Die aktuelle Debatte um Cloud-Souveränität wird häufig als Grundsatzentscheidung zwischen „souverän“ und „nicht souverän“ geführt. Der Artikel zeigt, dass diese Pointierung der Realität nicht gerecht wird und für fundierte IT-Entscheidungen keine hilfreiche Grundlage bietet. Politische Entwicklungen und regulatorische Unsicherheiten haben berechtigte Zweifel an bisherigen Cloud-Strategien geweckt, doch pauschale Ablehnung – insbesondere gegenüber außereuropäischen Anbietern – greift zu kurz.
Digitale Souveränität: Welche Fragen Unternehmen klären müssen
Zurückliegende und auch noch andauernde Ereignisse im Weltgeschehen haben dazu geführt, dass viele Herangehensweisen im Umgang mit IT und insbesondere mit Cloud-Infrastrukturen, die noch vor einigen Monaten als normal und unbedenklich galten, hinterfragt werden. Diese Neubewertung ist sinnvoll. Gleichzeitig verführt die Komplexität der Situation zu pauschalen „Lieber nicht“-Entscheidungen. Da es stets Restzweifel gibt, wäre das de facto Stillstand. Müssen wir uns deshalb tatsächlich von Cloud-Services nicht-europäischer Anbieter verabschieden oder brauchen wir differenzierte Kriterien? Sobald diese Frage gestellt wird, gesellt sich sofort die nächste Frage dazu: „Was sind in diesem Kontext eigentlich außereuropäische Firmen?“. All die unschönen, einseitigen amerikanischen Gesetze gelten global für alle Firmen mit amerikanischen Landesgesellschaften, also auch für den Großteil deutscher und europäischer Cloud Provider, die Datacenter in den USA für Ihre multinationalen Kundinnen und Kunden betreiben. Hinzu kommt die Frage, ob sich etwaige Auskunftsersuchen technisch überhaupt umsetzen lassen. Moderne Basisinfrastrukturen wie Confidential Computing oder Nitro machen es (Stand heute) unmöglich auf der Ebene von virtuellen Maschinen Daten abzugreifen, wenn diese richtig verschlüsselt sind. Auf der Ebene höher integrierter Services, bei denen im Sinne des Shared Resonsibility Models Aufgaben vom Kunden auf den Cloud Provider übergehen, kann das so nicht mehr hundertprozentig funktionieren, doch wie hoch ist das Restrisiko?
Fragen dieser Art ließen sich Dutzende weitere finden. Doch gibt es darauf absolute Antworten und „Dos & Don’ts“, die verlässliche Orientierung bieten? Eher nicht, wir brauchen einen anderen Denkansatz.
Cloud-Souveränität braucht einen risikobasierten Ansatz
Auf der Suche nach einer Definition für Souveränität, finden sich viele Parameter, die sowohl von den Hyperscalern als auch von Sicherheitsbehörden (z.B. BSI oder ANSSI) ähnlich betrachtet werden. Dazu gehören die Kontrolle über den Ort der Datenspeicherung, die Möglichkeit/Kontrolle über die Verschlüsselung, ein unveränderliches und auditierbares Monitoring über (Daten-)zugriffe, aber auch Resilienzparameter, wie Verfügbarkeit, die im Zweifel über große Entfernungen (z.B. Rechenzentren in unterschiedlichen Ländern) hergestellt werden müssen. Letzteres ist nicht zu unterschätzen, wenn man bedenkt, dass in der Ukraine erst wenige Wochen vor Beginn der russischen Invasion Gesetze geändert wurden, die es erlauben, kritische Daten auch außerhalb der ukrainischen Grenzen zu speichern. In den wenigen verbleibenden Tagen vor Kriegsbeginn wurden mehrere Petabytes an Daten zu Hyperscalern transferiert. Ohne diese Maßnahmen würde die Ukraine in der heutigen Form nicht mehr existieren.
Vor diesem Hintergrund lässt sich erkennen, dass die Aussage, alle Daten ausnahmslos auf heimischem Boden zu halten, nicht für alle Szenarien dem höchsten Souveränitätslevel entspricht, wobei auch der komplette Umkehrschluss ebenso wenig richtig ist. Wichtig ist es also, sich selbst über die eigenen Souveränitätsansprüche für geeignete Szenarien und abgebildet auf konkrete Typen von Cloud Services klar zu werden und daraus eine individuelle und integrierte Risikobetrachtung zu erstellen. Dazu gehören dann auch weitere Parameter wie Unabhängigkeit durch offene Standards und Portabilität zwischen Cloud Providern. Diese Aspekte sollten in einem gesunden Mix mit der Nutzung von Innovationen stehen, um in der eigenen Branche nicht den Anschluss zu verlieren. Auf der Ebene virtueller Maschinen können die Portabilität und der Schutz vor Fremdzugriffen weitestgehend sichergestellt werden. Ob dies alle Werkzeuge sind, um im jeweiligen Wettbewerb zu bestehen, ist ebenfalls individuell zu bewerten.
Weg vom Dogma, hin zur Entscheidungsfähigkeit
Lassen Sie sich nicht in einen ideologischen Diskurs über digitale Souveränität im Sinne eines „Sein oder Nichtsein“ ziehen. Solche Vereinfachungen helfen weder der IT noch den Geschäftsprozessen. Stattdessen empfiehlt sich ein risikobasierter Ansatz:
- Definieren Sie das benötigte Souveränitätsniveau je Anwendungsfall.
- Prüfen Sie die technische und organisatorische Machbarkeit.
- Akzeptieren Sie bewusst Restrisiken, wenn sie klare Vorteile bieten.
- Setzen Sie diese Risiken in Relation zu anderen Bedrohungen wie Cyberangriffen, Innentätern oder Fehlbedienungen.
Nur so lassen sich Gesamtrisiken konsistent bewerten und wirtschaftlich sinnvoll steuern.
HiWay Podcast | 21.01.2026
Europas digitale Resilienz in der Cloud
Wie kann Europa trotz der Dominanz US-amerikanischer Hyperscaler handlungsfähig bleiben? Die Folge zeigt, warum es weniger um Gegenmodelle geht als um kluge Architekturentscheidungen, sinnvolle Use Cases und Verantwortung für kritische Infrastrukturen.
Ihr Ansprechpartner
Heiko Müller
Cloud-Projekte sicher und effizient gestalten – ich unterstütze Sie bei der Auswahl, Einführung und Steuerung passgenauer Cloud-Lösungen. Lassen Sie uns sprechen – Ihre Cloud-Strategie beginnt mit dem richtigen Partner.
Heiko Müller Senior Manager bei HiSolutions, Experte für Cloud- und DevOps-Transformationen sowie IT-Service-Management. Gemeinsam mit dem ITM-Team unterstützt er beim Aufbau moderner IT-Infrastrukturen und bei der Optimierung von ITIL-Prozessen.