„Erst wenn die Flut zurückgeht, sieht man, wer nackt geschwommen ist“, schrieb einst Investor Warren Buffett. Europäische Konsumenten, Unternehmen und Behörden planschten in den letzten Jahrzehnten teils unbedarft, teils begeistert in einer Flut US-amerikanischer Cloud-Services, neuerdings auch in Wogen von KI-Angeboten. Doch im Weißen Haus sitzt ein unberechenbarer egomanischer Autokrat, der die digitale Vorherrschaft der USA jederzeit als Druckmittel nutzen würde. Deshalb sollte spätestens jetzt klar sein: Die digitalen Gewässer sind tückisch, voller gefährlicher Strömungen – und kein Ort für hüllenlosen Badespaß. Sich an ein sicheres Ufer zu retten, wird schwierig sein, doch es gibt Schwimmhilfen und Rettungsringe.
Um zu diskutieren, wie Europa sich am eigenen Schopf aus der Brandung des amerikanischen Cloud-Ozeans ziehen kann, trafen sich Bundeskanzler Friedrich Merz und der französische Präsident Emmanuel Macron letzten November zum Digitalgipfel in Berlin. Europa müsse in vereinter Kraftanstrengung seinen eigenen Weg zur digitalen Souveränität gehen, sagte Merz, um dann einzuschränken: „… wo es erreichbar ist.“
Dieser kleinlaute Nachsatz klang sehr nach Buffets barhäutigem Badegast. In die gleiche Kerbe schlug auch der stets scharfzüngige Marktbeobachter Dirk Specht auf Linkedin: „Ich hätte es aber angemessener gefunden, wenn [Merz diese Rede] statt im Maßanzug in einer Unterhose Marke Schiesser Feinripp Ausführung Mitte 60er gehalten hätte, ergänzend, dass er jenes Kleidungsstück aus inhaltlichen Gründen ebenfalls hätte weglassen müssen.“
Doch des Kanzlers Zögern ist durchaus berechtigt: Digitale Souveränität ist schwierig. „Wir in Europa brauchen die Globalisierung, aber zugleich erschwert sie es uns, digitale Souveränität zu erzielen“, sagte mir Gartner-Analyst René Büst letzten Sommer im Interview. Sein vernichtendes Urteil: „Pragmatisch ist es für Europa derzeit nahezu unmöglich, digital souverän zu sein.“
Begrenzter Badespaß
Was das digitale Badevergnügen stark einschränkt: Europäische Schwimmer und Schnorchler können nur in geringem Maße beeinflussen, wohin die Silicon-Valley-Strömung sie treibt. Die herbeigesehnte digitale Souveränität erfordert deshalb deutlich mehr Elan in der Fortbewegung als das bisher übliche lustlose Paddeln.
Das betrifft Konsumenten (auch wenn diese es oft nicht wahrhaben wollen), Unternehmen (wo man sich teils verzweifelt an eine in EU-Farben angepinselte Microsoft-Luftmatratze klammert) und insbesondere die Öffentliche Hand. Denn hier erfordert es das Ziel staatlicher Souveränität, sich in digitalen Dingen möglichst schnell freizuschwimmen.
Monopolartige Struktur
Doch angesichts von 80 bis 90 Prozent Marktanteil bei Büro- und Collaboration-Software in der europäischen Verwaltung bescheinigte Michael Kolain, Senior Fellow am Cyberintelligence Institute (CII), dem Cloud-Schlachtschiff Microsoft eine „monopolartige Struktur“. Dies sei „kartellrechtlich problematisch“, so der Jurist, zudem herrsche auf Kostenseite ein „Transparenzproblem“.
Bei einer Online-Pressekonferenz im Vorfeld des Souveränitätsgipfels konstatierte Kolain: „In diesen Zeiten steht es dem deutschen Staat sehr schlecht zu Gesicht, dass er sich so abhängig gemacht hat von einem großen Anbieter.“
Denn Microsofts Geschäftsstrategie beruht – das kann selbst dem letzten Luftmatratzen-Matrosen nicht entgangen sein – auf dem stetigen Ausbau seiner Marktdominanz mittels Lock-in-Effekten, also Mechanismen, die einen Anbieterwechsel erschweren. Nicht umsonst hat der Konzern sein Lizenzmodell schon längst auf Abonnements und Cloud-Zentrierung umgestellt – und arbeitet nun mit der Copilot genannten KI-Assistenzfunktion daran, nach Anwender-Hardware und -Applikationen auch immer mehr Anwenderdaten in den datenunsicheren Hafen der Azure-Cloud zu locken. Was es erlaubt, darauf aufbauende Auswertungen bei sich zu bündeln.
Bedrohte Unternehmensdaten
Im Brennpunkt der Diskussion um digitale Souveränität steht meist das Risiko, US-Cloud-Provider wie Microsoft, Amazon oder Google könnten die Daten europäischer Unternehmen auf Anweisung von US-Behörden abgreifen. In der Tat bestätigte kürzlich ein Gutachten von Rechtswissenschaftlern der Universität Köln, dass gleich mehrere US-Gesetze – der hierbei oft genannte Cloud Act, aber auch der Stored Communications Act (SCA) und der Foreign Intelligence Surveillance Act (FISA) – in den USA tätige Anbieter zur Datenherausgabe verpflichten. Dies übrigens unabhängig davon, wo auf der Welt die Daten gespeichert sind, und ohne die Kunden darüber informieren zu dürfen, dass ihre Interna gerade heimlich gen Sonnen- und Souveränitätsuntergang segeln.
All das geben die Cloud-Kapitäne natürlich höchst ungern zu. „Wir erleben zur Zeit ein sogenanntes Souveränitäts-Washing“, beklagt Kolain. Dies gelte insbesondere im Hinblick auf europäisch-amerikanische Kooperationen, die laut dem CII-Experten letztlich keinen wirksamen Schutz bieten.
„Microsoft hat in der Vergangenheit explizit mit Maßnahmen geworben, die angeblich eine höhere Datensicherheit im transatlantischen Datenaustausch gewährleisten beziehungsweise Zugriffe nach Möglichkeit ausschließen sollen“, kommentierte CII-Forschungsdirektor Dennis-Kenji Kipker an anderer Stelle mit stirngerunzeltem Blick auf die von Microsoft als Rettungsring propagierte „Datengrenze“, um fortzufahren: „Jetzt stellt sich heraus, dass diese blumigen Werbeversprechen, die Diskussionen um Datengrenzen und teilsouveräne Clouds keine effektiven Schutzmechanismen darstellen.“
Manche Juristen sehen hier keinen Anlass zur Sorge, gelte in der EU doch EU-Recht, sprich: die Datenschutz-Grundverordnung (DSGVO). Allerdings haben die USA – erst recht unter dem aktuellen Regime – keine sonderlich beruhigende Historie, wenn es um die Einhaltung von internationalem Recht oder Gesetzen anderer Länder geht. Bei einer Anhörung des franzöischen Parlaments musste der Chefjustiziar von Microsoft France sogar öffentlich eingestehen, dass europäische Daten letztlich bei Microsoft nicht vor US-Zugriff geschützt sind.
Risiko: Zugang zu Cloud-Services gesperrt
Zum Datensicherheitsrisiko gesellt sich eine zweite zentrale Befürchtung: US-Provider könnten unliebsamen Anwendern oder Unternehmen auf Geheiß des US-Regimes einfach den Cloud-Hahn abdrehen. Dies erlitt letzten Mai laut Associated Press Karim Khan, der Chefankläger des Internationalen Strafgerichtshofs (ICC) in Den Haag, nachdem er Trumps Busenfreund Benjamin Netanjahu gerichtlich belangen wollte.
Kurz nach dem erwähnten Digitalgipfel erzählte dann ICC-Richter Nicolas Guillou der französischen Zeitung Le Monde, was es bedeutet, in den Strudel der US-Sanktionen gezogen zu werden: Alle Online-Konten Guillous wurden gesperrt, von Amazon bis PayPal; er konnte nicht einmal mehr über Expedia ein Hotel in Frankreich buchen – und saß damit in der digitalen See auf einer einsamen Insel fest.
Europäische Schwimmwesten
Trotz dieser prekären Lage: Europäische Unternehmen, Behörden und Verbraucher sind den US-Digitalkonzernen nicht schutzlos ausgeliefert. Erstens hat die EU in den letzten Jahren eine umfassende (obschon oft kritisierte) Digitalgesetzgebung etabliert: Digital Markets Act, Digital Services Act, DSGVO & Co. lassen sich als rechtliche Rettungsboote gegen übermächtige oder gemäß Trump-Willkür agierende Konzerne einsetzen. Wenn die EU sich denn trotz drohender Sanktionen und Zölle politisch traut und das dann auch juristisch durchsetzt. Und wenn die jeweils zuständige Behörde den Sturmböen trotzt – was z.B. bei der irischen Datenschutzaufsicht gegenüber Facebook & Co. offenbar allzu selten der Fall ist.
Zweitens stehen zahlreiche europäische Anbieter bereit, rettende Schwimmwesten zuzuwerfen. „Hyperscaler sind Kraken, die einen umarmen, bis man kaum noch herauskommt“, sagt z.B. Armin Simon, Vertriebsleiter Deutschland der französischen Thales-Konzerntocher Thales Cybersecurity Products. Um sich dieser Zwangsumarmung zu entziehen, sollten Unternehmen laut Simon zuerst ermitteln, welche Services man nutzt, um dann die Unternehmensdaten nach und nach zu klassifizieren. Die Anschlussfrage laute dann: Wo nutze ich kritische Services, deren Ausfall mein Unternehmen stark gefährden würde? Vorrangig hier gelte es, Redundanzen zu schaffen.
Digitale Souveränität besteht, so Simon, aus drei Aspekten: Daten-, technologische und operative Souveränität. „Wichtig dabei: Es geht um Handlungsfähigkeit, nicht um Autarkie“, betont er. Die größten Lücken bestünden bei der Datensouveränität. Hier seien Verschlüsselung und Key-Management die entscheidenden Aspekte. „Mittels DKE (Double Key Encryption) könnte man die Daten für Microsoft unlesbar machen“, sagt er, „aber die meisten Unternehmen nutzen Microsoft-Services ohne DKE.“ Der Verzicht auf die Badehose birgt aber, wie eingangs erwähnt, je nach Wasserstand das Risiko unerwünschter Einblicke.
Bei der Parallelnutzung mehrerer Clouds, im Unternehmensumfeld weit verbreitet, stellt Armin Simon einen Wandel fest. „Multi-Cloud bedeutete früher oft: Ein Unternehmen bezieht einen Service bei einem Cloud-Provider, einen zweiten bei einem anderen Provider. Dadurch ist man an zwei Stellen abhängig“, mahnt er. Thales helfe seit 2023 verstärkt, Systeme so aufbauen, dass sie plattformunabhängig laufen. „Mittels Container-Technologie ist man unabhängig von der Plattform“, so Simon. So könne man einen Service auch bei zwei Hyperscalern gleichzeitig betreiben – oder auch bei regionalen Providern.
„Beim Einsatz von Microsoft 365 besteht das Risiko, dass die Unternehmensdaten komplett ausgewertet werden“, sagt Sebastian Cler, Chief Sales & Operations Officer beim Münchner Service-Provider SpaceNet. „Denn Microsofts KI basiert auf sämtlichen Daten der Anwenderunternehmen, das ist Microsofts Wettbewerbsvorteil.“ Die Frage sei also, inwieweit ein Unternehmen da mitspielen möchte. Man könne auf andere US-Anbieter wie Google oder Apple ausweichen – oder aber auf europäische Alternativen wie Nextcloud, deren Services SpaceNet betreibt. Sein Rat: „Es ist hilfreich, das Risiko zu verstehen und sich dann aktiv dafür zu entscheiden, welches Risiko man eingehen will.“
OSS statt USS
Neben alternativen Anbietern aus der EU kann laut Fachleuten insbesondere Open-Source-Software (OSS) eine Alternative zu digitalen Schlachtschiffen wir der „USS Microsoft“ bieten. Denn quelloffene Software liegt außerhalb firmeneigener oder nationaler Hoheitsgewässer. Der Staat kann bei deren Verbreitung, so Kanzler Merz auf dem Digitalgipfel, als „Ankerkunde“ auftreten.
So setzt zum Beispiel die Landesverwaltung von Schleswig-Holstein nun konsequent auf Open Source: Zunächst hat sie knapp 44.000 E-Mail-Postfächer von Microsoft auf die OSS-Lösung Open-Xchange migriert. Der nächste Meilenstein: „Auf nahezu 80 Prozent aller Arbeitsplätze, außerhalb der Steuerverwaltung, wird über sämtliche Ressorts hinweg mit der Open-Source-Büro-Software LibreOffice gearbeitet“, berichtete Dirk Schrödter, Digitalisierungsminister des Landes, Anfang Dezember. Microsoft Office und Outlook seien hier bereits deinstalliert oder die Deinstallation laufe gerade.
Bei den verbleibenden 20 Prozent habe man für die kommenden Monate Anpassungspfade definiert. Die Umstellung erfordert laut Schrödter einmalige Investitionen von neun Millionen Euro, spare aber allein im Jahr 2026 bereits über 15 Millionen Euro an Lizenzkosten.
Ganz ohne gefährliche Untiefen verläuft eine solche Migrationsroute aber nicht. „Der Charme von Microsoft liegt darin, dass es eine Lösungssuite ist. Das bekommt man nicht von heute auf morgen abgelöst“, erläutert Jörg von der Heydt, DACH-Chef beim Security-Spezialisten Bitdefender aus Bukarest. Zumal OSS aus seiner Sicht nicht nur Vorteile hat: „Auch die dunkle Seite der Macht kennt dann die Schwachstellen.“ Open-Source-Verfechter betonen allerdings, dass kritische Schwachstellen in OSS dank der großen Entwickler-Community in aller Regel schnell geschlossen werden – wohingegen mitunter viel Wasser den Rhein runterfließt, bevor Anbieter proprietärer Software den Rettungsanker entwickeln.
Küste voller Klippen
Die Cloud und Office-Software sind aber nur zwei der vielen schroffen Klippen, die souveränitätswilligen Schwimmern die freie Bahn versperren. „Die großen Firewall-Hersteller kommen aus Israel oder den USA, aber es gibt Alternativen aus Deutschland und Frankreich“, sagt von der Heydt. „Beim Switching hingegen wird das Eis schon dünn.“ Tja, nun. Aber Schwimmen im Eiswasser ist eh nicht jedermanns Sache.
Dem gegenüber betont Bitdefender-Manager von der Heydt: „Ein mittelständisches Unternehmen mit Security-Lösungen ausschließlich aus Europa auszustatten, das ist möglich.“ Bitdefender z.B. hostet seine Cybersecurity-Plattform GravityZone in der souveränen OpenStack Cloud von SysEleven, einer Tochter des Security-Anbieters Secunet aus Essen.
Ein weiterer wichtiger Aspekt des Freestyle-Schwimmens: sichere echtzeitnahe Kommunikation. Hier dominiert WhatsApp, doch es gibt Alternativen, von der US-amerikanischen Open-Source-App Signal (die einst schon Geheimdienst-Whistleblower Edward Snowden empfahl) über Threema aus der Schweiz bis Wire.
„Unser ‚Sweet Spot‘ waren traditionell die Öffentliche Hand sowie private Organisationen, die großen Wert auf Sicherheit und Datenschutz legen“, sagt Benjamin Schilz, CEO des Secure-Communications-Anbieters Wire, einer Tochter der Wire Group Holdings in Berlin, „zudem Großunternehmen, die kritische Kommunikation z.B. der M&A- oder der Rechtsabteilung schützen wollen.“ Nun aber erlebe Wire „zunehmende Nachfrage aufgrund der Diskussion um digitale Souveräntität“, so Schilz, „und das nicht nur in Europa.“ Als Wires großes Alleinstellungsmerkmal bezeichnet deren CEO das hauseigene MLS-Protokoll (Messaging Layer Security). Denn es ermögliche eine hoch skalierende Ende-zu-Ende-Verschlüsselung.
Fazit: Raus aus dem Planschbecken
In vielen Bereichen – obschon längst nicht in allen – gäbe es also durchaus Alternativen zu den dominierenden IT-Angeboten aus den erratisch-autokratisch regierten USA. Man müsste sich eben die Mühe machen, auf diese Angebote umzustellen und sich dort einzuarbeiten, selbst wenn es mit Aufwand verbunden ist. So wäre zumindest teilweise mehr Unabhängigkeit in digitalen Dingen möglich.
Europäische Unternehmen und Behörden (wie übrigens auch Konsumenten, Stichwort Digital Independence Day) stehen deshalb vor der Herausforderung, sich nicht mehr mit dem allzu vertrauten Planschen im wohltemperierten Cloud-Kinderbecken zufriedenzugeben, sondern die Schwimmflügelchen abzulegen und zielstrebig, schnell und umfassend für den Digitalisierungs-Freischwimmer zu trainieren. Auch wenn „zielstrebig, schnell und umfassend“ im Behörden- und Unternehmensumfeld eine eher selten anzutreffende Kombination ist. Andernfalls jedoch wird die oft beschworene „digitale Souveränität Europas“ baden gehen.
Hat euch dieser Text gefallen? Dann erzählt doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Bild: Dr. Wilhelm Greiner
IT Info 2 Go 