Verschlüsselung wird als zentraler Baustein für die Erreichung einer digitalen Souveränität im Cloud Computing gesehen, allerdings nur dann, wenn Schlüssel- sowie Identitäts- und Zugriffsmanagement in der eigenen Hand liegen. Wie sieht dies bei den Hyperscalern und ihren Angeboten im Bereich Sovereign Cloud aus?
Schlüssel als Sinnbild für digitale Souveränität: In Sovereign-Cloud-Umgebungen ist die Hoheit über Identitäten und kryptografische Schlüssel ein zentraler Sicherheitsfaktor.
„Für eine sichere Digitalisierung benötigen wir Digitale Souveränität“, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Darunter versteht das BSI „die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“.
Nutzt man „internationale Produkte“, müssen diese technisch so angepasst oder eingebettet werden, dass ein sicherer und selbstbestimmter Einsatz möglich wird, so das BSI. Ziel ist es demnach, eine unkontrollierte technische Steuerung durch Akteure außerhalb der EU sowie Datenabfluss technisch unmöglich zu machen.
Ein wesentlicher Baustein dafür sind kryptographische Verfahren. Sie schützen vor Datenabflüssen an Dritte und auch vor dem Zugriff des Providers selbst, wenn Schlüssel- sowie Identitäts- und Zugriffsmanagement in der eigenen Hand liegen. Die Daten liegen damit zu jedem Zeitpunkt verschlüsselt vor und nur der Kunde hat die notwendigen Schlüssel, um sie lesbar zu machen, wie das BSI erläutert.
Doch wie steht es um das Schlüsselmanagement in der Cloud?
Was die Hyperscaler sagen und anbieten
Digitale Souveränität ist nicht schwarz-weiß, sondern ein Spektrum, das Entscheidungen ermöglicht, erklärt zum Beispiel Microsoft: „Während für globale Finanzinstitute beispielsweise Verschlüsselung und regulatorische Compliance im Vordergrund stehen, legen andere Branchen möglicherweise den Fokus auf vollständige Autonomie über ihre digitale Infrastruktur und operative Unabhängigkeit. Behörden wiederum bestehen in vielen Fällen auf transparente, nachvollziehbare Kontrolle über Zugriffe.“
Offensichtlich ist „providerunabhängige Verschlüsselung“ ein möglicher Baustein in Richtung digitaler Souveränität, aber nicht alles. Trotzdem ist der Blick auf die Umsetzung des Schlüsselmanagements für die Cloud-Sicherheit wichtig. So spielt es für Confidential Cloud Computing eine zentrale Rolle, bei dem insbesondere auch Providerzugriffe auf die Cloud-Daten der Kunden selbst während der Verarbeitung verhindert werden sollen.
Zu den „souveränen Lösungen“ von Microsoft, die europäische Organisationen unterstützen sollen, gehört auch External Key Management zur Erweiterung von Azure Managed HSM: Die Verschlüsselung unter der vollen Kontrolle der Kunden bietet eine zusätzliche Garantie für Datenschutz, so Microsoft. Bei der externen Schlüsselverwaltung können demnach Kunden Azure mit Schlüsseln verbinden, die auf ihrem eigenen Hardware-Sicherheitsmodul (HSM) vor Ort oder bei einem vertrauenswürdigen Drittanbieter gespeichert sind. Microsoft arbeitet mit HSM-Herstellern wie Futurex, Thales und Utimaco zusammen.
Auch bei Google gibt es einen Cloud External Key Manager: Die Kunden bestimmen demnach die Position und Verteilung ihrer extern verwalteten Schlüssel. Extern verwaltete Schlüssel werden laut Google nie im Cache von Google Cloud oder direkt dort gespeichert. Stattdessen kommuniziert Cloud EKM bei jeder Anfrage direkt mit dem Partner für die externe Schlüsselverwaltung. Die Kunden verwalten den Zugriff auf ihre extern verwalteten Schlüssel in ihrem externen Schlüsselmanager. Kunden können einen extern verwalteten Schlüssel in Google Cloud erst verwenden, wenn sie dem Google Cloud-Projekt Zugriff auf den Schlüssel in ihrem externen Schlüsselverwaltungssystem gewähren. Sie können die erteilten Zugriffsrechte jederzeit entziehen.
AWS bietet externe Schlüsselspeicher-Proxy („XKS-Proxy“) als kundeneigene und -verwaltete Softwareanwendung, die die gesamte Kommunikation zwischen AWS KMS (Key Management Service) und dem externen Schlüsselmanager vermittelt. XKS-Proxy übersetzt generische AWS KMS-Anfragen in ein Format, das der anbieterspezifische externe Schlüsselmanager versteht, so AWS. Für einen externen Schlüsselspeicher ist ein externer Schlüsselspeicher-Proxy erforderlich. Jedem externen Schlüsselspeicher ist ein externer Schlüsselspeicher-Proxy zugeordnet. AWS KMS kann keine externen Schlüssel erstellen, löschen oder verwalten, wie AWS betont. Das kryptografische Schlüsselmaterial verlässt demnach niemals den externen Schlüsselmanager. Die gesamte Kommunikation zwischen AWS KMS und dem externen Schlüsselmanager wird über den externen Schlüsselspeicher-Proxy vermittelt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Was die Datenschützer zu bedenken geben
Mit Blick auf Confidential Cloud Computing, mit dem Providerzugriffe auf Cloud-Daten auch während der Verarbeitung verhindert werden sollen, unterstreichen auch die Datenschutzaufsichtsbehörden die Bedeutung eines providerunabhängigen Schlüsselmanagements: „Tatsächliche Geheimhaltung vor dem Cloud-Betreiber (als Organisation) ist nur gewährleistet, wenn die Daten zu jedem Zeitpunkt so verschlüsselt sind, dass der Cloud-Betreiber den zur Entschlüsselung notwendigen Schlüssel nicht in Erfahrung bringen oder nutzen kann“.
Die Datenschützer geben zu bedenken: Ein besonderes Augenmerk sollte hier auf die Übergänge zwischen den verschiedenen „Verschlüsselungsdomänen“ gelegt werden, etwa der Übergang von „data-at-rest“ zu „data-in-use“. Wenn bei solchen Übergängen ein Wechsel der eingesetzten Schlüssel vorgenommen würde, und zu diesem Zweck eine kurzzeitige Entschlüsselung der Daten stattfinde, lägen die Daten möglicherweise kurzzeitig in unverschlüsselter Form vor.
Wie sicher die Schlüssel sind und wie providerunabhängig damit die Verschlüsselung ist, kommt also immer auf die genauen Sicherheitsprozesse an. Cloud-Betreiber müssen aus Sicht der Datenschützer nachweisen, dass sie zu keinem Zeitpunkt die Möglichkeit haben, die Verschlüsselung zu manipulieren (z. B. durch Machine-in-the-Middle-Angriffe oder den Austausch eines Nutzenden-Schlüssels durch einen selbst gewählten Schlüssel).
Die Hyperscaler stellen dar, wie sie die Sicherheit eines externen Schlüsselmanagements von ihrer Seite her gewährleisten wollen. Gefragt sind aber auch die Betreiber oder Hersteller des externen Schlüsselmanagements und die Kunden selbst. Nur wenn alle beteiligten Stellen bei dem Schlüsselmanagement technisch, organisatorisch und rechtlich für die unabhängige Verschlüsselung sorgen (können), kann die Verschlüsselung auch ihren Beitrag zum Confidential Computing und zur digitalen Souveränität leisten.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/56/a6/56a6cbd330270db46b739e8e67a3bae9/0127223376v1.jpeg "Nur ein DSGVO-konformes, transparentes und von Multi-Cloud-kompatibles europäisches Cloud-Angebot kann eine zukunftssichere und unabhängige IT sicherstellen. (Bild: T-Systems)")
:quality(80)/p7i.vogel.de/wcms/cf/b4/cfb4b211d1f189c2c25d976ed92153ca/0128857194v1.jpeg "So optimieren Sie Nextcloud: Zielgerichtete Anpassungen in PHP und Datenbank für schnellere Reaktionszeiten und verbesserte Systemleistung. (Bild: © Olivier Le Moal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/d3/40d35d2911c6efc9fe034de15cdbf406/0128776073v1.jpeg "52 Prozent der Befragten gehen davon aus, dass jährlich mindestens zehn bis 20 Prozent ihres IT-Budgets vermeidbar sind. (Bild: SAP LeanIX)")
:quality(80)/p7i.vogel.de/wcms/71/df/71df3b24f4f5b15bbbdddb38e4d46301/0128778046v1.jpeg "Der Recherche- und Schreibassistent Google NotebookLM hilft, eigene hochgeladene Quellen (PDFs, Dokumente, Webseiten, Videos) zusammenzufassen, zu analysieren und zu ordnen. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/da/e6/dae656cdda32066f36e03455976a60f4/0128697357v1.jpeg "Vorinstallierte Browser sind praktisch, aber nicht immer die beste Wahl. Worauf Nutzer bei Datenschutz, Features und KI achten sollten – und wie leicht ein Wechsel gelingt. (Bild: © Sentavio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/1b/b41b9c6e88bd8483a2db60f509d61131/0128435735v2.jpeg "KMU ringen vor allem mit klassischen DSGVO-Pflichten. Aufsichtsbehörden unterstützen mit Vorlagen, Sprechstunden und Checklisten, während Vereinfachungen beraten werden. (Bild: © sam richter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/0d/ff0d69bf7d5c6f7dd3def3e53e738e1d/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/b9/deb9b7f5a96c953565fadeea9cf56104/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/6c/976cff4c82dd3a99f7fdd0fe4704feea/0129049626v1.jpeg "Der IT-Branche geht es gut, vor allem Software und Cloud sind Erfolgsgaranten. (Bild: © metamorworks - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/37/b0370ece0abae67ce95463b8cb22503e/0128775212v1.jpeg "Angesichts der aktuellen geopolitischen Lage und regulatorischen Anforderungen müssen Banken und Versicherer Strategien entwickeln, um ihre Abhängigkeit von globalen Cloud-Anbietern zu reduzieren und gleichzeitig Effizienz und Innovation zu sichern. (Bild: © Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/72/fe7285f2a6b2a87a94434942081b9bd0/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/67/03/6703970cd61a6673d249ee1d55fc7d06/0128589163v1.jpeg "KI sollte als praktisches Werkzeug betrachtet werden, das Prozesse vereinfacht. Der Mittelstand kann von ihr profitieren, indem er pragmatisch anfängt, Erfahrungen teilt und Stärken nutzt. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/c1/97c1849a879c70ecbc6c2c9861497ef1/0128758121v1.jpeg "Zwei Gesetze stärken das Cloud-Switching: Der EU Data Act durch Vorgaben zu Interoperabilität und Datenexport und die DSGVO, die mit dem Recht auf Datenübertragbarkeit ergänzend personenbezogene Daten beim Anbieterwechsel absichert.
(Bild: © MemoryMan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/10/fd10e4216843219ced118a6c8f6f73f8/0128768369v1.jpeg "Deutsche zeigen ein konservativeres Speicherverhalten und greifen lieber auf externe Datenträger wie Festplatten zurück, statt die Cloud zu nutzen. (Bild: © Maksym Yemelyanov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/ab/8dab258e0eb14a71b53298faffd4aaba/0128585584v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps cloudbasiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/a3/15a312732340e5757952d9f4d3afe8ce/0128554930v1.jpeg "Google Drive verfügt über einen KI-basierten Schutz vor Mal- und Ransomware. (Bild: Joos / Google)")
:quality(80)/p7i.vogel.de/wcms/7c/ff/7cff410a07d9a7cbe9f5bb93d5f7f463/0128348762v1.jpeg "Im Gastbeitrag erläutert Uwe Kemmer von Western Digital, wie Architekturen für eine zukunftssichere Datenstrategie beschaffen sein sollten. (Bild: Western Digital Corporation )")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/43/7b4346180c4889f1b8e5f26af7125718/0128436273v2.jpeg "Das LG München sah eine Urheberrechtsverletzung, weil ChatGPT geschützte Liedtexte wörtlich ausgab. Was hat das Landgericht München in diesem Fall entschieden? (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/52/5f522be9df29a2344dee1cdb55de0e33/0128622890v1.jpeg "Effiziente, zuverlässige und digital vernetzte Kühllösungen sind entscheidend für zukunftsfähige Rechenzentren. (Bild: ebm‑papst)")
:quality(80)/p7i.vogel.de/wcms/4e/05/4e055dff3390e2d9145eb533b00dfe1e/0128408277v1.jpeg "Verantwortung statt Blindflug. Wer Zuständigkeiten klärt, sichert Sicherheit, Compliance und Performance – und gewinnt Sichtbarkeit. Professionelle Administration kann aus Websites belastbare, wachstumsfähige Infrastrukturen machen. (Bild: © InfiniteFlow - stock.adobe.com)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d2/0b/d20b2d90ffa1395c091a0652e088ae24/0122753877v1.jpeg "Confidential Computing zieht eine zusätzliche Sicherheitsebene ein und verschlüsselt Daten während der Laufzeit, indem Workloads in isolierten, hardwareverschlüsselten Umgebungen oder vertrauenswürdigen Umgebungen ausgeführt werden. (Bild: Gefo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/3a/c53a56b4e4b00aac4b948920f9d5dcc1/0123421867v1.jpeg "Heutzutage sind Strategien und technische Lösungskonzepte wichtiger denn je, um eine sichere und vor allem änderungsaffine IT zu schaffen. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/bb/09bb9a9b3944468168ed2fa19b9423bb/0126693787v1.jpeg "Mit der Erweiterung der Sovereign-Cloud-Initiative untermauert Microsoft sein langfristiges Engagement für regulatorenkonforme Infrastrukturen, eingebettet in einen kontinuierlichen Dialog mit politischen Entscheidungsträgern und Behörden. (Bild: © ParinApril - stock.adobe.com)")