Thought Leadership
Trotz europäischer Cloud-Initiativen bleibt die Abhängigkeit von US-Prozessoren wie Intel und AMD ein Risiko für die Datensouveränität.
Die Bemühungen der Europäischen Union, eine vollständig souveräne digitale Infrastruktur aufzubauen, stoßen auf strukturelle Hürden auf der Hardware-Ebene. Während die politische und regulatorische Strategie in Brüssel darauf abzielt, die Abhängigkeit von amerikanischen Cloud-Anbietern zu reduzieren, warnen Technologie-Analysten vor den Sicherheitsrisiken der verbauten Prozessoren. Da europäische Cloud-Betreiber fast ausschließlich auf Mikrochips der US-amerikanischen Hersteller Intel und AMD setzen, verbleiben potenzielle Zugriffsmöglichkeiten für ausländische Behörden im System. Diese technologische Verflechtung stellt das Konzept der europäischen Datensouveränität vor fundamentale Herausforderungen.
Google, Amazon und Microsoft kontrollieren europäischen Cloud-Markt
Das Bestreben nach digitaler Souveränität hat in den vergangenen Monaten zu konkreten politischen und finanziellen Maßnahmen in der Europäischen Union geführt. Im April 2026 vergab die Europäische Kommission eine Ausschreibung im Wert von 180 Millionen Euro an vier lokale Cloud-Anbieter. Diese Infrastruktur soll es Institutionen, Einrichtungen und Agenturen der Europäischen Union ermöglichen, sensible Daten in einer kontrollierten Umgebung zu verarbeiten. Flankiert wird diese Maßnahme durch das bevorstehende Tech Sovereignty Package, welches die Nutzung von US-amerikanischen Cloud-Diensten durch Regierungen der Mitgliedstaaten für hochsensible Daten gesetzlich einschränken soll.
Hintergrund dieser Regulierung ist die weitreichende US-Gesetzgebung wie der Cloud Act aus dem Jahr 2018. Dieses Gesetz verpflichtet US-amerikanische Technologieunternehmen dazu, Daten an Strafverfolgungsbehörden der Vereinigten Staaten herauszugeben, selbst wenn diese physisch auf Servern außerhalb der USA, beispielsweise in Europa, gespeichert sind. Derzeit kontrollieren die drei amerikanischen Anbieter Google, Amazon und Microsoft etwa 70 Prozent des europäischen Cloud-Marktes.
Intel und AMD steuern Software auch im ausgeschalteten Zustand
Berichte des Fachmediums The Register weisen jedoch darauf hin, dass der Fokus auf den Speicherort der Daten zu kurz greift, da die physische Hardware in den Rechenzentren ein ungelöstes Risiko darstellt. Die von europäischen Anbietern genutzten Server basieren überwiegend auf Prozessoren von Intel und AMD. Innerhalb dieser Chips existiert eine separate, vom Hauptprozessor unabhängige Steuerungseinheit, die oft als Computer unter dem Computer beschrieben wird.
Bei Prozessoren von Intel wird diese Komponente als Converged Security and Management Engine (CSME) bezeichnet, während sie bei AMD unter dem Namen Platform Security Processor (PSP) läuft. Diese Management-Engines operieren auf einer Ebene unterhalb des eigentlichen Betriebssystems und außerhalb der Kontrolle jeglicher Sicherheitssoftware, die auf dem Server installiert ist. Sie bleiben selbst dann aktiv und empfangsbereit, wenn das betroffene Gerät scheinbar vollständig ausgeschaltet ist.
Da diese internen Steuerungseinheiten die MAC-Adresse und die IP-Adresse des Hauptsystems teilen, ist der von ihnen generierte Datenverkehr für externe Firewalls nicht von regulären Systemaktivitäten zu unterscheiden. Dies ermöglicht administrative Fernzugriffe auf die Hardware, die von der Sicherheitsarchitektur des Cloud-Betreibers nicht überwacht oder blockiert werden können.
Erweiterung der US-Überwachungsrechte durch RISAA 2024
Die technologischen Risiken gewinnen durch aktuelle Änderungen in der Gesetzgebung der Vereinigten Staaten an Relevanz. Während der Cloud Act in Europa bekannt ist, zieht das neuere Gesetz namens Reforming Intelligence and Securing America Act (RISAA 2024) zunehmend die Aufmerksamkeit von Rechtsexperten auf sich. RISAA modifiziert und erweitert den Paragraphen 702 des Foreign Intelligence Surveillance Act (FISA), welcher den US-Geheimdiensten die elektronische Überwachung von Nicht-US-Bürgern im Ausland erlaubt.
Durch die Reform im Jahr 2024 wurde die Definition eines Anbieters von elektronischen Kommunikationsdiensten im Rahmen des FISA-Gesetzes fundamental ausgeweitet. Diese Definition umfasst nun explizit auch Hardware-Hersteller. Demnach können US-Behörden Unternehmen wie Intel oder AMD über geheime Anordnungen, die mit strengen Verschwiegenheitsklauseln versehen sind, zur Kooperation zwingen. Die in den Prozessoren integrierten Management-Engines könnten in diesem Szenario als technischer Mechanismus dienen, um unbemerkt Zugriff auf europäische Serverstrukturen zu erlangen. Am 30. April 2026 verabschiedete der US-Kongress zudem eine erneute, 45-tägige Verlängerung der FISA-Bestimmungen.
Das Risiko eines geopolitischen Abschaltmechanismus
Die anhaltende Dominanz US-amerikanischer Technologiebetreiber auf dem europäischen Markt birgt neben dem Abfluss sensibler Daten ein weiteres strategisches Risiko, das als Kill-Switch-Szenario bezeichnet wird. Da europäische Behörden und Unternehmen in hohem Maße von der Software und Hardware aus den USA abhängig sind, existiert eine strukturelle Verwundbarkeit gegenüber geopolitischen Konflikten.
In einem extremen Krisenszenario wäre die Regierung der Vereinigten Staaten rein rechtlich in der Lage, amerikanische Technologiekonzerne per Dekret dazu anzuweisen, Dienste, Updates oder physische Geräte für europäische Nutzer vorübergehend oder dauerhaft zu deaktivieren. Ein solcher Schritt würde weite Teile der europäischen Wirtschaft und Verwaltung blockieren. Die Debatte um die europäische Cloud-Souveränität verlagert sich daher zunehmend von der reinen Frage des Serverstandorts hin zu einer umfassenden Betrachtung der gesamten technologischen Lieferkette, einschließlich der Halbleiterarchitektur.
