Was können US Anbieter, das deutschen oder europäischen IT Lösungen fehlt?

Sehr geehrter Herr S.,

herzlichen Dank für Ihre aufmerksame Lektüre und Ihre interessierten Nachfragen zu meinen Aussagen vom 10.  Juli. Ich möchte Ihre beiden Punkte gerne wie folgt beantworten:

1. Zu den „gekapselten, mehrschichtigen Sicherheitsmechanismen“

Damit sind im Kern Sicherheitsarchitekturen gemeint, die verschiedene Schutzebenen kombinieren, um Daten und Dienste voneinander abzuschotten und Risiken zu minimieren. Beispiele sind:

• Mandantenfähige Isolierung: Daten unterschiedlicher Nutzer werden in separaten logischen Bereichen verarbeitet (Container, VMs), um unbefugten Zugriff zu verhindern.
• Verschlüsselung in allen Stufen: Daten werden im Ruhezustand, bei der Übertragung und teils auch während der Verarbeitung (z. B. Confidential Computing) verschlüsselt.
• Zero-Trust-Prinzipien: Jede Anfrage wird unabhängig authentifiziert und autorisiert – es gibt keine „vertraute Zone“ mehr.
• Security by Design: Sicherheitsfunktionen sind bereits in die Architektur integriert (z. B. mehrstufige Authentifizierung, strikte IAM-Rollenmodelle).
• Auditing und Logging: Protokollierung sicherheitsrelevanter Ereignisse auf allen Ebenen für forensische Analysen und Compliance-Prüfungen.

Diese Konzepte sind bei großen Anbietern wie Amazon, Microsoft oder Google standardisiert, sehr ausgereift und – das ist ein wichtiger Punkt – weltweit verfügbar. Sie bieten damit eine Sicherheit, die kleinere Anbieter nur schwer in gleichem Umfang gewährleisten können. Das macht sie für große Verwaltungsprojekte attraktiv, auch wenn das keine Abhängigkeit (Lock-in) auflöst.

2. Zur Frage: „Inwiefern kann eine eigenständige Cloud-Ausgründung wie bei Amazon vom US CLOUD Act entkoppeln?“

Das ist ein sehr zentraler Punkt in der Debatte. Amazon Web Services (AWS) betreibt in Deutschland z. B. zusammen mit Partnern (T-Systems) die sogenannte „AWS European Sovereign Cloud“ oder vergleichbare Modelle. Diese sollen sicherstellen:

• Betrieb durch eine eigenständige europäische Rechtseinheit: Diese Einheit unterliegt nur europäischem Recht.
• Lokale Datenresidenz: Daten bleiben physisch in der EU.
• Eigenständige Verwaltungs- und Supportstrukturen: Nur EU-Personal mit Sitz in der EU hat Zugriff auf Verwaltungsdaten.

Allerdings:

• Diese Konstruktionen mindern das Risiko von US-Zugriffen, aber sie können es rechtlich nicht vollständig ausschließen. Nach aktueller Rechtslage (CLOUD Act, Patriot Act) kann die US-Muttergesellschaft prinzipiell verpflichtet sein, Daten herauszugeben, wenn sie tatsächlich Zugriff darauf hat oder sich Zugriff verschaffen kann.
• Anbieter versuchen das zu verhindern, indem sie die technische und betriebliche Trennung so gestalten, dass die US-Mutter de facto keinen Zugriff hat. Das ist der „Entkopplungsansatz“ – er ist technisch und organisatorisch komplex, aber kein absoluter Schutz.

Mit anderen Worten: Diese Modelle reduzieren Abhängigkeiten und rechtliche Risiken, lösen sie aber nicht vollständig auf. Deshalb sehe ich aktuell keinen echten „Vendor Lock-in“-freien Weg für die öffentliche Verwaltung, der diese Sicherheitsniveaus erreicht und zugleich vollständig unabhängig von großen US-Anbietern wäre.

Auf der anderen Seite muss es aber unser Ziel sein, souveräne Alternativen zur Verfügung zustellen, die funktional und in der Frage der IT Security mithalten können. 

Mit freundlichen Grüßen
Henri Schmidt, MdB