Autonomy

Benjamin Hilbricht und Oliver Voß schreibt in »C3A-Katalog: Die BSI-Kriterien für souveräne Clouds« für tagesspiegel.de Strategische Souveränität: Der Cloud-Anbieter muss EU- oder deutschem Recht unterliegen. Deutsche oder EU-Behörden müssen eine effektive Kontrolle vornehmen können. Wenn sich ein amerikanischer, chinesischer oder sonstiger Nicht-EU-Akteur in einen Cloud-Anbieter einkauft oder ihn übernimmt, muss das Unternehmen drei Monate im Voraus seine Kunden davor warnen. Rechtliche Souveränität: Einmal im Jahr muss der Cloud-Anbieter Nicht-EU-Gesetze identifizieren, die sich auf sein Geschäft auswirken, und eine Risikoanalyse vornehmen. Ein Beispiel wäre der US Cloud Act. Außerdem enthält der Abschnitt ein Kriterium für den Verteidigungsfall. Als souverän gelten Cloud-Anbieter, die Wissen, Fähigkeiten und Personal vorhalten, sodass der Staat die Cloud-Services im Verteidigungsfall selbst steuern kann. Datensouveränität: Dieser Punkt ist sehr umfangreich. Hier spezifizieren Kriterien, ob und wie viel Kontrolle die Kunden über die Metadaten und Daten haben und wo diese gespeichert werden. Es wird verlangt, dass der Cloud-Anbieter ein externes Management für kryptografische Schlüssel zulässt. Dadurch würde gewährleistet, dass er Kundendaten nicht selbst entschlüsseln kann. Auch die Möglichkeit, die Nutzeridentitäten außerhalb der Cloud zu managen, gilt als Muss. Betriebssouveränität: Auch dieser Punkt ist sehr umfangreich. Unter anderem finden sich hier die eingangs erwähnten Kriterien, dass die Rechenzentren 90 Tage lang ohne jegliche Verbindung zu Nicht-EU-Staaten laufen können müssen. „Wir müssen die Kabel zu den US-Backbones physisch rausziehen können und trotzdem muss ein Rechenzentrum in Europa betriebsfähig bleiben“, sagt BSI-Vize Caspers. Lieferketten: Hier müssen souveräne Unternehmen ihre Abhängigkeiten in Software, Hardware und Diensten inventarisieren und am besten einen dokumentierten Prozess für den Problemfall vorhalten. Technologische Souveränität: Hier verlangt das Bundesamt, dass es ein Backup des Quellcodes auf einem Speicher in der EU gibt. Der Code darf nicht älter sein als 24 Stunden und muss dokumentiert sein. Cloud-Anbieter, die in Deutschland tätig sein wollen, müssen für den Notfall eine Strategie vorhalten, wie sie ihre Dienste weiter liefern können. Zusätzlich können sie nachweisen, dass sie eigene Leute haben, die die Entwicklung und Wartung der Dienste übernehmen können, falls die Lieferung aus dem EU-Ausland abbricht. Der Artikel ist auch über das oben genannte Zitat hinaus interessant. Den C3A-Katalog kann man hier einsehen.

Jürgen Geuter beschreibt in »Verteuerte Hardware: KI-Konzerne verhindern den Ausstieg aus der Cloud« bei Golem ein Szenario, das wie eine Verschwörungstheorie wirkt. Demnach kaufen große Tech-Konzerne den Markt für KI-Hardware leer, während Unternehmen und öffentliche Einrichtungen unabhängiger werden wollen. So werde der Ausstieg aus der Cloud erschwert. Auch wenn hier möglicherweise mehrere Entwicklungen zusammenfallen, ist der Kern der Beobachtung nicht von der Hand zu weisen. Die Frage ist, welche Konsequenzen daraus folgen sollen. Sollen lokale Chipfertiger die Lösung sein? Dass Souveränitätvorhaben auf Chipebene brechen, ist seit Längerem Konsens. Kurzfristig lässt sich das kaum ändern. Entweder sinkt die Nachfrage der KI-Unternehmen, etwa wenn die Blase platzt oder die Hersteller bauen ihre Kapazitäten aus.

Svenja Bergt schreibt in »Digitale Abhängigkeit von den USA: Bund zahlt mehr für Microsoft-Lizenzen« für taz.de Trotz der Pläne, Deutschland digital unabhängiger von den USA zu machen, sind die Ausgaben des Bundes für Lizenzen des US-Softwarekonzerns Microsoft im vergangenen Jahr erneut gestiegen. 481,4 Millionen Euro zahlten die Bundesverwaltung sowie Zuwendungsempfänger des Bundes 2025 an Microsoft, so die Antwort auf eine schriftliche Anfrage der Grünen-Bundestagsabgeordneten Rebecca Lenhard, über die zuerst die Süddeutsche Zeitung Dossier berichtete. ...

tagesspiegel.de schreibt in »Digitale Souveränität: Minister Schrödter kritisiert geplante Neudefinition der Bundesregierung« Wirkliche Souveränität ist daher nach Ansicht Schrödters nur mit Open Source erreichbar. „Digitale Souveränität ist schlicht keine Governancefrage, sondern eine der technischen Eigentums- und Kontrollarchitektur“, schreibt Schrödter. „Die Fähigkeiten und Möglichkeiten, die die Sicherung digitaler Souveränität erfordert, lassen sich nicht vertraglich herstellen und auch nicht regulatorisch erzwingen, solange der Quellcode und die Verfügungsgewalt über die zentrale technologische Basis außerhalb staatlicher Kontrolle liegen.“ Proprietäre Systeme würden immer eine strukturelle Abhängigkeit erzeugen, Open Source kehre dieses Verhältnis um. ...

Marcel Rosenbach interviewt Francesca Bria in »EuroStack-Initiatorin Francesca Bria: So wird der deutsche Staat digital unabhängig« für spiegel.de Wirkungsvoller wäre ohnehin etwas anderes: 300 Milliarden Euro an privatem Kapital verlassen Europa jährlich und fließen in die US-Kapitalmärkte. Und wir finanzieren unsere Abhängigkeit auch noch mit unseren Steuergeldern – durch öffentliche Aufträge an US‑Technologiekonzerne. Big Tech zu besteuern, ist richtig. Vor allem sollten wir diese Firmen aber nicht weiter mit öffentlichen Geldern für Dienstleistungen päppeln, die europäische Unternehmen genauso gut erbringen könnten. Die EU hat zudem ein wirkungsvolles Instrument, wenn ausländische Mächte Druck ausüben, um politische Veränderungen zu erzwingen – wie es die USA bei der EU-Digitalregulierung versuchen. Frankreich hat zu Recht gefordert, dieses »Anti-Zwang-Instrument« zu aktivieren, nicht nur für den Handel, auch für digitale Dienstleistungen. ...