Digitale Sicherheit im fremden Rechtsraum: Warum das BSI-Portal auf AWS ein politischer Fehler ist

Ein Portal für mehr Sicherheit – auf unsicherem Fundament? Mit dem Start des zentralen BSI-Portals für NIS2-Meldungen verfolgt das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein wichtiges Ziel: mehr Übersicht, schnellere Reaktionen und eine klare Anlaufstelle für Betreiber kritischer Infrastrukturen. Ein „One-Stop-Shop" für Cybersicherheit soll entstehen – und das ist grundsätzlich zu begrüßen.

Doch was auf den ersten Blick nach Fortschritt klingt, wirft bei genauerer Betrachtung ernsthafte Fragen auf. Denn: Das neue Portal läuft ausgerechnet auf der Cloud-Infrastruktur von Amazon Web Services (AWS) – einem US-Hyperscaler, der nicht dem europäischen Rechtsrahmen unterliegt. Was wie ein technisches Detail klingt, ist in Wahrheit eine strategische und politische Entscheidung mit weitreichenden Folgen.

Zwischen Anspruch und Wirklichkeit: Europäische Souveränität bleibt auf der Strecke In politischen Reden wird regelmäßig die digitale Souveränität Europas beschworen. Die NIS2-Richtlinie selbst fordert mehr Resilienz, geringere Abhängigkeiten und ein gestärktes Risikobewusstsein. Doch mit der Wahl von AWS als Infrastrukturpartner für das Herzstück der deutschen Cybersicherheitsstrategie konterkariert das BSI diese Ziele sichtbar und symbolisch.

Digitale Souveränität bedeutet, Kontrolle über die eigene IT-Infrastruktur, Datenverarbeitung und Abhängigkeiten zu behalten. Das ist nicht vereinbar mit dem Betrieb sensibler staatlicher Plattformen auf einer Infrastruktur, die:

• dem US Cloud Act unterliegt (mit potenziellem Zugriff Dritter auf Daten),
• eine proprietäre Architektur nutzt, die einen klaren Vendor-Lock-in fördert,
• als Teil eines globalen Konzerns keine strategische Kontrolle durch europäische Institutionen erlaubt.

Das BSI – jene Behörde, die für Sicherheit, Vertrauen und Resilienz im digitalen Raum stehen soll – setzt mit dieser Entscheidung ein fatales Signal: Sicherheit wird mit Funktionalität verwechselt, und Souveränität mit Bequemlichkeit.

Es gäbe Alternativen. Starke sogar. Dass das BSI sich für AWS entschieden hat, ist keine Notwendigkeit – sondern eine bewusste Wahl gegen europäische Alternativen, die längst vorhanden sind:

Einige Beispiele europäischer Cloud-Anbieter:

• IONOS Cloud (Deutschland): DSGVO -konform, ISO-zertifiziert, OpenStack-basiert
• OVHcloud (Frankreich/EU): SecNumCloud-zertifiziert, Gaia-X-Mitglied
• Open Telekom Cloud (Deutschland/Europa): Betrieb durch Deutsche Telekom, Open-Source-Technologie
• CLOUD&HEAT (Deutschland): Nachhaltige Rechenzentren, Fokus auf Sicherheit und digitale Souveränität

Zudem wurde mit Gaia-X eine europäische Initiative ins Leben gerufen, die genau solche Einsatzszenarien adressiert: interoperabel, transparent, föderiert, europäisch kontrolliert.

Dass diese Optionen für das BSI keine Rolle spielten, zeigt: Politischer Wille und strategische Umsetzung laufen in Deutschland – erneut – auseinander.

Die Konsequenzen: Signalwirkung, Vertrauensverlust, strategische Schwäche

1. Machtverschiebung durch Infrastruktur Wer die Infrastruktur kontrolliert, kontrolliert auch den Informationsfluss. Wenn sicherheitsrelevante Meldungen aus Energie, Verwaltung, Gesundheit oder Transport auf einer Plattform aggregiert werden, die auf US-Infrastruktur läuft, dann verlagert sich auch ein Teil der Kontrolle über deren Verfügbarkeit, Performance und Zugang.
2. Abhängigkeit trotz Risikoerkenntnis In fast jeder Risikoanalyse tauchen Cloud-Abhängigkeiten als strategisches Risiko auf – insbesondere bei Single-Vendor-Szenarien. Trotzdem entscheidet sich die oberste deutsche Cybersicherheitsbehörde genau für dieses Modell. Das schwächt nicht nur die Glaubwürdigkeit eigener Empfehlungen, sondern erschwert auch die Argumentation gegenüber Unternehmen, die zum Umbau ihrer IT gedrängt werden sollen.
3. Gefährdung der europäischen Cloud-Wirtschaft Öffentliche Nachfrage ist ein entscheidender Hebel, um europäische Anbieter zu stärken. Wenn ausgerechnet der Staat nicht bereit ist, mit seinen sensibelsten Anwendungen ein Zeichen für europäische Lösungen zu setzen, wie sollen dann privatwirtschaftliche Unternehmen folgen?

Verantwortung beginnt beim Vorbild BSI-Präsidentin Claudia Plattner betont, das BSI könne „nicht die ganze Republik retten". Das ist korrekt. Aber das BSI kann Standards setzen. Es kann Prioritäten sichtbar machen. Und es kann Vertrauen aufbauen – oder verspielen.

Ein One-Stop-Shop für Cybersicherheit auf AWS ist kein Fortschritt. Es ist ein Rückschritt im Kampf um digitale Unabhängigkeit. Der Aufbau einer resilienten europäischen IT-Infrastruktur braucht Vorbilder. Das BSI hätte eines sein können. Stattdessen bleibt der Eindruck zurück: Wer Souveränität predigt, sollte sie auch praktizieren.

Fazit: Europa braucht digitale Rückgratbildung – nicht nur Regulierung NIS2 ist ein Schritt in die richtige Richtung. Aber Regulierung allein reicht nicht. Wer digitale Abhängigkeiten abbauen will, muss sie selbst zuerst vermeiden. Gerade dort, wo der Staat vorangehen sollte, darf kein Platz für halbherzige Entscheidungen sein. Es geht nicht um Technik. Es geht um Strategie. Um Vertrauen. Und letztlich um die Frage: Wem gehört die digitale Zukunft Europas?