Article

Souveräne Clouds für Deutschland: Kontrolle zurückgewinnen, ohne auf die Vorteile der Public Cloud zu verzichten

Public Clouds sind mittlerweile das Rückgrat moderner Organisationen. Doch mit ihrer intensiven Nutzung drängt sich eine entscheidende Frage auf: Wie viel Kontrolle haben wir bereits abgegeben – und bei welchen Prozessen wird dieser Kontrollverlust zum echten Problem? Die strengen Regeln für den Datentransfer in Drittstaaten (Schrems II) sowie die gestiegenen Anforderungen an die betriebliche Widerstandsfähigkeit (NIS-2, DORA) haben digitale Souveränität von einer strategischen Option in eine rechtliche Pflicht verwandelt. Für den öffentlichen Sektor ist sie darüber hinaus das Fundament einer funktionierenden Demokratie.

Dieser Artikel beleuchtet, warum Sovereign Clouds eine sichere Alternative zu klassischen Public-Cloud-Modellen bieten. Wir geben Ihnen einen Überblick über die marktführenden Lösungen für Deutschland und zeigen, wie die Experten von Reply Sie auf dem Weg zu mehr digitaler Unabhängigkeit unterstützen können.

Warum überdenken Organisationen ihre Cloud-Strategien?

Jahrelang war das Ziel klar vorgegeben: so schnell wie möglich in die Cloud zu migrieren, um flexibler und innovationsfähiger zu werden. Heute verfolgen Unternehmen einen deutlich differenzierteren Ansatz. Während Kollaborationsplattformen von Offenheit leben, erfordern sensible Daten – wie Kundenakten oder geistiges Eigentum – maximalen Schutz. Dieser Wandel ist jedoch kein Rückzug aus der Public Cloud, sondern eine logische Reaktion auf strengere regulatorische Vorgaben. Das Schrems-II-Urteil hat unmissverständlich gezeigt: Vertragliche Zusicherungen von US-Anbietern allein reichen nicht aus – Datenschutz muss technisch durchsetzbar sein.

Gleichzeitig schrauben Richtlinien wie NIS-2 und DORA die Anforderungen an das Risikomanagement und die IT-Sicherheit massiv nach oben. Im öffentlichen Sektor kommt zudem das politische Mandat hinzu, kritische Infrastrukturen vor geopolitischen Abhängigkeiten zu schützen. Organisationen agieren daher heute strategisch weitsichtiger: Einige setzen auf Cloud Repatriation und verlagern sensible Workloads zurück in lokale Rechenzentren, während andere auf Sovereign Clouds setzen, um höchste Sicherheitsstandards mit der Skalierbarkeit der Cloud zu verbinden.

Was ist eine Sovereign Cloud und was garantiert sie tatsächlich?

Sovereign Clouds sind Architekturen, die Unternehmen und Behörden die maximale Kontrolle über ihre digitalen Werte und Daten garantieren. Sie stellen die Einhaltung lokaler Compliance-Vorgaben sicher und schützen vor dem Zugriff ausländischer Behörden oder Gerichte. Allerdings ist digitale Souveränität in der Cloud kein binärer Zustand – es gibt kein reines Schwarz oder Weiß.

Je nach Kritikalität der jeweiligen Workloads können Organisationen flexibel zwischen verschiedenen Stufen der Isolation und Kontrolle wählen. Moderne souveräne Cloud-Lösungen ermöglichen eine modulare Umsetzung: Strengere Sicherheitsgarantien lassen sich gezielt dort anwenden, wo sie tatsächlich benötigt werden, anstatt einen starren Pauschalstandard für die gesamte Systemlandschaft durchzusetzen.

Für welche Workloads ist eine Sovereign Cloud am relevantesten?

Nicht jede Anwendung erfordert zwingend eine Sovereign Cloud. In drei spezifischen Hochrisiko-Szenarien ist sie jedoch unerlässlich:

Hersteller, die Geschäftsgeheimnisse schützen

Produktionsprozesse, proprietäre Formeln und technische Spezifikationen sichern Unternehmen ihren zentralen Wettbewerbsvorteil. Sovereign Clouds schützen diese sensiblen Daten durch hochentwickelte technische Kontrollen – wie hardwarebasierte Isolation und exklusive Schlüsselverwaltung (Key Management) –, die weit über die Standardangebote klassischer Public Clouds hinausgehen.

Öffentliche Verwaltungen, die Bürgerdaten verarbeiten

Identitäts-, Steuer- und Gesundheitsdaten unterliegen strengsten gesetzlichen Schutzanforderungen. Standard-Public-Clouds erfüllen diese Vorgaben oft nicht lückenlos, da sie potenziell ausländischen Rechtsordnungen (wie dem US Cloud Act) unterliegen. Souveräne Cloud-Umgebungen garantieren hingegen eine strikte Datenresidenz und verlässlichen rechtlichen Schutz.

Regulierte Branchen mit Vertraulichkeits- und Resilienzpflichten

Berufsgruppen wie Ärzte und Anwälte sowie Finanzinstitute unterliegen der gesetzlichen Schweigepflicht bzw. dem Berufsgeheimnis und müssen zudem strenge Vorgaben wie NIS-2 oder DORA erfüllen. Sovereign Clouds bieten die notwendigen technischen und vertraglichen Garantien, um Cloud-Lösungen in vollem Einklang mit diesen rechtlichen Verpflichtungen zu nutzen.

Wo liegen die Kompromisse?

Nachdem die Argumente für digitale Souveränität auf dem Tisch liegen, gilt es, auch deren Grenzen zu verstehen. Souveränität ist keine Entweder-Oder-Entscheidung, sondern ein breites Spektrum. Je mehr Autonomie eine Organisation über ihre Daten, Prozesse und Infrastrukturen einfordert, desto größere Kompromisse muss sie bei der Vielfalt und Verfügbarkeit moderner Cloud-Dienste eingehen. In einer vollständig souveränen Umgebung stehen Managed-AI-Plattformen, hochmoderne Serverless-Architekturen oder global optimierte Services oft nur eingeschränkt oder zeitversetzt im Vergleich zur klassischen Public Cloud zur Verfügung.

Das ist kein Systemfehler, sondern ein grundlegendes Designprinzip: Kontrolle und Innovationsgeschwindigkeit stehen in einem bewussten Spannungsverhältnis. Das Ziel darf daher nicht sein, Souveränität pauschal über die gesamte IT-Landschaft zu stülpen. Vielmehr muss sie dort gezielt eingesetzt werden, wo die Kritikalität der Workloads es verlangt. Reply unterstützt Organisationen dabei, diese Balance zu finden. Wir sorgen dafür, dass Souveränität strategisch und nicht dogmatisch gelebt wird – damit Ihre kritischen Daten maximal geschützt sind, während Sie dort, wo es darauf ankommt, weiterhin von voller Innovationskraft profitieren.

Wie finde ich die richtige Sovereign Cloud für mein Unternehmen in Deutschland?

Das Spektrum an Ansätzen zur Stärkung der digitalen Souveränität ist breit: Es reicht von klassischen On-Premises-Infrastrukturen und Private-Cloud-Umgebungen über hybride Modelle bis hin zu vollständig verwalteten Sovereign-Cloud-Plattformen. Jeder dieser Ansätze bedient unterschiedliche Facetten – von der rechtlichen und regulatorischen Kontrolle über die operative Unabhängigkeit bis hin zur Resilienz der eigenen Lieferketten. Die Wahl der passenden Strategie hängt vor allem davon ab, wie tief die Souveränitätsgarantien in der IT-Architektur verankert sein müssen. Für Organisationen, die eine dedizierte Sovereign-Cloud-Plattform anstreben, bietet der Markt eine wachsende Zahl an Anbietern – jeder mit spezifischen Stärken und strategischen Kompromissen. Reply begleitet Sie ganzheitlich bei der Auswahl, Implementierung und nahtlosen Integration der Lösung, die exakt zu Ihren Anforderungen passt.

Im Wesentlichen haben sich auf dem Markt drei architektonische Ansätze etabliert. Das erste Modell basiert auf Partnerschaften, bei denen US-Hyperscaler mit lokalen Akteuren kooperieren, die dann die Verschlüsselung, die Zugänge sowie den Support vor Ort verwalten. Der zweite Ansatz umfasst isolierte Plattformen, bei denen nationale Anbieter den kompletten Technologie-Stack eines Hyperscalers in einer vollständig autarken, physisch getrennten Umgebung betreiben. Das dritte Modell wird von den Hyperscalern selbst getrieben, die dedizierte europäische Cloud-Infrastrukturen von Grund auf neu aufbauen und dabei eine strikte physische sowie logische Trennung von ihrem globalen Netzwerk garantieren. Jedes dieser Modelle setzt eigene Schwerpunkte im Spannungsfeld zwischen Plattformreife und Souveränitätstiefe.

Ein Überblick über die wichtigsten Akteure auf dem deutschen Markt:

AWS Europäische Souveräne Cloud: Skalierbarkeit trifft auf EU-Kontrolle

Die AWS European Sovereign Cloud richtet sich an Unternehmen und Behörden, die von der Innovationskraft eines globalen Hyperscalers profitieren wollen, ohne Abstriche bei der europäischen Kontrolle zu machen. Die Plattform ist sowohl physisch als auch logisch komplett von der globalen AWS-Infrastruktur getrennt, sodass alle Daten ausnahmslos innerhalb der EU verbleiben. Auch Betrieb und Support liegen ausschließlich in den Händen von Personal mit Wohnsitz in der EU. Storm Reply unterstützt Kunden dabei, die gewohnte Agilität und Geschwindigkeit von AWS nahtlos in diesen geschützten Raum zu übertragen und so die Vorteile digitaler Souveränität optimal auszuschöpfen.

Oracle Sovereign Cloud: Vollständige Kontrolle über geschäftskritische Workloads

Die Oracle EU Sovereign Cloud wurde speziell für Organisationen entwickelt, die anspruchsvolle, geschäftskritische Workloads in einer absolut souveränen Umgebung betreiben müssen. Die Plattform läuft in eigenständigen, physisch isolierten Rechenzentren innerhalb der Europäischen Union und unterliegt einer strikten rechtlichen und operativen Trennung von den globalen Oracle-Regionen. Der gesamte Betrieb sowie der Support werden ausnahmslos durch Personal mit Wohnsitz und Steuerpflicht in der EU abgewickelt. Reply unterstützt Unternehmen dabei, die gewohnte Performance und Datenarchitektur von Oracle nahtlos in diese souveräne Cloud-Umgebung zu überführen, um höchste regulatorische Anforderungen ohne Leistungsverluste zu erfüllen.

Microsoft Cloud Continuum für Souveränität: Enterprise-Souveränität auf Azure

Das Microsoft Cloud Continuum ermöglicht es Organisationen, die gesamte Bandbreite der Azure-Dienste zu nutzen und gleichzeitig die volle Kontrolle über den Datenstandort und sämtliche Zugriffe zu behalten. Auf Basis der Microsoft EU Data Boundary verbleiben alle Kundendaten ausnahmslos innerhalb der EU- und EFTA-Region. Fortschrittliche Verschlüsselungstechnologien – darunter externes Key Management und Confidential Computing – sorgen in Kombination mit der Sovereign Landing Zone dafür, dass konforme Cloud-Umgebungen auch in sehr großem Maßstab bereitgestellt und automatisiert überwacht werden können. Cluster Reply unterstützt Kunden ganzheitlich: von der Klassifizierung der Workloads und der Konfiguration der Landing Zone über das Identitätsmanagement, die Sicherheitszertifizierung und den prüfbereiten Betrieb (Audit-Readiness) bis hin zur Migration und der Entwicklung innovativer nativer Cloud-Lösungen.

STACKIT: Souveränität "Made in Germany"

STACKIT, die souveräne Cloud der Schwarz Gruppe, basiert konsequent auf offenen Standards wie Kubernetes und OpenStack, was maximale Auditierbarkeit und Portabilität garantiert. Alle Daten verbleiben ausnahmslos in deutschen Rechenzentren und der Betrieb erfolgt durch Personal, das vollständig deutschem Recht unterliegt. Innerhalb der Reply-Gruppe nutzt Liquid Reply diese Infrastruktur, um hochmoderne Cloud-Native-Landschaften aufzubauen, die sämtliche Compliance-Anforderungen direkt in automatisierte Prozesse integrieren

Delos Cloud: Das Fundament für die deutsche Verwaltung und SAP-Umgebungen

Delos Cloud ist ein deutsches, von SAP unterstütztes Unternehmen, das gezielt für die strengen Anforderungen des deutschen öffentlichen Sektors ins Leben gerufen wurde. Diese souveräne Cloud-Plattform basiert auf Microsoft-Technologie und erfüllt die strengen Kriterien der BSI-C5-Zertifizierung – optimiert für Daten, die dem amtlichen Geheimschutz unterliegen. Unterstützt durch Syskoplan Reply ermöglicht die Plattform insbesondere dem öffentlichen Sektor sowie Betreibern kritischer Infrastrukturen (KRITIS), komplexe SAP-Systeme zu modernisieren und neue Anwendungen unter maximaler regulatorischer Kontrolle zu entwickeln.

Open Source: Maximale Autonomie

Das höchste Maß an Souveränität wird durch den gezielten Einsatz unabhängiger Open-Source-Software erreicht. Whitehall Reply unterstützt Unternehmen und Behörden dabei, offene Standards und portable Datenformate plattformübergreifend zu implementieren. Dies gewährleistet echte Interoperabilität, verhindert eine strategische Anbieterabhängigkeit (Vendor Lock-in) und schafft das Fundament für eine langfristig unabhängige und zukunftssichere IT-Strategie.

Wie wird das technisch durchgesetzt?

Die oben genannten Plattformen setzen Souveränität auf unterschiedliche Weise um. Doch blickt man hinter die herstellerspezifischen Architekturen, sind es vor allem zwei grundlegende Technologien, die bestimmen, wie effektiv die Datensouveränität in der Praxis tatsächlich durchgesetzt wird:

Externes Schlüsselmanagement

Diese Architekturmodelle ermöglichen es Organisationen, kryptografische Schlüssel außerhalb der Infrastruktur des Cloud-Anbieters zu verwalten – typischerweise über dedizierte, externe Hardware-Sicherheitsmodule (HSMs). Allerdings garantiert nicht jedes Schlüsselverwaltungsmodell das gleiche Maß an Anbieterausschluss. Bei kundenverwalteten Schlüsseln, den sogenannten Customer Managed Keys (CMK), kontrolliert der Kunde den Schlüssel noch innerhalb des Schlüsselverwaltungssystems des Cloud-Anbieters. Der Ansatz „Bring Your Own Key“ (BYOK) geht einen Schritt weiter: Hier generiert der Kunde den Schlüssel in seiner eigenen Infrastruktur, importiert ihn in die Cloud und behält stets die Hoheit über das Original. Die stärkste Garantie bietet jedoch „Hold Your Own Key“ (HYOK). Bei diesem Modell verlässt das Schlüsselmaterial die geschützte Umgebung des Kunden zu keinem Zeitpunkt und sämtliche kryptografischen Operationen werden ausschließlich extern durchgeführt. Bei der Bewertung der Souveränitätsversprechen eines Anbieters ist es daher von entscheidender Bedeutung, genau zu prüfen, welches dieser Modelle tatsächlich zum Einsatz kommt.

Confidential Computing

Confidential Computing nutzt hardwarebasierte, vertrauenswürdige Ausführungsumgebungen – sogenannte Trusted Execution Environments (TEEs) –, um sicherzustellen, dass Daten selbst während ihrer aktiven Verarbeitung durchgängig verschlüsselt bleiben. Code und Daten innerhalb eines TEE sind vollständig vom Host-Betriebssystem, dem Hypervisor und damit auch vom Cloud-Anbieter selbst isoliert. Dies schließt die letzte verbleibende Sicherheitslücke: Daten sind nun nicht mehr nur bei der Speicherung (Data at Rest) und während der Übertragung (Data in Transit) geschützt, sondern auch im Moment ihrer Nutzung (Data in Use). TEEs lösen zudem ein grundlegendes Problem, das eine reine Verschlüsselung nicht beheben kann: Selbst wenn Nutzdaten verschlüsselt sind, können Cloud-Anbieter im Normalfall unverschlüsselte Metadaten einsehen. Dazu gehören Informationen darüber, wer wann und von wo aus auf Daten zugegriffen hat und welche Systemressourcen daran beteiligt waren. Confidential Computing reduziert dieses Risiko drastisch, indem es den gesamten Verarbeitungskontext komplett abschirmt.

Zusammen bilden diese Mechanismen die technische Garantie dafür, dass keine unbefugte Partei – einschließlich des Cloud-Anbieters selbst – zu irgendeinem Zeitpunkt im Datenlebenszyklus auf sensible Informationen zugreifen kann. Spike Reply unterstützt Organisationen dabei, diese kryptografischen Sicherheitskontrollen strategisch zu planen und umzusetzen. Das Leistungsspektrum reicht hierbei von der HSM-Integration und dem Aufbau maßgeschneiderter Key-Management-Architekturen bis hin zum produktiven Rollout von Confidential-Computing-Szenarien in hybriden Cloud-Umgebungen.

Wie lässt sich Künstliche Intelligenz in diesem Kontext zusätzlich absichern?

Proprietäre generative KI-Systeme, über die Unternehmen keine eigene Kontrolle haben, schaffen eine völlig neue Dimension digitaler Abhängigkeit. Das Grundprinzip von KI besteht schließlich darin, Entscheidungsfindungen und kognitive Prozesse an ein System auszulagern – und dieses benötigt oft die sensibelsten Geschäftsgeheimnisse, um optimale Ergebnisse zu liefern. Die gegenwärtige geopolitische Lage schränkt den Kreis der vertrauenswürdigen Systeme jedoch massiv ein.

Genau hier setzen wir an: Durch unsere strategische Partnerschaft mit dem französischen KI-Pionier Mistral AI bieten wir unseren Kunden nicht nur souveräne und quelloffene KI-Modelle, sondern ein vollständiges Ökosystem. Dieses bildet das stabile Fundament, um Anwendungen von Grund auf konform mit dem europäischen KI-Gesetz (EU AI Act) zu entwickeln. Sail Reply konzentriert sich in diesem Rahmen auf die ganzheitliche Beratung und Implementierung maßgeschneiderter, KI-gestützter Prozesse in hochspezialisierten und regulierten Umgebungen.

Wie begleitet Reply Sie auf Ihrem Weg zur Cloud-Souveränität?

Der erste Schritt besteht darin, absolute Klarheit zu schaffen. Im Rahmen eines Sovereign Cloud Readiness Assessments analysiert Reply Ihre bestehende Cloud-Landschaft, identifiziert regulatorische Risiken und strukturiert Ihre Datenflüsse mit Blick auf rechtliche und länderspezifische Vorgaben. So entsteht ein präzises Bild Ihres aktuellen Status quo und potenzieller Souveränitätslücken. Auf Basis dieser fundierten Analyse entwirft Reply eine maßgeschneiderte Segmentierungsarchitektur.

Dabei werden sensible Workloads – wie die Verarbeitung personenbezogener Daten oder KI-Inferenzen auf Basis vertraulicher Inputs – gezielt über souveräne Cloud-Partitionen gesteuert, während weniger kritische Anwendungen in der klassischen Public Cloud verbleiben, um dort von maximaler Agilität und dem vollen Funktionsumfang moderner KI-Tools zu profitieren. Das Ergebnis ist eine hybride Strategie, die das Beste aus beiden Welten vereint: Sie sichert Ihre Innovationskraft dort, wo sie den größten Nutzen bringt, und etabliert tiefere Souveränitätsstrukturen genau dort, wo es die Workloads und der rechtliche Rahmen zwingend erfordern.

Lassen Sie uns Ihren individuellen Weg zur Cloud-Souveränität gemeinsam gestalten.

Häufig gestellte Fragen

Das könnte Sie ebenfalls interessieren

Confidential Computing

Article

Lokale Rechenzentren für das globale Management von Kundendaten

Case Study

Souveräne Cloud-Nutzung im Kreditversicherungssektor

Case Study

Federated Learning

Best Practice

Cloud-Computing

Offering