Sovereign Cloud: EU-Kommission vergibt Verträge für resiliente Cloud-Infrastrukturen

[DrWindows]

Sovereign Cloud: EU-Kommission vergibt Verträge für resiliente Cloud-Infrastrukturen
von Kevin Kozuszek

Mit souveränen Cloud-Infrastrukturen hat man sich in Brüssel bisweilen relativ schwer getan. Bekanntestes Vorhaben war bis dato Gaia-X, wo man allerdings durch die Hintertür wieder internationale Player wie Microsoft, Google, Alibaba, Amazon und, was besonders schwer wiegen dürfte, Palantir reinholte. Mittlerweile haben Größen wie der Branchenverband eco sowie Unternehmen wie Scaleway und Nextcloud den Verbund verlassen. Mit einem neuen Vorhaben will die EU-Kommission es jetzt wohl besser machen.

Wie die Kollegen vom Security Insider berichten, hat man in Brüssel nun vier wegweisende Verträge für den Aufbau einer rein europäischen Cloudinfrastruktur unter dem Vorhaben der Sovereign Cloud vergeben. Während der europäische SEAL-2-Standard, der sich dem Thema Datensouveränität widmet, als Basis diente, erfüllen die meisten Unternehmen, die ausgewählt wurden, bereits den SEAL-3-Standard. Dieser konzentriert sich auf digitale Resilienz und verpflichtet Unternehmen dazu, dass ihre Technologien, Betriebsabläufe und Dienste gegen Lieferkettenstörungen und andere Einflüsse durch Drittparteien außerhalb der EU immun sind.

Zwei der vier Verträge gehen an europäische Schwergewichte im Cloud-Bereich. Neben dem französischen Cloudriesen Scaleway gehört auch Stackit der deutschen Schwarz-Gruppe dazu, die unter anderem auch die Einzelhändler Lidl und Kaufland betreibt. Der dritte Vertrag geht an ein Konsortium aus Luxemburg und Frankreich unter der Führung von Post Telecom auf Basis von OVHcloud und CleverCloud.

Problematischer könnte der vierte Vertrag sein, der von einer Partnerschaft aus Belgien, Frankreich und Luxemburg unter der Führung von Proximus gehalten wird. Neben Clarence und einzelnen Dienste des europäischen KI-Riesen Mistral AI wird auch S3NS verwendet. Letzteres ist ein Joint Venture, an dem neben Thales aus Frankreich auch Google beteiligt ist. Ob das zu einer Archillesferse wird, müssen wir sehen.

Immerhin bieten die neuen Verträge eine bessere Basis als das, was man 2019 mit Gaia-X auf den Weg gebracht hat. Resilienter ist es, perfekt allerdings mit Sicherheit nicht. Gerade dass zumindest Google über das eine Joint Venture noch einen kleinen Fuß in die europäische Tür bekommen hat, gilt es weiter zu beobachten und ggf. zu korrigieren.

Der Beitrag Sovereign Cloud: EU-Kommission vergibt Verträge für resiliente Cloud-Infrastrukturen erschien zuerst auf Dr. Windows.

+ alles anzeigen - weniger anzeigen

Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen

 

[Utilisator Fenestrarum]

IMHO: Man sollte per Gesetz alles Firmen ausschließen, die irgendwie unter den Cloud Act oder ähnliche Drittstaatenregeln fallen. EU only!
Aber das ist wohl nur ein Traum ...

 

[Yee Haw]

Hm, geht EU only überhaupt? Welche Firma bietet seine Dienste nicht in den USA an? Meinem letzten Stand nach, unterliegt jedes Unternehmen, dass drüben verkaufen will, diesem Patriot Act (irgendwie).

 

[PerSyn]

Sobald ein europäischer Anbieter nennenswerten US-Umsatz hat, eine US-Niederlassung gründet, US-institutionelle Investoren aufnimmt oder US-Infrastruktur (z. B. AWS als Unteranbieter) nutzt, bedeutet das, dass jede dieser Verflechtungen ein juristisches Einfallstor öffnet, dessen Relevanz vom konkreten Ermittlungsinteresse der US-Behörden abhängt - womit der CLOUD Act greift.
CLOUD-Act-immun kann ein europäischer Anbieter nur sein, wenn er konsequent alle US-Verflechtungen vermeidet. Das ist im globalisierten Technikmarkt unwahrscheinlich, weil US-Infrastruktur (AWS, Azure, Cloudflare, Stripe etc.) tief in europäische Dienste eingebettet ist.

 

[Kevin Kozuszek]

CLOUD-Act-immun kann ein europäischer Anbieter nur sein, wenn er konsequent alle US-Verflechtungen vermeidet. Das ist im globalisierten Technikmarkt unwahrscheinlich, weil US-Infrastruktur (AWS, Azure, Cloudflare, Stripe etc.) tief in europäische Dienste eingebettet ist.

Man merkt an solchen Sätzen immer mal wieder, dass ihr solche Sachen nicht fein genug ausdifferenziert. Der wichtigste Punkt ist ja: Es ist nicht nur der Cloud Act und es geht auch nicht nur um die eine Seite des Atlantiks. De facto stehen sich ja US-Überwachungsgesetze wie der Cloud Act oder, was noch relevanter ist, FISA auf der einen Seite und unsere europäischen Digitalgesetze - DSGVO, DMA, DSA, DFA, AI Act usw. - auf der anderen Seite mehr oder minder unversöhnlich gegenüber. Das ist nun nicht so, dass nur die Europäer düster schauen, auch die USA stören sich an dem, was Brüssel vorantreibt, weil sie das aus ihrer Weltsicht so nicht kennen.

Zweitens sollte man nicht so tun, als ob die Europäer im Digitalen keine nukleare Option hätten, die sie ziehen könnten. Was bei den USA ihr Einfluss über die Cloud-Infrastrukturen sind, sind bei uns die Finanzströme: Swift. Das Instrument obliegt alleine uns und wenn wir jemanden wie PayPal etc. hier rausschmeißen, wird das drüben interessant. Aber auch im Kleinen können wir Nadelstiche setzen. Stripe ist da ein schönes Beispiel, weil das kein US-Unternehmen ist (da liegst du daneben), sondern ein irisches und damit ein europäischer Riese. Die haben nur in die USA expandiert und prüfen aktuell die Übernahme von PayPal. Genauso ist der Primus bei den Entwicklerwerkzeugen ein europäischer, ohne den fast nix geht, auch bei sowas wie Android: JetBrains aus Tschechien. Sind nur zwei Beispiele - das ist nicht so, dass wir ein Niemand wären.

Ebenso hätten die EU und ihre Mitgliedsstaaten rechtliche Instrumente, um unter Berufung auf die Nationale Sicherheit, wie die USA das auch machen, Enteignungen oder Treuhandverwaltungen anzuordnen. Das haben wir in Deutschland zum Beispiel in Schwedt gesehen und wäre mit passender Begründung auch im Digitalen möglich. Kandidaten gäbe es in der EFTA mit Unternehmen wie SUSE, Opera oder Mistral AI (die sind unabhängig, haben aber z.B. Microsoft und Google als Geldgeber) mehr als genug, das anzuwenden, wenn es hart auf hart käme.

So oder so darf das jedenfalls keine Ausrede sein, dass wir nicht deutlich europäischer werden, sowohl ganz oben als auch im Kleinen beim einzelnen Ottonormalnutzer im privaten Umfeld. Dass das mit enormen Herausforderungen verbunden ist, klar, aber dazu gibt es keine Alternative, auch nicht die, den Vogelstrauß zu proben und den Kopf in den Sand zu rammen.

 

[PerSyn]

Ich verstehe diese ellenlange Vorgabe des Kommentar-Themas nicht, wo es mir doch offenkundig und tatsächlich thematisch nur um den Irrglauben geht, Europäische Souveränität sei mal eben durch europ. Anbieter gegeben.
FISA greift hierbei im Übrigen nicht, dann eher der Patriot Act, und die Behauptung, die EU sei dagegen harmlos stellt hier auch nur einer auf - ich nicht.
Stripe Payments Europe Ltd. sitzt zwar in Irland, gehört aber zu einem US-Mutterkonzern. Daher kann der CLOUD Act grundsätzlich greifen.
Ab hier klinke ich mich aus aus der Gesinnungsargumentation.

 

[Kevin Kozuszek]

@PerSyn Den Satz mit der Gesinnungsargumentation kannst du dir schenken, darum geht es nämlich überhaupt nicht. Im Übrigen bedeutet ein Zitat eines Beitrags nicht, dass man zwingend auch den Urheber direkt anspricht, sondern dass man auch nur Aussagen als Referenz heranzieht, um allgemein zu sprechen. Dich habe ich nur einmal wegen Stripe angesprochen und dargelegt, wie auch die Medien das Unternehmen darstellen - als US-europäischen Mischkonzern mit festen europäischen Wurzeln und neben dem einen Hauptsitz in San Francisco weiterhin auch mit gleichwertiger Präsenz in Dublin. Das nur dazu.

Letztlich hat niemand behauptet, dass europäische Souveränität nur voraussetzt, dass der Anbieter aus Europa kommt und man Strukturen dahinter nicht in den Blick nehmen muss. Da müssen sich Unternehmen wie Mistral AI auch kritische Fragen gefallen lassen. Diesen Punkt deklinieren wir auch schon in all den Monaten durch, seitdem wir uns mit dieser neuen Kategorie befassen - es ist also bekannt und wird von uns so kommuniziert.

Am Ende gibt es aber zwei Punkte, die in der Diskussion, die wir unter entsprechenden Beiträgen aus dem Blog hier in den Kommentaren haben, nicht richtig durchdringen. Einerseits müssen wir im Rahmen unserer Möglichkeiten mit dem, was wir jetzt schon haben, unabhängiger werden, auch wenn die Übergangsstrukturen zu Beginn nicht perfekt sind. Das sieht man eben bei sowas wie Wero oder Delos, wo der Bundestag jetzt übergangsweise hinwechselt, bis Stackit vollständig übernehmen kann. Zweitens meinen viele, Europa kann's eh nicht und sollte es, nachdem sie es verschlafen haben, lieber auch nicht versuchen. Wir haben es verschlafen, aber Nichtversuchen ist heute keine Alternative mehr. Und dazu gehört auch europäische Gegenwehr auf anderen Ebenen.

Das, was du ansprichst, sage ich die ganze Zeit auch schon - wenn auch sicherlich nicht perfekt oder fehlerfrei, aber das habe ich für mich nie in Anspruch genommen und immer gesagt, dass ich bei entsprechenden Gegenquellen gerne zu Korrekturen bereit bin, wenn der Tonfall stimmt. Ich bin auch nur ein Mensch. Nur in dem Punkt habe ich es allgemein versucht, nochmal weiter zu fassen. Insofern kein Grund, dass du dich angegriffen fühlst.

 

[PerSyn]

Wir alle hier kommentieren die Übergriffigkeit US-gesetzlicher Regelungen wie des CLOUD- oder Patriot Acts und weisen damit auf einen Knackpunkt europäischer Anbieter hin, die allzu eng mit amerikanischen verflochten sind.
Ähnliches gilt für China (National Intelligence Law), Russland – wenn auch in der EU kaum relevant –, Großbritannien trotz Brexit und andere Staaten.
Und ja: Europa kann das umgekehrt ebenfalls, etwa über das E-Evidence-Gesetz, allerdings eher auf europäischem Raum.

Auffallend ist bei diesem Thema, dass kaum jemand Bemühungen um europäische Souveränität grundsätzlich für überflüssig hält. Uneinigkeit besteht eher darüber, was unter Souveränität konkret verstanden wird.
Viele dürften es deshalb als erleichternd empfinden, dass endlich überhaupt klar Position bezogen wird. Denn es geht um mehr als Datenschutz – nämlich auch um europäische Rechtsräume, wirtschaftliche Handlungsfähigkeit, Arbeitsplätze und strategische Unabhängigkeit.

Die Verspätung kommt allerdings umso teurer und ist auf den zweiten Blick mehrschichtiger als vielleicht gehofft.
Denn Technologien wie KI hätten längst in europäischer Breite etabliert werden müssen – selbst wenn sie zunächst noch unterentwickelt gewesen wären. Stattdessen hat man vielerorts lieber auf die ausgereiftere Konkurrenz gesetzt und damit deren Vorsprung weiter vergrößert.
Andere Staatengemeinschaften reagieren auf solche Abhängigkeiten zusätzlich mit Zöllen, industriepolitischen Schutzmaßnahmen oder strategischer Marktabschottung. Genau diese Form wirtschaftlich-technologischer Souveränität leistet die EU meines Erachtens bislang jedoch kaum.

 

[Martin]

Jahrzehntelange Versäumnisse lassen sich eben nicht mit einem Schlag aufholen. Man springt nicht sehr hoch, wenn man tief im Morast steckt. Da muss man sich erst mal langsam rauskämpfen. Der Weg zur echten Unabhängigkeit ist lang und gepflastert mit Kompromissen.

 

[PerSyn]

@Martin
Konsens scheint zu bestehen bezüglich Wille oder Hoffnung auf europäische Souveränität.
Dissens scheint es dagegen hier wie in anderen Foren zu geben bezüglich ihrer Wahrscheinlichkeit.

EU-Regeln (DSGVO, DSA, DMA, AI Act etc.) greifen nur eingeschränkt extraterritorial, während zentrale Infrastruktur, Plattformen und Technologien überwiegend außerhalb Europas kontrolliert werden.

Zwei Beispiele:
AWS, MS Azure, Google Cloud halten rund 69 % – je nach Erhebung bis zu 85 %. Gleichzeitig können europäische Lösungen unter US-Recht fallen – CLOUD Act & Co.
Das europäische Cloud-Infrastrukturprojekt Gaia-X unter deutsch-französischer Führung, gilt inzwischen als gescheitert.

Als öffentliche Stellen in den Niederlanden bewusst den niederländischen Anbieter Solvinity wählten, übernahm der US-Konzern Kyndryl – Solvinity betreibt kritische nationale Infrastruktur, darunter das Bürgerauthentifizierungssystem. Ähnliches passierte nun mit Aleph Alpha.

Europa versucht, einen Markt zu regulieren, dessen physikalische und logische Schichten (Hardware, Cloud-Stacks, KI-Modelle) es nicht mehr kontrolliert.
Souveränität erscheint daher unwahrscheinlich, denn sie erfordert eine radikale Umwidmung von Haushaltsmitteln in erforderliche Schichten und einen EU-weiten Schutzmechanismus gegen den Ausverkauf digitaler Kerninfrastruktur - beides wird es, wie bisher, nicht geben. Europa ist weder "aggressiv" wie die USA oder China noch schützt es sich erfahrungsgemäß angemessen vor invasiver Marktübernahme.

Nächstes Ziel wäre eher kontrollierbare Abhängigkeit statt vollständige Autonomie ("echte Unabhängigkeit").

 

[Martin]

Um an die Umsetzbarkeit zu glauben, benötigt es unbestritten einen gesunden Schuss Naivität. Aber die braucht man eigentlich immer, wenn man große Ziele ins Visier nimmt.
Derzeit hat man halt gegenüber den Big-Tech-Konzernen kein Druckmittel. Europa ist ein wichtiger und großer Markt für die. Zum Überleben brauchen sie ihn aber nicht.

 

[PerSyn]

Wenn bspw. Länder wie Bayern, NRW oder Hessen seit 2018 ihre Polizei mit Palantir-Produkten ausstatten oder Mobilfunk-Netzbetreiber horrende Mieten an mehrheitlich nicht-europäische Tower-Companies zahlen etc., dann geht es neben Marktmacht um empfindliche Infrastruktur bis hin zu hoheitlichen Aufgaben durchzogen von nachhaltigem US-Einfluss.
Ähnliches bei Energie (Solar, LNG), Militär, Rohstoffen...
Europa versucht Regeln („Brussels Effect“) ohne adäquates Handeln - etwa deutliche Innovationsförderung, milit. Zusammenschluss, Infrastrukturschutz. Solche Pfadabhängigkeiten lassen sich - auch wegen extremen Wechselkosten - nicht einfach zurückfahren.
Die Naivität liegt also offenbar bisher ganz woanders und es braucht nun deshalb umso mehr von uns hoffnungsvoll Naiven im Glauben an eine echte Kehrtwende und anderswo ganz viel Realismus über den tatsächlichen Ausgangspunkt.