Eine überwiegende Mehrheit der EU-Länder verlässt sich bei ihren nationalen Verteidigungsbehörden auf US-Cloud-Dienste, wodurch sie dem Risiko eines ‚Kill Switch‘ ausgesetzt sind, der den Dienst jederzeit abschalten kann.
Die meisten europäischen Länder verlassen sich auf US-Cloud-Anbieter für ihre Militäroperationen und sind dem Risiko eines ‚Kill Switch‘ ausgesetzt, wie eine neue Analyse zeigte.
Das in Brüssel ansässige Thinktank Future of Technology Institute (FOTI) sagte, dass eine überwiegende Mehrheit der europäischen Länder von US-Technologieunternehmen für ihre nationalen Verteidigungsanwendungen abhängig sei – entweder durch direkte Partnerschaften oder über europäische Unternehmen, die US-Cloud-Dienste nutzen.
Diese Unternehmen seien dem Risiko eines ‚Kill Switch‘ ausgesetzt, der Vorstellung, dass Washington Daten aus der Cloud beschlagnahmen oder Sanktionen gegen US-Cloud-Anbieter verhängen könnte.
Der US-Präsident kann eine Vorladung für Daten gemäß dem CLOUD Act erlassen, der in der ersten Amtszeit von Donald Trump im Weißen Haus verabschiedet wurde.
Insbesondere sind 16 europäische Länder einem hohen Risiko ausgesetzt, von einem Kill Switch der USA betroffen zu sein: Kroatien, die Tschechische Republik, Dänemark, Estland, Finnland, Deutschland, Ungarn, Irland, Lettland, Litauen, Polen, Portugal, Rumänien, Slowakei, Slowenien und das Vereinigte Königreich.
Darüber hinaus sind sieben weitere Länder dem mittleren Risiko ausgesetzt, weil sie indirekt US-Cloud-Infrastrukturen durch europäische Auftragnehmer aufgebaut haben, die ihr Cloud-System aufgebaut haben: Belgien, Frankreich, Griechenland, Italien, Luxemburg, Spanien und die Niederlande.
Cori Crider, Geschäftsführerin von FOTI, sagte, dass die USA diesen Kill Switch im Jahr 2025 genutzt hätten, als Microsoft die Konten des ICC-Cchefankläger Karim Khan blockierte, nachdem Trump Sanktionen verhängt hatte.
In einem weiteren Beispiel berichteten ukrainische Medien, dass Maxar Technologies der Ukraine den Zugriff auf seine Satellitenbilder eingeschränkt habe, nachdem die USA die Geheimdienstzusammenarbeit pausiert hatten.
„Eine Art Risiko eines Kill Switch seitens der Vereinigten Staaten ist nicht länger irgendeine theoretische Diskussion … dies ist ein echtes, unmittelbar drohendes Risiko, das Europa sich nicht mehr leisten kann zu ignorieren“, sagte Crider.
Die Forscher konnten nicht genügend Daten für Bulgarien, Zypern, Malta und Schweden finden, um zu bestimmen, wie verwundbar ihre militärischen Cloud-Systeme sind.
Microsoft, Google und Oracle erhalten die meisten Verteidigungsverträge
Für seine Studie bewertete FOTI Ausschreibungsanzeigen für Regierungsverträge im Wert von über 143.000 und prüfte nationale Verteidigungsseiten auf Hinweise zu „Cloud“, „Microsoft“, „Google“, „Amazon Web Services“ und „Oracle“.
Microsoft ist der größte Cloud-Anbieter für europäische Verteidigungsbehörden, dessen Systeme in 19 Ländern eingesetzt werden, wie die Studie ergab. Google und Oracle erhielten ebenfalls Verteidigungsverträge.
Die Hochrisikostaaten verlassen sich direkt auf Dienste von US-Cloud-Unternehmen, die möglicherweise nicht air-gapped sind, was bedeutet, dass das System physisch von der globalen Cloud-Infrastruktur getrennt ist.
Diese Systeme bleiben anfällig, weil sie „regelmäßige Aktualisierungen benötigen und auf Wartung durch den US-Dienstanbieter angewiesen sind“, was sie gefährdet, falls Sanktionen verhängt werden, so die Studie.
Eine schwedische Schätzung besagt, dass US-Cloud-Software nach Sanktionen bis zu 30 Tage lang genutzt werden könnte, danach würden die Lizenzen ablaufen, so Tobias Bacherle, Forscher bei FOTI.
In den Ländern mit mittlerem Risiko ist der unmittelbare Auftragnehmer für ihr Cloud-System ein europäisches Unternehmen, das einen US-Anbieter nutzt, wie der Bericht feststellt.
Zum Beispiel vermerken niederländische Parlamentsverlautbarungen, dass US-Hyperscaler-Technologie ihre aktuelle Cloud aufgebaut hat, diese Cloud wird jedoch nicht direkt von diesen Unternehmen betrieben.
Die Analyse von FOTI ist eine „konservative Schätzung“, wo die Cloud-Anbieter der großen Tech-Unternehmen tätig sind, sagten die Forscher, weil es schwierig ist, jeden Vertrag zu identifizieren, der US-Technologie betrifft, und viele Verträge klassifiziert sind.
Österreich das einzige Land, das unabhängig von US-Hyperscalern ist
Österreich ist laut der Studie das einzige Land, das eine landesweite Abkehr von proprietären Cloud-Anbietern begonnen hat.
Das Verteidigungsministerium soll sich von Big-Tech-Unternehmen weg zu NextCloud, einem Open-Source-Anbieter, und LibreOffice, einer Microsoft-Alternative, bewegt haben.
Im letzten Jahr sollen die Streitkräfte des Landes außerdem 16.000 Arbeitsplätze von Microsoft Office abgezogen worden sein.
„Österreich scheint der einzige Fall zu sein, der derzeit ziemlich unabhängig ist oder so unabhängig wie möglich“, sagte Bacherle.
Während die Niederlande derzeit als mittleres Risiko gelten, stuften die Forscher es als potenzielle Führungsrolle bei Europas souveränen militärischen Cloud-Lösungen ein.
Das liegt daran, dass das Verteidigungsministerium kürzlich eine Partnerschaft mit dem niederländischen Telekommunikationsunternehmen KPN und dem französischen Auftragnehmer Thales eingegangen ist, um eine souveräne Verteidigungs-Cloud ohne US-Anbieter zu schaffen.
Was haben die US-Hyperscaler in Europa?
Die Cloud-Anbieter Amazon, Google und Microsoft haben innerhalb Europas „souveräne“ Cloud-Optionen eingeführt.
Amazon hat die AWS European Sovereign Cloud geschaffen, um „Kunden dabei zu helfen, ihre sich entwickelnden Souveränitätsbedürfnisse zu erfüllen“, die Daten in der EU speichert, unabhängig ist und den Vorschriften der EU entspricht.
Ähnliche souveräne Optionen von Google und Microsoft besagen, dass Daten lokal gespeichert und überwacht werden, um die Einhaltung lokaler Gesetze sicherzustellen.
Crider nannte diese Bemühungen der Tech-Unternehmen „Souveränitäts-Washing“, weil die Unternehmen im Falle von Sanktionen ihre Software nicht aktualisieren könnten.
„Heutzutage wissen sie, dass wir technologische Souveränität wollen, daher gibt es sozusagen eine souveräne Cloud von praktisch jedem dominanten Anbieter“, sagte sie.
Euronews Next kontaktierte Google, Microsoft, Oracle und Amazon zu ihren souveränen Cloud-Systemen, erhielt jedoch keine umgehende Antwort.
