinkedIn erneut die Cookie-Abfrage.
Ich habe meine Entscheidung längst getroffen. Trotzdem soll ich sie immer wieder bestätigen.
Ausgerechnet heute lese ich bei netzpolitik.org, dass Deutschland gemeinsam mit Google verhindern will, Cookie-Banner durch eine zentrale Browser-Einstellung zu ersetzen. Statt einer einmaligen Entscheidung sollen Nutzer weiterhin auf jeder einzelnen Website dieselbe Auswahl treffen.
Dabei entsteht schnell der Eindruck, Cookie-Banner seien ein unvermeidlicher Bestandteil des Internets.
Das sind sie nicht.
Auf unserer Website bei ayedo gibt es bewusst keinen Cookie-Banner.
Nicht, weil wir Datenschutz anders auslegen, sondern weil wir auf zustimmungspflichtiges Tracking verzichten. Für die Auswertung unserer Website genügen Server-Logs und datenschutzfreundliche Werkzeuge. Dafür müssen keine personenbezogenen Daten an Dritte übertragen werden.
Für mich zeigt das vor allem eines:
Die eigentliche Diskussion sollte sich nicht darum drehen, wie Cookie-Banner aussehen oder wo sie erscheinen.
Die eigentliche Frage lautet, warum so viele Websites überhaupt Tracking einsetzen, das diese Banner erst erforderlich macht.
🔗https://netzpolitik.org/2026/online-tracking-deutschland-und-google-wollen-cookie-banner-retten/
Während wir darüber diskutieren, ob sicherheitskritische Systeme eines US-Unternehmens unsere digitale Souveränität gefährden, liefert ein aktuelles Urteil des US Supreme Court den nächsten Realitätscheck.
Der Supreme Court hat entschieden, dass die Federal Trade Commission (FTC) nicht mehr unabhängig sein muss, sondern der Kontrolle des US-Präsidenten unterliegt. Genau diese Unabhängigkeit war jedoch eine zentrale Voraussetzung des EU-US Data Privacy Frameworks, auf das sich tausende Unternehmen beim Datentransfer in die USA stützen.
Die EU-Kommission verweist in ihrem Angemessenheitsbeschluss hunderte Male auf die FTC als unabhängige Kontrollinstanz. Fällt diese Annahme weg, gerät das gesamte Fundament des transatlantischen Datentransfers ins Wanken. Das betrifft nicht nur Microsoft 365, Google oder AWS.
Es zeigt ein grundsätzliches Problem: Europa baut seine digitale Infrastruktur auf rechtlichen Konstruktionen auf, die von politischen Entscheidungen in Washington abhängen. Ein Urteil des US Supreme Court genügt, um jahrelange europäische Datenschutzarchitektur infrage zu stellen.
Digitale Souveränität bedeutet nicht, dass Daten zufällig in Frankfurt liegen. Digitale Souveränität bedeutet, dass Europa seine kritische digitale Infrastruktur auf Technologien und Rechtsrahmen stützt, die es selbst gestalten und dauerhaft kontrollieren kann.
Das ist derselbe Punkt, den ich vergangene Woche am Beispiel von Palantir beschrieben habe. Ob proprietäre Analyseplattformen für Polizeibehörden oder transatlantische Cloud-Dienste: Solange die technische und rechtliche Kontrolle außerhalb Europas liegt, bleibt europäische Souveränität vom Wohlwollen anderer abhängig.
Das Urteil des US Supreme Court könnte weitreichende Folgen für den transatlantischen Datenverkehr haben. Mit der Entscheidung im Fall Trump v. Slaughter darf der US-Präsident künftig mehr Kontrolle über Bundesbehörden wie die FTC ausüben.
Konkret bedeutet das: Schutzmechanismen gegen politische Einflussnahme und die willkürliche Abberufung der Behördenleitung wurden aufgehoben. Damit gilt die FTC rechtlich nicht mehr als unabhängig, sondern als stärker dem Weißen Haus unterstellt.
Genau diese Unabhängigkeit war eine zentrale Voraussetzung dafür, dass die Europäische Kommission den Datentransfer zwischen der EU und den USA überhaupt als datenschutzrechtlich zulässig eingestuft hat.
Was wie ein innenpolitisches US-Urteil wirkt, könnte deshalb erhebliche Folgen für Unternehmen in Europa haben. Sollte das EU-US Data Privacy Framework scheitern, müssten viele Organisationen ihre Nutzung amerikanischer Cloud- und Softwaredienste erneut auf den Prüfstand stellen – wie schon nach dem Ende von Safe Harbor und Privacy Shield.
Die Europäische Kommission verweist im Angemessenheitsbeschluss 259 Mal auf die unabhängige Aufsicht durch die FTC. Fällt diese Voraussetzung weg, gerät das gesamte Konstrukt ins Wanken.
Max Schrems und noyb haben bereits reagiert und fordern die Aufhebung des Data Privacy Framework. Wer die vergangenen Jahre verfolgt hat, erkennt das Muster: Safe Harbor. Privacy Shield. Und nun möglicherweise Schrems III.
Noch gilt das Data Privacy Framework. Ein unmittelbarer Handlungszwang besteht also nicht. Die rechtliche Unsicherheit ist jedoch zurück – und dürfte Unternehmen erneut über Jahre begleiten.
Wer seine gesamte Digitalstrategie auf amerikanische Hyperscaler aufgebaut hat, trägt erneut ein politisches und juristisches Risiko, das außerhalb der eigenen Kontrolle liegt.
Genau deshalb muss sich die Bewertung europäischer Cloud-Anbieter grundlegend ändern.
Was gestern noch als kleinere oder teurere Alternative galt, entwickelt sich zum strategischen Vorteil. Digitale Souveränität ist keine politische Forderung mehr, sondern professionelles Risikomanagement.
Davon könnten viele europäische Cloud-Anbieter profitieren. Unternehmen, die ihre Infrastruktur konsequent innerhalb Europas betreiben und nicht von den rechtlichen Unsicherheiten transatlantischer Datentransfers abhängig sind, gewinnen an strategischer Bedeutung. Künftig dürfte nicht nur die Leistungsfähigkeit einer Cloud entscheidend sein, sondern auch ihre langfristige Rechtssicherheit.

Sicherheitsforscher von Synacktiv haben eine schwerwiegende Schwachstelle in Argo CD entdeckt, die Angreifern die vollständige Übernahme von Kubernetes-Clustern ermöglichen kann. Besonders brisant: Für die Lücke gibt es bislang weder einen Patch noch eine CVE-Kennung.
Betroffen ist der Repo-Server von Argo CD. Ist dessen interner Netzwerkport erreichbar, können Angreifer ohne Authentifizierung eigenen Code ausführen. Über diesen Weg lassen sich anschließend Deployment-Daten manipulieren und Schadcode bei der nächsten automatischen Synchronisierung im Cluster ausrollen.
Da viele Argo-CD-Installationen standardmäßig ohne aktivierte Kubernetes-Netzwerkrichtlinien betrieben werden, ist das Risiko insbesondere in kompromittierten Clustern hoch. Als wirksame Schutzmaßnahme empfehlen die Forscher, den Zugriff auf Repo-Server und Redis konsequent per Network Policies einzuschränken.
Bis ein offizieller Patch veröffentlicht wird, bleibt eine saubere Netzwerksegmentierung die wichtigste Verteidigung.
🔗https://thehackernews.com/2026/07/unpatched-argo-cd-repo-server-flaw.html?m=1
Fraunhofer-Institute entwickeln ein Secure Element auf Basis von OpenTitan, in Dresden gefertigt, stärkt digitale Souveränität durch Open-Source-Hardware und europäische Fertigung.
Studie zeigt tiefe Cloud-Abhängigkeit deutscher Unternehmen; betont Notwendigkeit resilienter Infrastruktur, europäische Cloud-Alternativen, regulatorische Rahmen für Souveränität.
Historischer Blick auf US- Rechtsrahmen und Machtstrukturen im Tech-Ökosystem; verdeutlicht Regulierung, Haftung und wirtschaftliche Abhängigkeiten, Einfluss auf europäische Souveränität und digitale Infrastruktur.
Sicherheitsforscher Hyunwoo Kim (V4bel) hat mit CVE-2026-53359 (“Januscape”) eine schwerwiegende Schwachstelle in der Kernel-based Virtual Machine (KVM) des Linux-Kernels aufgedeckt. Die seit 2010 bestehende Use-after-free-Lücke ermöglicht es Angreifern, aus einer virtuellen Maschine auszubrechen und Root-Zugriff auf das Hostsystem zu erlangen.
Besonders betroffen sind Intel- und AMD-basierte Systeme. Gefährdet sind unter anderem Cloud-Umgebungen, in denen mehrere Kunden virtuelle Maschinen auf derselben Hardware betreiben. Ein erfolgreicher Angriff könnte nicht nur den Host kompromittieren, sondern auch alle darauf laufenden VMs.
Ein Patch wurde bereits am 16. Juni 2026 in den Linux-Kernel aufgenommen. Für viele Linux-Distributionen wie Debian, Ubuntu, SUSE und Red Hat steht das Sicherheitsupdate jedoch noch nicht flächendeckend zur Verfügung. Unternehmen sollten daher zeitnah prüfen, ob ihre KVM-basierten Systeme betroffen sind und verfügbare Updates schnellstmöglich einspielen.

Über digitale Souveränität schreibe ich hier jede Woche. Doch zwischen dem Bewusstsein für das Thema und der eigenen Realität liegen oft Welten.
Genau deshalb haben wir bei ayedo den Sovereignty Score entwickelt. Der kostenlose Online-Check hilft dabei, die eigene IT-Landschaft einzuordnen und zeigt auf, wo bereits
🧠 Editorial Diese Woche hatte alles: offene Datenbanken, offene GitHub-Repositories, offene Fragen …
🧠Editorial: Diese Woche zeigt sich deutlicher denn je, dass digitale Souveränität keine abstrakte …
🧠 Editorial Diese Woche geht es um weit mehr als nur Cloud und KI: Die EU nimmt AWS und Azure ins …