Warum die Cloud-Abhängigkeit ein Risiko darstellt
Laut dem Bitkom „Cloud Report 2025“ nutzen neun von zehn deutschen Unternehmen Cloud-Dienste. Drei Viertel dieser Unternehmen sehen die starke Abhängigkeit von US-Hyperscalern wie Amazon, Google und Microsoft kritisch. Diese Anbieter dominieren den globalen Markt und sind auch in Deutschland führend. Das Problem: Durch den US-amerikanischen CLOUD Act können US-Behörden auf Daten zugreifen – selbst wenn diese in Deutschland gespeichert sind.
| Hosting-Unternehmen | Land | Marktanteil |
|---|---|---|
| Amazon Web Services (AWS) | USA | 29% |
| Microsoft Azure Cloud | USA | 22% |
| Google Cloud | USA | 12% |
| Alibaba Cloud | China | 4% |
Die größten europäischen Cloudanbieter nach weltweitem Marktanteil sind zwar deutlich kleiner als die US-amerikanischen Giganten wie AWS, Azure und Google Cloud, aber sie spielen dennoch eine wichtige Rolle – insbesondere im Hinblick auf Datenschutz, Datenhoheit und regionale Anforderungen. Hierzu zählen OVHcloud aus Frankreich mit einem weltweiten Marktanteil von ca. 1-2% und die Deutsche Telekom/T-Systems mit einem Anteil von unter 1%.
Digitale Souveränität: Definition und Status quo
Die Bundesregierung definiert digitale Souveränität als die Fähigkeit von Individuen und Institutionen, ihre Rolle in der digitalen Welt selbstbestimmt und sicher auszuüben. Aktuell ist Deutschland in vielen Bereichen – insbesondere bei Cloud-Infrastrukturen – nicht vollständig souverän. Abhängigkeiten von ausländischen Anbietern bergen Risiken für Datenschutz, Sicherheit und wirtschaftliche Stabilität.
Strategien der Bundesregierung
Um diese Abhängigkeiten zu reduzieren, setzt die Bundesregierung auf mehrere Maßnahmen. Von zentraler Bedeutung ist hier die Zusammenarbeit der EU-Partner bei europäischen Cloud-Initiativen. Das IPCEI-CIS („Important Project of Common European Interest – Cloud Infrastructure and Services“) etwa ist ein strategisches Großvorhaben der Europäischen Union, das darauf abzielt, Europas digitale Souveränität durch den Aufbau eines leistungsfähigen und nachhaltigen Cloud-Edge-Kontinuums zu stärken. Über 100 Unternehmen und Forschungseinrichtungen aus zwölf EU-Ländern – darunter viele aus Deutschland und Frankreich – arbeiten gemeinsam daran, eine europäische Dateninfrastruktur zu schaffen, die Echtzeitverarbeitung ermöglicht und zukunftsweisende Anwendungen wie autonomes Fahren oder smarte Fabriken unterstützt. Das Besondere: Die neue Infrastruktur soll offen, interoperabel und energieeffizient sein – und dabei die europäischen Werte wie Datenschutz und technologische Souveränität konsequent berücksichtigen. Mit dieser Initiative will Europa nicht nur technologisch aufholen, sondern auch eigene Standards setzen und die digitale Zukunft aktiv gestalten.
Weitere Maßnahmen sind:
- Ausbau von Open-Source-Plattformen wie openDesk und openCode.
- Investitionen in KI- und Cloud-Infrastruktur, unter anderem durch AI Factories und Hochleistungsrechenzentren.
- Mitgliedschaft in europäischen Digitalprojekten wie Digital Commons EDIC.
Diese Projekte sollen bis 2027 weitgehend umgesetzt sein und werden sowohl aus dem Bundeshaushalt als auch aus Sondervermögen finanziert.
Cloud-Dienste als kritische Infrastruktur
Cloud-Dienste gelten in Deutschland als Teil der kritischen Infrastruktur, sofern sie bestimmte Schwellenwerte überschreiten. Unternehmen sind verpflichtet, Risiken für die Informationssicherheit zu minimieren. Mit der Umsetzung der NIS-2-Richtlinie werden die Anforderungen an Cloud-Anbieter weiter verschärft.
Wer digitale Dienste wie Cloud-Computing bereitstellt, muss künftig strenge Anforderungen erfüllen. Dazu gehören unter anderem umfassende Risikoanalysen, Sicherheitsmaßnahmen entlang der gesamten Lieferkette und eine klare Meldepflicht bei IT-Sicherheitsvorfällen. Besonders wichtig: Die Verantwortung liegt nicht mehr nur bei der IT-Abteilung. Auch die Geschäftsführung muss sich aktiv mit Cybersicherheit auseinandersetzen. Unternehmen, die Cloud-Dienste anbieten, gelten als „besonders wichtige Einrichtungen“ und unterliegen damit einer intensiveren Aufsicht. Selbst kleinere Anbieter können betroffen sein, wenn sie kritische Dienste bereitstellen. Ziel der Richtlinie ist es, die digitale Infrastruktur in Europa widerstandsfähiger gegen Cyberangriffe zu machen – und Cloud-Anbieter spielen dabei eine Schlüsselrolle.
Die Einstufung von Hosting-Dienstleister als Teil der kritischen Infrastruktur kommt keines unerwartet. In vielen Bereichen des geschäftlichen Lebens werden Teile oder die komplette IT-Infrastruktur ausgelagert auf Cloud-Hosting-Anbieter. Dies bietet zwar einerseits in der Regel ein höheres IT-Schutzniveau, da IT-Sicherheit bei dem Hosting-Anbieter gebündelt wird. Auf der anderen Seite sind Unternehmen im Falle eines IT-Sicherheitsvorfalls dem Cloud-Hosting-Anbieter auf Gedeih und Verderben ausgeliefert. So kam es in der Vergangenheit zu einigen Vorfällen, bei denen große Teile einer Branche betroffen waren, nachdem in der Cloud gehostete Programme ausgefallen waren.
Durch die Einstufung Cloud-Hosting-Anbieter der als Teil der kritischen Infrastruktur, neben Krankenhäusern, öffentlichen Einrichtungen u.a. versucht die EU der Exponiertheit im Cyberraum entgegenzuwirken.
Der Weg zu mehr Unabhängigkeit
Die Nachfrage nach Cloud-Diensten wird weiter steigen, insbesondere durch den Einsatz von Künstlicher Intelligenz. Um digitale Souveränität zu erreichen, muss Deutschland massiv in eigene Cloud-Lösungen investieren und europäische Alternativen stärken. Nur so lassen sich Risiken durch einseitige Abhängigkeiten reduzieren.
