Ende 2023 wurde die Kaufprämie für private Käufer von Elektroautos von der damaligen Bundesregierung recht abrupt eingestellt. Für gewerbliche Zulassungen, die in Deutschland rund zwei Drittel aller Erstzulassungen ausmachen, entfiel sie schon im September 2023. Die aktuelle Koalition hatte im Herbst 2025 angekündigt, den Kauf eines Elektroautos wieder finanziell zu unterstützen. Über Monate arbeiteten die drei Parteien an der Ausgestaltung. Heute (16. Januar) sollen die Details vorgestellt werden.

Auch rückwirkend

Bestimmte Autokäufer in Deutschland können für in diesem Jahr neu zugelassene E-Autos auf eine neue Kaufprämie bauen. Sie soll rückwirkend für E-Autos gelten, die seit dem Jahreswechsel erstmals zugelassen wurden, wie die Bild berichtet. Je nach Einkommen, Familienstand und weiteren Kriterien sollen demnach Zuschüsse zwischen 1500 und 6000 Euro möglich sein. „Die Mittel reichen für geschätzt 800.000 Fahrzeuge in den nächsten drei bis vier Jahren“, sagte Bundesumweltminister Carsten Schneider der Zeitung. Er sehe das Programm als Anschub für die heimische Branche, die starke Elektroautos im Angebot habe, meint der SPD-Politiker.

Grenze bei 80.000 Euro Haushaltseinkommen

Die neuen, milliardenschweren Kaufanreize sollen insbesondere Haushalten mit kleinem und mittlerem Einkommen zugutekommen sollen. Für Familien mit Kindern soll es demnach mehr Geld geben. Die festgelegte Einkommensgrenze liegt bei 80.000 Euro zu versteuerndes Haushaltsjahreseinkommen. Bis Autokäufer die neue Prämie beantragen könnten, dürften noch einige Monate vergehen. Es müsse erst ein entsprechendes Portal freigeschaltet werden, heißt es in der Bild. Anträge könnten voraussichtlich ab Mai 2025 gestellt werden.

Auswirkungen ungewiss

Ungewiss ist, wie sich die Prämie auf die tatsächlich zu zahlenden Preise am Markt auswirken wird. Marktführer VW räumt seit geraumer Zeit einen „ID. Kaufprämie“ genannten Rabatt auf den Listenpreis ein, der bei bis zu 5000 Euro liegt. Dieser Nachlass ist befristet bis zum 31. März 2026. Das gilt auch für Toyotas Deutschlandprämie, bei der ein Rabatt, wie bei VW abhängig vom Modell, von ein paar Tausendern möglich ist. Da die Hersteller einen Teil der künftigen Kaufprämie wieder übernehmen müssen, ist davon auszugehen, dass die bestehenden Nachlässe unter neuem Namen fortgeführt werden. Denn die Hersteller wollen schließlich auch weiterhin jene Kunden anlocken, deren zu versteuerndes Jahreseinkommen bei mehr als 80.000 Euro liegt.

(mfz)

Ein wenig wirkt es so, als hätte Amazons Clouddienstleister AWS sich beim Konzept seiner “European Sovereign Cloud” (ESC) von seinen Kunden treiben lassen: AWS habe von vornherein seinen Kunden versprochen, dass Daten nicht in andere Regionen verschoben würden und sich stets daran gehalten, sagt AWS-CEO Matt Garman am Donnerstag bei der Vorstellung der neuen EU-Cloud in Potsdam. Niemand würde Zugriff auf die Workloads haben, betont Garman. Die Kunden wollten die Cloudnutzung. Sie sähen sich aber mit regulatorischen Anforderungen konfrontiert – und sie wollten keine verwässerte Version der Amazon-Clouddienstleistung haben.

Vielfach betonen AWS-Vertreter an diesem Donnerstag im Hasso-Plattner-Institut in Potsdam-Griebnitzsee, dass es schon immer um Sicherheit gegangen sei – um technologische wie organisatorische Sicherheit, dass wirklich niemand auf Daten Zugriff habe oder abschalten könne. Als Testimonial für die Leistungsfähigkeit und Widerstandsfähigkeit der bisherigen AWS-Angebote hat Garman ein Video des bisherigen ukrainischen Digitalministers Mychajlo Fedorow mitgebracht, der gerade erst zum Verteidigungsminister ernannt wurde. Der lobt Amazons Web Services, einen Dienst, der der Ukraine nach dem Großangriff Russlands vor fast vier Jahren eine digitale Zuflucht für Regierungsdaten bot.

Die Daten seien komplett in Europa geblieben, sagt Garman. Die Botschaft: AWS ist sicher – und die neue European Sovereign Cloud ist aber noch sicherer, für solche Kunden, denen das Sicherheitsversprechen allein nicht ausreicht.

Plattner: „Wir müssen das jetzt testen“

Die ESC soll vollständig separat laufen können. Ein wichtiger Meilenstein sei mit dem offiziellen Start der Sovereign Cloud erreicht worden, sagt Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) am Nachmittag in Potsdam. Die technisch-organisatorischen Maßnahmen, wie jene, die AWS bei seiner Europäischen Cloud eingeführt habe. Die wolle sie bei jedem Unternehmen sehen, mit dem das BSI zusammenarbeitet. Bei Google, Microsoft, Delos und anderen werden sie sehr genau zugehört haben und prüfen, ob sie damit mitgemeint sein könnten.

Und auch AWS hat mit der ESC noch den eigentlichen Lackmustest vor sich, wie Plattner sagt. Denn die European Sovereign Cloud soll auch dann noch funktionieren, wenn alle Verbindungen in die USA gekappt werden. „Wir müssen das jetzt testen“, sagt die BSI-Präsidentin. Anders gesagt: Bislang hat das nicht stattgefunden, auch wenn seit etwa sechs Wochen die ersten Kunden auf der Plattform aktiv sind.

Regulatorischer Druck

Dass AWS leistungsfähig ist, daran gibt es wenig Zweifel. Dass die Amazontochter US-Recht unterliegt, daran ebensowenig. Und AWS verdient bislang gut an europäischen Kunden, das Geschäft könnte sogar noch besser laufen. Denn Potenzial für mehr Cloudnutzung sehen viele in der EU, auch AWS. Aber die regulatorischen Anforderungen sind stärker geworden und dürften absehbar noch einmal weiter anziehen.

Dass das insbesondere für kritische Infrastrukturen, Finanzdienstleister, Energiefirmen und Regierungsorganisationen gilt, ist offenkundig. Die müssen die verschärften Bedingungen von DORA, NIS2, C5 und anderen Vorgaben einhalten – unter widrigen, geopolitischen Bedingungen. Ein Problem, das nicht nur, aber gerade Amazon betrifft.

„Radioaktive Kundendaten“

Zugleich sollen die Kunden die Services weiter nutzen können, die sie gerne nutzen wollen. 90 der 240 Dienste, die in AWS laufen, sind zum Start in der Parental Zone Brandenburg verfügbar. Die soll bald um eine niederländische, eine belgische und eine portugiesische Tochterzone ergänzt werden – sprich: Rechenzentrumsverbünde, die sich geografisch an unterschiedlichen Orten befinden und alle dem ESC-Regime statt dem normalen AWS-Betrieb unterliegen, wo noch einmal stärker auf eine Verschlüsselung und Nichtlesbarkeit von Metadaten wie Nutzern, Rollen und Zugriffsrechten Wert gelegt wird.

„Kundendaten sind radioaktiv, wir wollen nicht in ihrer Nähe sein“, erläutert Colm MacCarthaigh die Herangehensweise, die schon immer gegolten habe. Und in die neue Struktur sei, nachdem man mit AWS Nitro und vielen anderen Maßnahmen bereits viele wichtige Schritte gegangen sei, ein umfangreicher Erfahrungsschatz eingeflossen.

ESC besser als das normale AWS?

Ein Spagat für die Firmenvertreter: Sie müssen das neue ESC anpreisen – aber ohne das normale AWS schlechtzumachen. AWS ESC könnte dabei die gesamte Bandbreite an Vorwissen ausspielen. Denn viele Kunden sehen sich vor allem in der Pflicht, nachweisen zu können, dass sie sich an die für sie geltenden Regeln gehalten haben.

Sarah Duffer erklärt in Potsdam, welche Rolle das „European Sovereign Reference Framework“ dafür spiele: die formale Beschreibung der Konzepte, mit denen AWS ESC die Unabhängigkeit sicherstelle. Solche Kriterien mitsamt Dokumentation sind für viele Nutzer relevant, wenn es um Haftungsfragen geht. Es gehe um die Überprüfbarkeit durch unabhängige Dritte, sagt Duffer, Director Security Assurance in der Zentrale. Im Hinblick auf Compliance sieht man sich gut aufgestellt.

Dass das nicht das Ende der Entwicklung sein wird, zeichnet sich jetzt bereits ab. Für viele Kunden, die bislang zweifelten, könnten die EU-AWS-Möglichkeiten allerdings ein willkommener Schritt sein. Und angesichts des politischen Klimas in den USA könnten auch bisherige Standard-AWS-Nutzer aus den USA überlegen, ob das für sie eine Alternative sein könnte. Finanziell jedenfalls ist die Nutzung der ESC laut den Modellrechnungen bei der Vorstellung noch etwas unterhalb der Standardpreise angesiedelt. Wie lang das so bleibt, ist abzuwarten.

(axk)

Das neue Meldeportal des BSI ist da. Es ist als zentrale, gesetzlich vorgesehene Plattform gedacht: zur Registrierung von NIS2-Einrichtungen ebenso wie zur Entgegennahme, Verarbeitung und Koordination von Meldungen – sowohl von KRITIS-Unternehmen, die dazu verpflichtet sind, als auch von anderen Personen. Das Portal nimmt sensible Daten der kritischsten Unternehmen Deutschlands entgegen und ist für diesen Zweck obligatorisch einzusetzen.

Die Security-Bubble schreit auf. Der Grund? Das Portal wird bei AWS betrieben. Platt gesagt: Nein, das ist kein Zeichen für die Stärkung der eigenen Digitalindustrie. Und damit auch keines für das, was viele unter nationaler digitaler Souveränität verstehen. Alternativen am deutschen Markt gibt es zuhauf. Sich wie BSI-Präsidentin Claudia Plattner gegenüber heise online auf „eine passende Infrastruktur mit Sicherheitseigenschaften nach dem Stand der Technik“ zurückzuziehen, greift zu kurz.

Rein formal ist alles sauber. Die Datenschutzerklärung des Portals ist transparent und ausführlich. Wenn dort aber steht „Dadurch kann es zu einer Übermittlung der IP-Adresse in die USA kommen“ und gleichzeitig freiwillige Meldungen „einfach und anonym“ erfolgen sollen, zucke ich innerlich zurück. Muss das wirklich sein? Ich denke nicht. Alternativen – siehe oben – gibt es doch.

Souverän oder autark

Der Fairness halber: Das BSI beziehungsweise seine Präsidentin unterscheidet schon seit Längerem zwischen „digital souverän“ und „digital autark“. Internationale Produkte sollen daher so eingebettet werden können, dass „Datenabfluss technisch unmöglich“ ist, wie Frau Plattner im BSI-Cybernation-Blog zur digitalen Souveränität schreibt. Das ist ein nachvollziehbarer Ansatz.

Warum im Falle des Portals nicht konsequent der erste Punkt der Doppelstrategie, den „EU-Markt und die eigene Digitalindustrie“ zu stärken, verfolgt wurde, bleibt bislang unkommentiert. Hier wünsche ich mir dringend einen Nachsatz bei dem zentralen und gesetzlich verpflichtenden Portal für KRITIS-Betreiber.

Auch technisch wirft die Umsetzung Fragen auf, selbst wenn eine Analyse naturgemäß nur eingeschränkt möglich ist. Warum etwa die security.txt nicht RFC-konform implementiert wurde – immerhin Stand der Technik, den das BSI in seinen FAQ für den Umgang mit Schwachstellen selbst empfiehlt –, erschließt sich mir nicht. Offensichtlich kommt zudem die Web Application Firewall (WAF) von AWS zum Einsatz.

„Datenabfluss technisch unmöglich“?

Üblicherweise terminiert eine WAF den verschlüsselten Datenstrom, damit sie den Inhalt analysieren kann. Auch die Vorfallsmeldung eines KRITIS-Unternehmens. Wie unter diesen Voraussetzungen sichergestellt wird, dass ein „Datenabfluss technisch unmöglich“ ist, interessiert mich als Informatiker brennend. Gleiches gilt für die Persistenz der Daten auf AWS und ihre Weiterverarbeitung in nachgelagerten Fachverfahren.

Das bestehende Portal MIP-2 wird übrigens von der Swiss IT Security Deutschland GmbH betrieben – immerhin in Schweizer Hand – und steht KRITIS-Betreibern „voraussichtlich sogar bis 31.12.2026“ zur Verfügung. Funfact am Rande: Im Zuge der Recherche für diese Zeilen habe ich eine klassische Webschwachstelle in MIP-2 gefunden. Gemeldet habe ich sie lieber PGP-verschlüsselt per E-Mail statt über das neue Portal. Nur wenn ich mich selbst darum kümmere, ist technisch sichergestellt, dass ein „Datenabfluss technisch unmöglich“ bleibt. Schade eigentlich.

Dieser Kommentar ist das Editorial zur neuen iX-Ausgabe 02/2026, die ab 22. Januar 2026 erhältlich ist.

(axk)