Von Veröffentlicht am

SINA Cloud statt Google: Digitale Souveränität für die Bundeswehr

Cybersicherheit ist längst zur nationalen Kernaufgabe geworden – und Deutschland steht vor einer grundsätzlichen Entscheidung: Wollen wir unsere kritischsten IT-Systeme selbst kontrollieren – oder vertrauen wir sie US-Konzernen wie Google an? Diese Frage ist nicht abstrakt, sondern höchst aktuell: Die Bundeswehr will mit Google Cloud kooperieren. Gleichzeitig steht mit der SINA Cloud von secunet erstmals eine vollständig BSI-zugelassene Cloudlösung „Made in Germany“ zur Verfügung, die für den Umgang mit Verschlusssachen bis zur Einstufung GEHEIM freigegeben ist.

Das ist nicht weniger als ein Wendepunkt für die digitale Souveränität Deutschlands.

Was macht Google zur Risikozone?

Auf den ersten Blick wirkt die geplante Zusammenarbeit zwischen der BWI, dem IT-Systemhaus der Bundeswehr, und Google wie ein technischer Fortschritt: Zwei getrennte, physisch isolierte Cloud-Instanzen sollen entstehen – „air-gapped“, also ohne Verbindung zum Internet oder zu anderen Google-Systemen. Der Zweck? Mehr Sicherheit, mehr Kontrolle, bessere Performance.

Soweit, so plausibel. Aber: Google bleibt ein US-amerikanischer Konzern – und unterliegt damit dem berüchtigten CLOUD Act, einem US-Gesetz, das amerikanische Unternehmen verpflichtet, Daten auf Anforderung an Behörden herauszugeben. Auch dann, wenn diese Daten physisch gar nicht in den USA gespeichert sind.

Das bedeutet im Klartext: Egal wie sehr sich Google bemüht, rechtlich bleibt ein Restrisiko. Und zwar eines, das man im sicherheitskritischen Bereich eigentlich nicht akzeptieren dürfte.

Die Alternative liegt vor unserer Nase – SINA Cloud von secunet

Während die BWI in Kalifornien nach Lösungen sucht, wurde in Essen längst eine entwickelt. Die SINA Cloud von secunet ist die erste und bislang einzige Cloudlösung, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) offiziell für den Einsatz mit Verschlusssachen bis einschließlich GEHEIM zugelassen wurde. Damit ist sie nicht irgendeine „sichere Cloud“, sondern eine echte strategische Infrastruktur – entwickelt für Deutschland, in Deutschland und unter deutschen Rahmenbedingungen.

Der Schritt ist historisch: Zum ersten Mal wird der Einsatz moderner Cloudtechnologie für hochsensible Daten der öffentlichen Verwaltung technisch und regulatorisch möglich – und das vollkommen VSA-konform (also im Einklang mit der Verschlusssachenanweisung).

Open Source statt Blackbox – volle Transparenz, volle Kontrolle

Die SINA Cloud basiert auf einem durch und durch transparenten Technologiestack:

  • OpenStack bildet das Rückgrat der Infrastruktur. Damit lassen sich virtuelle Maschinen, Netzwerke und Speicherressourcen bedarfsgerecht und flexibel bereitstellen – ähnlich wie bei Hyperscalern, aber eben souverän und kontrolliert.

  • Kubernetes orchestriert die Container. So können Anwendungen skalierbar und portabel betrieben werden – ein wichtiger Faktor für moderne, cloud-native Dienste.
  • NixOS sorgt als Linux-Basis für hohe Sicherheit und Konsistenz im Betrieb. Die Distribution ist deklarativ aufgebaut – das heißt, jede Konfiguration ist reproduzierbar und lässt sich jederzeit sicher rückgängig machen.
  • Yaook (Yet Another OpenStack on Kubernetes) ist das Lifecycle-Management-Tool von secunet. Es automatisiert die Installation, Wartung und Aktualisierung des gesamten Cloud-Stacks. Besonders wichtig: Yaook wurde so entwickelt, dass alle Änderungen nachvollziehbar sind und die VSA-Konformität erhalten bleibt.

Kernstück der Sicherheitsarchitektur ist der sogenannte SINA Cloud Security Layer. Dieser kombiniert kryptografische Verfahren, zugelassene Sicherheitskomponenten und Mandantenisolation auf Hardware- und Softwareebene. So werden Daten verschiedener Organisationen strikt getrennt und selbst bei Infrastruktur-Sharing vollständig isoliert verarbeitet.

Diese technologische Kombination ist mehr als ein Buzzword-Bingo – sie ist der Schlüssel dafür, dass die SINA Cloud sowohl hochgradig automatisierbar als auch kompromisslos sicher betrieben werden kann. Und sie unterscheidet sich dadurch klar von US-Cloudlösungen, die häufig auf proprietären Technologien basieren oder Sicherheitsfeatures nachträglich „aufgesetzt“ bekommen.

Rechtlicher Rahmen: DSGVO vs. CLOUD Act – und warum das ein echter Dealbreaker ist

Ein Punkt, der in der öffentlichen Debatte oft vernachlässigt wird, ist die rechtliche Grauzone, in der sich viele internationale Cloudanbieter bewegen – allen voran US-Konzerne wie Google, Amazon oder Microsoft.

DSGVO (EU)

Die Datenschutz-Grundverordnung regelt, wie personenbezogene Daten in der EU erhoben, verarbeitet und gespeichert werden dürfen. Sie ist streng, eindeutig – und bietet europäischen Nutzern ein hohes Maß an Kontrolle über ihre Daten. Für Behörden gilt sie verbindlich, besonders wenn es um vertrauliche oder schutzbedürftige Informationen geht.

CLOUD Act (USA)

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Unternehmen – unabhängig vom Standort ihrer Rechenzentren – dazu, auf Anforderung von US-Behörden Daten herauszugeben. Das gilt auch für Daten, die physisch außerhalb der USA gespeichert sind, etwa in Frankfurt, Berlin oder München.

Das bedeutet im Klartext:
Selbst wenn Google verspricht, die Bundeswehr-Cloud physisch zu isolieren („air-gapped“) und vollständig vom Internet zu trennen – rechtlich bleibt das Unternehmen verpflichtet, im Zweifelsfall Daten offenzulegen.

Auch wenn das theoretisch ist – im sicherheitsrelevanten Kontext reicht ein „theoretisches Risiko“ eben nicht. Und es ist auch nicht auszuschließen, dass allein die Möglichkeit eines Zugriffs zur Zielscheibe wird – technisch oder politisch.

Ein besonders aufschlussreicher Fall für diese Problematik ist der des Internationalen Strafgerichtshofs (IStGH): Im Mai 2025 sperrte Microsoft den dienstlichen E-Mail-Zugang von Chefankläger Karim Khan – infolge von US-Sanktionen, die gegen ihn verhängt wurden. Microsoft, als US-Unternehmen, war damit gesetzlich verpflichtet, die Zusammenarbeit zu beenden. Der Vorfall zeigt eindrücklich, wie abhängig selbst internationale Institutionen von der Infrastruktur und Rechtslage US-amerikanischer Anbieter sind – mit teils drastischen Folgen für die Arbeitsfähigkeit. Selbst Versprechen wie „Quellcode-Treuhand in der Schweiz“ oder neue Rechenzentren in der EU helfen in solchen Fällen kaum – denn maßgeblich ist, welchem Recht der Anbieter gehorchen muss. Und das ist oft nicht europäisches.

Die SINA Cloud ist hiervon komplett ausgenommen. Sie unterliegt ausschließlich deutschem Recht, wird von einem deutschen Unternehmen betrieben, in deutschen Rechenzentren – mit zertifizierten Komponenten und ohne jegliche Bindung an ausländische Gesetzgebung. Das ist der Unterschied zwischen Datenschutz „versprechen“ und Datenschutz „garantieren“.

Rechtssicherheit, Leistung und Effizienz – endlich kein Widerspruch mehr

Ein oft genannter Einwand gegen souveräne Cloudlösungen lautet: „Sicher, aber langsam und schwerfällig.“ Diese Zeiten sind vorbei. Die SINA Cloud bietet einen automatisierten, standardisierten und performanten Betrieb, der speziell auf die Anforderungen der öffentlichen Verwaltung und der sicherheitsbetreuten Industrie ausgelegt ist.

Das System ist:

  • hardwareunabhängig – läuft also auf nahezu jeder Infrastruktur,

  • flexibel skalierbar – durch Containertechnologie und Mandantenfähigkeit,
  • einfach zu administrieren – durch automatisiertes Lifecycle-Management mit Yaook,
  • und resilient – mit zahlreichen Mechanismen zur Hochverfügbarkeit.

Die SINA Cloud ist keine technische Spielerei, sondern eine schlüsselfertige Lösung, bereit für den produktiven Einsatz in Behörden und sicherheitsbetreuten Organisationen.

SINA ist mehr als nur eine Cloud – es ist ein ganzes Ökosystem

Die SINA Cloud steht nicht isoliert da. Sie ist Teil eines umfassenden, bewährten Sicherheitsökosystems, das von secunet in Zusammenarbeit mit dem BSI seit Jahren entwickelt wird. Es umfasst:

  • zugelassene Clients (Notebooks, Smartphones, Desktops),

  • sichere Applikationen und Kommunikationslösungen,
  • Netzwerktechnologien mit Ende-zu-Ende-Verschlüsselung,
  • und ein ganzheitliches Betriebskonzept für VS-NfD bis GEHEIM.

Mit der Cloud-Komponente wird dieses System nun komplett: Ein durchgängiges, integriertes Sicherheitskonzept für alle Stufen sensibler Informationsverarbeitung.

Und: secunet öffnet dieses System bewusst auch für andere souveräne deutsche Cloudanbieter. Statt eines dominanten Players entsteht ein kollaboratives Ökosystem, das in Partnerschaften mit der Bundesdruckerei oder anderen staatlichen IT-Dienstleistern gemeinsam weiterentwickelt wird.

Ein Zeichen der Zeit – oder verpasste Chance?

In einer Welt wachsender geopolitischer Spannungen ist die Fähigkeit, eigene digitale Infrastrukturen zu betreiben, keine Ideologie – sondern eine notwendige sicherheitspolitische Fähigkeit. Die Bundesregierung hat das erkannt – nun ist es Zeit, zu handeln.

Die SINA Cloud erfüllt nicht nur alle technischen, betrieblichen und rechtlichen Anforderungen – sie liefert eine konkrete politische Antwort: Deutschland braucht keine amerikanische Cloudlösung für den Schutz seiner sensibelsten Daten. Es hat längst eine bessere – sicherer, souveräner, strategischer.

Warum die Bundeswehr auf secunet setzen sollte

Die Bundeswehr hat eine Verpflichtung – gegenüber dem Land, gegenüber ihren Soldatinnen und Soldaten, gegenüber der Demokratie. Diese Verpflichtung endet nicht bei Ausrüstung oder Personal, sondern betrifft auch die IT-Infrastruktur.

Die SINA Cloud bietet:

  • rechtssicheren Cloudbetrieb für Verschlusssachen – bis GEHEIM, BSI-zertifiziert

  • vollständige Kontrolle über Daten, Infrastruktur und Betrieb
  • Open-Source-Technologie, modular, flexibel, transparent
  • souveränen Betrieb in Deutschland, ohne Abhängigkeit von US-Gesetzen
  • ein vollständiges Sicherheitsökosystem, integriert und erweiterbar
  • eine bewährte Partnerschaft mit Behörden – etwa dem Auswärtigen Amt, der Bundesdruckerei und mehreren Bundesministerien

Kurz gesagt: SINA Cloud ist nicht die Alternative zu Google – sie ist die einzig verantwortbare Wahl. Dass sich die Bundeswehr dennoch für einen US-Konzern entscheidet, wirft Fragen auf. Es geht nicht nur um Daten. Es geht um Kontrolle, Verantwortung – und darum, ob Deutschland seine digitale Zukunft in eigenen Händen halten will.

───────────────────────────────────────────────────────

Quellenangaben:
1. SINA Cloud von secunet
2. Bundeswehr setzt auf Google-Cloud
3. Pressemitteilung Secunet, 22. Mai 2025