Sovereign Cloud – nur wer ist der Souverän?

Microsoft bietet tollen Service für Europäer, die ein bisschen souverän sein wollen.

Die Ankündigung auf der Microsoft-Seite¹ sind vollmundig: „Die umfassendste Sammlung an Souveränitätslösungen, mit integrierter Produktivität, Sicherheit und Cloudplattform.“

Allein der Begriff Souveränitätslösung gibt vielleicht einen Subtilen Hinweis darauf, wo Microsoft das Problem sieht: eben bei der Souveränitäts-Debatte der EU.

In Wahrheit sitzt dem Auslandsgeschäft der US-Cloud-Industrie in Washington ein massives Glaubwürdigkeitsproblem im Genick. Und die Umsetzung der Cloud-Sicherheit ist zumindest bei Microsoft qualitativ auch nicht immer da, wo sie sein sollte. Das Problem liegt also nicht bei der EU, sondern bei Microsoft.

Zur Erinnerung: An Peinlichkeiten herrscht kein Mangel…

• Geklauter Master-Key zur Azure-Cloud nur die Spitze des Eisbergs
  (https://www.heise.de/news/Klatsche-fuer-Microsoft-US-Behoerde-wirft-MS-Sicherheitsversagen-vor-9674431.html)
  
• E-Mail-Account von Chefankläger des Internationalen Gerichtshofs auf Druck der US-Regierung gesperrt
  (https://www.heise.de/news/Strafgerichtshof-Microsofts-E-Mail-Sperre-als-Weckruf-fuer-digitale-Souveraenitaet-10387368.html)
  
• Microsoft räumt ein: außerstande digitale Souveränität von EU-Daten zu gewährleisten
  (https://cloudauditor.de/alles/nein-das-kann-ich-nicht-garantieren/)

Ist man ist in Redmond also bemüht, allerlei Sicherheits-, Datenschutz- und Souveränitätsdebakel aus der Vergangenheit mit dem neuen Super-Buzzword „Sovereign Cloud“ zu übertünchen?

Was verspricht Microsoft?

Auf seiner Website beschreibt der Konzern das neue Angebot so:

• [Cloud-Dienst mit] erweitertem Schutz, Datenresidenz und lokaler Datenkontrolle mit Advanced Data Residency in Microsoft 365 und Azure Sovereign Landing Zones.
• Microsoft Cloud Services, die von in Europa Ansässigen kontrolliert und durch manipulationssichere Protokolle verfolgt werden*
• [für Kunden] eigenen Schlüsselspeicher in Hardwaresicherheitsmodulen, um eine zusätzliche Ebene der Verschlüsselungsschlüsselkontrolle und an Schutz zu erhalten*
• Workloads zur Unterstützung souveräner Operationen in einem einheitlichen Portal* [können Kunden Konfigurieren, implementieren und überwachen]

[ diese Liste besteht aus Zitaten für die Sovereign Public Cloud, Stand August 2025; URL siehe unten; * = bald verfügbar ]

Das sind viele geschraubte Begriffe, was jeden kritischen Leser misstrauisch machen sollte. Denn auch wenn man die formaljuristischen Bedeutungsnuancen nicht nachvollziehen kann, bleibt am Ende dies:

Die Technologie in jeder Microsoft-Cloud, auch wenn sie rechtlich-formell von den USA unabhängig ist, gehört Microsoft und wird von dort kontrolliert.

Der Fall des gesperrten E-Mail-Accounts zeigt, dass die aktuelle US-Administration vor dem Aufbau von Drohkulissen jeder Art, gegen eigene Unternehmen wie auch fremde Staaten (oder Bündnispartner), keinerlei Skrupel hat. Da ist es nicht zu weit hergeholt, wenn man eine Gefahr für Cloud-Dienste europäischer Organisationen befürchtet.

Wie hilft die Sovereign Cloud der EU?

Sie löst das Europäische Problem der digitalen Souveränität buchstäblich in einer Suppe aus Worthülsen auf.

Besonders unangenehm ist das aufkommende Gefühl, der Konzern wolle „Europa“ erklären, was Souveränität ist und wie sie funktioniert: Fast-Food-Compliance – man braucht nur eine Tüte MS-Euro-Fix und heisses Wasser – fertig.
Aber sind Souveränität und Compliance auch nur annähernd dasselbe?

Auf LinkedIn hat sich der Kollege Axel Oppermann ausführlich mit der Frage befasst².

Sovereign Cloud: manch eine Organisation, die keinen besseren Ausweg sieht (weil sie im Vendor Lock-In von Microsoft gefangen ist) wird dieses Vehikel nutzen, um sich formell „in Sicherheit“ zu bringen. Das mag funktionieren.

Falls die Organisation wichtig oder ärgerlich genug ist, um in Washington Aufmerksamkeit zu erregen, wird dies im Konfliktfall jedoch wenig nützen – merke: die Firma Microsoft ist zur Zusammenarbeit mit den US-Behörden verpflichtet und egal wie „souverän“ eine Cloud auf Basis ihrer Technologie auch ist – sie wird nie unabhängig von Microsoft sein.

Was setzen EU-Anbieter dagegen?

Wie positionieren sich europäische Cloud-Anbieter beim Thema digitale Souveränität?
Die europäische Cloud-Industrie hat es schwer:

• Es fehlen politischer Wille und Visionen, auf EU-Ebene eigene Technologien und starke Player zu installieren.
  Man verliert sich im Klein-klein einzelstaatlicher Initiativen, die oft am Ende mit Technologie der großen US-Anbieter umgesetzt werden – auch dank deren exzellenter Lobby-, Marketing- und Vertriebsarbeit.
• US-Konzerne sind mit ihrer Finanzstärke in der Lage, in sehr hohem Tempo neue Features in den Markt zu bringen und massiv Rechenkapazitäten aufzubauen.
• Viele Anwender sind stark von US-Technologie abhängig, insbesondere der von Microsoft.

Kein Wunder also, dass sich Organisationen, die von US-Clouds auf EU-Anbieter wechseln wollen, relativ unattraktiven Angeboten gegenüber sehen. Allein der Umbau der APIs einer IaaS-Infrastruktur ist ein Kraftakt, wenn dazu Kosten- oder Funktionsnachteile kommen wird es schwer für IT-verantwortliche, ihren Fachbereich entsprechend umzubauen.

Schließlich bleibt klarzustellen, dass obige kritische Anmerkungen auch andere Souveränitäts-Lösungen betreffen – Amazon Web Services (aws) bietet mit der „AWS European Sovereign Cloud“ ein ganz ähnliches Konzept an – mit identischen Pferdefüssen³.

1. https://www.microsoft.com/de-de/industry/sovereignty/cloud ↩︎
2. https://www.linkedin.com/pulse/ach-souver%C3%A4nit%C3%A4t-blind-spots-kurzanalyse-einer-sehr-mit-oppermann-ewvte/ ↩︎
3. https://de.wikipedia.org/wiki/Pferdefu%C3%9F ↩︎