Wie behalte ich meine Souveränität in der Cloud?
Am Gang in die Cloud führt heute kaum ein Weg vorbei. Doch je nach Anwendungsfall und Geschäftsstrategie muss dieser nicht immer zu den großen Hyperscalern führen. Wir stellen wichtige Souveränitätsaspekte und europäische Angebote vor.
Souverän - muss nicht einsam machen, darf aber auch nicht mehr kosten
Unter dem Begriff »Souveränität« versteht man allgemein die Fähigkeit zu ausschließlicher Selbstbestimmung. Diese Selbstbestimmungsfähigkeit wird durch Eigenständigkeit und Unabhängigkeit gekennzeichnet. Sie grenzt sich einerseits von Fremdbestimmung und andererseits von Autarkie ab.
Ähnlich wie beim Thema Sicherheit ist Souveränität eher ein Prozess als ein finaler Zustand. Dabei muss man immer bedenken, welchen Preis man bereit ist zu zahlen und welche Risiken man bewusst dabei eingehen möchte. Zunächst kann man Souveränität auf verschiedenen Ebenen (Abb. 1) messen.
- Datensouveränität: ist ein wichtiger Bestandteil der digitalen Souveränität. Als Teil der informationellen Selbstbestimmung erlaubt sie die vollständig selbstbestimmte Kontrolle über die Erhebung, Speicherung, Nutzung und Verarbeitung der eigenen Daten. Die Datensouveränität bezieht sich nicht nur auf den Schutz personenbezogener Daten, sondern soll vor allem den selbstbestimmten Umgang und die volle Kontrolle über alle Vorgänge der Erhebung, Speicherung, Nutzung und Verarbeitung eigener Daten ermöglichen. Hier spielen die Themen Datenresidenz, Verschlüsselung, Backup/Restore und Datentransfer eine große Rolle.
- Operative Souveränität: bedeutet im Sinne des geteilten Verantwortungsmodells, dass der Cloud-Anbieter keine Möglichkeit hat, Einfluss auf die Workloads der Kunden und deren Verteilung in der Cloud zu nehmen. Das schließt eine Wechselfähigkeit (Portabilität) ein, um die Freiheit zu haben, den Anbieter wechseln zu können.
- Technologische Souveränität: Der Einsatz von Open Source Software stärkt die digitale Souveränität in den Bereichen Weiterentwicklungs-, Anpassungs- und Wechselmöglichkeit. Ein anderer wichtiger Aspekt dabei ist die Verwendung von offenen APIs oder Standards. Die Transparenz und Nachvollziehbarkeit bei der Pflege des Quellcodes und der verwendeten Komponenten ist wichtig, um die Software selbständig an die eigenen Bedürfnisse anpassen zu können. Damit kann Open Source Software oft länger sicher betrieben werden, als es bei kommerziellen Herstellern der Fall ist.
Über Gesetze, wie US Cloud Act, SCHREMS, CRA, NIS2 oder KRITIS, kommen immer mehr rechtliche Anforderungen, die zeitnah umgesetzt werden müssen und oft mit Souveränität zusammenhängen. Auch das Thema Resilienz von IT-Infrastrukturen spielt eine immer größere Rolle.
Leider ist es aktuell und in naher Zukunft so, dass kein Weg an dem Angebot der großen US-Cloud-Anbieter vorbeiführt. Selbst wenn man keine eigene Software dort betreibt, werden über SaaS bereits viele Dienste, beispielsweise Microsoft/Office365, Salesforce, ServiceNow oder Zoom, dort genutzt.
Die Cloud-Anbieter sind bestrebt, unabhängige Regionen und Dienste zur Verfügung zu stellen, um die Unabhängigkeit zu erhöhen. Doch erst 2026 sind Angebote, wie die AWS ESC (European Sovereign Cloud), Microsoft Sovereign Cloud oder Sovereign Cloud von Google vollständig verfügbar.
Bis dahin kann man einige Vorkehrungen treffen, wie externe Schlüsselmanagementsysteme, Verschlüsselung und die Verwendung von Sovereign Controls. Doch erst mit air-gapped Softwarewartung und rechtlich eigenständigen europäischen Gesellschaften wird hier der Zugriff von amerikanischen Behörden und Mitarbeitern verhindert.
Souveräne Cloud-Angebote im Vergleich
Deswegen ist es gut, dass es neben den Hyperscalern mit OVHcloud, Stackit, IONOS und Telekom große europäische Cloud-Anbieter als Alternativen gibt. Ähnlich wie bei den souveränen Angeboten der Hyperscaler sind auch ihre Angebote sehr unterschiedlich und eigentlich nicht allgemein vergleichbar.
Das hat einerseits mit den unterschiedlichen Geschäftsmodellen, aber auch Strategien zu tun. Wir stellen hier die wichtigsten souveränen Cloud-Angebote vor. Wie man in der folgenden Darstellung von ISG sieht, gibt es noch mehr Anbieter. Wir wollen uns jedoch auf die bekanntesten und führenden Anbieter konzentrieren.
Wenn man die einzelnen Anbieter vergleichen möchte, ist neben der Anzahl der angebotenen Dienste sicher auch interessant, wo und wie viele Rechenzentren in Europa angeboten werden. Das ist wichtig, um unterschiedliche Anwendungsfälle mit den passenden Diensten ausfallsicher und skalierbar umsetzen zu können. Denn eines der Grundprinzipien und Argumente für die Cloud ist die Elastizität und die verbrauchsabhängige Abrechnung. Daraus ergibt sich das bekannte verteilte Verantwortungsmodell zwischen Anbieter und Nutzer. Hier muss man auf jeden Fall seine eigenen Prozesse an die des Cloud-Anbieters anpassen, um Doppelarbeit und Reibungsverluste zu vermeiden. Eine Entscheidung für größere Anbieter gegenüber kleineren Hostern ist auch der zukünftigen Verlässlichkeit geschuldet. Um eine spätere Wechseloption zwischen den Anbietern zu haben, ist es wichtig, ein gute Balance zwischen höherwertigen, aber teilweise proprietären Cloud-Diensten (PaaS, KaaS, FaaS) und dem eigenen Pflegeaufwand zu halten, wenn man eigene Dienste auf Cloud-Basisdiensten (IaaS) verwendet, um nicht so abhängig zu sein. Die Pflegezyklen für die angebotenen Dienste sind sowohl vom Dienst als auch vom Anbieter recht unterschiedlich. Hier kann es passieren, dass proprietäre Clouds vom Cloud-Anbieter eingestellt werden und dadurch der Zwang besteht, auf eine Alternative zu wechseln.
In der folgenden Tabelle sieht man, dass OVHcloud und die Open Telekom Cloud (OTC) als älteste Cloud-Anbieter in Europa mehr Rechenzentren und Dienste als IONOS und Stackit aufzuweisen haben. Aber auch die Anzahl höherwertiger Dienste ist bei beiden größer. Das trifft vor allem für die Verfügbarkeit von leistungsfähigen NVIDIA GPUs zu, was für den souveränen Betrieb und Entwicklung eigener KI-Modelle und Anwendungen immer wichtiger wird. Auch bei der BSI C5-Zertifizierung gibt es hier Unterschiede. Um mit regionalen (Teil-)Ausfällen umgehen zu können, wird es wichtig sein, dieselben Dienste auch in einer ausreichenden Entfernung betreiben zu können. Hier kann man bei den Hyperscalern sicher auf die Public Cloud Region in Frankfurt zurückgreifen. Das bedeutet jedoch auch, dass man alle Dienste hier separat einrichten und Daten spiegeln muss, da diese ja physisch voneinander getrennt sind. Das ist bei europäischen Anbietern sicher einfacher und auch mit weniger Kosten verbunden. Hier muss man seine eigenen SLAs mit denen des Cloud-Anbieters gut vergleichen und schauen, mit welchen Maßnahmen und Diensten man diese am besten erreicht.
Da es sich bei den meisten souveränen Cloud-Projekten eher um Verlagerung als Neuentwicklungen handelt, muss ein Wechsel wie ein Migrationsprojekt geplant werden. Je nach Anforderung und Strategie wird eine souveräne Cloud-Anwendung auch eine hybride oder Multi-Cloud nutzen.
Souveräne Cloudangebote im Überblick:
| Provider | Headquarter Location | DCs | AZs | >100 km HA | Core services | BSI C5 | Services |
|---|---|---|---|---|---|---|---|
| OVHcloud | France | 18 | 54 | x | 70+ | Type II: 2020 | IaaS, PaaS, KaaS, Bare Metal, GPU |
| Open Telekom Cloud | Germany | 6 | 6 (NL, DE), 3 (CH) twin-core | x | 60+ | Type II: 2020 | IaaS, PaaS, KaaS, FaaS, Bare Metal, GPU |
| IONOS 1&1 | Germany | 10 | 20 | - | 35+ | Type I: 2019 | IaaS, PaaS |
| Stackit | Germany | 2 | 6 (AT, DE) | x | 25+ | Type I: 2020 | IaaS, PaaS, KaaS, FaaS |
| AWS ECS | Germany | 1 (37) | 3 (117) | (x) | 88 (220) | Type II: 2020 | IaaS, PaaS, KaaS, FaaS, Bare Metal, GPU |
| GCP sovereign | US/Germany air gapped | 1 (31) | 3 (94) | (x) | ? (100) | Type II: 2020 | IaaS, PaaS, KaaS, FaaS, Bare Metal, GPU |
| Azure sovereign | US | 54 | 36 x3 + 18 | (x) | ? (300) | Type II: 2020 | IaaS, PaaS, KaaS, FaaS, Bare Metal, GPU |
Um souveräne Anforderungen unabhängig vom Anbieter umsetzen zu können, braucht man meist entsprechend spezialisierte Cloud-Dienstleister, die sich einerseits mit der Migration, aber auch mit souveränen Diensten des Anbieters entsprechend auskennen. Insofern ist nicht nur der Cloud-Anbieter, sondern auch die Größe des Partnernetzwerkes ein entscheidender Faktor für eine erfolgreiche Cloud-Nutzung.
Da es bei größeren Firmen oft auf einen Cloud-Mix hinauslaufen wird, ist es gut, wenn die Dienstleister breit aufgestellt sind und Know-how und Partnerschaften mit mehreren Cloud-Anbietern pflegen. Exemplarisch sei hier auf das neue T-Cloud-Angebot der deutschen Telekom und T-Systems hingewiesen, das für jede Stufe der Souveränität das passende Angebot verfügbar hat.
Fazit
Das Problem der einseitigen Abhängigkeit von amerikanischen Herstellern ist schon länger bekannt. Doch erst in letzter Zeit bekommt das Thema digitale Souveränität eine politische und strategische Bedeutung. Inzwischen gibt es im Cloud-Bereich europäische Alternativen (OVHcloud, Stackit, IONOS, Telekom) zu den großen Hyperscalern (AWS, Azure und Google), was gerade im Hinblick auf eine stärkere KI-Nutzung immer wichtiger wird. Erste Firmen, wie z.B. T-Systems, haben bereits einen Chief Technology Officer benannt, um das Thema nachhaltig weiterzuentwickeln. Das Thema digitale Souveränität wird uns noch länger begleiten und hat viele Facetten und Schattierungen. Deswegen gibt es nicht die eine souveräne Cloud-Strategie für alle Fälle. Sie kann jedoch Leitplanken und Kriterien geben, um daraus Maßnahmen und Entscheidungen abzuleiten.
Der Weg zu mehr Souveränität ist lang und besteht aus mehreren Schritten. Unabhängigkeit hat sicher ihren Preis, doch bei zu großer Abhängigkeit verliert man die Möglichkeit, selbst zu entscheiden und hat am Ende wenige oder nur teure Alternativen. Wer bereit ist, hier zu investieren, wird unabhängiger und kann in Zukunft selbständiger agieren. Deswegen sollte man beim Einstieg in die Cloud immer schon an den Wechsel denken und dafür eine Strategie haben, die auch souveräne Cloud-Angebote berücksichtigt.
- Digitale Souveränität 1-2025 | Bitkom Studienbericht
- Digitale Souveränität 2-2025 | Bitkom Studienbericht
- [BSIC5] BSI Kriterienkatalog C5:2020 (Cloud Computing Compliance Criteria Catalogue)
BCG Cloud Cover: Price Swings, Sovereignty Demands, and Wasted Resources
Mehr digitale Souveränität: Leitfaden für Resilienz und Innovationsfreiheit
