Weekly Backlog KW 51/2025

Editorial

Wer diese Woche noch behauptet, Sicherheit, Resilienz oder digitale Souveränität seien Detailfragen der Implementierung, hat nicht hingeschaut. Oder wollte es nicht. Die Themen dieser Ausgabe haben nichts mit Zero-Days oder „hochkomplexen Angriffen" zu tun. Sie handeln von gültigen Zugangsdaten, bewussten politischen Entscheidungen und struktureller Bequemlichkeit.

Der rote Faden: Kontrolle wird delegiert – an Tools, Anbieter, Prozesse oder einfach an „später". Und später ist erstaunlich oft genau dann, wenn es knallt.

Die Tech-News der Woche

Container ohne Kontrolle: Secrets als systemischer Leak

Mehr als 10.000 öffentlich verfügbare Docker-Images auf Docker Hub enthalten produktive Zugangsdaten. API-Keys, Cloud-Zugänge, Datenbank-Credentials, teilweise mit direktem Zugriff auf Produktivsysteme. Das ist kein Sonderfall, kein Anfängerfehler, kein bedauerlicher Ausrutscher einzelner Teams. Es ist das logische Ergebnis heutiger Entwicklungs- und Veröffentlichungspraktiken.

Die von Flare analysierten Images stammen häufig aus Organisationen, die nicht einmal wissen, dass ihre Artefakte öffentlich sind. Besonders gravierend ist dabei nicht nur die schiere Menge, sondern die Qualität der Leaks: In 42 Prozent der betroffenen Images fanden sich mehrere Secrets gleichzeitig. Das bedeutet nicht ein kompromittierter Dienst, sondern ganze Umgebungen – inklusive Cloud-Konten, Softwareverteilung und Datenhaltung.

Auffällig ist zudem, welche Art von Secrets dominiert: Ein Großteil betrifft API-Keys für KI- und LLM-Dienste. Neue Plattformen, neue Geschäftsmodelle – aber alte Sicherheitsmuster. Schlüssel werden erzeugt, in Build-Prozesse integriert, weitergegeben und vergessen. Lebenszyklen werden nicht technisch erzwungen, Zuständigkeiten sind diffus, zentrale Kontrolle fehlt.

Besonders fatal: In vielen Fällen wurden die Zugangsdaten zwar später aus den Images entfernt, aber nie widerrufen. Die Keys blieben gültig. Für Angreifer bedeutet das keinen Einbruch, sondern eine Anmeldung mit funktionierenden Zugangsdaten. Der Schaden entsteht nicht durch Raffinesse, sondern durch Gültigkeit.

Docker Hub ist dabei nur die sichtbarste Spitze. Vergleichbare Leaks finden sich in Git-Repositories, internen Registries, CI/CD-Pipelines. Überall dort, wo Secrets Teil von Artefakten werden, ist der Kontrollverlust kein Unfall, sondern eingepreist.

Ohne technische Ausschlüsse von Secrets, automatisierte Prüfungen vor Releases und konsequente Rotation kompromittierter Schlüssel sind Container und Cloud kein Effizienzgewinn, sondern eine skalierte Angriffsfläche.

🔗 https://www.heise.de/news/Mehr-als-10-000-Docker-Hub-Images-enthalten-geheime-Zugangsdaten-11113346.html?utm_term=Autofeed&utm_medium=Social&utm_source=LinkedIn#Echobox=1765539845

Digitale Souveränität? Nicht in Bayern

In Bayern soll ein Rahmenvertrag mit Microsoft über nahezu eine Milliarde Euro Laufzeit von fünf Jahren abgeschlossen werden – ohne Ausschreibung. Kein Wettbewerb, keine Angebotsprüfung, keine ernsthafte Evaluation europäischer Alternativen. Informatiker, Vertreter der IT-Wirtschaft und das Open-Source-Umfeld schlagen Alarm und sprechen von einem kaum kalkulierbaren strategischen Risiko für die digitale Handlungsfähigkeit des Freistaats.

Der Kern der Kritik ist nicht ideologisch, sondern strukturell: Zentrale Verwaltungs-IT und sensible Daten würden einem US-Konzern anvertraut, der rechtlich den Weisungen der US-Regierung unterliegt. Cloud Act, FISA, Executive Orders – alles bekannt, alles dokumentiert. Besonders schwer wiegt der Zeitpunkt: Die neue US-Sicherheitsstrategie ordnet europäische Interessen explizit nach.

Selbst das bayerische Landesamt für Sicherheit in der Informationstechnik warnt vor geopolitischen Abhängigkeiten und Sicherheitsrisiken. Ohne erkennbare Wirkung. Finanzminister Albert Füracker hält am Deal fest und nutzt ein juristisches Schlupfloch, um den Vertrag ohne Ausschreibung durchzusetzen. Europäische Anbieter werden nicht ausgeschlossen – sie werden gar nicht erst gefragt.

Während Bundesländer wie Schleswig-Holstein oder Thüringen Open-Source-Stacks und souveräne Cloud-Strukturen aufbauen, entscheidet sich Bayern bewusst für den bequemsten Weg. Diese Entscheidung ist nicht technisch motiviert. Sie ist politisch. Und sie entwertet systematisch eigene IT-Kompetenz sowie regionale Wertschöpfung.

Gut ist, dass diese Debatte nun öffentlich geführt wird. Schlecht ist, dass sie offenbar erst beginnt, nachdem Fakten geschaffen werden sollten.

🔗 https://www.heise.de/news/Cloud-Zoff-in-Bayern-wegen-Milliardenauftrag-an-Microsoft-ohne-Ausschreibung-11114453.html

IT-Ausfall im Bundestag während Selenskyj-Besuchs

Während des Besuchs des ukrainischen Präsidenten Wolodymyr Selenskyj kam es im Deutschen Bundestag zu einem größeren IT-Ausfall. Internetzugang und E-Mail-Verkehr waren betroffen, die Systeme wurden vollständig heruntergefahren und später neu gestartet. Ursache unklar, das BSI ermittelt.

Ob es sich um einen externen Angriff handelt, ist bislang offen. Die Störung hatte jedoch unmittelbare diplomatische Folgen: Eine geplante Videoschalte zwischen EU-Außenministern und US-Unterhändlern konnte nicht stattfinden. Der Vorfall ereignete sich inmitten sensibler Gespräche zur Ukraine und internationalen Sicherheitsfragen.

Unweigerlich werden Erinnerungen an den Bundestag-Hack von 2015 wach, bei dem das Parlamentsnetz umfassend kompromittiert wurde. Damals dauerte es Jahre, bis die Tragweite politisch klar benannt wurde. Heute zeigt sich erneut: Kritische IT-Infrastruktur wird oft erst dann als solche wahrgenommen, wenn sie ausfällt – und zwar genau dann, wenn sie gebraucht wird.

🔗 https://www.n-tv.de/politik/Grosser-IT-Ausfall-waehrend-Selenskyj-Besuch-im-Bundestag-id30146023.html

Tools, Trends & Open Source

Nextcloud statt Hyperscaler: Frankreich setzt um

Was in Deutschland regelmäßig als unrealistisch gilt, läuft in Frankreich seit Jahren produktiv: Das Bildungsministerium stellt seinen Beschäftigten Cloud-Speicher bereit – ohne US-Hyperscaler. Die Plattform apps.education.fr basiert auf Nextcloud, wird in eigenen Rechenzentren betrieben und bietet 100 GB Speicher pro Person.

Seit 2018 im Einsatz, während der Pandemie innerhalb einer Woche skaliert, nach dem OVH-Brand 2021 vollständig in eigene Datacenter überführt. Heute nutzen über 337.000 Beschäftigte den Dienst, perspektivisch sollen es 1,2 Millionen werden. Die Architektur ist komplex, föderiert, integriert bestehende Systeme wie Tchap oder Zimbra und verwaltet ein Verzeichnis mit über einer Million Identitäten.

Probleme gibt es – selbstverständlich. Interessant ist der Umgang damit: Statt zu einem Hyperscaler zu wechseln, arbeitet das Ministerium gemeinsam mit dem Open-Source-Anbieter an konkreten Verbesserungen. 150 Tickets in 18 Monaten. Keine Illusion von Perfektion, sondern kontrollierte Weiterentwicklung.

Dieses Projekt widerlegt gleich mehrere Narrative: Dass staatliche IT ohne Hyperscaler nicht skalieren könne. Dass Open Source im großen Maßstab nicht betreibbar sei. Und dass digitale Souveränität zwangsläufig langsamer oder teurer sei. Frankreich zeigt: Es ist eine Frage der Entscheidung, nicht der Möglichkeit.

🔗 https://www.cio-online.com/actualites/lire-l-education-nationale-offre-le-stockage-cloud-a-ses-1-2-million-d-agents-sans-gafam-16726.html

Cloudflare-Report: Wachstum, Sicherheit und Machtkonzentration

Der neue Cloudflare-Report liest sich technisch beeindruckend: plus 19 Prozent Internetverkehr, über 95 Prozent HTTPS, mehr als die Hälfte des menschlich erzeugten Web-Traffics bereits mit Post-Quantum-Verschlüsselung abgesichert. Doch hinter diesen Zahlen verbirgt sich eine klare Machtverschiebung.

Dass 52 Prozent des Web-Traffics quantensicher verschlüsselt sind, ist kein Ergebnis politischer Vorsorge oder europäischer Koordination. Es ist die Folge von Browser-Updates großer Anbieter und der Standardaktivierung bei Cloudflare. Sicherheit entsteht hier nicht durch demokratische Steuerung, sondern durch Entscheidungen weniger US-Unternehmen.

Gleichzeitig explodiert der automatisierte Zugriff. Googlebot verursacht über ein Viertel des verifizierten Bot-Traffics und generiert mehr HTML-Anfragen als alle KI-Bots zusammen. User-Action-Crawling für KI ist um das 15-Fache gestiegen. Inhalte werden systematisch zu Trainingsdaten – meist ohne echte Verhandlungsmacht der Anbieter.

Auch bei Angriffen verschieben sich die Frontlinien. DDoS-Attacken erreichen neue Rekorde, NGOs und zivilgesellschaftliche Organisationen stehen erstmals ganz oben auf der Zielliste. Fast die Hälfte größerer Internet-Ausfälle geht auf bewusst angeordnete staatliche Abschaltungen zurück. Internet-Governance ist längst ein Machtinstrument.

Der Report ist kein neutraler Zustandsbericht. Er zeigt, wie abhängig Sicherheit, Verfügbarkeit und Innovation von wenigen globalen Akteuren geworden sind – und wie wenig Europa daran strategisch mitgestaltet.

🔗 https://www.heise.de/news/Cloudflare-Report-Internet-waechst-um-19-Prozent-Haelfte-nutzt-Quantenschutz-11116093.html?utm_term=Autofeed&utm_medium=Social&utm_source=LinkedIn#Echobox=1765873786

Blogpost:

Nextcloud kann souverän – wenn man es richtig betreibt

Nextcloud ist eine starke Open-Source-Alternative zu Microsoft 365 und Google Workspace und bietet die technischen Grundlagen für echte digitale Unabhängigkeit. Der Artikel von ayedo zeigt jedoch, warum Souveränität nicht automatisch entsteht, nur weil man Nextcloud einsetzt. Entscheidend ist das Betriebsmodell: Nutzerbasierte Lizenzansätze können neue Abhängigkeiten schaffen, während ein ressourcenbasiertes Betriebskonzept im eigenen Kubernetes-Cluster Kontrolle, Transparenz und Skalierbarkeit ermöglicht.

Wer Nextcloud strategisch einsetzen will, findet hier eine saubere Einordnung, worauf es beim „Wie" wirklich ankommt.

🔗 https://ayedo.de/posts/nextcloud-souveran-betreiben-warum-das-wie-entscheidend-ist/

Meinung & Debatte

Cloud-Souveränität als Illusion

Prof. Dr. Dennis-Kenji Kipker zeigt mit der vom cyberintelligence institute entwickelten Cloud Risiko Matrix, was in politischen Debatten und Marketingfolien systematisch verdrängt wird: Digitale Souveränität in der Cloud ist derzeit meist eine Behauptung, keine belastbare Eigenschaft.

Executive Order 12333, FISA 702, CLOUD Act, Exportkontrollrecht, Konzernstrukturen und technische Zugriffsmöglichkeiten werden nicht isoliert betrachtet, sondern in ihrer Wechselwirkung. Das Ergebnis ist eindeutig: Die gängigen Konstrukte, mit denen internationale Cloud-Anbieter ihre Angebote als „souverän" vermarkten, halten einer Gesamtprüfung nicht stand.

Betroffen sind nicht nur US-Konzerne, sondern auch europäische Unternehmen mit US-Bezug, US-Technologie im Stack oder US-Auftragsverarbeitung. Selbst Organisationen ohne direkte US-Beziehungen bleiben verwundbar, sobald sie auf entsprechende Lieferketten angewiesen sind. Vertragsklauseln und Rechenzentrumsstandorte ändern daran wenig.

Die Analyse ist ein Realitätscheck für Politik, Verwaltung und Unternehmen. Solange Europa seine digitale Infrastruktur auf fremde Rechtsräume und proprietäre Technologien stützt, bleibt Souveränität ein Marketingbegriff.

🔗 https://www.linkedin.com/posts/prof-dr-dennis-kenji-kipker-51867449_cloud-souveraeunitaeut-hyperscaler-activity-7396207067142725632-f7cW

Heimserver statt Cloud-Abos

Björn Bergfelder hat seine Abos bei Google, Apple und Netflix gekündigt und seine Daten aus US-Clouds abgezogen. Fotos, Dokumente, Passwörter liegen nun auf einem eigenen Server. Technisch kein Hexenwerk: TrueNAS, Nextcloud, Immich, Paperless-ngx, Jellyfin. Überschaubare Kosten, volle Kontrolle.

Die Reaktionen darauf sind entlarvend. Schnell ist von Spielerei oder unnötiger Komplexität die Rede. Das eigentliche Argument lautet: Bequemlichkeit reicht. Genau diese Haltung hat die heutige Abhängigkeit erst normalisiert.

Der Punkt ist nicht, dass jeder einen Server betreiben sollte. Der Punkt ist, dass digitale Souveränität kein abstraktes Ziel ist, sondern eine konkrete Entscheidung. Im Kleinen wie im Großen.

🔗 https://www.linkedin.com/posts/bbergfelder_selfhosted-opensource-dataprivacy-activity-7404446028038299651-2Ut5/

Podcast & Event

Digitale Souveränität ist eine Architekturfrage

Der Insider-Research-Podcast zur digitalen Souveränität und Resilienz in der Cloud diskutiert operative Realität statt politischer Schlagworte. Multi-Vendor-Strategien, Exit-Szenarien, Container, Kubernetes und Governance werden als konkrete Hebel beschrieben – nicht als Buzzwords.

🔗 https://www.claranet.com/de/video/insider-research-podcast-digitale-souveraenitaet-und-resilienz-der-cloud/

LinkedIn Live: Panopticon 2.0 – Digitale Souveränität jenseits von Schlagworten

Digitale Souveränität taucht in politischen Papieren, Strategie-Folien und Keynotes inzwischen inflationär auf. Selten wird jedoch sauber getrennt zwischen Wunschbild und operativer Realität. Genau an dieser Stelle setzt das LinkedIn Live „Panopticon 2.0 – Governing in an Age of Total Surveillance" an.

Ausgangspunkt der Diskussion ist die unbequeme, aber notwendige Erkenntnis: Digitale Souveränität ist kein Zustand, den man beschließt, sondern eine dauerhafte Governance-Aufgabe. Sie entsteht nicht durch Regulierungstexte, Zertifikate oder Cloud-Labels, sondern durch kontinuierliche Entscheidungen über Architektur, Kontrolle, Abhängigkeiten und Verantwortlichkeiten.

Thierry Gilgen diskutiert dieses Spannungsfeld mit einem Panel, das bewusst unterschiedliche Perspektiven vereint:

• Christian Dreyer
• Prodosh Banerjee
• Michael Moser
• Chistian Walther

Moderiert wird die Runde von Aldo Gnocchi.

Die Diskussion verspricht keine wohlfeilen Antworten, sondern konfrontiert die Teilnehmenden mit realen Zielkonflikten: Effizienz versus Kontrolle, Innovationsgeschwindigkeit versus Abhängigkeit, Komfort versus Verantwortung. Im Mittelpunkt stehen dabei nicht theoretische Modelle, sondern praktische Erfahrungen aus Cloud-Betrieb, Software-Entwicklung, Governance und Regulierung.

Besonders relevant ist der Kontext von Panopticon 2.0: In einer Zeit, in der Überwachung, Datenzugriff und infrastrukturelle Macht zunehmend konzentriert sind, stellt sich die Frage nicht mehr, ob digitale Souveränität wichtig ist, sondern wie viel Kontrolle man realistisch selbst tragen will – und wo man sie bewusst abgibt. Dabei wird klar: Jede Auslagerung ist eine Governance-Entscheidung, auch wenn sie technisch trivial wirkt.

Das LinkedIn Live richtet sich damit explizit an Menschen mit Verantwortung für digitale Infrastrukturen – in Unternehmen, Verwaltung und Politik. Nicht als Ideendebatte, sondern als Realitätsabgleich. Wer Souveränität gestalten will, muss Abhängigkeiten verstehen, benennen und aushalten können. Genau dort setzt diese Diskussion an.

🔗 https://www.linkedin.com/events/panopticon2-0-digitalsovereignt7406612361068822529/

Cookies statt Cold-Stress

Butterplätzchen – das Legacy-Rezept ohne Abhängigkeiten

Manchmal braucht es keine neue Architektur, keine exotischen Zutaten und ganz sicher kein Abo-Modell. Diese Butterplätzchen sind das kulinarische Äquivalent zu solidem On-Prem: überschaubar, reproduzierbar und seit Jahrzehnten stabil im Betrieb.

Zeitaufwand: 90 Minuten Zubereitung, davon rund 40 Minuten Wartezeit Komplexität: so einfach, dass selbst an einem Freitag kein Risiko darstellt.

Zutaten (klassischer Stack, keine Überraschungen)

• 250 g Butter
• 175 g Zucker
• 2 Päckchen Vanillezucker
• 300 g Weizenmehl
• 1 Esslöffel Milch

Mehr braucht es nicht. Wirklich.

Zubereitung

Zuerst wird die Butter geschmolzen und anschließend etwa 45 Minuten abgekühlt, bis sie wieder leicht fest wird. Dieser Schritt ist wichtig – warme Butter ist wie ungeprüfter Code: funktioniert vielleicht, rächt sich aber später.

Die abgekühlte Butter kommt in eine Schüssel aus Porzellan oder Edelstahl und wird mit dem Handmixer aufgeschlagen. Zucker und Vanillezucker werden nach und nach eingerührt, bis eine helle, cremige Masse entsteht. Geduld zahlt sich hier aus.

Nun werden 200 g Mehl portionsweise untergerührt. Sobald der Teig fester wird, kommt die Milch dazu. Anschließend das restliche Mehl einarbeiten und alles zu einem glatten, geschmeidigen Teig verkneten. Daraus eine Kugel formen, in Frischhaltefolie wickeln und mindestens 30 Minuten im Kühlschrank ruhen lassen. Auch Teig braucht Wartungsfenster.

Danach den Teig auf einer bemehlten Arbeitsfläche ausrollen und nach Belieben ausstechen – Sternenzerstörer, Wolke, oder die klassischen Tannenbäume, alles erlaubt. Die Plätzchen auf ein mit Backpapier belegtes Blech legen und im vorgeheizten Ofen bei 160 °C Umluft (oder 180 °C Ober-/Unterhitze) etwa 10 Minuten backen.

Nach dem Backen vollständig auskühlen lassen. Wer möchte, bestäubt sie mit Puderzucker oder verziert sie dezent – optionales Feature, kein Muss.

Betrieb & Haltbarkeit

In einer gut verschließbaren Keksdose bleiben die Butterplätzchen bis zu drei Wochen knusprig und zart. Kein Cloud-Zwang, keine externen Abhängigkeiten, einfach stabile Laufzeit.

Nährwerte (pro Stück)

• ca. 41 kcal
• 2 g Fett
• 5 g Kohlenhydrate

Unauffällig, zuverlässig, bewährt. Genau wie gute Infrastruktur.