Abhängig von der US-Cloud? Deutschlands Kampf um die Cloud: So wollen sie AWS (Amazon) und Azure (Microsoft) Konkurrenz machen

Digitale Autarkie oder Abhängigkeitsmanagement? Die Zukunft der deutschen Cloud-Politik

Dieser Artikel analysiert die Strategien und Initiativen der deutschen Bundesregierung zur Stärkung der digitalen Souveränität im Cloud-Bereich und zur Verringerung der Abhängigkeit von US-amerikanischen Hyperscalern. Getrieben von Sicherheitsbedenken (insbesondere durch den US CLOUD Act), wirtschaftlichen Risiken (Vendor Lock-in, Kosten) und dem strategischen Ziel der technologischen Handlungsfähigkeit, verfolgt Deutschland einen vielschichtigen Ansatz. Kernpfeiler sind die Multi-Cloud-Strategie des Bundes, die Positionierung des Staates als „Ankerkunde“ zur Förderung heimischer und europäischer Anbieter, sowie die Etablierung strenger Sicherheits- und Beschaffungsstandards (BSI C5, EVB-IT Cloud). Initiativen wie die Deutsche Verwaltungscloud (DVC) und das umstrittene Projekt Delos Cloud sollen die Modernisierung der Verwaltung vorantreiben und gleichzeitig Souveränitätsanforderungen gerecht werden. Auf europäischer Ebene spielen das Gaia-X-Projekt, trotz erheblicher Kritik und einer wahrscheinlichen Neuausrichtung von einem Hyperscaler-Konkurrenten zu einem Standardisierungs-Framework, und der technisch konkretere Sovereign Cloud Stack (SCS) eine zentrale Rolle bei der Schaffung interoperabler und offener Alternativen. Der Cloud-Markt in Deutschland wird jedoch weiterhin massiv von US-Anbietern wie AWS, Microsoft Azure und Google Cloud dominiert. Deutsche und europäische Anbieter wie T-Systems, SAP, IONOS, OVHcloud und STACKIT positionieren sich zunehmend mit spezialisierten, souveränen Angeboten und nutzen Zertifizierungen wie BSI C5 als Marktzugang, insbesondere im öffentlichen Sektor. Die vollständige digitale Souveränität bleibt jedoch ein ambitioniertes Fernziel. Die Herausforderungen sind immens und umfassen technische Komplexität, hohe Kosten, den Fachkräftemangel und die schiere Marktmacht der etablierten Akteure. Der Erfolg der deutschen Strategie hängt maßgeblich von der konsequenten Umsetzung der politischen Vorgaben in der Beschaffungspraxis, der erfolgreichen Skalierung europäischer Alternativen wie SCS und einer realistischen Erwartungshaltung ab, die eher auf ein Management von Abhängigkeiten als auf vollständige Autarkie abzielt.

Passend dazu:

• US-Politik beflügelt EU-Tech-Firmen? Daten-Souveränität vs. US-Dominanz: Die Zukunft der Cloud in Europa

Das Gebot der Digitalen Souveränität: Deutschlands Cloud-Herausforderung

Antrieb Digitaler Souveränität in Deutschland

Die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft bildet den Hintergrund für Deutschlands Bestrebungen nach digitaler Souveränität im Cloud-Bereich. Es geht darum, die Fähigkeit Deutschlands zu stärken, seine digitale Zukunft eigenständig zu gestalten und technologische Handlungsfähigkeit zu sichern. Dieses Ziel wird von der Bundesregierung, über verschiedene politische Konstellationen hinweg, als essenziell für die nationale Sicherheit, die wirtschaftliche Wettbewerbsfähigkeit und das Vertrauen der Bürgerinnen und Bürger betrachtet.

Digitale Souveränität ist dabei ein vielschichtiges Konzept. Es umfasst technische, betriebliche und juristische Kontrolle über Daten und Infrastrukturen , Selbstbestimmtheit, Selbstständigkeit und IT-Sicherheit. Es geht nicht nur um den physischen Speicherort von Daten, sondern maßgeblich um die Kontrolle über deren Verarbeitung und die zugrundeliegende Technologie. Die Cybersicherheitsstrategie für Deutschland 2021 nennt die Stärkung der digitalen Souveränität explizit als eine zentrale Leitlinie. Ziel ist ein freies, offenes und sicheres Internet, in dem Grundrechte geschützt sind.

Trotz dieser politischen Bedeutung zeigt sich in der Praxis eine gewisse Unschärfe des Begriffs. Selbst unter kleinen und mittleren Unternehmen (KMU) ist der Begriff teilweise unbekannt. Auch innerhalb der Verwaltung scheint es keine einheitliche, operationalisierbare Definition zu geben, wie Anfragen an die Bundesregierung andeuten. Verschiedene Akteure – von Sicherheitsbehörden über Wirtschaftsministerien bis zu Datenschützern – legen unterschiedliche Schwerpunkte, sei es auf Kontrolle, Sicherheit, wirtschaftliche Chancen oder Datenschutz. Diese Definitionsunschärfe birgt das Risiko politischer Ambivalenz und potenziell widersprüchlicher Initiativen. Sie erschwert zudem die Messung von Fortschritten auf dem Weg zu mehr Souveränität. Die Notwendigkeit einer Klärung, welches Maß an Souveränität realistisch erreichbar und wünschenswert ist, wird durch detaillierte parlamentarische Anfragen unterstrichen.

Eng verbunden mit dem Streben nach digitaler Souveränität ist die Förderung von Open Source Software (OSS). Offene Quellcodes versprechen Transparenz, Überprüfbarkeit und eine Verringerung der Abhängigkeit von einzelnen proprietären Anbietern.

Risikobewertung: Die Abhängigkeit von US-Hyperscalern

Die starke Abhängigkeit von den dominanten US-amerikanischen Cloud-Anbietern (Hyperscalern) wird von der deutschen Politik als signifikantes Risiko in mehreren Dimensionen wahrgenommen.

Sicherheitsrisiken

Die Nutzung von Systemen, deren Vertrauenswürdigkeit nicht vollständig kontrolliert werden kann, schafft potenzielle Einfallstore für Cyberakteure. Insbesondere die Sorge vor dem Zugriff ausländischer Nachrichtendienste auf sensible Daten spielt eine Rolle. Bekannt gewordene Sicherheitsvorfälle bei großen Anbietern und die generelle Komplexität von Cloud-Umgebungen, die Fehlkonfigurationen und Schwachstellen begünstigen , verstärken diese Bedenken.

Rechtliche und Datenschutzrisiken

Der US-amerikanische CLOUD Act (Clarifying Lawful Overseas Use of Data Act) stellt ein zentrales Problem dar. Er ermächtigt US-Behörden potenziell zum weltweiten Zugriff auf Daten, die von US-Unternehmen gespeichert werden, selbst wenn die Speicherung außerhalb der USA erfolgt. Dies steht im Konflikt mit den strengen europäischen Datenschutzregeln (DSGVO) und untergräbt die Kontrolle über die eigenen Daten. Das Schrems-II-Urteil des Europäischen Gerichtshofs, das frühere Datentransfermechanismen in die USA für ungültig erklärte , hat die Rechtsunsicherheit weiter verschärft. Zwar existieren technische (z. B. Verschlüsselung mit Schlüsselkontrolle beim Kunden ) und vertragliche Ansätze zur Risikominderung, doch ihre langfristige rechtliche Belastbarkeit und praktische Durchsetzbarkeit werden in Frage gestellt. Bemerkenswert ist, dass viele KMU mit den Implikationen des CLOUD Acts wenig vertraut sind.

Wirtschaftliche Risiken

Die starke Marktkonzentration führt zu einer erheblichen Abhängigkeit von wenigen Anbietern, dem sogenannten Vendor Lock-in. Dies schränkt die Flexibilität bei einem Anbieterwechsel ein und schwächt die Verhandlungsposition der Kunden. Die Folge können deutliche Preissteigerungen sein, wie Beispiele aus der Praxis (VMware ) und die steigenden Ausgaben der Bundesverwaltung für Microsoft-Lizenzen zeigen. Es besteht die Gefahr, dass marktbeherrschende Anbieter ihre Marktmacht zum eigenen Vorteil nutzen und spezifische Anforderungen, etwa des öffentlichen Sektors an Informationssicherheit, nur unzureichend adressieren.

Geopolitische und strategische Risiken

Die technologische Abhängigkeit von außereuropäischen Anbietern birgt Risiken durch geopolitische Verschiebungen und potenzielle Störungen der Lieferketten. Langfristig kann die Souveränität eines Staates ausgehöhlt werden, wenn die Kontrolle über kritische Daten verloren geht.

In diesem Kontext offenbart sich eine bemerkenswerte Spannung in der deutschen Strategie: Einerseits wird das Ziel der digitalen Souveränität proklamiert , andererseits werden Projekte wie die Delos Cloud vorangetrieben , die technologisch maßgeblich auf Microsoft Azure basiert. Zwar soll diese durch Betrieb in deutschen Rechenzentren durch eine deutsche Gesellschaft und unter Aufsicht des BSI “souverän” gestaltet werden, doch die Kerntechnologie bleibt proprietär und US-amerikanisch. Gleichzeitig sind US-Hyperscaler Mitglieder im Gaia-X-Konsortium und bieten selbst BSI C5-zertifizierte Dienste in Deutschland und Europa an. Dies deutet auf einen pragmatischen, aber potenziell widersprüchlichen Ansatz hin. Die Bundesregierung scheint die Notwendigkeit weit verbreiteter Technologien (wie Microsoft Office ) und die Innovationskraft der US-Konzerne anzuerkennen. Statt vollständiger technologischer Unabhängigkeit, die kurzfristig als unrealistisch oder zu kostspielig erachtet wird, setzt man auf die Minderung von Risiken durch spezifische Kontrollmechanismen (Datenlokation, Betriebskontrolle, BSI-Aufsicht). Die Kritik, dass Delos nicht wirklich souverän sei , spiegelt diese Spannung wider. Deutschlands Strategie zielt somit eher auf ein gemanagtes Abhängigkeitsverhältnis als auf komplette Unabhängigkeit. Der Erfolg dieser Strategie hängt entscheidend von der Wirksamkeit und Dauerhaftigkeit der etablierten Kontrollmechanismen und der Fähigkeit ab, echte europäische Alternativen zu fördern, die den Bedarf an solchen gemanagten Abhängigkeiten langfristig reduzieren.

Passend dazu:

• Die digitale Abhängigkeit Europas von den USA: Cloud-Dominanz, verzerrte Handelsbilanzen und Lock-in-Effekte

Politik in Aktion: Deutschlands strategische Initiativen für Cloud-Unabhängigkeit

Die Multi-Cloud-Strategie des Bundes und die Rolle als „Ankerkunde“

Ein zentrales Element der deutschen Cloud-Politik ist die Multi-Cloud-Strategie der Bundesregierung. Ihr Kernprinzip ist die Vermeidung der Bindung an einen einzelnen Anbieter (Vendor Lock-in) durch die Nutzung von Diensten mehrerer Cloud-Provider. Dies soll Flexibilität ermöglichen, den Wettbewerb fördern und die Integration der jeweils besten verfügbaren Lösung (“Best of Breed”) für spezifische Anwendungsfälle in die eigene IT-Architektur der Verwaltung erlauben. Die Strategie betont dabei ausdrücklich die Notwendigkeit einer engen Zusammenarbeit mit den Cloud-Anbietern, anstatt einer Abkopplung.

Eng damit verbunden ist die Rolle des Staates als „Ankerkunde“ („Ankerkundenprinzip“). Die öffentliche Hand soll ihre erhebliche Nachfragemacht gezielt einsetzen, um den Markt für souveräne, vertrauenswürdige Cloud-Lösungen zu stimulieren. Indem Bund, Länder und Kommunen selbst verstärkt auf solche Angebote setzen („Cloud-First“-Strategien ), sollen deutsche und europäische Anbieter unterstützt werden, ihre Dienste zu skalieren und wettbewerbsfähiger zu machen. Förderprogramme für Start-ups und erhöhte Ausgaben für Forschung und Entwicklung sollen das heimische Technologie-Ökosystem zusätzlich stärken.

Allerdings deuten Beobachtungen auf eine potenzielle Lücke zwischen der strategischen Ausrichtung und der tatsächlichen Umsetzung hin. Während die Strategie Multi-Cloud und europäische Anbieter fördert , scheinen konkrete, großvolumige Ausschreibungen der Bundesverwaltung teilweise auf etablierte Hyperscaler zugeschnitten zu sein. Gleichzeitig profitieren große US-Anbieter wie Microsoft weiterhin von erheblichen Ausgabensteigerungen der öffentlichen Hand. Die Förderung von Open Source Software wird zwar befürwortet, jedoch mit der Einschränkung “wo es technisch möglich und wirtschaftlich ist” , was Interpretationsspielraum lässt. Die Gründe hierfür können vielfältig sein: Bestehende Abhängigkeiten, Präferenzen der Nutzer, eine wahrgenommene Unreife von Alternativen oder komplexe Vergabeverfahren könnten etablierte Anbieter begünstigen. Auch interne Widerstände oder fehlende Fachkenntnisse können die Adaption von Alternativen behindern. Die Wirksamkeit des Ankerkundenprinzips hängt somit entscheidend von einer konsequenten Umsetzung über alle Verwaltungsebenen hinweg, klaren Vergaberichtlinien, die souveräne oder OSS-Lösungen bevorzugen (was möglicherweise eine Überarbeitung der EVB-IT erfordert ), und der Überwindung praktischer Hürden bei der Einführung von Alternativen ab. Die kritischen Nachfragen zu spezifischen Ausschreibungen deuten auf Bedenken hinsichtlich dieser Umsetzungslücke hin.

Leuchtturmprojekte: Bundescloud, Deutsche Verwaltungscloud (DVC) und Delos Cloud

Mehrere konkrete Projekte sollen die Cloud-Strategie des Bundes umsetzen:

Bundescloud

Hierbei handelt es sich um eine etablierte, exklusive Private-Cloud-Infrastruktur, die vom Informationstechnikzentrum Bund (ITZBund) für Bundesbehörden betrieben wird. Sie läuft in den Rechenzentren des ITZBund und ist über das sichere Netz des Bundes erreichbar. Die Bundescloud bietet spezifische Dienste als Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) an, darunter eine kollaborative Speicherlösung (SIB-Box) auf Basis von Nextcloud und die E-Akte Bund. Sie gilt als Kernbestandteil, doch es bestehen Fragen bezüglich ihres weiteren Ausbaus im Verhältnis zum Multi-Cloud-Ansatz und zur DVC.

Deutsche Verwaltungscloud (DVC)

Dies ist eine neuere, übergreifende Strategie und Plattform, die ein Multi-Cloud-Ökosystem für die gesamte öffentliche Verwaltung in Deutschland (Bund, Länder, Kommunen) schaffen soll. Symbolisch im März 2025 gestartet , bietet die DVC ein zentrales Portal, über das Verwaltungsmitarbeiter standardisierte und rechtssichere Cloud-Dienste bestellen können, zunächst von öffentlichen IT-Dienstleistern. Ein Kernziel ist die Stärkung der digitalen Souveränität durch offene Standards, die Anbieterwechsel ermöglichen und Lock-in-Effekte vermeiden sollen. Die DVC soll die föderale IT-Zusammenarbeit verbessern und durch gemeinsame Ausschreibungen Skaleneffekte erzielen. Ihre genaue Beziehung zur Bundescloud und zu spezifischen Ausschreibungen bedarf noch der Klärung. Für die Bewertung von Cloud-Migrationen im DVC-Kontext existiert eine spezifische Wirtschaftlichkeitsbetrachtung (WiBe DVC).

Delos Cloud

Ein spezifisches Projekt unter Federführung des Bundesfinanzministeriums (BMF) im Rahmen der Multi-Cloud-Strategie. Ziel ist es, die Nutzung von Microsoft-Diensten (insbesondere Office-Produkte und Windows-Betriebssystem) über das Jahr 2029 hinaus zu ermöglichen, da Microsoft plant, On-Premise-Versionen abzukündigen. Die Delos Cloud soll auf einer dedizierten, von Microsoft-Technologie entkoppelten Infrastruktur in deutschen Rechenzentren durch die deutsche Delos Cloud GmbH betrieben werden. Sie strebt technische, betriebliche und juristische Souveränität an, wobei das Bundesamt für Sicherheit in der Informationstechnik (BSI) den notwendigen externen Datenaustausch kontrolliert und die Einhaltung der Anforderungen des Bundes (Informationssicherheit, Datenschutz, Geheimschutz) überwacht. Das Projekt befindet sich in der Test- und Validierungsphase. Obwohl primär für den Bund konzipiert, ist eine Nachnutzung durch Länder und Kommunen angedacht. Delos stellt einen pragmatischen Versuch dar, den Zugang zu essenzieller Standardsoftware zu sichern und gleichzeitig Souveränitätsanforderungen zu erfüllen, sieht sich aber Kritik bezüglich der tatsächlichen Souveränität ausgesetzt.

Die parallele Existenz dieser Initiativen – der etablierten Bundescloud, des übergreifenden DVC-Rahmens und spezifischer Lösungen wie Delos – wirft Fragen nach Integration und Kohärenz auf. Es besteht die Gefahr der Fragmentierung. Die DVC soll hier als vereinheitlichende Schicht dienen , doch die praktische Umsetzung erfordert die Integration bestehender Systeme und die Berücksichtigung spezifischer Bedarfe. Ein rein zentralisierter Ansatz ist im deutschen Föderalismus schwer umsetzbar. Ein föderierter Ansatz , bei dem verschiedene Systeme unter gemeinsamen Standards vernetzt werden, könnte eine Lösung bieten und stünde im Einklang mit dem Gaia-X-Gedanken. Der Erfolg hängt jedoch von effektiver Koordination und Standardisierung ab. Ohne diese drohen Ineffizienz, Doppelarbeit und Verwirrung, was die übergeordneten Ziele der Souveränität und Effizienz untergraben würde. Die Rolle der DVC als zentrales Portal und Standardsetzer ist daher für die Herstellung von Kohärenz entscheidend.

Strukturierung der Beschaffung: Das EVB-IT Cloud Vertragswerk

Um die Beschaffung von Cloud-Leistungen durch die öffentliche Hand zu standardisieren und rechtlich abzusichern, wurden die „Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen – Cloud“ (EVB-IT Cloud) eingeführt. Dieses Vertragswerk, das seit März 2022 verfügbar ist , soll für Behörden auf Bundes-, Landes- und Kommunalebene gelten.

Die EVB-IT Cloud decken verschiedene Cloud-Servicemodelle ab, darunter Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS) sowie Managed Cloud Services (MCS). Sie bestehen aus mehreren Dokumenten: Muster-AGB , ein Mustervertrag , ein fachlicher Kriterienkatalog zur Definition von Leistungsparametern und Regelungen zur Einbeziehung der AGB des Anbieters. Zwingend erforderlich ist zudem der Abschluss einer Vereinbarung zur Auftragsverarbeitung (AVV).

Eine zentrale Anforderung der EVB-IT Cloud ist der Nachweis der Konformität mit den Basiskriterien des Cloud Computing Compliance Criteria Catalogue (C5) des BSI. Während dies für Bundesbehörden bereits gesetzlich vorgeschrieben war, wird die C5-Konformität durch die Anwendung der EVB-IT Cloud nun faktisch auch für Landes- und Kommunalbehörden zur Voraussetzung. Die EVB-IT-Regelungen haben dabei Vorrang vor den Standard-AGB der Cloud-Anbieter. Die Vertragsvorlagen sind öffentlich zugänglich , wobei offizielle Übersetzungen für internationale Anbieter fehlen.

Kritiker hinterfragen jedoch, ob die EVB-IT Cloud in der Praxis konsequent angewendet werden und ob sie ausreichend Anreize für die Beschaffung von Open Source Software setzen oder hier nachgeschärft werden müssten. Die Standardisierung durch die EVB-IT Cloud ist somit ein zweischneidiges Schwert: Sie vereinfacht die Beschaffung für öffentliche Auftraggeber und hebt das Sicherheitsniveau durch die C5-Vorgabe. Gleichzeitig können die komplexen und starren Vorgaben eine Hürde für kleinere oder ausländische Anbieter darstellen, die mit dem deutschen System nicht vertraut sind. Dies könnte unbeabsichtigt größere Akteure begünstigen, die besser auf die Erfüllung der spezifischen Anforderungen vorbereitet sind, und somit dem Ziel der Förderung eines vielfältigen Ökosystems entgegenwirken. Eine sorgfältige Beobachtung der Auswirkungen und gegebenenfalls flexible Anpassungen sind daher notwendig, um sicherzustellen, dass die EVB-IT Cloud nicht Innovationen behindert oder kleinere europäische Anbieter unverhältnismäßig benachteiligt.

KI-Gamechanger: Die flexibelste KI-Plattform - Maßgeschneiderte Lösungen, die Kosten senken, Ihre Entscheidungen verbessern und die Effizienz steigern

Unabhängige KI-Plattform: Integriert alle relevanten Unternehmensdatenquellen

• Diese KI-Plattform interagiert mit allen spezifischen Datenquellen
  • Von SAP, Microsoft, Jira, Confluence, Salesforce, Zoom, Dropbox und vielen andere Daten-Management-Systmen
• Schnelle KI-Integration: Maßgeschneiderte KI-Lösungen für Unternehmen in Stunden oder Tagen, anstatt Monaten
• Flexible Infrastruktur: Cloud-basiert oder Hosting im eigenen Rechenzentrum (Deutschland, Europa, freie Standortwahl)

• Höchste Datensicherheit: Einsatz in Anwaltskanzleien ist der sichere Beweis
• Einsatz über die unterschiedlichsten Unternehmensdatenquellen hinweg
• Wahl der eigenen bzw. verschiedenen KI-Modelle (DE,EU,USA,CN)

Herausforderungen, die unsere KI-Plattform löst

• Mangelnde Passgenauigkeit herkömmlicher KI-Lösungen
• Datenschutz und sichere Verwaltung sensibler Daten
• Hohe Kosten und Komplexität individueller KI-Entwicklung
• Mangel an qualifizierten KI-Fachkräften
• Integration von KI in bestehende IT-Systeme

Mehr dazu hier:

• KI-Integration einer unabhängigen und Datenquellen-übergreifenden KI-Plattform für alle Unternehmensbelange

Aufbau europäischer Alternativen: Gaia-X und der Sovereign Cloud Stack

Gaia-X: Vision, Fortschritt und praktische Umsetzung

Das 2019 von Deutschland und Frankreich initiierte Projekt Gaia-X verfolgt die Vision, eine föderierte, offene, sichere und transparente Dateninfrastruktur für Europa zu schaffen, die auf europäischen Werten wie Datenschutz, Souveränität und Interoperabilität basiert. Es zielt darauf ab, die Abhängigkeit von außereuropäischen Cloud-Anbietern zu verringern und die digitale Souveränität Europas zu stärken.

Gaia-X ist dabei keine einzelne Cloud-Plattform, sondern versteht sich als ein Rahmenwerk und Ökosystem. Es definiert gemeinsame Standards und Regeln (Policy Rules, Trust Framework ) und fördert die Entwicklung und Nutzung interoperabler Komponenten, häufig auf Basis von Open Source. Ziel ist es, Anbieter und Nutzer zu vernetzen und den sicheren Austausch von Daten in sogenannten Datenräumen (Data Spaces) zu ermöglichen. Die Struktur umfasst eine zentrale Non-Profit-Organisation (Gaia-X AISBL ), nationale Koordinierungsstellen (wie den Gaia-X Hub Germany ) und eine Vielzahl von Projekten, die konkrete Anwendungsfälle in verschiedenen Branchen wie Mobilität , Industrie oder Gesundheit umsetzen sollen.

Der deutsche Gaia-X Hub, dessen Geschäftsstelle von acatech betrieben wird und dessen Projektlaufzeit bis Ende 2025 geplant ist , dient als zentrale Anlaufstelle in Deutschland. Er bündelt Informationen, organisiert Arbeitsgruppen nach Branchen (Domänen), unterstützt Projekte, veröffentlicht Publikationen und veranstaltet Events. Aktuelle Aktivitäten (Stand Anfang 2025) umfassen die Erläuterung von Architekturdokumenten, die Förderung von Konformitätsprüfungen und digitalen Nachweisen (Credentials) sowie die Weiterentwicklung von Werkzeugen (Gaia-X Federation Services, XFSC). Ein Schwerpunkt liegt auf der Schaffung einer interoperablen Cloud-Edge-Infrastruktur.

Passend dazu:

• Industry-X: Förderung der europäischen wie globalen Logistik und Supply Chain durch Industrie-Initiativen Catena-X und Gaia-X

Umgang mit Kritik: Herausforderungen und Zukunft von Gaia-X

Trotz der ambitionierten Ziele sieht sich Gaia-X erheblicher Kritik ausgesetzt. Bemängelt werden langsamer Fortschritt, übermäßige Bürokratie, hohe Komplexität und ein teilweise unklarer Nutzen. Kontrovers diskutiert wird zudem die Mitgliedschaft großer US-Hyperscaler (AWS, Microsoft, Google) und sicherheitspolitisch sensibler Unternehmen wie Palantir im Gaia-X-Konsortium. Prominente Gründungsmitglieder wie der französische Cloud-Anbieter Scaleway und das deutsche Unternehmen Nextcloud haben das Projekt verlassen. Als Gründe wurden die Blockadehaltung von US-Konzernen oder die Einschätzung genannt, das Projekt sei in seiner ursprünglichen Ambition, eine echte europäische Alternative zu schaffen, gescheitert oder gar “tot”. Medienberichte deuten darauf hin, dass Gaia-X von einigen Beobachtern als gescheitert betrachtet wird, zumindest was das Ziel angeht, einen europäischen Hyperscaler-Konkurrenten aufzubauen.

Vertreter von Gaia-X weisen diese Einschätzung zurück und betonen die fortlaufende Arbeit an Standards und die Rolle des Projekts bei der Ermöglichung von Datenökosystemen und der Förderung der Zusammenarbeit. Der Fokus liege auf der Schaffung interoperabler Datenräume, nicht notwendigerweise auf dem Aufbau einer einzigen riesigen Cloud.

Es zeichnet sich ab, dass Gaia-X möglicherweise eine strategische Neuausrichtung erfährt. Die ursprüngliche Erwartungshaltung, Gaia-X werde einen direkten europäischen Hyperscaler-Konkurrenten hervorbringen , ist angesichts der Kritik und des langsamen Fortschritts einer pragmatischeren Sichtweise gewichen. Der Aufbau eines wettbewerbsfähigen Hyperscalers gegen die etablierten globalen Akteure erwies sich als extrem schwierig. Die Komplexität der Koordination unterschiedlicher europäischer Interessen und die Einbindung der US-Konzerne verwässerten die Vision einer “rein europäischen” Alternative. Eine Fokussierung auf die Rolle als Standardisierungsgremium und Ökosystem-Ermöglicher für föderierte Datenräume erscheint als realistischeres und erreichbareres Ziel. Dies knüpft an europäische Stärken in spezifischen Industrien und bei der regulatorischen Harmonisierung (DSGVO) an. Der Erfolg von Gaia-X sollte daher weniger daran gemessen werden, ob es US-Hyperscaler direkt verdrängt, sondern vielmehr an seiner Fähigkeit, gemeinsame Regeln zu etablieren, Interoperabilität zwischen verschiedenen (auch europäischen) Anbietern zu fördern und den sicheren, souveränen Datenaustausch in wichtigen europäischen Sektoren (z. B. Automobilindustrie, Mobilität ) zu ermöglichen. Die langfristige Wirkung hängt von der Annahme und praktischen Umsetzung seiner Standards und Rahmenwerke ab.

 Der Sovereign Cloud Stack (SCS): Eine technische Grundlage für Souveränität

Als konkretere technische Initiative im Umfeld von Gaia-X hat sich der Sovereign Cloud Stack (SCS) etabliert. Es handelt sich um ein Open-Source-Projekt, das ursprünglich vom deutschen Bundesministerium für Wirtschaft und Klimaschutz über die Open Source Business Alliance (OSBA) gefördert wurde. SCS stellt standardisierte, interoperable und vollständig quelloffene Software-Komponenten zur Verfügung, um Cloud-Infrastrukturen (IaaS) und Container-Plattformen (CaaS) aufzubauen. Es versteht sich als konkrete Implementierung, die auf den Prinzipien von Gaia-X aufbaut.

Die Ziele von SCS sind die Definition zertifizierbarer Standards, die Gewährleistung von Offenheit und Transparenz (kein “Open Core”-Modell), die Förderung von Nachhaltigkeit und die Ermöglichung einer Föderation kompatibler Cloud-Instanzen. Ein zentrales Anliegen ist die Vermeidung von Vendor Lock-in. Technologisch basiert SCS auf etablierten Open-Source-Projekten wie OpenStack und Kubernetes , zielt aber darauf ab, deren Einsatz zu standardisieren und zu vereinfachen. SCS stellt eine Referenzimplementierung bereit.

Die Projektförderung lief Ende 2024 aus, die Arbeit wird jedoch von einem Konsortium von Unternehmen innerhalb der OSBA und der Community weitergeführt. Mehrere Cloud-Anbieter entwickeln bereits Angebote auf Basis von SCS (z. B. plusserver mit pluscloud open ). SCS wird auch als möglicher Standard für die geplante Swiss Government Cloud diskutiert. Die konkreten Pläne der Bundesregierung zur Nutzung von SCS, etwa im Rahmen der DVC, sind jedoch noch unklar. SCS definiert zwar eigene Stufen der Souveränität, diese Taxonomie wird jedoch kritisiert, da sie sich primär auf Kontrolle konzentriert und Aspekte wie Leistungsfähigkeit oder breitere technologische Abhängigkeiten (z. B. Hardware) vernachlässigt.

Während Gaia-X mit breiter Akzeptanz und einer klaren Definition seiner Rolle ringt, bietet SCS einen konkreten, quelloffenen Technologie-Stack , der von Anbietern bereits implementiert wird und für Regierungsprojekte in Betracht gezogen wird. SCS adressiert direkt die technischen Herausforderungen von Interoperabilität und Vendor Lock-in, die im Zentrum der Souveränitätsdebatte stehen. Seine Fokussierung auf OSS passt zu den strategischen Zielen der Regierung. Durch die Standardisierung bewährter Komponenten senkt SCS die Einstiegshürde für Anbieter, die Gaia-X-kompatible Dienste anbieten wollen. SCS könnte somit zum de facto Standard für eine tatsächlich souveräne europäische Cloud-Infrastruktur unter dem Dach von Gaia-X werden, selbst wenn Gaia-X sich stärker zu einem Governance- und Datenraum-Framework entwickelt. Sein Erfolg hängt von der weiteren Verbreitung in der Community, der Adaption durch Anbieter und der Integration in die öffentliche Beschaffung (z. B. über die DVC ) ab.

Marktdynamik: Die deutsche Cloud-Landschaft

Marktanteilsübersicht: US-Dominanz versus europäische Wettbewerber

Der globale Markt für Cloud-Infrastrukturdienste (IaaS, PaaS, Hosted Private Cloud) ist ein Wachstumsmarkt mit enormen Volumina. Weltweit erreichte der Umsatz im Jahr 2024 rund 330 Milliarden US-Dollar, ein Anstieg von 60 Milliarden gegenüber 2023. Das vierte Quartal 2024 allein verzeichnete Ausgaben von 91 Milliarden US-Dollar, was einem Wachstum von 22 % gegenüber dem Vorjahresquartal entspricht. Dieses Wachstum wurde 2024 maßgeblich durch Investitionen in generative Künstliche Intelligenz (GenAI) befeuert. Auch im zweiten Quartal 2024 setzte sich das starke Wachstum mit 79 Milliarden US-Dollar Umsatz (ebenfalls +22 % YoY) fort.

Der Markt wird klar von den drei großen US-Hyperscalern dominiert: Amazon Web Services (AWS) hält weltweit einen Marktanteil von etwa 30-32 %, gefolgt von Microsoft Azure mit 21-23 % und Google Cloud mit 11-12 %. Zusammen kontrollieren diese drei Anbieter einen Großteil des globalen Public-Cloud-Marktes (ca. 68-73 %). Microsoft und Google weisen dabei tendenziell höhere Wachstumsraten auf als der Marktführer AWS.

Diese globale Dominanz spiegelt sich auch in Europa wider. Obwohl der europäische Cloud-Markt seit 2017 erheblich gewachsen ist (auf über 10 Mrd. EUR pro Quartal Mitte 2022), haben europäische Anbieter kontinuierlich Marktanteile verloren – von 27 % im Jahr 2017 auf nur noch 13 % Mitte 2022. Die drei US-Hyperscaler vereinten zu diesem Zeitpunkt bereits 72 % des europäischen Marktes auf sich. Deutschland gehört dabei neben Großbritannien zu den größten Cloud-Märkten in Europa.

Für den deutschen Markt liegen zwar weniger detaillierte, aktuelle Marktanteilsdaten vor, aber Analystenberichte bestätigen das Bild der US-Dominanz. Der ISG Provider Lens™ für 2024 sieht AWS und Azure als klare Marktführer in Deutschland. Google Cloud, die Open Telekom Cloud (OTC) von T-Systems und IONOS bilden demnach das “Verfolgertrio” im Leader-Quadranten, zu dem 2024 auch noris network aufschloss. Anbieter wie OVHcloud (Frankreich) und STACKIT (Schwarz Gruppe) wurden 2023 als “Rising Stars” eingestuft, schafften es 2024 aber laut ISG nicht in das Leader-Segment. SAP und die Deutsche Telekom gelten europaweit als die führenden europäischen Anbieter, kamen aber Mitte 2022 jeweils nur auf etwa 2 % Marktanteil in Europa. Im Jahr 2020 dominierte in Deutschland das Segment Software-as-a-Service (SaaS) mit 67 % des Marktes, gefolgt von IaaS (21 %) und PaaS (12 %).

Geschätzte Marktanteile für Cloud-Infrastrukturanbieter (IaaS/PaaS) in Deutschland (2024)

Die geschätzten Marktanteile für Cloud-Infrastrukturanbieter (IaaS/PaaS) in Deutschland im Jahr 2024 zeigen ein klares Bild der Marktverteilung. Amazon Web Services (AWS) gilt mit einem Marktanteil von über 30 % als führend, wie durch ISG 2024 und Synergy, die auch die Dominanz in Europa hervorheben, belegt wird. Microsoft Azure folgt mit einem geschätzten Anteil von über 20 % und wird ebenfalls als führender Anbieter eingestuft. Google Cloud erreicht als Verfolger etwa 10 bis 12 % Marktanteil und gehört laut ISG zum „Leader Trio“, ähnlich wie Open Telekom Cloud (OTC) und IONOS, die ebenfalls in dieser Kategorie geführt werden. Noris network wird von ISG als führend in seinem Segment beschrieben, während SAP als europäischer Marktführer mit rund 2 % Marktanteil gelistet ist. OVHcloud und STACKIT werden hingegen als „Rising Stars“ für 2023 klassifiziert, basierend auf ISG-Berichten. Den restlichen Marktanteil teilen sich weitere Anbieter, wobei genaue Prozentzahlen für Deutschland laut Analysten schwer verfügbar sind. Die Analyse stützt sich auf Daten von ISG und Synergy, die vor allem die Relationen innerhalb Europas beleuchten.

Diese Marktstruktur verdeutlicht die enorme Herausforderung für europäische Anbieter. Der Cloud-Markt ist ein Skalengeschäft, das massive und langfristige Investitionen sowie höchste operative Exzellenz erfordert. Die US-Hyperscaler profitieren von ihrem frühen Markteintritt, riesigen Kapitalressourcen, globaler Reichweite und Netzwerkeffekten. Europäischen Anbietern fällt es schwer, diese Skalenvorteile individuell zu erreichen. Initiativen wie Gaia-X und SCS versuchen, durch Föderation und Standardisierung eine Art virtuelle Skalierung zu ermöglichen , was jedoch naturgemäß komplexer ist als die Expansion eines einzelnen Unternehmens. Eine signifikante Verschiebung der Marktanteile erfordert entweder massive, koordinierte europäische Investitionen (z. B. über IPCEI-Projekte ) oder den Erfolg des föderierten Ansatzes von Gaia-X/SCS bei der Schaffung eines attraktiven, großskaligen Ökosystems. Einzelne europäische Anbieter werden die Top 3 im breiten IaaS/PaaS-Markt wahrscheinlich nicht herausfordern können.

Fokus auf deutsche und europäische Anbieter: Angebote und Potenziale

Trotz der Dominanz der US-Hyperscaler gibt es eine Reihe relevanter deutscher und europäischer Cloud-Anbieter, die von den staatlichen Souveränitätsbestrebungen profitieren könnten:

Deutsche Telekom / T-Systems

Bietet die Open Telekom Cloud (OTC) und spezifische souveräne Lösungen wie die Open Sovereign Cloud (OSC) an, die auf Datensicherheit, Compliance (BSI C5, ISO 27001) und Betrieb in Deutschland setzt. Kooperiert im Gaia-X-Kontext auch mit anderen Anbietern wie OVHcloud.

SAP

Als führender europäischer Softwarekonzern bietet SAP über SAP Enterprise Cloud Services (ECS) und die Business Technology Platform (BTP) umfangreiche Cloud-Dienste an, die ebenfalls BSI C5-Audits durchlaufen. Gilt als einer der führenden europäischen Cloud-Anbieter.

IONOS

Positioniert sich als führender europäischer Hosting- und Cloud-Anbieter, insbesondere für KMU, aber auch zunehmend für größere Unternehmen und den öffentlichen Sektor. Bietet IaaS (Cloud Cubes, Compute Engine) und S3 Object Storage an, die BSI C5-zertifiziert sind. Wird von ISG als Teil des Verfolgertrios im deutschen Markt gesehen. Betreibt Rechenzentren in Europa und den USA. Hebt seine Zertifizierungen (C5, IT-Grundschutz) hervor, um Vertrauen im öffentlichen Sektor und regulierten Branchen zu schaffen. Ist über Marktplätze wie govdigital für die öffentliche Verwaltung verfügbar.

OVHcloud

Ein großer französischer Cloud-Anbieter mit starkem Fokus auf Europa und Datensouveränität. Bietet ebenfalls BSI C5-zertifizierte Dienste an und kooperiert mit T-Systems im Rahmen von Gaia-X. Wurde 2023 als “Rising Star” in Deutschland eingestuft.

STACKIT

Die Cloud-Sparte der Schwarz Gruppe (Lidl, Kaufland) positioniert sich als souveräne deutsche Cloud-Alternative, insbesondere für den öffentlichen Sektor und kritische Infrastrukturen (KRITIS). Hat ebenfalls ein BSI C5-Testat für seine Dienste erhalten und ist über govdigital verfügbar.

plusserver

Ein deutscher Anbieter, der mit seiner “pluscloud open” eine Cloud-Plattform auf Basis des Sovereign Cloud Stack (SCS) anbietet und damit stark auf Open Source und Souveränität setzt.

Weitere

secunet/Syseleven und noris network sind weitere deutsche Anbieter, die im Kontext von Cloud-Diensten genannt werden.

Diese Anbieter setzen verstärkt auf Spezialisierung, um sich von den globalen Hyperscalern abzuheben. Sie betonen Aspekte wie Datensouveränität , die Nutzung von Open Source , die Einhaltung spezifisch deutscher oder europäischer Compliance-Anforderungen (insbesondere BSI C5 ) oder bieten branchenspezifische Lösungen an. Dieser Fokus auf Nischen, in denen die globalen Anbieter möglicherweise Schwächen haben oder weniger Vertrauen genießen (z. B. im hochregulierten deutschen öffentlichen Sektor), erscheint als vielversprechende Strategie. Anstatt zu versuchen, die Hyperscaler in der Breite zu kopieren, können sie durch gezielte Angebote und hohe Sicherheitsstandards punkten. Staatliche Strategien und Beschaffungsregeln können diese Spezialisierung unterstützen, indem sie gezielt Nachfrage nach solchen souveränen und zertifizierten Lösungen schaffen.

Ausgewählte deutsche/europäische Cloud-Anbieter mit Fokus auf Souveränität

(¹ Status bezieht sich auf spezifische Dienste/Regionen laut Quellen; ² Auswahl relevanter Zertifikate)

Ausgewählte deutsche und europäische Cloud-Anbieter legen großen Wert auf Souveränität und bieten spezialisierte Lösungen für unterschiedliche Zielgruppen und Branchen. Die Telekom bzw. T-Systems bietet mit der Open Telekom Cloud (OTC) und der Open Sovereign Cloud (OSC) souveräne Cloud-Dienste an, die sowohl über den BSI C5-Status als auch die Zertifizierung ISO27001 verfügen und vor allem für den öffentlichen Sektor und regulierte Bereiche interessant sind. SAP überzeugt mit dem SAP Enterprise Cloud Service (ECS) sowie der SAP Business Technology Platform (BTP), die ebenfalls BSI C5-kompatibel sind und ISO27001-zertifiziert wurden, und richtet sich an Unternehmen und regulierte Branchen. IONOS bietet Lösungen wie die Compute Engine, Cloud Cubes und S3 Object Storage, welche ebenfalls BSI C5-zertifiziert sind. Mit zusätzlichen Zertifikaten wie ISO27001 und IT-Grundschutz spricht IONOS vor allem kleine und mittelständische Unternehmen (KMU), den öffentlichen Sektor und regulierte Bereiche an. OVHcloud aus Frankreich deckt mit einer Vielzahl von IaaS-, PaaS- und SaaS-Lösungen ein breites Spektrum ab und legt dabei besonderen Fokus auf die EU-Datensouveränität. STACKIT, die Cloud-Lösung der Schwarz Gruppe, bietet mit der STACKIT Cloud eine souveräne, BSI C5 Typ 2-zertifizierte Option für den öffentlichen Sektor, den Handel und kritische Infrastrukturen (KRITIS). Ähnlich positioniert sich plusserver mit der auf SCS basierenden pluscloud open, die ebenfalls Typ 2-zertifiziert ist und neben dem öffentlichen Sektor auch Unternehmen anspricht. Alle Anbieter sind zudem durch wichtige Zertifikate wie ISO27001 qualifiziert und konzentrieren sich gezielt auf die Bedürfnisse ihrer unterschiedlichen Zielmärkte.

Passend dazu:

• Top Ten Datenmanagementsysteme (DMS) – Von Document Management Systemen bis Cloud Database Management (DBMS)

Die Rolle von Sicherheitszertifizierungen: BSI C5 und ISO 27001

Sicherheitszertifizierungen spielen eine entscheidende Rolle bei der Bewertung und Auswahl von Cloud-Anbietern, insbesondere im Kontext der digitalen Souveränität und für den Einsatz im öffentlichen Sektor oder in regulierten Branchen.

BSI C5 (Cloud Computing Compliance Criteria Catalogue)

Dieser vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Kriterienkatalog hat sich in Deutschland als maßgeblicher Standard für die Sicherheit von Cloud Computing etabliert. Er definiert Mindestanforderungen an die Informationssicherheit von Cloud-Diensten und basiert auf international anerkannten Normen wie ISO 27001, dem IT-Grundschutz des BSI und dem Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA). Ein wichtiges Merkmal des C5 ist die Forderung nach Transparenz bezüglich sogenannter Umfeldparameter, wozu Angaben zum Datenstandort, zur Leistungserbringung, zum Gerichtsstand und zu Auskunftspflichten gegenüber Behörden gehören. Dies soll Kunden eine fundierte Risikobewertung ermöglichen. Die Einhaltung der C5-Kriterien wird durch Testate unabhängiger Wirtschaftsprüfer bestätigt. Für Bundesbehörden ist die Nutzung C5-konformer Dienste verpflichtend , und auch für Landes- und Kommunalbehörden sowie Unternehmen in regulierten Branchen (z. B. Gesundheitswesen ) wird C5 zunehmend zur Voraussetzung. Zahlreiche Anbieter, darunter sowohl die US-Hyperscaler (AWS , Microsoft Azure , Google Cloud ) für ihre europäischen Regionen als auch die führenden deutschen und europäischen Anbieter (T-Systems , SAP , IONOS , OVHcloud , STACKIT , plusserver ), verfügen über C5-Testate für relevante Dienste.

ISO/IEC 27001

Dies ist der international führende Standard für Informationssicherheits-Managementsysteme (ISMS). Eine ISO 27001-Zertifizierung bescheinigt, dass ein Unternehmen systematische Prozesse zur Steuerung der Informationssicherheit implementiert hat. Der Geltungsbereich ist breiter als der von C5 und bezieht sich auf das gesamte Managementsystem, nicht nur auf spezifische Cloud-Dienste. Viele Cloud-Anbieter sehen ISO 27001 als Basis-Zertifizierung, auf der spezifischere Nachweise wie C5 aufbauen. Fast alle relevanten Anbieter im deutschen Markt verfügen über eine ISO 27001-Zertifizierung.

IT-Grundschutz

Die Methodik des BSI zur Umsetzung von IT-Sicherheitsmaßnahmen. C5 baut auf den Prinzipien des IT-Grundschutzes auf. Einige Anbieter, wie IONOS , lassen sich zusätzlich spezifisch nach IT-Grundschutz zertifizieren, um ein besonders hohes Schutzniveau nachzuweisen.

Die zunehmende Bedeutung dieser Zertifizierungen, insbesondere des BSI C5, macht sie zu einem wichtigen Faktor für den Marktzugang in Deutschland. Für Anbieter, die den öffentlichen Sektor oder regulierte Industrien bedienen wollen, ist ein C5-Testat quasi unerlässlich geworden. Dies gilt sowohl für europäische als auch für US-amerikanische Anbieter, die entsprechende Anstrengungen unternehmen, um die Anforderungen zu erfüllen. Während dies das allgemeine Sicherheitsniveau hebt und Kunden eine standardisierte Vergleichsbasis bietet, erfordert der Zertifizierungsprozess auch erhebliche Investitionen seitens der Anbieter. Dies könnte potenziell größere Unternehmen begünstigen, bietet aber gleichzeitig spezialisierten europäischen Anbietern die Chance, sich durch die Erfüllung dieser hohen Standards gezielt für sensible Märkte zu qualifizieren.

Xpert.Digital verfügt über tiefgehendes Wissen in verschiedenen Branchen. Dies erlaubt es uns, maßgeschneiderte Strategien zu entwickeln, die exakt auf die Anforderungen und Herausforderungen Ihres spezifischen Marktsegments zugeschnitten sind. Indem wir kontinuierlich Markttrends analysieren und Branchenentwicklungen verfolgen, können wir vorausschauend agieren und innovative Lösungen anbieten. Durch die Kombination aus Erfahrung und Wissen generieren wir einen Mehrwert und verschaffen unseren Kunden einen entscheidenden Wettbewerbsvorteil.

Mehr dazu hier:

• Nutzen Sie die 5fach Kompetenz von Xpert.Digital in einem Paket - schon ab 500 €/Monat

Navigation auf dem Weg nach vorn: Machbarkeit und Herausforderungen

Bewertung der Realisierbarkeit der deutschen Cloud-Unabhängigkeitsziele

Die Ambitionen Deutschlands, eine größere Unabhängigkeit im Cloud-Bereich zu erreichen, werden von Experten zwar grundsätzlich begrüßt , jedoch oft mit einer Portion Skepsis hinsichtlich der vollständigen Realisierbarkeit betrachtet. Eine komplette technologische Autarkie erscheint vielen als unrealistisch oder zumindest extrem kostspielig. Der Fokus verschiebt sich daher zunehmend auf eine schrittweise Reduzierung kritischer Abhängigkeiten und ein strategisches Management der verbleibenden Abhängigkeiten (siehe Abschnitt II.B), anstatt auf vollständige Isolation. Die Notwendigkeit, weiterhin von globalen Innovationen, auch von US-Anbietern, zu profitieren, wird anerkannt.

Die Multi-Cloud-Strategie der Bundesregierung wird als pragmatischer Weg gesehen, um Flexibilität zu gewinnen und Anbieterabhängigkeiten zu reduzieren , ohne sich vollständig von etablierten Playern abzukoppeln. Open Source Software (OSS) wird als entscheidender Baustein für mehr Souveränität und Interoperabilität angesehen , wie die Entwicklung des Sovereign Cloud Stack zeigt. Es bestehen jedoch weiterhin Hürden bei der Beschaffung von OSS durch die öffentliche Hand.

Letztlich hängt die Machbarkeit der Ziele entscheidend von der konsequenten Umsetzung der politischen Strategien in der Beschaffungspraxis (siehe Abschnitt III.A), dem Erfolg und der Skalierung europäischer Initiativen wie Gaia-X und insbesondere SCS, der wirksamen Nutzung von Beschaffungsinstrumenten wie EVB-IT Cloud und der DVC sowie der Bewältigung der zahlreichen Herausforderungen ab.

Passend dazu:

• Die Gefahren von Vendor Lock-in: Warum Unternehmen Abhängigkeiten vermeiden sollten

Identifizierung zentraler Hürden: Technische, wirtschaftliche und menschliche Faktoren

Der Weg zu größerer Cloud-Souveränität ist mit erheblichen Hindernissen gepflastert:

Technische Komplexität

Der Aufbau und Betrieb wettbewerbsfähiger, großskaliger Cloud-Infrastrukturen ist technologisch äußerst anspruchsvoll. Die Integration verschiedener Systeme in Multi-Cloud- oder föderierten Umgebungen (wie sie für DVC oder Gaia-X angestrebt werden) stellt hohe Anforderungen an die Interoperabilität. Die Gewährleistung von Sicherheit in solch komplexen, verteilten Systemen ist eine ständige Herausforderung.

Wirtschaftliche Faktoren

Die enormen Investitionskosten für den Aufbau von Rechenzentren und Cloud-Plattformen machen es schwierig, mit den Skaleneffekten der globalen Hyperscaler mitzuhalten. Hohe Energiepreise in Deutschland stellen einen Standortnachteil für Rechenzentren dar. Gleichzeitig birgt die Abhängigkeit von proprietärer Software das Risiko steigender Lizenzkosten und mangelnder Preistransparenz. Budgetrestriktionen im öffentlichen Sektor und die Notwendigkeit von Wirtschaftlichkeitsbetrachtungen (WiBe) beeinflussen Investitionsentscheidungen.

Fachkräftemangel

Ein Mangel an qualifiziertem Personal für den Aufbau, Betrieb und die Nutzung von Cloud-Technologien, insbesondere für fortgeschrittene oder alternative Open-Source-basierte Lösungen, stellt eine der größten Hürden dar.

Marktträgheit und Dominanz

Die etablierte Marktmacht der US-Hyperscaler erschwert es Alternativen, Fuß zu fassen. Bestehende Investitionen, gewohnte Ökosysteme und die Vertrautheit der Nutzer schaffen eine erhebliche Trägheit.

Regulatorische und Compliance-Last

Die Navigation durch komplexe Vorschriften (DSGVO, branchenspezifische Regeln) und die Erlangung notwendiger Zertifizierungen (wie BSI C5) erfordern erheblichen Aufwand und Ressourcen.

Gaia-X-spezifische Herausforderungen

Interne Probleme wie Bürokratie, Komplexität, langsamer Fortschritt und widerstreitende Interessen innerhalb der Gaia-X-Initiative selbst behindern deren Wirksamkeit.

Expertenperspektiven auf den weiteren Weg

Trotz der Herausforderungen betonen Experten die Notwendigkeit, den Weg zur digitalen Souveränität weiter zu verfolgen. Cloud-Technologien werden als unverzichtbar für die Modernisierung, insbesondere der Verwaltung, angesehen. Für den weiteren Erfolg werden folgende Punkte als wesentlich erachtet:

Fokus auf Standards und Interoperabilität

Die Etablierung und Durchsetzung offener Standards ist entscheidend, um Interoperabilität zu ermöglichen und Lock-in-Effekte zu vermeiden.

Stärkung der europäischen Zusammenarbeit

Koordiniertes Vorgehen auf europäischer Ebene (z. B. über die Joint Declaration Cloud oder IPCEI-CIS-Projekte ) ist unerlässlich, um Skaleneffekte zu erzielen und eine Fragmentierung des Marktes zu verhindern.

Pragmatischer Ansatz

Abhängigkeiten sollten schrittweise reduziert werden. Dabei sollte auf Open Source und technische Sicherheitsmaßnahmen wie Verschlüsselung gesetzt werden, ohne jedoch gänzlich auf externe Innovationen zu verzichten.

Stärkung des heimischen Ökosystems

Die Rahmenbedingungen für Rechenzentren in Deutschland müssen verbessert werden (Energiepreise, Genehmigungsverfahren ). Die Förderung von Start-ups und Investitionen in Forschung und Entwicklung sind ebenfalls wichtig.

Es wird deutlich, dass das Erreichen signifikanter Cloud-Unabhängigkeit ein langfristiges Unterfangen ist, das erhebliche und dauerhafte Anstrengungen erfordert. Die Überwindung des Vorsprungs der US-Hyperscaler, die Änderung etablierter IT-Praktiken, der Aufbau eines wettbewerbsfähigen europäischen Ökosystems (Anbieter, Fachkräfte, Standards) und die Bewältigung komplexer politischer Fragen können nicht über Nacht geschehen. Es handelt sich eher um einen Generationenauftrag zum Aufbau digitaler Kompetenzen, zur Förderung einer Open-Source-Kultur und zur konsequenten Anwendung souveränitätsorientierter Politik über Legislaturperioden hinweg. Initiativen wie Gaia-X und SCS legen wichtige Grundlagen, aber ihre volle Wirkung wird sich wahrscheinlich erst über Jahre oder Jahrzehnte entfalten. Die Bewertung der deutschen Strategie erfordert daher eine langfristige Perspektive. Kurzfristige Verschiebungen der Marktanteile dürften gering sein. Wichtige Fortschrittsindikatoren werden die Adaption von Standards (C5, SCS), das Wachstum eines lebensfähigen europäischen Anbieter-Ökosystems (auch in Nischen), die erfolgreiche Implementierung der DVC und die nachweisbare Fähigkeit des öffentlichen Sektors sein, seine Cloud-Abhängigkeiten strategisch zu managen, einschließlich wirksamer Exit-Strategien.

Strategische Empfehlungen

Synthese der deutschen Strategie und des Fortschritts

Deutschland verfolgt eine klare strategische Absicht zur Stärkung der digitalen Souveränität im Cloud-Bereich. Diese wird durch die erkannten Risiken der Abhängigkeit von US-Hyperscalern – insbesondere im Hinblick auf den CLOUD Act, Vendor Lock-in und Sicherheitsbedenken – angetrieben. Der gewählte Ansatz ist pragmatisch und vielschichtig: Eine Multi-Cloud-Strategie soll Flexibilität sichern, während der Staat als Ankerkunde über gezielte Beschaffungspolitik (gestützt durch EVB-IT Cloud und die C5-Zertifizierung) heimische und europäische Anbieter fördern soll. Projekte wie die DVC und Delos Cloud sollen die Modernisierung der Verwaltung mit Souveränitätszielen verbinden. Auf europäischer Ebene setzt Deutschland auf Initiativen wie Gaia-X, das sich von der ursprünglichen Vision eines Hyperscaler-Konkurrenten möglicherweise zu einem Standardisierungs-Framework wandelt, und den technisch konkreteren Sovereign Cloud Stack (SCS), der eine Open-Source-Basis für interoperable Clouds schafft.

Trotz dieser Bemühungen wird der deutsche Cloud-Markt weiterhin von US-Anbietern dominiert. Fortschritte sind jedoch erkennbar: Standards wie BSI C5 etablieren sich, europäische Anbieter entwickeln spezialisierte souveräne Angebote, und mit SCS entsteht eine vielversprechende technische Alternative. Dennoch bleibt die vollständige digitale Unabhängigkeit ein fernes Ziel. Die Herausforderungen hinsichtlich Skalierung, Kosten, Fachkräftemangel und technischer Komplexität sind erheblich. Der Erfolg hängt davon ab, ob es gelingt, die strategischen Ziele konsequent in die Beschaffungspraxis zu übersetzen und europäische Alternativen nachhaltig zu stärken.

Empfehlungen für Politik und Industrie

Basierend auf der Analyse lassen sich folgende Empfehlungen ableiten:

Souveränität klar definieren und operationalisieren

Es bedarf einer klaren, abgestuften und messbaren Definition von digitaler Souveränität, die als Grundlage für Beschaffungsentscheidungen dienen kann. Was bedeutet Souveränität auf technischer, operativer und rechtlicher Ebene konkret und welche Abstufungen sind akzeptabel?

Beschaffungsmacht konsequent nutzen

Die EVB-IT Cloud sollten konsequent angewendet und ggf. hinsichtlich der Bevorzugung von OSS-Lösungen gestärkt werden. Das DVC-Portal muss effektiv genutzt werden, um souveräne und europäische Angebote sichtbar zu machen und deren Beauftragung zu erleichtern. Ausschreibungsverfahren sollten kritisch daraufhin überprüft werden, ob sie unbeabsichtigt etablierte Hyperscaler begünstigen.

In SCS und Open Source investieren

Der Sovereign Cloud Stack sollte aktiv in Projekten des öffentlichen Sektors (DVC, Bundescloud-Weiterentwicklung) gefördert und eingesetzt werden. Bestehende Hürden für die Beschaffung von OSS müssen identifiziert und abgebaut werden. Die Entwicklung und Pflege von Open-Source-Komponenten, die für souveräne Cloud-Lösungen relevant sind, sollte finanziell unterstützt werden.

Europäisches Ökosystem fördern

Die Unterstützung für europäische Kooperationsprojekte wie IPCEI-CIS sollte fortgesetzt werden. Die Rahmenbedingungen für Rechenzentrumsbetreiber in Deutschland (Energiekosten, Genehmigungsverfahren) müssen verbessert werden. Cloud-native Start-ups und KMU benötigen gezielte Förderung. Investitionen in die Aus- und Weiterbildung von Cloud-Fachkräften sind essenziell.

Gaia-X fokussieren

Die Bemühungen im Rahmen von Gaia-X sollten sich auf die Entwicklung und Etablierung praxistauglicher Standards, die Ermöglichung von Datenräumen und die Sicherstellung von Interoperabilität konzentrieren, anstatt den direkten Wettbewerb mit Hyperscalern zu suchen. Transparenz und eine klare Governance sind entscheidend, um Vertrauen zurückzugewinnen und Kritik zu begegnen.

Passend dazu:

• Gaia-X: Datensicherheit & Interoperabilität zwischen verschiedenen Systemen u. Akteuren in der Smart Factory & Industrial Metaverse

Transparenz und Monitoring verbessern

Es sollten regelmäßig Daten zur Cloud-Nutzung im öffentlichen Sektor veröffentlicht werden (Anteil verschiedener Anbieter, Kosten für OSS vs. proprietäre Lösungen ). Der Fortschritt von Schlüsselprojekten wie DVC und Delos sowie die Wirksamkeit von Souveränitätsmaßnahmen müssen transparent gemacht und überwacht werden. Die Einhaltung von Vorgaben (z. B. BSI-Auflagen für Delos ) muss durch unabhängige Stellen kontrolliert werden.

Exit-Strategien entwickeln

Für kritische Anwendungen, die auf nicht-souveränen oder proprietären Plattformen betrieben werden, müssen proaktiv und verbindlich technische und organisatorische Ausstiegsstrategien (Exit-Strategien) geplant und vorbereitet werden. Dies ist ein zentraler Aspekt des Risikomanagements und der langfristigen Sicherung der Handlungsfähigkeit.

☑️ KMU Support in der Strategie, Beratung, Planung und Umsetzung

☑️ Erstellung oder Neuausrichtung der KI-Strategie

☑️ Pioneer Business Development

 

Gerne stehe ich Ihnen als persönlicher Berater zur Verfügung.

Sie können mit mir Kontakt aufnehmen, indem Sie unten das Kontaktformular ausfüllen oder rufen Sie mich einfach unter +49 89 89 674 804 (München) an.

Ich freue mich auf unser gemeinsames Projekt.

 

 

Xpert.Digital ist ein Hub für die Industrie mit den Schwerpunkten, Digitalisierung, Maschinenbau, Logistik/Intralogistik und Photovoltaik.

Mit unserer 360° Business Development Lösung unterstützen wir namhafte Unternehmen vom New Business bis After Sales.

Market Intelligence, Smarketing, Marketing Automation, Content Development, PR, Mail Campaigns, Personalized Social Media und Lead Nurturing sind ein Teil unserer digitalen Werkzeuge.

Mehr finden Sie unter: www.xpert.digital - www.xpert.solar - www.xpert.plus