Kann eine SAP-Microsoft-Cloud mit deutschem Rechenzentrum souverän sein?

Lange wurde die „Delos-Cloud“ als Musterlösung dargestellt: Eine Tochterfirma von SAP betreibt ein Rechenzentrum in Deutschland - Microsoft liefert nur die Software, ist am Unternehmen aber nicht direkt beteiligt.

Klingt auf den ersten Blick wie eine Win-Win-Situation: Die Verwaltung kann weiterhin Microsoft Office und Teams nutzen, ohne dass ein US-Konzern die direkte Kontrolle über die Datenbestände des Staates erhält.

Doch selbst das Innenministerium Baden-Württembergs weiß: So einfach ist das nicht.

In einer Stellungnahme an den Landtag führt die Landesregierung aus:

„Das Risiko des US CLOUD Act bleibt bestehen, da die Kontrolle über die Software (...)  letztlich beim US-Anbieter liegt.“ US-Sicherheitsbehörden könnten den Softwarelieferanten etwa anweisen, „einen Datenabfluss in seine Software zu integrieren, ohne dass der Kunde darüber in Kenntnis gesetzt wird.“

Mit dieser Aussage gibt der Innenminister im Grunde zu: Digitale Souveränität ist mit der SAP-Microsoft-Cloud nicht zu erreichen!

Wir geben einen Überblick über die Hintergründe und zeigen auf, warum es echte europäische Alternativen braucht.

Der US CLOUD Act gibt US-Sicherheitsbehörden das Recht, von Unternehmen und leitenden Angestellten zu verlangen, dass sie Daten aus Cloud-Anwendungen und Rechenzentren in der EU herausgeben.

Betroffenen Personen und europäische Aufsichtsbehörden kriegen davon nichts mit, weil die Anordnungen in den USA durch geheime FISA-Gerichte erfolgen. Das sind spezialisierte Gerichte, welche die Überwachungsanträge von US-Sicherheitsbehörden prüfen.

Der Cloud Act verbietet es Unternehmen nicht nur, über solche Datenzugriffe zu sprechen. Anbieter machen sich mitunter auch strafbar, wenn sie sich dem Datenzugriff durch FBI, NSA und CO. verweigern oder sich bewusst aus der Cloud-Infrastruktur in Deutschland aussperren - also bewusst keinen Zugriff auf die gespeicherten Daten haben.

Viel zu lange haben wir uns in Deutschland und Europa darauf verlassen, dass man sich „unter Freunden nicht ausspioniert“ - und auf fahrlässige Weise die technischen Abhängigkeiten verstärkt, statt sie zu reduzieren.

Mit dem US Cloud Act, spätestens/vor allem aber seit dem autoritären Turn der Trump-Regierung, gibt es keinen Verlass darauf, dass unsere Daten auf den Infrastrukturen von US-Tech-Konzernen sicher sind.

In Kombination mit den immer schärferen Regeln der US-Exportkontrolle kann sich die Situation noch zuspitzen:

Gibt Microsoft die Daten aus Deutschland nicht heraus, könnte die Trump-Regierung das Unternehmen strafrechtlich unter Druck setzen – oder sie dazu verdonnern, ihre Geschäfte mit der Delos GmbH einzustellen.

Updates werden dann eingestellt. Die Cloud ist dann unsicher.

In der Antwort an den Landtag positioniert sich das Innenministerium Baden-Württemberg nun auch zu der Frage, was die Kriterien für eine "souveräne Cloud" sind. Einen Monat vor dem „Europäischen Digitalgipfel zur digitalen Souveränität“ sollte das die verantwortlichen Personen in Elysee-Palast und Bundeskanzleramt aufrütteln.

Digitale Souveränität ist ein Schlagwort. Bei genauerem Hinsehen hat das Konzept viele Dimensionen: unter anderem staatlich, wirtschaftlich und aus der Perspektive der Nutzerinnen und Nutzer. Dabei geht es um Hardware, Plattformen, Daten und zuletzt immer wieder um die Abhängigkeit von US-amerikanischen Hyperscalern und die Frage, wann eine Cloud wirklich „souverän“ ist.

Eine souveräne IT-Infrastruktur haben wir nur, wenn wir unsere Lösungen selbst wählen und bauen können – und wenn sichergestellt ist, dass ausländische Sicherheitsbehörden effektiv ausgesperrt sind.

Es zeigt sich: Wer Microsoft-Produkte verwendet, ist vor den US-Sicherheitsbehörden nicht sicher. Da helfen auch Firmenkonstrukte wie die Delos-Cloud nicht weiter. Denn nur weil ein Rechenzentrum in Europa steht und von einer europäischen Firma betrieben wird, heißt das noch lange nicht, dass die Daten nicht ins Ausland abfließen.

Es gibt viele technische Anknüpfungspunkte, um Datenabflüsse in einer Cloud-Infrastruktur zu ermöglichen, von denen niemand etwas mitbekommt. Und der US CLOUD Act verpflichtet - so das Innenministerium BaWü - genau dazu.

Daher könne laut BaWü-Innenminister Thomas Strobl (CDU) "nicht in vollem Umfang von vollständiger Souveränität gesprochen werden, da theoretisch Zugriffe auf Anwendungsdaten durch Drittstaaten – zumindest in einer Grauzone – nicht ausgeschlossen werden können" .

Was die Landesregierung als „theoretische Zugriffe“ darstellt, heißt seit den Enthüllung von Edward Snowden „praktisch“. Und in „Grauzonen“ ist Trump quasi ausschließlich unterwegs. Er wird die Grenzen der „nationalen Sicherheit“ ausreizen, wenn es in seinem Interesse liegt. - und US-Geheimgerichte sind  sicherlich kein Garant für den Schutz unserer digitalen Grundrechte in der europäischen Union.

Wenn die Bundesregierung der Auslegung aus Baden-Württemberg folgt, dann wäre es nur folgerichtig, auf dem Digitalgipfel zur digitalen Souveränität 18. November ein eindeutiges strategisches Ziel zu formulieren: Europa strebt souveräne Cloud-Lösungen unter vollständigem Ausschluss von Anbietern aus den USA an. 

Von den am Digitalgipfel beteiligten Industrieverbänden wird dieser Impuls nicht ausgehen können, weil sie aus Angst um den Verlust ihrer amerikanischen Mitglieder eine klare öffentliche Positionierung vermeiden. 

Daher ist es umso wichtiger, dass die Bundesregierung selbst aktiv wird und auch die Stellungnahmen zivilgesellschaftlicher Organisationen und Expert:innen ernst nimmt.

P.S. : Das gilt übrigens nicht nur für die Cloud-Speicherung, sondern auch für Infrastrukturen und Datenbanken wie Palantir. Das baden-würtembergische Innenministerium will die Überwachungssoftware aus dem Hause von Peter Thiel gerade einführen - trotz enormem Widerstand von Zivilgesellschaft und IT-Experten.

Wenn Wartung und Updates weiterhin durch US-amerikanische Konzerne erfolgen, besteht stets die Gefahr, dass Datenbestände abfließen oder in die KI-Modelle der Anbieter einfließen.