Digitale Abhängigkeit: Plattner betont Umweg zu Souveränität

„Dass wir das kurzfristig alles selbst können“, ist für BSI-Chefin Claudia Plattner „unrealistisch“. Das sorgt für Diskussionen. Die Nachrichtenagentur dpa machte daraus die Überschrift: Digitale Souveränität für Deutschland vorerst unerreichbar.

Grund genug für eine Klarstellung der Präsidentin: „Es ist Aufgabe des Staates, eine sichere Verwendung all dieser Produkte zu ermöglichen, die derzeit zu einem großen Teil außerhalb Europas hergestellt werden.“ Das heiße aber nicht, „dass wir als BSI die digitale Souveränität Europas für unerreichbar halten. Entsprechende Berichte weise ich entschieden zurück, das habe ich nie gesagt“, betonte Plattner vergangenens Wochenende in einem weiteren dpa-Gespräch. Was aber meint die Chefin des BSI nun genau?

Ohne Amazons AWS, Microsofts Azure und Google Cloud droht in Deutschland der IT-Kollaps. Dass das ein Problem darstellen könnte, ist keine neue Erkenntnis. Schon mehrere Bundesregierungen haben versucht, etwas weniger abhängig zu werden – mit überschaubarem Erfolg. Die Analyse der BSI-Präsidentin ist in Expertenkreisen daher unstrittig.

BSI will heimische Anbieter hegen

Noch ist der Weg weit, doch erste Schritte sind sichtbar. „Wir sind nicht mehr wie vor zehn Jahren auf die Amerikaner angewiesen“, meint Achim Weiß, CEO von Ionos im Gespräch mit heise online. Seine Firma gehört zu jenen, die von stärkerer Unabhängigkeit von US-Anbietern absehbar profitieren würden. Sie ist Bestandteil des einen von zwei Strängen, den das BSI zur digitalen Souveränität verfolgt: der Zusammenarbeit mit europäischen Anbietern.

Ionos entwickelt für das IT-Dienstleistungszentrum des Bundes (ITZBund) derzeit eine abgetrennte Enterprise-Cloud-Umgebung – in Abstimmung mit dem BSI, das die für IT-Sicherheit der Bundesverwaltung zuständige Behörde ist. Im ersten Quartal 2026 soll das Pilotprojekt fertig sein. So wie mit Ionos arbeitet das BSI auch an anderer Stelle eng mit deutschen Anbietern zusammen, etwa mit StackIT aus dem Hause Schwarz Digits, dem deutschen IT-Anbieter, der aus der Lidl-Kaufland-Gruppe stammt. Hier soll Anfang 2026 eine gemeinsame Entwicklung souveräner Cloudlösungen konkreter werden.

Politisch sind solche Projekte derzeit gewollt. Digitalminister Karsten Wildberger (CDU) etwa warnt regelmäßig davor, den Kopf in den Sand zu stecken und stattdessen mehr an Lösungen und Innovationen zu arbeiten. Gewollt ist auch die Arbeit des BSI im Bereich von Sicherheitsstandards für Open-Source-Software und der Mithilfe an Microsoft-Software-Alternativen wie der Office365-Alternative OpenDesk.

US-Anbieter sollen an Bord gehalten werden

Doch sind das ernsthafte Unabhängigkeitsbestrebungen? Oder Feigenblätter, während die Abhängigkeit vor allem von US-Anbietern faktisch zementiert wird? EU-Kunden befürchten, dass der US-Präsident Zugriff auf Kundendaten der US-Firmen anordnen könnte, ein Spionageszenario. Oder per Sanktionsbefugnissen US-Unternehmen auch kurzfristig verbieten könnte, ihre Dienstleistungen für widerspenstige Staaten zu erbringen. Zumindest gegen das Spionageszenario würde der zweite Strang der BSI-Strategie helfen: die Nutzung ermöglichen und Zugriff effektiv verhindern.

Mit Google prüft das BSI im Rahmen einer Kooperationsvereinbarung, ob und, wenn ja, wie, mit Verschlüsselungsverfahren Clouddienste der Firma auch für staatliche Stellen nutzbar sein könnten. Bis 2026 soll das herausgefunden sein. Mit dem Cloud-Platzhirschen Amazon versucht das BSI unter anderem herauszufinden, wie Standards und Validierungsverfahren für lokale Rechenzentren auch auf Cloudumgebungen übertragen werden können. Auch dazu sollen 2026 erste Ergebnisse öffentlich vorgestellt werden. Ein besonderes unter den Kooperationsprojekten ist dabei die MSSC: Die Microsoft Sovereign Cloud, bei der eine Azure-Cloud jenseits von Microsoft, vorerst zu Testzwecken, auf Infrastruktur von Delos betrieben werden soll. Das Projekt soll bis Ende 2026 Ergebnisse bringen. Was aber sollen diese ganzen Kooperationsvereinbarungen, wenn es doch um Unabhängigkeit von diesen geht? Beantworten kann das nur die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik selbst.

BSI untersucht Technik von Hyperscalern

Ist das nicht doch der Weg, den Vendor-Lock-In bei den großen Anbietern zu verstetigen? „Im Gegenteil“, sagt Claudia Plattner auf Anfrage heise onlines. In den Kooperationen würde ihr BSI vor allem „tiefgründiges technisches Verständnis bezüglich der Funktionsweise der Hyperscaler-Angebote“ gewinnen. „Wir versetzen uns auf diesem Wege in die Lage, fundierte Migrationsszenarien vorzubereiten und bei Bedarf umzusetzen“, sieht die BSI-Präsidentin auch die Souveränitätsbestrebungen durch die Kooperationen als gedeckt an. Claudia Plattner meint: „In Kombination mit einheitlichen Sicherheitsvorgaben und hohen Anforderungen an die Interoperabilität werden Anbieterwechsel effizient und schnell möglich.“

Ob es für bessere Ausstiegsoptionen tatsächlich die Kooperationen der IT-Sicherheitsbehörde mit den US-Cloudanbietern braucht, darüber kann weiter diskutiert werden. Dass Angebote der europäischen Konkurrenz bislang noch längst nicht so weit sind, dass sie alles ersetzen könnten, bestreitet auch Ionos-Geschäftsführer Achim Weiß nicht. Er sieht es differenziert: „Der deutsche Mittelstand braucht keine Satelliten-Downlinkstation, für die normalen Workloads gibt es genügend Lösungen.“ Bei der Feature-Vielfalt seien derzeit alle, nicht nur die Europäer, sondern auch Microsoft und Google, nur zweite Liga: Amazon spiele hier in einer eigenen. Weiß fordert Standards für Interoperabilität, um Lock-In-Effekte bei einzelnen Anbietern zu verhindern. Die sollten die willigen Anbieter gemeinsam definieren — und die öffentliche Hand, also Bund, Länder und Kommunen, bei Ausschreibungen für Leistungen abfordern.

Das BSI wird dafür seinen Beitrag beisteuern müssen: Welche Anforderungen an die IT-Sicherheit für Cloudleistungen gelten müssen und wer diese überhaupt erfüllen kann, entscheidet nicht zuletzt die Bonner IT-Sicherheitsbehörde. Allerdings: Sollte das BSI am Ende die Lösungen mit US-Anbietern absegnen, dürften auch chinesische Anbieter um eine Neubetrachtung bitten.

(nie)