Digitale Souveränität : Deutsche Souveränität – ein Wolkenkuckucksheim?

Die Grenze zwischen US-Regierung und Silicon Valley verwischt zunehmend. Elon Musk destabilisiert als Leiter der Doge amerikanische Bundesbehörden, während er gleichzeitig mit X und Starlink kritische Kommunikations- und Satelliteninfrastruktur kontrolliert. Und auch die Tech-Milliardäre Mark Zuckerberg und Jeff Bezos haben ihren Kurs der neuen Regierung angepasst – der eine mit versöhnlichen Treffen im Weißen Haus und dem Einstampfen von Diversity-Programmen bei Meta, der andere mit einem Wandel in der Berichterstattung der ihm gehörenden Traditionszeitung Washington Post.

Diese Verflechtung von politischer Macht und technologischer Kontrolle ist nicht nur für das demokratische System der USA ein Problem. Sie stellt auch uns hier in Deutschland vor eine Grundsatzfrage: Wie souverän ist unsere digitale Infrastruktur, wenn sie auf Dienste dieser Unternehmen angewiesen ist – in Zeiten, in denen wir uns auf den amerikanischen Verbündeten nicht mehr uneingeschränkt verlassen sollten?

US-Techpolitik: derzeit unberechenbar

Nun ließe sich argumentieren, dass der deutsche Verwaltungsapparat auf die Dienste dieser Unternehmen verzichten kann. Doch diese Position stößt auf Widerstand, wie etwa im Fall Palantir im Bundesrat. Palantirs Massenüberwachungssoftware ist heftig umstritten und entsprechende gesetzliche Regelungen zu ihrem Einsatz wurden in der Vergangenheit bereits vom Bundesverfassungsgericht kassiert. Hinzu kommt, dass Palantirs Mitgründer Peter Thiel zur illustren Riege der Tech-Mogule gehört, die sich um den US-Präsidenten scharen. Trotz alledem hat sich der Bundesrat für einen interimsmäßigen Einsatz dieser Software ausgesprochen.

Doch es geht nicht allein um die direkte Einflussnahme der US-Regierung auf diese Konzerne. Vielmehr führt ihr unberechenbares Handeln in Verbindung mit einer systematischen Missachtung rechtsstaatlicher Prinzipien dazu, dass sich unsere Bundesregierung zunehmend Sorgen machen sollte: Teilen Unternehmen wie Google oder Amazon etwa Daten mit US-Behörden? Können sie willkürlich Dienste für deutsche Nutzende einschränken oder gar den Zugriff auf eigene Daten verweigern? Solche Szenarien, die in Risikoanalysen vor wenigen Jahren noch als „technisch möglich, aber sehr unwahrscheinlich“ galten, rücken heute in den Bereich des Realistischen.

Kooperation zwischen BSI und Google

Diese Entwicklungen werden in der deutschen Fachwelt, in politischen Kreisen und in deutschen Verwaltungsbehörden nicht nur aufmerksam und mit Sorge verfolgt, sie werden auch kontrovers debattiert. Das Spektrum reicht von ambitionierten Moonshot-Projekten wie einem „Euro Stack“ über den gezielten Einsatz juristischer Instrumente gegen US-Produkte bis hin zu konservativen Risikoanalysen. Auffallend dabei: Während viele Akteure die radikale Abkehr von US-Hyperscalern fordern, überrascht das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einer Kooperationsvereinbarung zur Entwicklung sicherer Cloud-Lösungen in der öffentlichen Verwaltung – ausgerechet mit Google, einem der führenden US-Anbieter.

Das Timing der BSI-Kommunikation zur Google-Cloud-Vereinbarung mag unglücklich erscheinen. Doch es handelt sich bei solchen Abkommen um langfristig angelegte strategische Initiativen – sie entstehen nicht über Nacht. Auch wenn man aus heutiger Perspektive an der Strategie zweifeln kann, war sie zur Zeit ihrer Konzeption unter den gegebenen Rahmenbedingungen – mit Blick auf IT-Sicherheit, Ressourcen und Effektivität – womöglich die bestmögliche Option. Doch auch heute noch steht das BSI hinter seiner damaligen Entscheidung für Google – das zumindest machen die Stellungnahmen der Behörde deutlich. Man hält bewusst und auch in der geänderten politischen Lage an der transatlantischen Kooperation bei der Cloud-Strategie fest.

Team „Europäische Cloud“ gegen Team „Transatlantische Cloud“

And now we have a game, wie die Amerikaner sagen würden. Denn hier konkurrieren zwei grundverschiedene Strategien miteinander:

• Das Team „Europäische Cloud“ plädiert dafür, allein auf deutsche und europäische Cloud-Anbieter zu setzen – selbst wenn diese in puncto Funktionalität und Skalierbarkeit aktuell noch hinter ihren US-amerikanischen Pendants zurückbleiben.
• Das Team „Transatlantische Cloud“ verteidigt hingegen die bisherige, transatlantisch ausgerichtete Strategie, die auf langjährigen Kooperationen mit US-Hyperscalern beruht – trotz der geopolitischen Verschiebungen und rechtlichen Herausforderungen, wie etwa dem Cloud Act oder FISA Section 702, die US-Behörden unter gewissen Umständen (verdeckten) Zugriff auf Daten amerikanischer Unternehmen ermöglichen.

Um die Weichen für den Aufbau bzw. Ausbau einer sicheren IT-Infrastruktur zu stellen, bedarf es einer Diskussion, die über ideologische Positionen hinausgeht. Dabei sollten folgende Fragen im Zentrum stehen:

• Wie ist die aktuelle Bedrohungslage einzuschätzen?
  IT-Sicherheit umfasst unterschiedliche Dimensionen: Während der Schutz vor Kriminellen und nicht-amerikanischen Geheimdiensten vor allem die IT-Schutzziele Integrität und Vertraulichkeit sichern soll, rücken beim Schutz vor US-Regierungsorganisationen insbesondere Vertraulichkeit und Verfügbarkeit in den Fokus. Welche Risiken überwiegen in den jeweiligen Szenarien – und wie werden sie derzeit adressiert?
• Wo liegen die größten Abhängigkeiten Deutschlands von US-Cloud-Anbietern?
  Eine ehrliche Bestandsaufnahme ist unerlässlich. Es gilt, kritische Punkte zu identifizieren, potenzielle Konsequenzen zu bewerten und gemeinsam mit europäischen Partnern robuste Alternativen zu entwickeln. Dabei sollte auch das Potenzial freier Software berücksichtigt werden, die durch gezielte Förderung und Nutzung schrittweise als angemessener Ersatz etabliert werden könnte.
• Was kostet eine komplette Abkehr von US-Hyperscalern?
  Neben finanziellen Aspekten muss auch der Verlust an technischer Expertise und die zeitliche Verzögerung bei der Implementierung sicherer Cloud-Infrastrukturen bedacht werden. Wo setzt man an – bei Bürosoftware, Business-Anwendungen oder kritischen Fachverfahren?
• Sind die Funktionen der US-Hyperscaler wirklich unverzichtbar?
  Welche spezifischen Projekte in der Bundesverwaltung erfordern ausschließlich Angebote von US-Anbietern? Genügt für die Mehrheit der Anwendungsfälle nicht bereits das Portfolio deutscher und europäischer Anbieter?
• Was passiert, wenn wir nichts unternehmen?
  Welche Risiken und Konsequenzen drohen, wenn der Wandel zu spät kommt oder gar fehlschlägt? Wie verhindern wir, dass am Ende US-Hyperscaler im Gewand europäischer Unternehmen als Problemlösung präsentiert werden?

Wir brauchen eine schnelle Analyse für eine angepasste Strategie

Nur durch eine schnelle, transparente und faktenbasierte Beantwortung dieser Fragen können wir die Grundlage für eine strategische Neuorientierung schaffen – eine, die langfristig zur Stärkung unserer nationalen Sicherheit beiträgt. Dabei muss die Debatte über symbolische Gesten hinausgehen und sich den realen Herausforderungen der digitalen Souveränität stellen.

Es geht nicht darum, populistische Lösungen zu präsentieren, sondern um die Frage, wie Deutschland Kompetenz aufbauen und seine Handlungsfähigkeit bewahren kann. Dabei gibt es unter Umständen keine Patentlösung, die für alle Fälle und alle Szenarien sinnvoll ist. Eine gute Strategie berücksichtigt die vielschichtigen Nuancen dieses Themas und zeigt verschiedene kurz- und langfristige Zielbilder auf, die je nach Institution unterschiedlich ausfallen können. Die neue Bundesregierung ist daher angehalten, die Antworten auf die hier gestellten Fragen umgehend von den zuständigen Behörden einzufordern und, sofern notwendig, die derzeitige Strategie anzupassen.

Sven Herpig ist Leiter Cybersicherheitspolitik und Resilience beim Thinktank Interface (vorher: Stiftung Neue Verantwortung).