Harsche Kritik der GI: „gefährdet nicht nur unsere nationale Sicherheit“ BSI und Google wollen sichere Cloud-Lösungen entwickeln

Anbieter zum Thema

Bundesamt für Sicherheit i.d.Informationstechnik

Google Cloud EMEA Ltd

Gesellschaft für Informatik e.V. Wissenschaftszent.

netfiles GmbH

STACKIT GmbH & Co. KG

mehr weniger

Yorizon GmbH & Co. KG

weniger

Um die Datensouveränität im öffentlichen Sektor zu erhöhen arbeiten das BSI und Google ab sofort zusammen. Die Kooperation umfasst die Entwicklung von quantensicherer Cloud-Lösungen sowie strategischen Austausch. Kritik erntet das BSI dafür vor allem von der Gesellschaft für Informatik.

Im Februar 2025 haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Google Cloud eine Kooperationsvereinbarung unterzeichnet, deren Ziel es ist, die Entwicklung und Bereitstellung sicherer und souveräner Cloud-Lösungen für Behörden auf Bundes-, Landes- und Kommunalebene zu unterstützen. Doch genau den Punkt Souveränität scheint die Gesellschaft für Informatik (GI) dem BSI nicht so recht abzukaufen. Die europäischen und deutschen Bemühungen, die digitale Souveränität zu stärken, würden durch die Zusammenarbeit des BSI mit Google zunichte gemacht.

Cloud-Strategie des BSI

So will das BSI die Cloud souverän und sicher machen

Datensouveränität und Post-Quanten-Kryptografie

Die gemeinsam entwickelten Lösungen des BSI und Google sollen speziell auf die Anforderungen des öffentlichen Sektors zugeschnitten werden, unter Einhaltung der deutschen und europäischen Datenschutzbestimmungen. Besonderer Schwerpunkt soll dabei die Gewährleistung der Datensouveränität sein. Als Basis für die Cloud-Lösungen dient das gesamte Cloud-Portfolio von Google, einschließlich der KI-Anwendungen und zugehöriger Support-Dienste.

Außerdem sollen modernste kryptografische Verfahren integriert werden, wie Google berichtet. An der Entwicklung von Post-Quanten-Kryptografie sowie dem Einsatz von Brainpool-Kurven würden die beiden Partner bereits arbeiten. Die Brainpool-Kurven beschreiben spezielle mathematische Funktionen, die in der Elliptischen-Kurven-Kryptographie (ECC) verwendet werden. Sie helfen, Daten sicher zu verschlüsseln. „Die Kooperation mit Google Cloud ermöglicht im Bereich der Post-Quanten-Kryptografie eine zukunftssichere digitale Infrastruktur, die auch kommenden technologischen Herausforderungen gewachsen ist“, sagt Thomas Caspers, Designierter Vizepräsident des BSI.

An dieser Stelle kritisieren die Arbeitskreise „Digitale Souveränität“, „Open Source Software“ und „Datenschutz und IT-Sicherheit“ der GI sowie ihre Vertreter Prof. Dr. Harald Wehnes, Prof. Dr. Julian Kunkel und Dr. Martin Weigele fehlende Transparenz. Die bisherigen Informationen seien so dürftig, dass nicht klar werde, für welche Anwendungsszenarien die untersuchten Lösungen geeignet seien sollen.

Kritikpunkte der Gesellschaft für Informatik

Weitere Argumente der GI, warum die Kooperation des BSI mit Google den Kriterien der digitalen Souveränität widerspreche, sind:

• Die Zusammenarbeit des BSI mit Google würde als potenzieller Booster für die digitale Abhängigkeit und Erpressbarkeit Deutschlands gegenüber den USA fungieren. Es sei unverantwortlich dass das Bundesamt somit der US-Regierung Möglichkeiten der Erpressung frei Haus liefere.

• Google sei aufgrund der Rechtslage in den USA gar nicht imstande, einen souveränen Dienst anzubieten. Denn ein souveräner Dienst müsse unter anderem die Datenintegrität sowie die Datenverfügbarkeit sicherstellen. Doch im Rahmen der Kooperation würde Google nur auf die Datensouveränität eingehen. Über die Verfügbarkeit der Daten hätte allerdings der US-Präsident die Macht.

• Das BSI würde mit der Kooperation Google eine Art „TÜV-Stempel“ erteilen, der dessen marktbeherrschende Stellung noch weiter festige. Dies bringe erhebliche Wettbewerbsnachteile für europäische Anbieter mit sich.

• Zu guter Letzt werfe eine Partnerschaft mit einen Unternehmen, dessen Kerngeschäft der Verkauf von Daten ist und das nicht der europäischen Gesetzgebung unterliegt, erhebliche Bedenken hinsichtlich der Unabhängigkeit und Souveränität der geplanten Cloud-Lösungen auf. Selbst wenn versichert würde, dass keine wirtschaftliche Nutzung der in Deutschland gespeicherten behördlichen und unternehmerischen Daten erfolge, bleibe eine grundlegende Abhängigkeit von Google bestehen.

In einer Pressemitteilung vom 18. März 2025 kündigte das BSI eine Kooperation mit Stackit an. Dies ist zwar der Cloud-Provider des deutschen Unternehmens Schwarz Digits, und auch eine Kooperation mit SAP sei vereinbart, doch im selben Atemzug werden auch Partnerschaften mit den US-Hyperscalern AWS und Oracle angekündigt.

Grundsätzlich stuft die GI dieses neue Bündnis als Gefahr ein, sowohl für die nationale Sicherheit und Cybersecurity wie auch für die strategische Autonomie und die Handlungsfähigkeit der Bundesbehörden.

Univention Summit 2025: Experten diskutieren Wege zu digitaler Souveränität

„Es ist noch nicht zu spät für digitale Souveränität!“

Strategische Partnerschaft

Ebenfalls Teil der Partnerschaft zwischen BSI und Google ist das neu eingerichtete „Kooperationsforum“. Dieses wird von BSI-Vizepräsidenten Thomas Caspers und Dr. Wieland Holfelder, Vice President Engineering & Site Lead bei Google Cloud, geleitet. Vor dort aus sollen alle Aktivitäten der Zusammenarbeit koordiniert werden sowie die systematische Sicherheitsüberwachung, Incident Response sowie die Entwicklung neuer Standards und Zertifizierungen stattfinden. Auch für den Austausch von Threat Intelligence soll dort Platz sein, um neue Bedrohungen proaktiv und schnell zu bekämpfen.

Daneben umfasst die strategische Zusammenarbeit mit dem BSI auch die regelmäßige Überprüfung auf Sicherheitslücken und die Sicherheitsdokumentation. Google verpflichtet sich zudem, das BSI proaktiv über sicherheitsrelevante Entwicklungen zu informieren, insbesondere bei Vorfällen von besonderem öffentlichen Interesse. Darüber hinaus erhält das BSI Einblicke in Googles Maßnahmen zur Lieferkettensicherheit, um den eigenen Zugriffsschutz und die Manipulationsabwehr zu verbessern.

Digitale (Un-)Souveränität

Die bittersüße Abhängigkeit von Microsofts Cloud

(ID:50366399)