Sovereign Washing - Ein Microsoft-Marketing-Märchen aus Redmond

Satya Nadella stellte in Amsterdam ein neues „Souveränitätsprogramm" für europäische Microsoft-Kunden vor. Drei Cloudmodelle, Hardware-Sicherheitsmodule (HSMs), europäischer Support und Partner wie Utimaco sollen Vertrauen schaffen. Was wie eine europäische Sicherheits-Offensive klingt, ist bei näherem Hinsehen eine ausgefeilte PR-Strategie zur Beruhigung eines zunehmend misstrauischen Marktes – und ein Ablenkungsmanöver von der eigentlichen Bedrohung: dem US-amerikanischen CLOUD Act.

CLOUD Act: Der Elefant im Serverraum

Seit 2018 verpflichtet der CLOUD Act alle US-Unternehmen – also auch Microsoft –, Daten an US-Behörden herauszugeben, selbst wenn diese in Rechenzentren außerhalb der USA gespeichert sind. Die juristische Logik: Der Sitz der Firma zählt, nicht der Speicherort. Und: Diese Herausgabe kann auch ohne richterliche Anordnung erfolgen. Noch problematischer: Unternehmen ist es verboten, ihre Kunden über diese Zugriffe zu informieren – eine sogenannte „Gag Order".

Das bedeutet: Wer Microsoft-Dienste nutzt – egal wie „souverän" das Label –, unterliegt immer der Zugriffsmöglichkeit durch US-Behörden. Technische Vorkehrungen wie HSMs oder BYOK (Bring Your Own Key) ändern daran nichts, denn Microsoft kann auf die Schlüssel mittelbar oder direkt zugreifen, etwa über Key Management Services oder durch Verpflichtung von Hardware-Partnern zur Kooperation mit US-Ermittlern.

Warum BYOK und HSMs nicht schützen

Die neuen Optionen wie HSM-Einsatz oder eigene Schlüsselverwaltung suggerieren Kontrolle – faktisch bleibt sie Illusion:

Der Versuch, über den „Data Guardian" zumindest Zugriffstransparenz zu schaffen, wirkt hilflos: Wer einmal Zugriff hat, kann vorherige Sicherheitsmaßnahmen unterlaufen. Der Schutz erfolgt hier bestenfalls retrospektiv.

Microsofts juristische Zusicherungen: Symbolpolitik

Microsoft betont, man werde gegen US-Behörden klagen, wenn europäische Daten gefährdet seien. Doch der Konzern hat keine rechtliche Handhabe, US-Gesetze wie den CLOUD Act auszuhebeln. Die Zusicherung, dagegen zu klagen, ist bestenfalls ein symbolischer Akt. Sie ersetzt keinen rechtssicheren, technischen Schutz.

Und selbst wenn Microsoft sich wehrt: Die Daten könnten längst weitergegeben worden sein – ohne Wissen des Kunden. Ein gerichtliches Nachspiel ist dann wenig tröstlich.

Der entscheidende Hebel: europäische Alternativen

Die einzig wirksame Antwort auf diese Scheinlösungen ist digitale Souveränität durch europäische Infrastruktur und Anbieter, die nicht dem CLOUD Act oder FISA 702 unterliegen. Nur Anbieter mit europäischem Hauptsitz, europäischer Infrastruktur und vollständiger Unabhängigkeit von US-Firmen können tatsächlichen Schutz bieten.

Fazit: Vertrauen entsteht nicht durch PR, sondern durch Kontrolle

Microsofts neue Programme erscheinen wie ein Fortschritt. In Wahrheit sind sie ein lackierter Compliance-Käfig – hübsch anzusehen, aber intransparente Machtverhältnisse bleiben bestehen. Wer digitale Souveränität ernst meint, braucht keine Pseudo-Schutzversprechen, sondern echte Unabhängigkeit.

Die Fortsetzung dieser Strategie zeigt sich in Sovereign Washing 2.0, wo Microsoft weitere kosmetische Verbesserungen als echte Souveränität verkauft. Unternehmen sollten stattdessen echte europäische Alternativen prüfen oder einen Cloud-Exit in Betracht ziehen. Für kritische Anwendungen bieten souveräne Cloud-Lösungen die notwendige rechtliche Sicherheit.