Microsoft sperrt das E-Mail-Konto eines Chefanklägers. Europa schaut zu.
Ein leitender Ermittler des Internationalen Strafgerichtshofs verliert den Zugriff auf seine …
Die Meldung klang zunächst nüchtern: Die Bundeswehr wird ihre private Cloud-Infrastruktur künftig mit Unterstützung von Google aufbauen. Genauer gesagt: Die BWI GmbH – IT-Dienstleister der Bundeswehr – hat mit der „Google Cloud Public Sector – Deutschland GmbH" einen Rahmenvertrag unterzeichnet, um zwei isolierte Cloud-Instanzen aufzubauen. Der Begriff, den Google selbst verwendet: Air-Gapped Cloud.
Auf den ersten Blick wirkt das nach einer pragmatischen Lösung: Rechenzentren im Eigenbetrieb, physikalische Trennung vom öffentlichen Internet, angeblich vollständige Datenkontrolle durch die Bundeswehr.
Doch bei genauerem Hinsehen zeigt sich: Diese Entscheidung steht in klarem Widerspruch zu dem, was wir unter digitaler Souveränität verstehen.
Ein entscheidender Punkt wird in der offiziellen Kommunikation konsequent ausgeblendet: Der Einsatz von US-Technologie unterliegt US-Recht – auch in deutschen Rechenzentren.
Der sogenannte CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Behörden den Zugriff auf Daten, selbst wenn diese außerhalb der USA gespeichert sind, solange das verantwortliche Unternehmen seinen Hauptsitz in den USA hat – wie im Fall von Google.
Das bedeutet:
Kurz gesagt: Sicherheitstechnisch bringt die Air-Gap-Architektur wenig, wenn die Software nicht vollständig unter europäischer Kontrolle steht.
Es geht hier nicht um eine einfache Cloud-Lösung für Office-Workloads. Die sogenannte “pCloudBw” (private Cloud der Bundeswehr) soll geschäftskritische Anwendungen, SAP-Systeme und operative Daten der deutschen Streitkräfte verarbeiten. Dass für diese Infrastruktur nun ein US-Konzern gewählt wurde, ist aus technischer Sicht – und vor allem aus sicherheitspolitischer Perspektive – hochproblematisch.
Selbst wenn Google sich vertraglich verpflichtet, keinen Zugriff zu nehmen, bleibt die juristische Realität bestehen: **US-Gesetze wie der CLOUD Act oder FISA (Foreign Intelligence Surveillance Act) haben extraterritoriale Wirkung.**Ein Unternehmen wie Google kann sich diesen Gesetzen nicht entziehen – selbst wenn es das wollte.
Die Entscheidung ist deshalb kein rein technisches Detail, sondern ein strategischer Kontrollverlust über zentrale digitale Ressourcen der Bundeswehr.
Immer wieder betonen Entscheidungsträger, dass digitale Souveränität ein wichtiges Ziel sei. Gleichzeitig erleben wir aber Entscheidungen, die dem diametral entgegenstehen. Wer auf US-Infrastruktur setzt, kann keine vollständige Kontrolle garantieren – auch nicht mit Air-Gap, Custom Contracts oder regionalen Tochtergesellschaften.
Souveränität bedeutet:
All das ist mit dem gewählten Modell nicht vollständig gegeben.
Dass es schwer ist, europäische Anbieter auf diesem Niveau zu finden, ist kein Geheimnis. Aber das ist kein Naturgesetz – das ist das Ergebnis von zu wenig politischem Willen, zu zögerlicher Förderung und fehlender strategischer Priorisierung.
Statt milliardenschwere Rüstungsprojekte über Jahrzehnte zu planen, wäre es angebracht, gezielt in europäische Cloud-Infrastruktur zu investieren, die:
Mit Projekten wie Sovereign Cloud Stack, Gaia-X und föderierten Betriebsmodellen gibt es längst Ansätze, die diese Kriterien erfüllen – sie brauchen aber politische Priorität.
Die Entscheidung, sicherheitskritische Cloud-Komponenten der Bundeswehr auf Basis von Google-Technologie aufzubauen, war nicht naiv. Sie war fahrlässig. Denn die Risiken sind seit Jahren bekannt – und wurden nicht beseitigt, sondern nur kommunikativ eingepackt.
Air-Gapped heißt nicht: rechtsstaatlich abgeschirmt.
Private Cloud heißt nicht: souverän.
US-Anbieter heißt im Zweifel: nicht unter deutscher Kontrolle.
Wenn wir ernsthaft von digitaler Souveränität sprechen, müssen wir auch bereit sein, technologische Unabhängigkeit zu fordern – und sie durchzusetzen. Alles andere ist Etikettierung ohne Substanz.
Ein leitender Ermittler des Internationalen Strafgerichtshofs verliert den Zugriff auf seine …
Souveräne Cloud braucht mehr als ein Rechenzentrum in Europa. Was der CLOUD Act mit der DSGVO …
Dass die Bundeswehr ihre Daten künftig in der Google Cloud speichert, ist kein IT-Projekt. Es ist …