Die Bundeswehr geht in die Cloud, aber nicht irgendwie, sondern mit einer sogenannten Air-Gapped-Instanz der Google Cloud. Klingt erstmal nach einem Widerspruch: Cloud und Abtrennung. Doch genau das macht den Fall so spannend. Zwischen Fragen der digitalen Souveränität, technischer Sicherheit und politischem Framing bewegt sich ein Projekt, das mehr Substanz hat, als viele Headlines suggerieren.

Was ist passiert?

Die Bundeswehr hat bekannt gegeben, dass sie künftig auf eine Air-Gapped-Instanz der Google Cloud setzt. Dabei handelt es sich um eine physisch abgetrennte Umgebung, die in deutschen Rechenzentren betrieben wird und nicht direkt mit dem Internet oder anderen Google-Systemen verbunden ist. Laufzeit: bis 2027. Betreiber: die BWI GmbH. Genutzt werden soll die Umgebung unter anderem für SAP-Anwendungen.

Air-Gap

Air-Gap klingt neu, ist aber im militärischen Umfeld ein alter Hut. Es bedeutet im Grunde: eine digitale Umgebung, die vom Rest der Welt sauber abgetrennt ist: keine Internetverbindung, kein Datenaustausch mit anderen Systemen. Updates? Nur per USB-Stick oder andere manuelle Wege. Das ist aufwendig, aber auch effektiv. Gerade für Systeme, bei denen Vertraulichkeit und Integrität vor Bequemlichkeit gehen, ist das der Goldstandard.

Warum Google?

Klar: Die Frage nach dem Anbieter ist der politische Sprengsatz in dieser Debatte. Warum ausgerechnet ein US-Hyperscaler? Und was ist mit dem berüchtigten Cloud Act, der US-Behörden unter bestimmten Bedingungen Zugriff auf Daten bei US-Firmen erlaubt, auch wenn die Daten physisch außerhalb der USA liegen?

Die Antwort ist zweischichtig: Einerseits bringt Google als Hyperscaler Performance, Skalierbarkeit und Innovationskraft mit, die so kaum ein europäischer Anbieter bieten kann. Gerade für militärische IT, die flexibel, schnell und weltweit funktionieren muss, ist das ein Argument. Andererseits ist die Lösung physisch und logisch abgetrennt, sodass ein direkter Zugriff - selbst durch Google - ausgeschlossen ist. Ein Zugriff auf Daten ist nur mit physischer Präsenz im Rechenzentrum möglich. Und genau da liegt der sicherheitstechnische Hebel.

Risiko Cloud Act

Ja, der Cloud Act existiert. Aber: Er greift nur, wenn ein US-Gericht einen Zugriffsantrag stellt, mit Begründung und rechtlicher Prüfung. Und selbst dann lässt sich darüber streiten, ob er bei einer Air-Gapped-Umgebung, die in Deutschland betrieben wird, überhaupt anwendbar ist. Google betont, alles dafür zu tun, die Daten seiner Kunden zu schützen - nicht zuletzt, weil ein Reputationsschaden in diesem Umfeld Milliarden kosten kann.

Digitale Souveränität

Natürlich ist der Begriff „digitale Souveränität“ nicht ganz falsch in der Debatte. Aber er wird oft zu kurz gedacht. Denn auch eine europäische Cloud wäre nicht automatisch unabhängig - zumindest nicht, wenn Technologie, Services oder Know-how aus Drittländern stammt. Souveränität bedeutet in diesem Kontext nicht Autarkie, sondern Kontrolle. Und genau darum geht es bei dieser Lösung: eine souverän betriebene Umgebung, mit vollständiger Kontrolle durch deutsche Stellen, ohne offene Schnittstellen nach außen.

"Du kannst dich nicht auf Souveränität berufen und gleichzeitig ignorieren, was technisch notwendig ist." Andreas Papadaniil, CEO suresecure GmbH

Diese Entscheidung ist weder ein Ausverkauf deutscher Interessen noch ein PR-Stunt. Sie ist ein technisch und strategisch nachvollziehbarer Schritt, wenn man genau hinschaut. Die Lösung ist ein realistisches Modell für Sicherheit, Skalierbarkeit und digitale Kontrolle im 21. Jahrhundert. Wer nur "Google" liest und gleich Alarm schreit, verpasst die Chance auf eine sachliche Auseinandersetzung.

Digitale Souveränität entsteht nicht durch Herkunft, sondern durch Architektur, Prozesse und Transparenz. Und genau das scheint hier der Fall zu sein.

Mehr dazu gibt’s in der aktuellen Folge vom Cybersecurity Basement:

Air-Gap, Google Cloud und die Bundeswehr - Strategisch genial oder digitaler Kontrollverlust?