• Entwicklung/Architektur
  • Methoden
  • Programmiersprachen
• Betrieb
  • Künstliche Intelligenz
  • Datenbanken
  • Server
  • IT-Security
  • Speicher
  • Netzwerke
  • Virtualisierung
  • Verfügbarkeit
• Management und Recht
  • Projektmanagement
  • Digitalisierung
  • IT-Recht
  • IT-Selbständige
  • IT-Karriere
• Aktuelles
• Termine
• IT-Jobs

☰

• Entwicklung
• Betrieb
• Management und Recht
• News
• IT-Jobs
• Newsletter

Sebastian Tappe 30. September 2025

Souveräne Cloud – Überblick und Lösungsansätze für die IT-Strategie

Was bedeutet Souveränität in der Cloud?

Bei einer souveränen Cloud geht es vor allem um Transparenz und Kontrolle über Infrastruktur, Daten und Systeme, die Unternehmen in der Cloud betreiben. Im Zuge der Datenhoheit sollten sie selbst bestimmen können, wie und wo ihre Daten gespeichert, verarbeitet und übertragen werden. Außerdem sollten sie den Zugang zu verschiedenen Standards und Technologien behalten, um die Abhängigkeit von einem einzelnen Anbieter, den sogenannten Vendor Lock-in, zu vermeiden. Schlussendlich sollten Cloud-Anbieter Unternehmen transparente Einsicht in Sicherheitsmaßnahmen, Datenflüsse und die Funktionsweise der Services gewähren. Souveränität lässt sich in vier verschiedenen Bereichen abbilden:

• Datensouveränität: Unternehmen behalten die Kontrolle über ihre Daten. Sie können steuern, wo und wie sie verarbeitet werden und wer darauf Zugriff hat.
• Wirtschaftliche Souveränität: Unternehmen legen ihren Fokus darauf, dass die gewählten Cloud-Anbieter wirtschaftlich souverän sind und ihre Leistungen langfristig erbringen können. So bleiben sie selbst langfristig handlungsfähig und minimieren Risiken.
• Technische Souveränität: Unternehmen haben die Fähigkeit, die genutzte Technologie zu verstehen und verfügen über die technologischen Voraussetzungen, den Anbieter jederzeit zu wechseln. Offene Standards und Open-Source-Technologien gelten hier als Schlüsseltechnologien.  
• Politische Souveränität: Unternehmen bleiben in ihren Cloud-Leistungen unabhängig von politischen Entwicklungen und Entscheidungen in anderen Ländern, wenn es um ihre Daten und Systeme geht.

Warum eine souveräne Cloud immer wichtiger wird

Das Thema Souveränität in der Cloud  war lange vor allem für Branchen mit besonders hohen Anforderungen an Datenschutz und Sicherheit relevant, etwa für die Gesundheitsbranche. Inzwischen hat es jedoch beispielsweise durch die geopolitischen Entwicklungen massiv an Bedeutung gewonnen und es gibt für alle Unternehmen und den öffentlichen Sektor immer mehr Gründe, sich mit dem Thema auseinanderzusetzen – sowohl aufgrund steigender Angebote als auch höherer Notwendigkeit.

Die Bedrohungslage nimmt zu
Einerseits aufgrund der geopolitischen Lage, andererseits aber auch durch immer weiter steigende Zahlen von Hackerangriffen wird die Bedrohungslage für Unternehmen immer kritischer. Die Wahrscheinlichkeit, von einem Angriff betroffen zu sein, steigt. Neben IT-Sicherheitsmaßnahmen wird dadurch auch der Bedarf an operativer Resilienz wichtiger. Wer wenige wirtschaftliche, politische und technologische Abhängigkeiten eingeht, ist klar im Vorteil.

Deutsche und EU-Cloud-Anbieter nehmen Fahrt auf
Seit einiger Zeit steigt die Nachfrage nach Cloud-Alternativen aus der EU oder Deutschland stark an. Unternehmen wünschen sich mehr Unabhängigkeit von Drittstaaten und mehr Sicherheit in Zeiten politischer Spannungen. Anbieter aus der EU und Deutschland wie etwa die Schwarz Gruppe mit STACKIT investieren aktuell massiv in den Ausbau souveräner Cloud-Lösungen.

Unsicherheit in der politischen Welt
Geopolitisch ist die Welt aktuell von Spannungen geprägt. Schon seit einigen Jahren sorgt Russland für diese Spannungen, spätestens seit dem Politikwechsel in den USA verspüren jedoch immer mehr Unternehmen starke Unsicherheit, insbesondere in der Partnerschaft mit Drittstaaten. Beispielsweise durch die Entlassung von Mitarbeitern des zuständigen Aufsichtsgremiums des EU-US Data Privacy Frameworks sind neue Unsicherheiten und Risiken für den Einsatz von US-Cloud-Diensten aufgekommen.

Neue US-Hyperscaler-Angebote
Neben Cloud-Anbietern in der EU und Deutschland investieren auch die US Hyperscaler eigenständig oder mit Partnern massiv in souveräne Cloud-Angebote und schließen beispielsweise Kooperationen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Souveräne Cloud-Anbieter von Hyperscalern bis lokalen Anbietern

Seit einiger Zeit steigt das Angebot an souveränen Cloud-Lösungen stark an. Marktrecherchen und Studien, beispielsweise die IDC 2023 EMEA Cloud Survey, zeigen jedoch einen Trend: Je weniger souverän ein Cloud-Dienst ist, desto größer ist der Funktionsumfang und die Skalierbarkeit, da klassische Public-Cloud-Strukturen eingesetzt werden können. Setzen Unternehmen eine sehr souveräne Cloud-Lösung ein, müssen sie oft auf Funktionen und Skalierung der Public Cloud verzichten und Mehrkosten berücksichtigen. Allerdings schaffen sie so Unabhängigkeit in einer kritischen geopolitischen Lage und halten die Datenhoheit und Kontrolle über ihre Daten und Technologien, ohne auf klassische On-Premises-Strukturen zurückgreifen zu müssen. Vor allem für KRITIS-Unternehmen wie Kliniken, öffentliche Behörden oder die Finanzbranche ist dieser Weg sinnvoll und oft nötig. Wir haben einen Überblick über die verschiedenen Grade an Souveränität in der Cloud und einige Beispiele für Cloud-Anbieter zusammengestellt.

Reguläre Angebote der US Hyperscaler
Die regulären Cloud-Angebote der großen Hyperscaler wie Amazon mit AWS, Microsoft mit Azure und Google mit der Google Cloud verfügen in der Regel über keine besonderen souveränen Strukturen. Sie betreiben ihre Dienste in Rechenzentren weltweit und geben Kunden über die Auswahl von Regionen die Möglichkeit, bei Datenspeicherorten, Übertragung und Verarbeitung mitzubestimmen. Die Souveränität ist damit aus mehreren Gründen eingeschränkt:

• Es bestehen geopolitische Abhängigkeiten aufgrund des Hauptsitzes in den USA. Vorrangig gelten entsprechend US-Gesetze, die in Konflikt mit deutschen oder EU-Gesetzen stehen können.
• Besonders der US Cloud Act wird nach wie vor kritisch gesehen, da US-Behörden dadurch Zugriff auf Daten von Nicht-US-Unternehmen erhalten können. Die Datensouveränität ist damit nicht gegeben.
• Hyperscaler kontrollieren die Prozesse und Infrastruktur in ihren Rechenzentren und gewähren in ihren regulären Angeboten meist keine Einblicke in die Funktionsweise und Sicherheitsmaßnahmen. Durch hohe Investitionen in diesem Bereich verfügen sie allerdings über ein hohes IT-Sicherheitsniveau und setzen modernste Sicherheitslösungen zum Schutz ihrer Systeme ein.

Einige souveräne Möglichkeiten – souveräne US Clouds
Sowohl die Hyperscaler als auch weitere US-Cloud-Anbieter haben inzwischen verschiedene souveräne Cloud-Lösungen entwickelt, teilweise in Partnerschaft mit EU-Unternehmen. Sie sorgen beispielsweise für souveräne Strukturen, indem die US-Cloud-Anbieter keinen Zugriff auf die Daten erhalten. Hier gibt es verschiedene Angebote:

• AWS EU Cloud: Amazon hat mit der AWS European Cloud in Brandenburg einen neuen Service gegründet, der die volle Leistungsfähigkeit von AWS bieten soll. Unternehmen sollen jedoch unabhängig und flexibel entscheiden können, wo Workloads ausgeführt werden sollen. Ende 2025 soll die erste AWS-Region der EU Cloud an den Markt gehen. Die Datenverwaltung soll innerhalb der EU erfolgen, ebenso sollen Unternehmen mit hohen Regulierungen die Datenverarbeitung in einem bestimmten Land erzwingen können. Auch der Betrieb durch AWS soll in der EU erfolgen.
• T-Systems Sovereign Cloud: Die T-Systems Sovereign Cloud ist als gemeinsames Produkt von T-Systems und Google Cloud entstanden. Es besteht vollständige Compliance mit deutschen Regulatorien, während die Public-Cloud-Funktionalitäten  des Hyperscalers bereitstehen. Die Verwaltung der Datenschlüssel erfolgt durch T-Systems, sodass Google keinen Zugriff auf die Daten erhält, die Speicherung erfolgt in Deutschland, der Support in der EU. Außerdem ist der Service als offene Plattform designt, sodass Unternehmen keinen Vendor Lock-in befürchten müssen.
• Delos Cloud: In Zusammenarbeit zwischen Delos, einer Tochter der SAP, und Microsoft ist eine souveräne Cloud-Lösung entstanden, die für den öffentlichen Dienst konzipiert wurde. Sie erfüllt alle Anforderungen des BSI – alle Daten verbleiben in Deutschland, der externe Datenaustausch wird durch das BSI kontrolliert und gesteuert, außerdem kann der Hyperscaler nicht auf Daten zugreifen. Microsoft liefert die Technologie, die Verantwortung für den Betrieb liegt hingegen bei Delos.

Hohes Souveränitätsniveau – EU-Cloudanbieter
Mit Anbietern wie STACKIT, IONOS und der OVHcloud gibt es außerdem einige europäische Clouds. Hier gibt es keine Partnerschaft mit US-Anbietern, sondern Produkt, Infrastruktur und Betrieb sind vollständig EU-basiert.

• STACKIT: STACKIT ist die Cloud-Einheit der Schwarz Gruppe und hat eine vollständig souveräne Cloud-Plattform aufgebaut. Die Server und Rechenzentren werden in Deutschland und Österreich betrieben und der Anbieter setzt auf Open-Source-Technologien.
• IONOS: Schon seit einigen Jahren ist IONOS einer der großen europäischen Cloud-Anbieter. Kunden können hier aus verschiedenen Rechenzentren in Deutschland und der EU wählen, um ihre Datensouveränität zu sichern. Außerdem verfügt der Anbieter über das BSI C5-Testat  und das IT-Grundschutz-Zertifikat.
• OVHcloud: Mit Local Zones, durch die Unternehmen selbst entscheiden können, wo ihre Daten gespeichert und verarbeitet werden, arbeitet OVHcloud. Auch hier besteht das BSI C5-Testat.

Maximale Souveränität – Defense Cloud & Sovereign Cloud Stack Clouds
Noch mehr Sicherheit benötigen beispielsweise Unternehmen im Verteidigungsbereich. IT-Lösungen, die in diesem Bereich eingesetzt werden, müssen die Klassifizierung ”Verschlusssache – Nur für den Dienstgebrauch“ (VS-NfD) erfüllen. Integriert werden hier vom BSI zertifizierte IT-Sicherheitsprodukte und -systeme. Cloud-Lösungen, die diese Anforderungen erfüllen, nennen sich Defense Cloud. Es handelt sich um hochsichere Kollaborationsplattformen, über die Unternehmen sich bei Datenübertragung und Kommunikation an strikte Sicherheitsrichtlinien halten können. Anbieter dafür ist beispielsweise DATAGROUP.

Ein weiteres Beispiel für ein besonders hohes Souveränitätsniveau (vornehmlich technische Souveränität) bieten Clouds, die auf dem ”Sovereign Cloud Stack (SCS)“ basieren. Dabei handelt es sich um eine offene, europäische Cloud-Infrastruktur, die auf Basis von Open-Source-Technologien wie Open Stack und Kubernetes entwickelt wurde. Erarbeitet wurde dieses Modell, um insbesondere in öffentlichen Einrichtungen und Unternehmen, die unabhängig von Cloud-Anbietern aus Drittstaaten bleiben möchten, Souveränität zu schaffen. Mit offenem Quellcode, transparenten Entwicklungsprozessen und europäischen Datenschutzstandards garantiert SCS höchste Kontrolle über Daten und Systeme. Unternehmen können den Stack vollständig in Europa betreiben, durch den Open-Source-Standard auch in Eigenentwicklung. So schaffen die Anbieter von SCS Unabhängigkeit von US Hyperscalern und stellen Interoperabilität und Sicherheit in den Mittelpunkt.

Der Weg in die souveräne Cloud: die Rewion Roadmap

Wie können Unternehmen jetzt aber eine souveräne Cloud-Infrastruktur aufbauen? Wie so oft gibt es auch hier nicht den einen richtigen Weg. Vielmehr steht jedes Unternehmen vor der Herausforderung, den passenden Weg für die individuellen Anforderungen zu finden. Rewion hat die Cloud Transformation Roadmap erarbeitet, um Unternehmen in vier Phasen strukturiert auf ihrem Weg in die souveräne Cloud zu begleiten.

Phase 1: Cloud Vision & Strategie
Der Weg in die Cloud beginnt immer mit einer Vision und daraus abgeleitet einer individuellen Strategie. Im Zuge der Cloud-Vision definieren Unternehmen, welche Ziele sie durch den Einsatz der Cloud erreichen möchten, wie das Unternehmen sich weiterentwickeln soll und welche Technologien dafür nötig sind. Auf dieser ersten Basis entsteht die Cloud-Strategie. Hier werden konkrete Ziele festgehalten, die wiederum die IT- und Unternehmensstrategie berücksichtigen. Beispielsweise können Ziele mehr Agilität sein oder eine skalierbare IT-Umgebung, die mit dem Unternehmen mitwächst. Bereits jetzt ist es wichtig, Souveränität als Fokusthema zu verankern. So kann etwa die Nutzung von Open-Source-Technologien für die technische Unabhängigkeit und die Einhaltung der DSGVO aufgenommen werden.

Phase 2: Cloud Planung & Design
Im nächsten Schritt wird festgelegt, wie die souveräne Cloud-Architektur konkret aussehen soll, welche Prozesse und Technologien etabliert werden sollen. Wie gut das Unternehmen auf die Cloud vorbereitet ist, zeigt beispielsweise ein Cloud Readiness Assessment, Workshops und Interviews mit verschiedenen Mitarbeitern und Führungskräften helfen bei der Bestimmung der nötigen Technologien und Prozesse. Außerdem geht es in dieser Phase um die Prüfung der geplanten Dienste auf ihre Souveränität. Ist etwa der Einsatz von Rechenzentren in der EU oder Deutschland geplant und werden die notwendigen Verschlüsselungstechnologien genutzt? Das Zielbild wird auf einem Cloud Blueprint festgehalten, Prozesse und Richtlinien werden durch ein Proof of Concept geprüft. Die Ressourcenplanung mit Personal, Kosten und Zeit schließt die Planungs- und Designphase ab.

Phase 3: Cloud Verantwortlichkeiten & Prozesse
In der nächsten Phase werden Verantwortlichkeiten und Prozesse in einem Cloud Governance Framework festgehalten. Es hat die Aufgabe, die Einhaltung souveräner Sicherheits- und Betriebsstandards zu gewährleisten und gibt Antworten auf Fragen wie ”Welche Mitarbeiter dürfen auf welche Daten zugreifen?“, “Wie kann das Risiko durch Einflüsse von Anbietern aus Drittstaaten minimiert werden?“ und ”Wie können Berechtigungen überprüft werden?“ Außerdem schafft das Framework einen Raum für die Steuerung von Verwaltung, Bereitstellung, Betrieb und Kontrolle der Cloud. Abgeschlossen wird diese Phase mit der technischen Implementierung der Lösungen der gewählten Cloud-Anbieter.

Phase 4: Cloud Festigung & Expansion
Ist die Implementierung abgeschlossen, liegt der Fokus auf dem erfolgreichen Betrieb und der Weiterentwicklung der souveränen Cloud. Unternehmen haben die Aufgabe, Möglichkeiten zur Erweiterung zu prüfen, Optimierungspotenziale zu entdecken und die Souveränitätskriterien kontinuierlich zu überwachen, um etwa neue gesetzliche Anforderungen zu erfüllen. Optimiert werden kann die Cloud beispielsweise durch Automatisierungen, gefestigt wird sie wiederum durch Schulungen für Mitarbeiter und Möglichkeiten für Self-Services bei Fragen und Problemen in der Anwendung. Werden neue Dienste eingeführt, sollten sie immer auf die definierten Souveränitätskriterien geprüft werden.

Cloud Exit Strategy: Souveränität auch beim Wechsel
Um souverän zu agieren, sollten Unternehmen jederzeit die Möglichkeit haben, einen Cloud-Anbieter kontrolliert zu verlassen. Dabei handelt es sich um eine sogenannte Cloud Exit Strategy. Diese Strategie legt fest, wie Unternehmen Daten, Systeme und Anwendungen bei Bedarf zu einem neuen Anbieter migrieren oder in eine lokale Infrastruktur zurückführen können, ohne dass ein Kontrollverlust entsteht oder der Betrieb unterbrochen wird. Festgehalten werden hier sowohl organisatorische Prozesse, wie vertragliche Regelungen als auch technische Voraussetzungen, wie offene Standards und Portabilität. Mit einer fundierten Exit-Strategie schützen Unternehmen sich vor Abhängigkeiten.

Chancen & Herausforderungen in Multi-Cloud-Szenarien

Ein möglicher Weg, Souveränität in die Praxis umzusetzen und die Vorteile der Cloud voll auszuschöpfen, ist der Aufbau einer Multi-Cloud-Strategie. Sobald ein Unternehmen Dienste von mehr als einem Cloud-Anbieter bezieht, handelt es sich um ein Multi-Cloud-System. So können Unternehmen Leistungen von Hyperscalern wie Microsoft oder Amazon mit EU-Diensten wie STACKIT kombinieren und eine Cloud-Landschaft aufbauen, in der sensible Daten in souveränen Cloud-Umgebungen verarbeitet werden und weniger kritische Daten in den flexiblen und oft kostengünstigeren sowie leistungsfähigeren Optionen der Hyperscaler. Eine Multi-Cloud-Strategie bringt mehrere Vorteile für Unternehmen mit sich:

• Sie können genau die Lösungen einsetzen, die zu ihren Bedürfnissen passen, auch wenn sie von verschiedenen Anbietern kommen.
• Sie geraten nicht in Gefahr, in einen Vendor Lock-in zu rutschen.
• Durch verschiedene Leistungspakete können sie ihre Cloud-Kosten oft optimieren und von Rabatten profitieren.
• Es besteht kein Risiko eines Single Point of Failure, falls der Dienst eines Anbieters ausfällt.

Herausforderungen hingegen liegen beispielsweise in der komplexen Verwaltung, dem Kostenmanagement und der Implementierung von einheitlichen Sicherheitskontrollen und Richtlinien. Wichtig sind demnach eine detaillierte und engmaschige Verwaltung und eine zentrale Verwaltungslösung für alle Tools und Services, über die die gesamte Cloud-Landschaft gesteuert und verwaltet werden kann.

Fazit: die souveräne Cloud als zukunftssicherer Weg für Unternehmen

Souveräne Cloud-Lösungen haben sich zum wichtigen Baustein für moderne IT-Strategien entwickelt. Sie ermöglicht Unternehmen, regulatorische Anforderungen zu erfüllen, Datenhoheit zu wahren und sich unabhängig von geopolitischen Risiken aufzustellen. Setzen sie dabei konsequent auf offene Standards, transparente Prozesse und Wahlfreiheit im Datenspeicherort, schaffen sie die Grundlage für eine souveräne Cloud-Umgebung. Multi-Cloud-Szenarien können diesen Ansatz sinnvoll ergänzen, besonders dann, wenn souveräne und Public-Cloud-Dienste gezielt kombiniert werden, um Flexibilität, Skalierbarkeit und Compliance in Einklang zu bringen.

Autor