Gemeinsam gründen
Die beiden Unternehmen Bleu und Delos arbeiten im Zuge ihrer scheinsouveränen Cloud-Produkte seit November 2025 zusammen. Gemeinsam gründen sie ein Cyber Defense Centre.
Die beiden Unternehmen Bleu und Delos arbeiten im Zuge ihrer scheinsouveränen Cloud-Produkte seit November 2025 zusammen. Gemeinsam gründen sie ein Cyber Defense Centre.
Das gemeinsame Papier von Frankreich und Deutschland zur digitalen Souveränität vom 17. Juni 2026 legt einen politischen Rahmen fest, mit dem Europa seine kritischen Abhängigkeiten von digitalen Technologien, Ressourcen, Produkten und Diensten aus Drittstaaten verringern soll. Diese Abhängigkeiten ziehen sich durch die gesamte technologische Kette, von der IT-Infrastruktur über Software bis hin zu Datenverarbeitung und künstlicher Intelligenz. Das Papier bündelt defensive und proaktive Maßnahmen, verbindet Resilienz, Wettbewerbsfähigkeit und technologische Fähigkeiten und definiert digitale Souveränität über sechs Kerndimensionen. Konkrete Schwächen bleiben allerdings sichtbar. Das Papier ist rechtlich nicht bindend, klammert Verteidigung und nationale Sicherheit aus, schafft keine Beschaffungsauflagen für Unternehmen und begründet keine Investitions- oder Ausgabenpflichten für Mitgliedstaaten. Es nennt keine Fristen, keine Finanzierung und keine messbaren Ziele und überlässt die praktische Umsetzung späteren EU-Gesetzgebungsverfahren. Zentrale Begriffe wie “vertrauenswürdige Partner” oder “sensibelste Daten” bleiben unscharf, und viele Vorgaben stehen unter dem Vorbehalt der Verhältnismäßigkeit und offener Märkte, was den verbindlichen Kern verwässert. Es wird daher ein Vermutlich ist es nur ein weiteres Paper, das vorerst keine Veränderung bewirkt.
Achim Sawall schreibt in »EU will US-Hyperscaler bei sensiblen Daten ausschließen« für golem.de Bekannt ist, dass alle US-Cloudanbieter nach dem Patriot Act und dem Cloud Act auch im Ausland zur Zusammenarbeit mit der US-Regierung, dem FBI und anderen US-Geheimdiensten verpflichtet sind. Dazu kommt auch bei eigenem Hosting mit US-Cloudsoftware und Tools wie bei der Delos Cloud die Gefahr eines langsamen Abschaltens der Cloudversorgung, indem es auf US-Anordnung keine Updates mehr gibt. Ein deutscher Experte sagte Golem dazu: “Das kann man zum Teil managen, aber wenn man dauerhaft keine BMS Updates (Firmware der Server) kriegt, ist das langfristig eine Baustelle.” ...
Mike Faust schreibt in »Abliteration: Entfernung von Sicherheitsmechanismen in KI-Modellen immer einfacher« für golem.de Mit Software-Tools lassen sich KI-Modelle so modifizieren, dass deren Sicherheitsvorkehrungen keine Anwendung mehr finden (Abliteration). Dadurch lassen sich Informationen über die Ausbreitung von Chlorgas, tödliche Rizin-Dosierungen, Code zum Diebstahl von Kreditkartendaten und Geschichten über Kindesmissbrauch erzeugen. Wie die Financial Times (FT) in Zusammenarbeit mit der Forschungsgruppe Alice herausfand, sind derartige Tools dazu in der Lage, die Sicherheitsvorkehrungen des Open-Source-KI-Modells Llama 3.3 in weniger als 10 Minuten und ohne spezielle Hardware zu entfernen. Das Modell reagierte daraufhin auch auf Eingabeaufforderungen, die das Original verweigert hatte. ...
Benjamin Hilbricht und Oliver Voß schreibt in »C3A-Katalog: Die BSI-Kriterien für souveräne Clouds« für tagesspiegel.de Strategische Souveränität: Der Cloud-Anbieter muss EU- oder deutschem Recht unterliegen. Deutsche oder EU-Behörden müssen eine effektive Kontrolle vornehmen können. Wenn sich ein amerikanischer, chinesischer oder sonstiger Nicht-EU-Akteur in einen Cloud-Anbieter einkauft oder ihn übernimmt, muss das Unternehmen drei Monate im Voraus seine Kunden davor warnen. Rechtliche Souveränität: Einmal im Jahr muss der Cloud-Anbieter Nicht-EU-Gesetze identifizieren, die sich auf sein Geschäft auswirken, und eine Risikoanalyse vornehmen. Ein Beispiel wäre der US Cloud Act. Außerdem enthält der Abschnitt ein Kriterium für den Verteidigungsfall. Als souverän gelten Cloud-Anbieter, die Wissen, Fähigkeiten und Personal vorhalten, sodass der Staat die Cloud-Services im Verteidigungsfall selbst steuern kann. Datensouveränität: Dieser Punkt ist sehr umfangreich. Hier spezifizieren Kriterien, ob und wie viel Kontrolle die Kunden über die Metadaten und Daten haben und wo diese gespeichert werden. Es wird verlangt, dass der Cloud-Anbieter ein externes Management für kryptografische Schlüssel zulässt. Dadurch würde gewährleistet, dass er Kundendaten nicht selbst entschlüsseln kann. Auch die Möglichkeit, die Nutzeridentitäten außerhalb der Cloud zu managen, gilt als Muss. Betriebssouveränität: Auch dieser Punkt ist sehr umfangreich. Unter anderem finden sich hier die eingangs erwähnten Kriterien, dass die Rechenzentren 90 Tage lang ohne jegliche Verbindung zu Nicht-EU-Staaten laufen können müssen. „Wir müssen die Kabel zu den US-Backbones physisch rausziehen können und trotzdem muss ein Rechenzentrum in Europa betriebsfähig bleiben“, sagt BSI-Vize Caspers. Lieferketten: Hier müssen souveräne Unternehmen ihre Abhängigkeiten in Software, Hardware und Diensten inventarisieren und am besten einen dokumentierten Prozess für den Problemfall vorhalten. Technologische Souveränität: Hier verlangt das Bundesamt, dass es ein Backup des Quellcodes auf einem Speicher in der EU gibt. Der Code darf nicht älter sein als 24 Stunden und muss dokumentiert sein. Cloud-Anbieter, die in Deutschland tätig sein wollen, müssen für den Notfall eine Strategie vorhalten, wie sie ihre Dienste weiter liefern können. Zusätzlich können sie nachweisen, dass sie eigene Leute haben, die die Entwicklung und Wartung der Dienste übernehmen können, falls die Lieferung aus dem EU-Ausland abbricht. Der Artikel ist auch über das oben genannte Zitat hinaus interessant. Den C3A-Katalog kann man hier einsehen.