Ein technisches Projekt, das politische Fragen aufwirft

Die Meldung klang zunächst nüchtern: Die Bundeswehr wird ihre private Cloud-Infrastruktur künftig mit Unterstützung von Google aufbauen. Genauer gesagt: Die BWI GmbH – IT-Dienstleister der Bundeswehr – hat mit der „Google Cloud Public Sector – Deutschland GmbH" einen Rahmenvertrag unterzeichnet, um zwei isolierte Cloud-Instanzen aufzubauen. Der Begriff, den Google selbst verwendet: Air-Gapped Cloud.

Auf den ersten Blick wirkt das nach einer pragmatischen Lösung: Rechenzentren im Eigenbetrieb, physikalische Trennung vom öffentlichen Internet, angeblich vollständige Datenkontrolle durch die Bundeswehr.

Doch bei genauerem Hinsehen zeigt sich: Diese Entscheidung steht in klarem Widerspruch zu dem, was wir unter digitaler Souveränität verstehen.

Der CLOUD Act: Technisch isoliert, rechtlich offen

Ein entscheidender Punkt wird in der offiziellen Kommunikation konsequent ausgeblendet: Der Einsatz von US-Technologie unterliegt US-Recht – auch in deutschen Rechenzentren.

Der sogenannte CLOUD Act (Clarifying Lawful Overseas Use of Data Act) erlaubt US-Behörden den Zugriff auf Daten, selbst wenn diese außerhalb der USA gespeichert sind, solange das verantwortliche Unternehmen seinen Hauptsitz in den USA hat – wie im Fall von Google.

Das bedeutet:

• Der Standort der Daten (z. B. in einem militärischen Rechenzentrum) spielt keine Rolle.
• Es genügt, dass Google Software, Updates, Remote Support oder operative Kontrolle über Teile der Lösung hat.
• Der Zugriff kann – theoretisch – auch ohne Zustimmung der Bundesregierung erfolgen.

Kurz gesagt: Sicherheitstechnisch bringt die Air-Gap-Architektur wenig, wenn die Software nicht vollständig unter europäischer Kontrolle steht.

Die eigentliche Frage: Wer kontrolliert unsere sicherheitskritische Infrastruktur?

Es geht hier nicht um eine einfache Cloud-Lösung für Office-Workloads. Die sogenannte “pCloudBw” (private Cloud der Bundeswehr) soll geschäftskritische Anwendungen, SAP-Systeme und operative Daten der deutschen Streitkräfte verarbeiten. Dass für diese Infrastruktur nun ein US-Konzern gewählt wurde, ist aus technischer Sicht – und vor allem aus sicherheitspolitischer Perspektive – hochproblematisch.

Selbst wenn Google sich vertraglich verpflichtet, keinen Zugriff zu nehmen, bleibt die juristische Realität bestehen: **US-Gesetze wie der CLOUD Act oder FISA (Foreign Intelligence Surveillance Act) haben extraterritoriale Wirkung.**Ein Unternehmen wie Google kann sich diesen Gesetzen nicht entziehen – selbst wenn es das wollte.

Die Entscheidung ist deshalb kein rein technisches Detail, sondern ein strategischer Kontrollverlust über zentrale digitale Ressourcen der Bundeswehr.

Digitale Souveränität beginnt bei der Architektur – nicht beim Etikett

Immer wieder betonen Entscheidungsträger, dass digitale Souveränität ein wichtiges Ziel sei. Gleichzeitig erleben wir aber Entscheidungen, die dem diametral entgegenstehen. Wer auf US-Infrastruktur setzt, kann keine vollständige Kontrolle garantieren – auch nicht mit Air-Gap, Custom Contracts oder regionalen Tochtergesellschaften.

Souveränität bedeutet:

• Kontrolle über den Quellcode, nicht nur über das Deployment.
• Kontrolle über Updates, Wartung, Betriebsprozesse – ohne externe Pflichtbindung.
• Schutz vor juristisch-politischem Zugriff Dritter – auch über indirekte Kanäle.

All das ist mit dem gewählten Modell nicht vollständig gegeben.

Warum europäische Alternativen entscheidend wären

Dass es schwer ist, europäische Anbieter auf diesem Niveau zu finden, ist kein Geheimnis. Aber das ist kein Naturgesetz – das ist das Ergebnis von zu wenig politischem Willen, zu zögerlicher Förderung und fehlender strategischer Priorisierung.

Statt milliardenschwere Rüstungsprojekte über Jahrzehnte zu planen, wäre es angebracht, gezielt in europäische Cloud-Infrastruktur zu investieren, die:

• Open Source als Grundlage nutzt,
• unter europäischer Rechtsaufsicht steht,
• vollständig betreibersicher aufgebaut ist,
• und die Skalierung erlaubt, die für Behörden und Verteidigung nötig ist.

Mit Projekten wie Sovereign Cloud Stack, Gaia-X und föderierten Betriebsmodellen gibt es längst Ansätze, die diese Kriterien erfüllen – sie brauchen aber politische Priorität.

Fazit: Das war ein Fehler – mit Ansage

Die Entscheidung, sicherheitskritische Cloud-Komponenten der Bundeswehr auf Basis von Google-Technologie aufzubauen, war nicht naiv. Sie war fahrlässig. Denn die Risiken sind seit Jahren bekannt – und wurden nicht beseitigt, sondern nur kommunikativ eingepackt.

Air-Gapped heißt nicht: rechtsstaatlich abgeschirmt.

Private Cloud heißt nicht: souverän.

US-Anbieter heißt im Zweifel: nicht unter deutscher Kontrolle.

Wenn wir ernsthaft von digitaler Souveränität sprechen, müssen wir auch bereit sein, technologische Unabhängigkeit zu fordern – und sie durchzusetzen. Alles andere ist Etikettierung ohne Substanz.