Digitale Souveränität in Europa: Dänemark verabschiedet sich von Microsoft, Deutschland setzt auf Google Cloud?

In letzter Zeit ist das Thema digitale Souveränität wieder in den Fokus gerückt, ausgelöst durch zwei Nachrichten aus Dänemark und Deutschland:
Das dänische Ministerium für Digitalisierung plant, Microsoft-Produkte zugunsten von Open-Source-Software abzuschaffen, während die deutsche Bundeswehr auf die Google Cloud mit „Air-Gap“-Lösung setzt und bis 2027 zwei physisch getrennte Cloud-Instanzen in eigenen Rechenzentren aufbaut.

Im Video erhalten Sie einen Überblick über beide Nachrichten.

Video ansehen

In diesem Blog haben wir für Sie die Zusammenfassung der beiden Nachrichten sowie einige dazugehörige Fragen zusammengestellt.

Vielleicht gewinnen Sie nach der Lektüre ein besseres Verständnis für das Thema und erkennen, warum digitale Souveränität für die Europäische Union so wichtig ist.

Dänemark steigt bei Microsoft aus

Laut einem Bericht der Politiken baut die dänische Ministerin für Digitalisierung, Caroline Stage Olsen, die Nutzung von Microsoft in ihrem Ministerium schrittweise ab und plant stattdessen den Einsatz von Open-Source-Programmen. (Quelle: Zum Originalartikel)

Die eingesetzten Open-Source-Lösungen – konkret das Betriebssystem Linux und das Büropaket LibreOffice – sollen Microsoft Windows und Office 365 ersetzen.

Bis zum Ende dieses Sommers soll etwa die Hälfte der Mitarbeiter des Ministeriums auf das neue System umgestellt sein. Die internen Vorbereitungen laufen bereits, und die Mitarbeiter werden in der Nutzung der neuen Software geschult und eingewiesen.

Bereits im April hatte Olsen davor gewarnt, dass eine anhaltende Abhängigkeit von US-amerikanischen digitalen Werkzeugen ein strategisches Risiko darstelle.

„Es besteht das Risiko, dass ein Drittstaat den Zugang abschneidet“, sagte sie und forderte die EU auf, die Rahmenbedingungen für den Aufbau einer europäischen digitalen Infrastruktur zu schaffen.

Deutschland setzt auf Google Cloud

Nach Angaben der Bundeswehr setzt die IT-Dienstleisterin der Bundeswehr, BWI, auf die Google Cloud mit „Air-Gap“-Lösung und baut bis 2027 zwei physisch getrennte Cloud-Instanzen in eigenen Rechenzentren auf. Ziel ist die sichere Kontrolle sensibler Daten in der sogenannten „privaten Cloud der Bundeswehr“ (pCloudBw).

Hintergrund ist die Entscheidung, geschäftskritische Anwendungen auf der „Business Technology Platform“ (BTP) von SAP SE im privaten Deployment abzubilden. Laut BWI gewährleistet die Zusammenarbeit mit Google Cloud und SAP eine isolierte, sichere Umgebung zur IT-Unterstützung logistischer und administrativer Prozesse. Mit diesem Schritt verfolgt die Bundeswehr ihre „Cloud-First“-Strategie weiter, wobei künftige Anwendungen bevorzugt cloud-basiert, aber unter vollständiger Kontrolle und innerhalb der eigenen Infrastruktur bereitgestellt werden.

IT-Experten kritisieren jedoch die digitale Abhängigkeit von den USA und bezweifeln die Sicherheit des Konzepts. (Quelle: Zum Originalartikel)

Kritikpunkte und Hauptargumente zur Google Cloud „Air-Gap“-Lösung der Bundeswehr

Fehlende digitale Souveränität

Obwohl Anbieter wie Google und Microsoft verstärkt mehr europäische Kontrolle versprechen, bleibt die Souveränität bei der Nutzung außereuropäischer Cloud-Lösungen eingeschränkt.
Aktuelle Vorfälle wie die Sperrung eines Microsoft-E-Mail-Kontos beim Internationalen Strafgerichtshof verstärken die Sorgen um digitale Abhängigkeit.

Abhängigkeit von US-Tech-Konzernen

Die Bundeswehr vertraut kritische Daten einem US-Anbieter an, was die digitale Infrastruktur stark abhängig macht.
IT- und Sicherheitsexperten sind entsetzt und kritisieren fehlende Exit-Strategien. Updates und Patches bleiben trotz „Air-Gap“ von Google abhängig, die Softwarekontrolle liegt weiterhin bei Google.

Begrenzte Wirksamkeit des Air-Gap-Konzepts

Das Air-Gap wird als Schein-Schutz kritisiert:

Zwar physisch isoliert, jedoch bleiben Code und Updates in Googles Hand.
Fehlende unabhängige Code-Auditierung und kein Schutz auf Firmware-, BIOS- oder Hypervisor-Ebene.
Versteckte Remote-Zugriffe können trotz Air-Gap möglich sein.
Die Kontrolle über die Cloud liegt letztlich bei Google, was digitale Souveränität verhindert.

Fehlende Open-Source-Transparenz

Google Cloud ist proprietär und nicht quelloffen, wodurch unabhängige Prüfungen unmöglich sind.
Ein proprietärer Software-Stack führt zu 100% Abhängigkeit vom Anbieter, Wechsel wird praktisch unmöglich.

Rechtliche Risiken

Google als US-Unternehmen unterliegt dem US-Cloud-Act, was den US-Behörden Zugriff auf Daten oder die Kontrolle von Updates ermöglicht.
Dadurch bestehen erhebliche politische und rechtliche Risiken für die digitale Sicherheit der Bundeswehr.

Mangelnde Transparenz und Vertrauen

Experten fordern eine klare Exit-Strategie, kontinuierliche Prüfung von Open-Source-Alternativen und Offenlegung von Risikobewertungen.
Derzeit mangelt es an Transparenz gegenüber Parlament und Öffentlichkeit.

Zusammenfassung der Expertenmeinungen

Sicherheitsfachleute und Branchenvertreter bezeichnen die Entscheidung als gravierenden Fehler. Nextcloud CEO Frank Karlitschek warnt vor der Unumkehrbarkeit der Abhängigkeit, sobald Google Cloud APIs integriert sind. Die Entscheidung widerspricht dem aktuellen Trend zur digitalen Souveränität in Europa.

Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn gerne mit Ihren Kolleginnen und Kollegen.

FAQ

Was ist digitale Souveränität?

Digitale Souveränität bezeichnet die Fähigkeit eines Staates oder einer Region, die Kontrolle über ihre digitale Infrastruktur, Daten und Technologien eigenständig auszuüben.

Dabei geht es darum, Entscheidungsfreiheit, Datenschutz, Sicherheit und technologische Entwicklung im digitalen Raum ohne fremde Einflüsse oder Abhängigkeiten zu gewährleisten.

Einfach gesagt bedeutet digitale Souveränität, in der digitalen Welt unabhängig und selbstbestimmt zu bleiben, die nationale Cybersicherheit und Datenhoheit zu schützen sowie eine übermäßige Abhängigkeit von ausländischen Technologien oder Diensten zu vermeiden, um so die nationale Sicherheit, wirtschaftliche Interessen und die Privatsphäre der Bürger zu sichern.

Was bedeutet digitale Souveränität für die Europäische Union?

Digitale Souveränität bedeutet für die Europäische Union die Fähigkeit, ihre digitale Infrastruktur, Daten und Technologien eigenständig zu kontrollieren und zu gestalten.

Für die EU ist digitale Souveränität entscheidend, um die Privatsphäre und Sicherheit ihrer Bürger zu schützen, wirtschaftliche Unabhängigkeit zu fördern und sich gegen Abhängigkeiten von außereuropäischen Technologieanbietern – insbesondere aus den USA und China – zu wappnen.

Sie umfasst auch die Entwicklung und Förderung eigener Technologien und digitaler Standards, die Förderung von Open-Source-Lösungen sowie die Sicherstellung, dass europäische Unternehmen und öffentliche Institutionen die Hoheit über ihre Daten behalten.

Damit soll die EU ihre Wettbewerbsfähigkeit stärken, strategische Risiken minimieren und die Kontrolle über kritische digitale Infrastrukturen behalten.

Kurz gesagt steht digitale Souveränität für die Wahrung von Selbstbestimmung, Sicherheit und wirtschaftlicher Stärke im digitalen Zeitalter.

Was ist Open-Source-Software?

Open-Source-Software ist Software, deren Quellcode öffentlich zugänglich ist. Jeder kann ihn einsehen, nutzen, verändern und (je nach Lizenz) weiterverbreiten.

Was ist Closed Source-Software?

Closed Source-Software hat einen nicht zugänglichen Quellcode. Nur das Herstellerunternehmen hat Zugriff und kontrolliert die Entwicklung und Verteilung.

Worin unterscheiden sich Open Source- und Closed Source-Software?

Merkmal	Open Source	Closed Source
Quellcode sichtbar	Ja, öffentlich zugänglich	Nein, nur Hersteller hat Zugriff
Netzungskosten	Meist kostenlos oder geringe Gebühren	Lizenzgebühren oder Abonnements erforderlich
Anpassbarkeit	Hoch, der Quellcode kann verändert werden	Niedrig, Nutzer können Software kaum anpassen
Sicherheit & Transparenz	Höher, da Fehler und Sicherheitslücken offen einsehbar sind	Weniger transparent, Nutzer müssen Hersteller vertrauen
Support	Community- oder Drittanbieter-basiert	Offizieller Support vom Hersteller
Abhängigkeit vom Anbieter	Gering, Nutzer sind unabhängig	Hoch, Nutzer sind an Hersteller gebunden

Was ist Linux?

Linux ist ein kostenloses, quelloffenes Betriebssystem, das als Alternative zu Microsoft Windows dient.

Es ist besonders in der Serverwelt, bei Entwicklern und zunehmend auch in öffentlichen Verwaltungen beliebt.

Es gibt viele Varianten (sogenannte Distributionen), z. B. Ubuntu, Debian oder Fedora.

Was ist LibreOffice?

LibreOffice ist eine freie und offene Bürosoftware-Suite, die Programme für Textverarbeitung, Tabellenkalkulation, Präsentationen usw. enthält – vergleichbar mit Microsoft Office (Word, Excel, PowerPoint).

Hauptvorteile: kostenlos, quelloffen, datenschutzfreundlich.

Warum will Caroline Stage Olsen diese Software einsetzen?

Digitale Souveränität

Regierung will nicht von US-Konzernen abhängig sein
Kontrolle über Software und Daten bleibt in dänischer Hand

Mehr Transparenz und Sicherheit

Quellcode ist offen – Experten können ihn prüfen
Weniger Risiko von „Hintertüren“ oder versteckter Datenweitergabe

Geringere Kosten

Keine Lizenzgebühren für Betriebssysteme oder Office-Pakete
Geld kann in IT-Personal oder lokale Lösungen investiert werden

Förderung lokaler IT-Branche

Offene Software erlaubt lokalen Unternehmen, Anpassungen vorzunehmen
Know-how bleibt im Land, statt Geld an Großkonzerne zu zahlen

Was ist das Risiko, wenn ein Drittstaat den Zugang zu digitalen Diensten sperrt?

Wenn ein Staat – etwa über Ministerien oder kritische Infrastrukturen – stark auf proprietäre Software oder Cloud-Dienste aus Drittstaaten angewiesen ist, entsteht ein zentrales Risiko:

Ein Drittstaat könnte aus politischen, wirtschaftlichen oder sicherheitspolitischen Gründen den Zugang einschränken oder sperren lassen.

Konkrete Risiken im Überblick:

1. Abhängigkeit von der Politik des Drittstaates

Wenn z. B. ein US-Unternehmen digitale Dienste bereitstellt, kann es durch Gesetze wie den USA CLOUD Act oder Exportbeschränkungen gezwungen werden, den Dienst einzustellen – selbst gegen den Willen des Nutzers.

-> Behörden könnten plötzlich keinen Zugriff mehr auf ihre Systeme oder Daten haben.

2. Zugriff auf sensible Daten

Drittstaaten könnten gesetzlich verlangen, dass Unternehmen Nutzerdaten, Kommunikationsinhalte oder Metadaten herausgeben – auch wenn die Server in Europa stehen.

3. Geopolitisch motivierte Dienstunterbrechung

In Krisensituationen oder politischen Konflikten könnten Anbieter aus Drittstaaten ihre Dienste einseitig beenden, z. B. Softwarelizenzen entziehen, Cloud-Konten sperren oder technischen Support einstellen.

Beispiele dafür gab es u. a. im Umgang westlicher Anbieter mit Russland oder Iran.

4. Fehlende technische Kontrolle

Bei Closed-Source-Software besteht keine Möglichkeit, den Quellcode selbst zu prüfen oder weiterzuentwickeln. Wird der Zugang gesperrt, können Behörden die Systeme nicht selbstständig warten oder migrieren.

Was ist die „Air-Gap“-Lösung von Google Cloud?

Die sogenannte „Air-Gap“-Lösung von Google Cloud beschreibt eine Cloud-Infrastruktur, die physisch isoliert ist und vollständig vom öffentlichen Internet und anderen Netzwerken getrennt betrieben wird. Sie richtet sich vor allem an Kunden mit höchsten Sicherheitsanforderungen, etwa aus dem Militär-, Regierungs- oder Geheimdienstbereich.

Kernmerkmale der Google Cloud Air-Gap-Lösung:

Physische Trennung

Die Server werden nicht in Googles globalen Rechenzentren, sondern direkt in den eigenen Rechenzentren des Kunden betrieben (z. B. der Bundeswehr)
Es gibt keine direkte Verbindung zur öffentlichen Google-Cloud oder zum Internet

Eigene Hardware und Netzwerkstruktur

Verwendung dedizierter Hardware und geschlossener Netzwerke, die nicht gemeinsam mit anderen Kunden genutzt werden
Keine geteilte Infrastruktur, kein Multi-Tenant-Modell.

Kontrollierter Update-Prozess

Alle Software-Updates, Sicherheitspatches und neuen Features müssen manuell vom Kunden freigegebenwerden
Google kann nichts automatisch installieren – alles läuft über einen festgelegten und prüfbaren Prozess.

Nur lokaler Zugriff

Zugriff ist nur innerhalb des abgesicherten Netzwerks des Kunden möglich；
Keine Fernzugriffe, keine Cloud-Verbindung – alle Daten bleiben lokal.

Warum kritisieren viele Experten die Google Air-Gap-Lösung trotz der versprochenen Sicherheit?

Update-Abhängigkeit:

Alle Updates und Patches stammen weiterhin ausschließlich von Google
Der Kunde hat keine eigene Kontrolle über den Quellcode und kann nicht unabhängig Änderungen vornehmen

Nicht Open-Source:

Google Cloud ist keine quelloffene Software
Es gibt keine unabhängige Code-Prüfung durch externe Stellen

US-Rechtliche Risiken:

Als US-Unternehmen unterliegt Google dem CLOUD Act
Im Ernstfall kann die US-Regierung Zugriff verlangen oder Updates verbieten（z. B. durch einen Präsidenten wie Trump）

Air-Gap schützt nicht vollständig:

Sicherheitsforscher weisen darauf hin, dass ein Air-Gap nicht vor versteckten Zugriffsmöglichkeiten auf Firmware-, BIOS- oder Hypervisor-Ebene schützt
Fernzugriffe über „Out-of-Band“-Kanäle bleiben möglich