Ein wenig wirkt es so, als hätte Amazons Clouddienstleister AWS sich beim Konzept seiner “European Sovereign Cloud” (ESC) von seinen Kunden treiben lassen: AWS habe von vornherein seinen Kunden versprochen, dass Daten nicht in andere Regionen verschoben würden und sich stets daran gehalten, sagt AWS-CEO Matt Garman am Donnerstag bei der Vorstellung der neuen EU-Cloud in Potsdam. Niemand würde Zugriff auf die Workloads haben, betont Garman. Die Kunden wollten die Cloudnutzung. Sie sähen sich aber mit regulatorischen Anforderungen konfrontiert – und sie wollten keine verwässerte Version der Amazon-Clouddienstleistung haben.

Vielfach betonen AWS-Vertreter an diesem Donnerstag im Hasso-Plattner-Institut in Potsdam-Griebnitzsee, dass es schon immer um Sicherheit gegangen sei – um technologische wie organisatorische Sicherheit, dass wirklich niemand auf Daten Zugriff habe oder abschalten könne. Als Testimonial für die Leistungsfähigkeit und Widerstandsfähigkeit der bisherigen AWS-Angebote hat Garman ein Video des bisherigen ukrainischen Digitalministers Mychajlo Fedorow mitgebracht, der gerade erst zum Verteidigungsminister ernannt wurde. Der lobt Amazons Web Services, einen Dienst, der der Ukraine nach dem Großangriff Russlands vor fast vier Jahren eine digitale Zuflucht für Regierungsdaten bot.

Die Daten seien komplett in Europa geblieben, sagt Garman. Die Botschaft: AWS ist sicher – und die neue European Sovereign Cloud ist aber noch sicherer, für solche Kunden, denen das Sicherheitsversprechen allein nicht ausreicht.

Plattner: „Wir müssen das jetzt testen“

Die ESC soll vollständig separat laufen können. Ein wichtiger Meilenstein sei mit dem offiziellen Start der Sovereign Cloud erreicht worden, sagt Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) am Nachmittag in Potsdam. Die technisch-organisatorischen Maßnahmen, wie jene, die AWS bei seiner Europäischen Cloud eingeführt habe. Die wolle sie bei jedem Unternehmen sehen, mit dem das BSI zusammenarbeitet. Bei Google, Microsoft, Delos und anderen werden sie sehr genau zugehört haben und prüfen, ob sie damit mitgemeint sein könnten.

Und auch AWS hat mit der ESC noch den eigentlichen Lackmustest vor sich, wie Plattner sagt. Denn die European Sovereign Cloud soll auch dann noch funktionieren, wenn alle Verbindungen in die USA gekappt werden. „Wir müssen das jetzt testen“, sagt die BSI-Präsidentin. Anders gesagt: Bislang hat das nicht stattgefunden, auch wenn seit etwa sechs Wochen die ersten Kunden auf der Plattform aktiv sind.

Regulatorischer Druck

Dass AWS leistungsfähig ist, daran gibt es wenig Zweifel. Dass die Amazontochter US-Recht unterliegt, daran ebensowenig. Und AWS verdient bislang gut an europäischen Kunden, das Geschäft könnte sogar noch besser laufen. Denn Potenzial für mehr Cloudnutzung sehen viele in der EU, auch AWS. Aber die regulatorischen Anforderungen sind stärker geworden und dürften absehbar noch einmal weiter anziehen.

Dass das insbesondere für kritische Infrastrukturen, Finanzdienstleister, Energiefirmen und Regierungsorganisationen gilt, ist offenkundig. Die müssen die verschärften Bedingungen von DORA, NIS2, C5 und anderen Vorgaben einhalten – unter widrigen, geopolitischen Bedingungen. Ein Problem, das nicht nur, aber gerade Amazon betrifft.

„Radioaktive Kundendaten“

Zugleich sollen die Kunden die Services weiter nutzen können, die sie gerne nutzen wollen. 90 der 240 Dienste, die in AWS laufen, sind zum Start in der Parental Zone Brandenburg verfügbar. Die soll bald um eine niederländische, eine belgische und eine portugiesische Tochterzone ergänzt werden – sprich: Rechenzentrumsverbünde, die sich geografisch an unterschiedlichen Orten befinden und alle dem ESC-Regime statt dem normalen AWS-Betrieb unterliegen, wo noch einmal stärker auf eine Verschlüsselung und Nichtlesbarkeit von Metadaten wie Nutzern, Rollen und Zugriffsrechten Wert gelegt wird.

„Kundendaten sind radioaktiv, wir wollen nicht in ihrer Nähe sein“, erläutert Colm MacCarthaigh die Herangehensweise, die schon immer gegolten habe. Und in die neue Struktur sei, nachdem man mit AWS Nitro und vielen anderen Maßnahmen bereits viele wichtige Schritte gegangen sei, ein umfangreicher Erfahrungsschatz eingeflossen.

ESC besser als das normale AWS?

Ein Spagat für die Firmenvertreter: Sie müssen das neue ESC anpreisen – aber ohne das normale AWS schlechtzumachen. AWS ESC könnte dabei die gesamte Bandbreite an Vorwissen ausspielen. Denn viele Kunden sehen sich vor allem in der Pflicht, nachweisen zu können, dass sie sich an die für sie geltenden Regeln gehalten haben.

Sarah Duffer erklärt in Potsdam, welche Rolle das „European Sovereign Reference Framework“ dafür spiele: die formale Beschreibung der Konzepte, mit denen AWS ESC die Unabhängigkeit sicherstelle. Solche Kriterien mitsamt Dokumentation sind für viele Nutzer relevant, wenn es um Haftungsfragen geht. Es gehe um die Überprüfbarkeit durch unabhängige Dritte, sagt Duffer, Director Security Assurance in der Zentrale. Im Hinblick auf Compliance sieht man sich gut aufgestellt.

Dass das nicht das Ende der Entwicklung sein wird, zeichnet sich jetzt bereits ab. Für viele Kunden, die bislang zweifelten, könnten die EU-AWS-Möglichkeiten allerdings ein willkommener Schritt sein. Und angesichts des politischen Klimas in den USA könnten auch bisherige Standard-AWS-Nutzer aus den USA überlegen, ob das für sie eine Alternative sein könnte. Finanziell jedenfalls ist die Nutzung der ESC laut den Modellrechnungen bei der Vorstellung noch etwas unterhalb der Standardpreise angesiedelt. Wie lang das so bleibt, ist abzuwarten.

(axk)

Das neue Meldeportal des BSI ist da. Es ist als zentrale, gesetzlich vorgesehene Plattform gedacht: zur Registrierung von NIS2-Einrichtungen ebenso wie zur Entgegennahme, Verarbeitung und Koordination von Meldungen – sowohl von KRITIS-Unternehmen, die dazu verpflichtet sind, als auch von anderen Personen. Das Portal nimmt sensible Daten der kritischsten Unternehmen Deutschlands entgegen und ist für diesen Zweck obligatorisch einzusetzen.

Die Security-Bubble schreit auf. Der Grund? Das Portal wird bei AWS betrieben. Platt gesagt: Nein, das ist kein Zeichen für die Stärkung der eigenen Digitalindustrie. Und damit auch keines für das, was viele unter nationaler digitaler Souveränität verstehen. Alternativen am deutschen Markt gibt es zuhauf. Sich wie BSI-Präsidentin Claudia Plattner gegenüber heise online auf „eine passende Infrastruktur mit Sicherheitseigenschaften nach dem Stand der Technik“ zurückzuziehen, greift zu kurz.

Rein formal ist alles sauber. Die Datenschutzerklärung des Portals ist transparent und ausführlich. Wenn dort aber steht „Dadurch kann es zu einer Übermittlung der IP-Adresse in die USA kommen“ und gleichzeitig freiwillige Meldungen „einfach und anonym“ erfolgen sollen, zucke ich innerlich zurück. Muss das wirklich sein? Ich denke nicht. Alternativen – siehe oben – gibt es doch.

Souverän oder autark

Der Fairness halber: Das BSI beziehungsweise seine Präsidentin unterscheidet schon seit Längerem zwischen „digital souverän“ und „digital autark“. Internationale Produkte sollen daher so eingebettet werden können, dass „Datenabfluss technisch unmöglich“ ist, wie Frau Plattner im BSI-Cybernation-Blog zur digitalen Souveränität schreibt. Das ist ein nachvollziehbarer Ansatz.

Warum im Falle des Portals nicht konsequent der erste Punkt der Doppelstrategie, den „EU-Markt und die eigene Digitalindustrie“ zu stärken, verfolgt wurde, bleibt bislang unkommentiert. Hier wünsche ich mir dringend einen Nachsatz bei dem zentralen und gesetzlich verpflichtenden Portal für KRITIS-Betreiber.

Auch technisch wirft die Umsetzung Fragen auf, selbst wenn eine Analyse naturgemäß nur eingeschränkt möglich ist. Warum etwa die security.txt nicht RFC-konform implementiert wurde – immerhin Stand der Technik, den das BSI in seinen FAQ für den Umgang mit Schwachstellen selbst empfiehlt –, erschließt sich mir nicht. Offensichtlich kommt zudem die Web Application Firewall (WAF) von AWS zum Einsatz.

„Datenabfluss technisch unmöglich“?

Üblicherweise terminiert eine WAF den verschlüsselten Datenstrom, damit sie den Inhalt analysieren kann. Auch die Vorfallsmeldung eines KRITIS-Unternehmens. Wie unter diesen Voraussetzungen sichergestellt wird, dass ein „Datenabfluss technisch unmöglich“ ist, interessiert mich als Informatiker brennend. Gleiches gilt für die Persistenz der Daten auf AWS und ihre Weiterverarbeitung in nachgelagerten Fachverfahren.

Das bestehende Portal MIP-2 wird übrigens von der Swiss IT Security Deutschland GmbH betrieben – immerhin in Schweizer Hand – und steht KRITIS-Betreibern „voraussichtlich sogar bis 31.12.2026“ zur Verfügung. Funfact am Rande: Im Zuge der Recherche für diese Zeilen habe ich eine klassische Webschwachstelle in MIP-2 gefunden. Gemeldet habe ich sie lieber PGP-verschlüsselt per E-Mail statt über das neue Portal. Nur wenn ich mich selbst darum kümmere, ist technisch sichergestellt, dass ein „Datenabfluss technisch unmöglich“ bleibt. Schade eigentlich.

Dieser Kommentar ist das Editorial zur neuen iX-Ausgabe 02/2026, die ab 22. Januar 2026 erhältlich ist.

(axk)

Amazon macht „Fallout“ nach dem Erfolg der gleichnamigen Serie auch zur Reality-Show. In „Fallout Shelter“ müssen sich Show-Teilnehmer in einem Vault in verschiedenen Wettbewerben duellieren. Die Reality-Serie soll zehn Folgen umfassen und auf Amazon Prime Video zu sehen sein.

Derzeit sucht Amazon nach Teilnehmern für „Fallout Shelter“. Wer mitspielen will, muss mindestens 21 Jahre alt sein und in die USA sowie ins Vereinigte Königreich reisen dürfen. Gefilmt wird voraussichtlich im Juni 2026 für drei Wochen, heißt es in dem Casting-Aufruf.

Produziert vom „Squid Game“-Team

„Fallout Shelter“ (nicht zu verwechseln mit dem gleichnamigen Mobilspiel von Bethesda) wird von Studio Lambert produziert. Das Team steckt auch hinter der Reality-Umsetzung von „Squid Game“, deren Teilnehmer zum Teil massive Kritik an den Drehs äußerten: An einem verlassenen Militärflughafen nördlich von London mussten Teilnehmer etwa stundenlang bei Temperaturen um den Gefrierpunkt stillstehen. Mehrfach mussten Teilnehmer von Notfallsanitätern versorgt werden, berichtete unter anderem die Sun. „Sie haben uns wie Pferde bei einem Pferderennen behandelt“, sagte eine Person dem Rolling Stone.

Voraussichtlich werden Amazon und Studio Lambert trotzdem keine Probleme haben, ausreichend Interessenten für die Reality-Show aufzutreiben. Immerhin winkt dem Gewinner ein „riesiger Cash-Preis“ – die genaue Summe wird noch nicht genannt.

„Angesiedelt in den bombensicheren Bunkern von Vault-Tec versetzt ‚Fallout Shelter‘ eine vielfältige Gruppe von Teilnehmern in eine immersive Welt, in der viel auf dem Spiel steht“, schreibt Amazon in der Ankündigung der Serie. „Fallout Shelter“ sei vom schwarzen Humor der Serie inspiriert und soll Teilnehmer vor eine Reihe anspruchsvoller Herausforderungen stellen. Auch moralische Dilemmata müssen die Spieler demnach lösen. Wann „Fallout Shelter“ ausgestrahlt wird, ist noch nicht bekannt.

(dahe)