Weekly Backlog KW 49/2025

Editorial

Europa spricht seit über zehn Jahren über digitale Souveränität. Man könnte also annehmen, dass die Debatte heute auf einer gewissen Flughöhe geführt wird: nüchtern, realistisch, strategisch. Doch statt einer Vision erleben wir eher einen schlechten Reboot alter Diskussionen.

Diese Woche zeigt exemplarisch, wo wir stehen:

• ZenDiS wiederholt geduldig, was Souveränität eigentlich bedeutet.
• Die Schweiz zieht sehr klare Konsequenzen.
• GitLab erinnert Admins daran, dass Security-Teams nicht schlafen dürfen.
• Und im EU-Parlament diskutieren manche lieber über Tastaturen als über Infrastruktur.

Europa ist nicht zu spät dran – aber es läuft langsam die Zeit.

Die Tech-News der Woche

ZenDiS-Whitepaper: „Souverän ist hier gar nichts."

Zentrum Digitale Souveränität (ZenDiS) liefert ein Whitepaper, das im Grunde ein Pflichtdokument für jede CIO-, CISO- und Behördenrunde sein sollte. Es definiert — erneut — die essenziellen Kriterien für digitale Souveränität: Kontrolle, Transparenz, Interoperabilität, Reversibilität, Unabhängigkeit von außereuropäischen Rechtsregimen. Und es benennt klar, was viele trotz jahrelanger Diskussion immer noch nicht akzeptieren wollen: Nichts, was US-Hyperscaler aktuell als „Sovereign Cloud" verkaufen, erfüllt diese Kriterien.

Die Marketingstrategie ist durchschaubar: Neue Regionen mit deutschem Branding, Betriebsmodelle mit Dienstleistern vor Ort, hübsche proprietäre Datenraum-Labels – aber die strukturelle Macht bleibt unangetastet. Solange Code, Updates, Identitätsarchitektur und Rechtsrahmen in Kalifornien liegen, bleibt Europa abhängig. Das Whitepaper zeigt unmissverständlich: Diese Angebote adressieren politische Erwartungen, aber keine technischen oder rechtlichen Anforderungen.

CIOs können sich im Jahr 2025 nicht länger hinter „Komplexität" verstecken. Die Fakten liegen vor. Wer trotzdem proprietäre Blackboxen einkauft, verschiebt Risiken in die Zukunft - und zwar die öffentliche.

Link: https://www.zendis.de/media/pages/newsroom/publikationen/souveraenitaets-washing/751a2c5eb1-1755243871/zendis-whitepaper-souveraenitaets-washing.pdf

Schweiz gegen US-Clouds: Ein europäischer Reality-Check

Privatim, die Schweizer Datenschutzkonferenz, sorgt für einen Knall: Ein faktisches Verbot von US-Hyperscalern für Behörden, sobald besonders schützenswerte oder geheimhaltungspflichtige Daten verarbeitet werden. Das ist keine Symbolpolitik, sondern eine nüchterne sicherheitspolitische Analyse.

Die Gründe sind eindeutig:

• Keine echte Ende-zu-Ende-Verschlüsselung unter vollständiger Schlüsselhoheit.
• Fehlende Transparenz über technische Maßnahmen und Subunternehmerketten.
• Vertragsänderungen ohne Kontrolle.
• Und vor allem: der US CLOUD Act - ein Gesetz, das US-Behörden Zugriff auf Daten ermöglicht, egal wo sie liegen.

Privatim formuliert damit eine Wahrheit, die Europa seit Jahren umkreist: Man kann nicht gleichzeitig „souverän" sein und zentralste digitale Infrastrukturen von Anbietern benutzen, die fremden Staaten rechtlich verpflichtet sind.

Das ist kein Datenschutzdetail. Das ist Geopolitik. Und die Schweiz macht etwas, wozu die EU sich bisher nicht durchringen konnte: eine politische Entscheidung auf Basis technischer Logik.

Link: https://www.heise.de/news/Schweiz-Datenschuetzer-verhaengen-breites-Cloud-Verbot-fuer-Behoerden-11093438.html

GitLab patcht kritische Lücken – On-Prem-Admins, anschnallen

GitLab liefert drei Sicherheits-Patch-Releases (18.6.1, 18.5.3, 18.4.5), die mehr sind als Routine-Wartung. Sie enthalten Fixes für Schwachstellen, die für On-Premise-Installationen massiv gefährlich sind.

Die wichtigsten:

• CVE-2024-9183 (High): Race Condition im CI/CD-Cache → mögliche Abgreifen privilegierter Credentials. Klassischer Pipeline-Privilege-Escalation-Fall.
• CVE-2025-12571 (High): ungeauthentifizierbarer Denial-of-Service via manipulierte JSON-Payloads → Build- und Deployment-Blockade.

Weitere Fixes betreffen Authentifizierungs-Umgehungen, Token-Leakage im Terraform-Registry-Bereich, DoS im HTTP-Response-Handling und Fehler in Registry- und Markdown-Komponenten. Die Releases enthalten tiefgreifende Änderungen in Sidekiq, der Container Registry, Pagination und Merge-Request-Polling.

On-Prem-Teams sollten sofort updaten, insbesondere wenn CI/CD intern kritische Deployments, Secrets-Management oder automatisierte Rollouts steuert. Zero-Downtime ist möglich, aber nicht garantiert — je nach Setup.

Links:

GitLab Release Notes: https://about.gitlab.com/releases/2025/11/26/patch-release-gitlab-18-6-1-released/

Heise-Analyse: https://www.heise.de/news/Sicherheitsluecken-in-GitLab-Angreifer-koennen-Zugangsdaten-abgreifen-11096105.html

Die Zubehör-Debatte

Der Vorstoß, Microsoft 365 im EU-Parlament abzuschaffen, ist richtig und überfällig. Doch Teile der Debatte rutschen gerade in eine absurde Richtung: Es geht plötzlich um Tastaturen, Monitore und Mäuse.

Zur Erinnerung: Digitale Souveränität entsteht nicht bei Peripherie-Geräten. Sie entsteht bei Betriebssystemen, Identitätsinfrastrukturen, Cloud-Plattformen, Kommunikationssystemen – also all den Bereichen, die Europas politische Entscheidungsprozesse real beeinflussen können.

Die großen Abhängigkeiten liegen nicht auf dem Schreibtisch, sondern im Backend:

• IAM
• Updates
• Jurisdiktion
• Datenflüsse
• Transparenz
• Kontrollierbarkeit

Solange Europa diese Schichten ignoriert, bleibt jede Debatte über „strategische Autonomie" ein Witz.

Peripherie-Debatten sind bequem - aber sie lösen keine Probleme.

Link: https://www.heise.de/news/Weg-von-Microsoft-Abgeordnete-fordern-digitale-Souveraenitaet-im-EU-Parlament-11097460.html

Blogpost

Nextcloud souverän betreiben – warum das Wie entscheidend ist

Diese Woche kommt der Blogpost von mir selbst – inspiriert durch die Ausgabe #214 von „allesnurgecloud.com" von Andreas Lehr . Er hatte darin ein „Lockangebot" von IONOS genannt: Wonach dort Nextcloud nach ersten Monat wohl doch pro User abgerechnet wird. Ein Modell, das auf den ersten Blick also günstig wirkt, aber schnell zur Kostenfalle werden kann.

Genau hier setze ich in meinem Blogpost an: Es reicht nicht, Nextcloud anzubieten. Entscheidend ist, wie sie betrieben und abgerechnet wird.

Bei ayedo verfolgen wir einen anderen Ansatz: Nextcloud läuft als Managed App direkt im Kubernetes-Cluster unserer Kunden, ohne Nutzerlimits, ohne pro-Kopf-Kosten und mit echter Datenhoheit.

Warum dieses Betriebsmodell langfristig souveräner, transparenter und wirtschaftlich sinnvoller ist – und warum viele „günstigen" Angebote am Ende doch nicht so unabhängig sind, wie sie wirken – das erkläre ich im vollständigen Blogpost.

Blogpost lesen: https://ayedo.de/posts/nextcloud-souveran-betreiben-warum-das-wie-entscheidend-ist/

ayedo Nextcloud (Managed App): https://ayedo.de/apps/nextcloud/

Newsletter #214 von Andreas Lehr: https://www.linkedin.com/pulse/shai-hulud-20-digitale-souver%C3%A4nit%C3%A4t-meeting-kultur-schweiz-lehr-ibhce?utm_source=share&utm_medium=member_ios&utm_campaign=share_via

Event-Tipp: Warum Europa einen EU-Sovereign-Tech-Fund braucht

D64 diskutiert heute (3. Dezember) mit Felix Reda über die Frage, wie Europa digitale Souveränität nicht nur fordern, sondern endlich institutionalisieren kann.

Der deutsche Sovereign Tech Fund zeigt bereits, wie existenziell wichtig es ist, kritische Open-Source-Komponenten systematisch zu stabilisieren — denn viele dieser Projekte halten Wirtschaft, Verwaltung und kritische Infrastruktur überhaupt erst am Laufen.

Ein europäischer Fonds wäre der logische nächste Schritt:

• dauerhaft finanziert
• strategisch ausgerichtet
• interoperabel
• unabhängig von Lobbying und wechselnden politischen Launen

Europa kann nicht souverän werden, solange die technische Infrastruktur, auf der alles aufbaut, projektbasiert und zufällig finanziert wird. Der EU-Fund wäre ein Paradigmenwechsel — weg von Reaktivität, hin zu strategischer technischer Resilienz.

Link: https://d-64.org/veranstaltungen/open-source-talk-mit-felix-reda/

In-Beitrag der Woche

Klaus Meffert: Europas Souveränität ist keine Theorie – sie wird längst gelebt

Dr.-Ing. Klaus Meffert liefert auf LinkedIn eine der präzisesten Momentaufnahmen zur digitalen Souveränität in Europa, die man aktuell finden kann. Sein Beitrag ist kein Meinungsstück, sondern eine Bestandsaufnahme – und sie fällt überraschend deutlich aus: Europa hat längst funktionierende Alternativen zu Microsoft & Co., aber Deutschland ignoriert sie konsequent.

Meffert zeigt anhand realer Institutionen, wie weit Europa eigentlich schon ist:

• Internationaler Strafgerichtshof setzt konsequent auf OpenDesk – ein klares Statement gegen proprietäre Abhängigkeiten.
• Österreichs Streitkräfte nutzen LibreOffice flächendeckend – inklusive Einsatz in sicherheitskritischen Umgebungen.
• Schleswig-Holstein geht mit seiner Open-Source-Strategie voran und etabliert eine Verwaltung, die unabhängig von Hyperscalern funktioniert.
• BayernCloud Schule bringt offene Technologien in die Bildungslandschaft – pragmatisch, wirtschaftlich, auditierbar.

Der rote Faden: Diese Beispiele sind keine Experimente, sondern produktive, große, komplexe Systeme. Genau die Art von Umgebungen, von denen deutsche Behörden gerne behaupten, dort sei Open Source „nicht machbar".

Meffert benennt auch klar, wo die strukturellen Probleme liegen:

• Deutschland hält an US-Hyperscalern fest, obwohl zentrale sicherheitskritische Bereiche abhängig von ausländischen Rechtsregimen sind.
• Die Vorstellung, man könne proprietäre Plattformen US-amerikanischer Anbieter durch Audits „sicher" machen, sei eine Illusion.
• Souveränität bedeutet Kontrolle – und die ist in proprietären Clouds weder technisch noch rechtlich erreichbar.
• Während Länder wie die Schweiz bereits weg von Microsoft gehen, wirkt Deutschland wie ein Staat, der seine digitale Lage aktiv missversteht.

Seine Botschaft ist unmissverständlich: Es fehlt nicht an Alternativen, nicht an Technologie und nicht an Know-how – es fehlt an politischem Willen und institutioneller Konsequenz.

Ein Beitrag, der die Debatte in Deutschland sehr viel weiter bringen könnte, wenn ihn mehr Entscheider wirklich lesen würden.

Link: https://www.linkedin.com/feed/update/urn:li:activity:7400105437846740993/

Meme der Woche

von Aleksandar Basara