Sovereign Cloud für Verteidigung: EU-Alternativen zu US-Hyperscalern

Europäische Verteidigungsorganisationen, die sich auf US-Cloud-Hyperscaler stützen — Amazon Web Services, Microsoft Azure, Google Cloud Platform — stehen vor einem Souveränitätsrisiko, das bis vor Kurzem weitgehend theoretisch war: die Möglichkeit der US-Regierung, diese Anbieter zu zwingen, Daten offenzulegen, die von ausländischen Regierungen und Militärs gespeichert werden, oder den Service-Zugang unter US-Exportkontroll- oder Sanktionsregimen einzuschränken.

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermöglicht es US-Bundesstrafverfolgungsbehörden, in den USA ansässige Cloud-Anbieter zu zwingen, Daten zu produzieren, die überall auf der Welt gespeichert sind, unabhängig von lokalen Datenschutzgesetzen. Für europäische Verteidigungsdaten — selbst nicht klassifizierte operative Daten — schafft dies einen rechtlichen Weg für den US-Regierungszugang, der mit Datensouveränitätsanforderungen unvereinbar ist. Das Risiko ist nicht theoretisch: EU-Rechtssysteme haben die Rechtsgrundlage für EU-US-Datenübertragungen wiederholt genau wegen der CLOUD-Act-Exposition in Frage gestellt.

Das Souveränitätsproblem für die europäische Verteidigung

Das Souveränitätsproblem für europäische Verteidigungsorganisationen, die auf US-Hyperscaler-Infrastruktur operieren, hat drei Dimensionen: erzwungene Offenlegung (CLOUD Act und ähnliche Rechtsinstrumente ermöglichen dem US-Regierungszugang auf Daten), einseitige Service-Einschränkungen (Sanktionsregime oder politische Entscheidungen könnten dazu führen, dass US-Anbieter den Service für bestimmte europäische Einrichtungen einschränken oder beenden) und Technologieabhängigkeit (tiefe technische Integration mit proprietären US-Cloud-Diensten schafft Wechselkosten und strategische Abhängigkeiten, die für Verteidigungsorganisationen geopolitisch problematisch sind).

Die erste Dimension ist rechtlich und dauerhaft — sie ist der US-Konzernstruktur von Hyperscaler-Anbietern inhärent und kann nicht allein durch vertragliche Datenresidenzklauseln gemindert werden. Die zweite Dimension ist für europäische Verbündete derzeit hypothetisch, aber das geopolitische Umfeld hat sich genug verändert, dass Verteidigungsorganisationen, die für langfristige Infrastrukturentscheidungen verantwortlich sind, Szenarien berücksichtigen müssen, in denen sich die US-EU-politischen Beziehungen verschlechtern. Die dritte Dimension ist durch bewusste Architekturentscheidungen handhabbar, erfordert aber von Anfang an Disziplin.

EU Sovereign Cloud Landscape

OVHcloud mit SecNumCloud-Zertifizierung ist der führende französische Cloud-Anbieter mit der höchsten Cloud-Sicherheitszertifizierung der ANSSI (SecNumCloud, qualifié niveau élevé). SecNumCloud erfordert, dass der Anbieter von EU-Einrichtungen kontrolliert wird, die Datenverarbeitung unter europäischer Rechtshoheit bleibt und die Infrastruktur und der Betrieb des Anbieters von französischen/EU-Behörden auditierbar sind. OVHcloud betreibt Rechenzentren in ganz Europa und bietet IaaS, PaaS und Managed-Kubernetes-Dienste. Seine SecNumCloud-Zertifizierung macht es zur glaubwürdigsten EU-souveränen Option für französische Verteidigungs- und Regierungsworkloads und zunehmend für EU-weite Verteidigungsprogramme, die Souveränität priorisieren.

DELOS Cloud (T-Systems/Deutsche-Telekom-Partnerschaft mit Microsoft) ist ein deutsches Sovereignty-Cloud-Angebot, das Azure-Services auf Infrastruktur betreibt, die T-Systems (eine Deutsche-Telekom-Tochter) nach deutschem Recht besitzt und betreibt, mit einer technischen Treuhänder-Vereinbarung, die darauf ausgelegt ist, den US-Regierungs-CLOUD-Act-Zugang zu verhindern. Das DELOS-Modell ermöglicht den Zugriff auf Microsofts Cloud-Service-Portfolio — einschließlich Entra ID, Azure Kubernetes Service und Azure Monitor — während es das Datensouveränitätsproblem durch die Treuhänderstruktur adressiert. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) war an der Sicherheitsbewertung der DELOS-Architektur beteiligt.

Hetzner und IONOS sind deutsche Cloud-Anbieter, die unkompliziertes IaaS unter EU-Gerichtsbarkeit ohne US-amerikanische Mutterkonzernstrukturen anbieten. Ihnen fehlt die Breite der Managed Services der großen Hyperscaler und sie haben nicht die Tiefe der Sicherheitszertifizierung von OVHcloud SecNumCloud oder DELOS, aber für Verteidigungsworkloads mit bescheidenen Cloud-Service-Anforderungen und starken Souveränitätsbeschränkungen bieten sie eine saubere rechtliche Position. Beide halten die ISO-27001-Zertifizierung und streben zusätzliche EU-Zertifizierungsprogramme an.

GAIA-X: Was es tatsächlich liefert

GAIA-X, 2019 als deutsch-französische Initiative gestartet und zu einer breiteren EU-Initiative ausgebaut, zielt darauf ab, ein föderiertes, interoperables europäisches Cloud-Infrastruktur-Ökosystem zu schaffen. Es ist wichtig, präzise zu sein, was GAIA-X ist und was nicht.

GAIA-X ist kein Cloud-Anbieter — es betreibt keine Recheninfrastruktur. Es ist ein Governance- und Standardsrahmen: eine Reihe von Spezifikationen dafür, wie Cloud-Anbieter und Datendienste ihre Angebote registrieren, ihre Konformität mit Datenverwaltungsanforderungen zertifizieren und an einem föderativen Marktplatz teilnehmen können. Das GAIA-X Trust Framework definiert Anforderungen an Datensouveränität, Portabilität, Transparenz und Interoperabilität, die Anbieter erfüllen müssen, um GAIA-X-Konformitätslabels anzuzeigen.

Für Verteidigungsbeschaffungen ist GAIA-X-Konformität ein Indikator — keine Garantie — für eine EU-ausgerichtete Souveränitätsposition. Ein Anbieter, der GAIA-X-Konformität erreicht hat, hat sich einem definierten Governance-Rahmen unterworfen, aber GAIA-X-Konformität ersetzt keine nationalen Sicherheitszertifizierungen wie SecNumCloud oder BSI C5. Verteidigungsorganisationen sollten den GAIA-X-Status als einen Datenpunkt in einer umfassenderen Lieferantenbewertung betrachten, nicht als ausreichendes Qualifikationskriterium für sich allein.

EUCS: Europäisches Cybersicherheits-Zertifizierungsschema für Cloud

Das Europäische Cybersicherheits-Zertifizierungsschema für Cloud-Dienste (EUCS) wird von ENISA (der Agentur der Europäischen Union für Cybersicherheit) im Rahmen des EU-Cybersicherheitsgesetzes entwickelt. EUCS wird ein harmonisiertes Cloud-Sicherheitszertifizierungsschema in EU-Mitgliedstaaten schaffen und das aktuelle Flickwerk nationaler Zertifizierungen (Frankreichs SecNumCloud, Deutschlands C5 usw.) ersetzen.

EUCS definiert drei Assurance-Levels: Basic, Substantial und High. Das High-Assurance-Level ist das relevante für Verteidigungsworkloads: Es erfordert EU-rechtliche Kontrolle des Anbieters, auf die EU beschränkte Datenverarbeitung, technische und organisatorische Maßnahmen zur Verhinderung des Zugangs von Nicht-EU-Regierungen und eine Prüfung durch eine Konformitätsbewertungsstelle, die von einer nationalen Akkreditierungsstelle eines EU-Mitgliedstaats akkreditiert ist.

EUCS High wird seit 2026 noch fertiggestellt, mit laufenden politischen Debatten darüber, ob US-Hyperscaler mit EU-basierten Tochtergesellschaften für das High-Assurance-Level qualifiziert sein sollten. Für europäische Verteidigungsorganisationen lautet die praktische Empfehlung: Bevorzugen Sie Anbieter, die derzeit nationale High-Assurance-Zertifizierungen halten (SecNumCloud qualifié élevé, BSI C5 mit Souveränitätsattestat) und gut für die EUCS-High-Zertifizierung positioniert sein werden, wenn diese finalisiert wird.

Auswahlkriterien für EU-Verteidigung

Die Auswahl eines Cloud-Anbieters für EU-Verteidigungsworkloads erfordert eine Bewertung nach fünf Kriterien: Gerichtsbarkeit (der Anbieter muss von EU-Einrichtungen kontrolliert werden, ohne rechtlich wirksamen Zugangsweg einer ausländischen Regierung); Datenresidenz (Daten müssen innerhalb des EU-Territoriums verbleiben, vertraglich und technisch durchsetzbar); Verschlüsselungsschlüsselkontrolle (die Verteidigungsorganisation muss die alleinige Kontrolle über Verschlüsselungsschlüssel behalten und den Anbieterzugang zum Dateninhalt auch bei Zwang verhindern); Auditrechte (die Verteidigungsorganisation muss in der Lage sein, die Infrastruktur, den Betrieb und die Zugriffsprotokolle des Anbieters unabhängig oder durch eine akkreditierte dritte Partei zu auditieren); und Sicherheitszertifizierung (der Anbieter muss eine relevante nationale oder EU-Zertifizierung auf einem angemessenen Assurance-Level für die Klassifizierung der Workload halten).

Die Verschlüsselungsschlüsselkontrolle ist besonders wichtig und wird bei der Beschaffung oft unzureichend spezifiziert. Ein Anbieter, der Daten gespeichert hält, die mit Schlüsseln verschlüsselt sind, die der Anbieter kontrolliert, bietet keinen sinnvollen Schutz gegen erzwungene Offenlegung — die Entschlüsselung der Daten ist für den Anbieter unter rechtlichem Zwang trivial. Die Verteidigungsorganisation muss ihr eigenes HSM (Hardware Security Module) betreiben oder einen vom Kunden verwalteten Schlüsseldienst nutzen, bei dem der Anbieter nachweislich nicht auf die Schlüssel zugreifen kann, und muss durch technische und rechtliche Überprüfung verifizieren, dass diese Architektur tatsächlich End-to-End durchgesetzt wird.