Die meisten europäischen Länder verlassen sich bei ihren militärischen Operationen auf US-amerikanische Cloud-Anbieter und laufen Gefahr, einem „Kill Switch“ ausgesetzt zu werden, wie eine neue Analyse ergab.
Die in Brüssel ansässige Denkfabrik Future of Technology Institute (FOTI) sagte, dass die überwiegende Mehrheit der europäischen Länder bei ihren nationalen Verteidigungsanwendungen auf US-Technologieunternehmen angewiesen sei, entweder über direkte Partnerschaften oder über europäische Unternehmen, die US-Cloud-Dienste nutzen.
Diesen Unternehmen droht ein „Kill Switch“, also die Idee, dass Washington in der Cloud gespeicherte Daten vorladen oder Sanktionen gegen US-Cloud-Anbieter verhängen wird.
Der US-Präsident kann gemäß dem CLOUD Act, der während Donald Trumps erster Amtszeit im Weißen Haus verabschiedet wurde, eine Vorladung für Daten ausstellen.
Insbesondere 16 europäische Länder sind einem hohen Risiko ausgesetzt, von einem US-Kill-Switch betroffen zu werden: Kroatien, die Tschechische Republik, Dänemark, Estland, Finnland, Deutschland, Ungarn, Irland, Lettland, Litauen, Polen, Portugal, Rumänien, die Slowakei, Slowenien und das Vereinigte Königreich.
Sieben weitere Länder sind einem mittleren Risiko ausgesetzt, da sie über europäische Auftragnehmer, die ihr Cloud-System aufgebaut haben, indirekt der US-amerikanischen Cloud-Infrastruktur ausgesetzt sind: Belgien, Frankreich, Griechenland, Italien, Luxemburg, Spanien und die Niederlande.
Cori Crider, Geschäftsführerin von FOTI, sagte, die USA hätten diesen Notausschalter im Jahr 2025 genutzt, als Microsoft die Konten des ICC-Chefinklägers Karim Khan sperrte, nachdem Trump Sanktionen verhängt hatte.
In einem anderen Beispiel soll Maxar Technologies den Zugang der Ukraine zu ihren Satellitenbildern eingeschränkt haben, nachdem die USA die Weitergabe geheimdienstlicher Informationen eingestellt hatten, berichteten ukrainische Medien.
„Eine Art Kill-Switch-Risiko seitens der Vereinigten Staaten ist keine theoretische Diskussion mehr … es handelt sich um ein echtes, unmittelbares Risiko, das Europa nicht mehr ignorieren kann“, sagte Crider.
Für Bulgarien, Zypern, Malta und Schweden konnten die Forscher nicht genügend Daten finden, um festzustellen, wie anfällig ihre militärischen Cloud-Systeme sind.
Microsoft, Google und Oracle erhielten die meisten Verteidigungsaufträge
Für seine Studie hat FOTI Beschaffungsbekanntmachungen für Regierungsaufträge im Wert von über 143.000 ausgewertet und die Websites der Landesverteidigung auf Verweise auf „Cloud“, „Microsoft“, „Google“, „Amazon Web Services“ und „Oracle“ überprüft.
Die Studie ergab, dass Microsoft der größte Cloud-Anbieter für europäische Verteidigungsbehörden ist und seine Systeme in 19 Ländern genutzt werden. Auch Google und Oracle erhielten Verteidigungsaufträge.
Die Länder mit dem höchsten Risiko verlassen sich direkt auf Dienste von US-amerikanischen Cloud-Unternehmen, die möglicherweise keinen „Air Gap“ haben, was bedeutet, dass das System physisch von der globalen Cloud-Infrastruktur getrennt ist.
Diese Systeme bleiben angreifbar, da sie „regelmäßige Updates erfordern und auf die Wartung durch den US-Dienstleister angewiesen sind“, was sie im Falle der Verhängung von Sanktionen gefährdet, heißt es in der Studie.
Einer schwedischen Schätzung zufolge könnte US-Cloud-Software nach den Sanktionen noch bis zu 30 Tage lang genutzt werden, danach würden die Lizenzen ablaufen, so Tobias Bacherle, Forscher bei FOTI.
In den Ländern mit mittlerem Risiko sei der unmittelbare Auftragnehmer für ihr Cloud-System ein europäisches Unternehmen, das einen US-Anbieter nutzt, heißt es in dem Bericht.
In niederländischen Parlamentslesungen wird beispielsweise darauf hingewiesen, dass die US-amerikanische Hyperscaler-Technologie ihre aktuelle Cloud aufgebaut hat, ihre Cloud jedoch nicht direkt von diesen Unternehmen betrieben wird.
Die Analyse von FOTI sei eine „konservative Schätzung“ darüber, wo die Big-Tech-Cloud-Anbieter arbeiten, sagten Forscher, da es schwierig sei, jeden Vertrag zu identifizieren, der US-Technologie impliziere, und viele der Verträge geheim seien.
Österreich ist der einzige unabhängig von US-Hyperscalern
Laut der Studie ist Österreich das einzige Land, das eine staatliche Abkehr von proprietären Cloud-Anbietern eingeleitet hat.
Das Verteidigungsministerium hat sich angeblich von Big-Tech-Unternehmen zu NextCloud, einem Open-Source-Anbieter, und LibreOffice, einer Microsoft-Alternative, entwickelt.
Berichten zufolge haben die Streitkräfte des Landes im vergangenen Jahr außerdem 16.000 Arbeitsplätze von Microsoft Office entfernt.
„Österreich scheint der einzige Fall zu sein, der ganz oder so unabhängig ist, wie es derzeit nur geht“, sagte Bacherle.
Während die Niederlande derzeit als mittleres Risiko eingestuft werden, haben die Forscher sie als potenziellen Spitzenreiter für Europas souveräne militärische Cloud-Lösungen bezeichnet.
Das liegt daran, dass das Verteidigungsministerium kürzlich eine Partnerschaft mit dem niederländischen Telekommunikationsunternehmen KPN und dem französischen Auftragnehmer Thales geschlossen hat, um eine souveräne Verteidigungs-Cloud ohne US-Anbieter aufzubauen.
Was haben die US-Hyperscaler in Europa?
Die Cloud-Anbieter Amazon, Google und Microsoft haben innerhalb Europas „souveräne“ Cloud-Optionen eingeführt.
Amazon hat die AWS European Sovereign Cloud geschaffen, um „Kunden dabei zu helfen, ihre sich entwickelnden Souveränitätsbedürfnisse zu erfüllen“, die Daten in der EU speichert, unabhängig ist und den Vorschriften des Blocks entspricht.
Ähnliche souveräne Optionen von Google und Microsoft besagen, dass Daten lokal gespeichert und überwacht werden, um die Einhaltung lokaler Gesetze zu gewährleisten.
Crider bezeichnete diese Bemühungen der Technologieunternehmen als „Souveränitätswäsche“, da die Unternehmen im Falle von Sanktionen nicht in der Lage seien, ihre Software zu aktualisieren.
„Heutzutage wissen sie, dass wir technische Souveränität wollen, also gibt es im Grunde von jedem dominanten Akteur eine Art souveräne Cloud im Angebot“, sagte sie.
Euronews Next kontaktierte Google, Microsoft, Oracle und Amazon bezüglich ihrer souveränen Cloud-Systeme, erhielt jedoch keine sofortige Antwort.
