Mitten in der digitalen Transformation Deutschlands sorgt eine Entscheidung des Bundesamts für Sicherheit in der Informationstechnik (BSI) für Diskussion: Das neue Meldeportal für Betreiber kritischer Infrastrukturen (KRITIS) läuft künftig auf Amazon Web Services (AWS). Was zunächst wie ein pragmatischer Schritt wirkt, entfaltet bei genauer Betrachtung weitreichende technische, politische und sicherheitstechnische Dimensionen.
Das neue KRITIS-Meldeportal und die AWS-Entscheidung
Im Zuge der Umsetzung der europäischen NIS-2-Richtlinie baut das BSI ein neues digitales Meldeportal auf, über das Betreiber kritischer Infrastrukturen Sicherheitsvorfälle schnell und standardisiert melden können. Diese Plattform ist zentral für das nationale IT-Sicherheitsmanagement, enthält hochsensible Informationen und steht im Fokus internationaler Aufmerksamkeit.
Wie Recherchen des Spiegel und der Süddeutschen Zeitung enthüllen, setzt das BSI für den Betrieb der Plattform überraschend auf die US-amerikanische Cloud-Infrastruktur von Amazon Web Services. Zwar handelt es sich formal um eine Implementierung von AWS in europäischen Rechenzentren unter Einhaltung der rechtlichen Anforderungen gemäß EU-DSGVO und Schrems-II-Rechtsprechung, doch bringt die Wahl auch Risiken mit sich.
Warum fiel die Wahl auf AWS?
Laut Angaben aus dem Bundesinnenministerium spielte vor allem die kurzfristige Umsetzbarkeit und Skalierbarkeit eine Rolle. AWS gehört zu den größten Anbietern von Infrastructure-as-a-Service (IaaS) weltweit, bietet umfangreiche API-Funktionalitäten, hohe Automatisierung und umfassende Sicherheitszertifikate wie ISO 27001, SOC 2 und C5-nach-BSI.
Ein interner Ausschreibungsprozess durch das Informationstechnikzentrum Bund (ITZBund) ließ möglicherweise kaum Alternativen zu: Laut Regierungskreisen lagen einige Wettbewerber bei Sicherheit, Kapazität oder Time-to-Market zurück. AWS verfügt zudem über spezielle Programme für öffentliche Auftraggeber, darunter „AWS GovCloud“ und eine dedizierte BSI-Konfiguration für EU-Institutionen.
Cloud-Security: Chancen und Schattenseiten
Cloud-Infrastrukturen bieten robuste Sicherheitsmechanismen wie Verschlüsselung auf Datenbank- und Anwendungsebene, rollenbasierte Zugriffskontrolle sowie Continuous Monitoring. Laut einer Studie von Statista vom Juli 2025 lag der weltweite Schaden durch Cyberkriminalität zuletzt bei über 10,5 Billionen US-Dollar jährlich. Dem stehen Investitionen von Cloud-Anbietern wie AWS gegenüber, die allein im Jahr 2024 über 5 Milliarden US-Dollar in Sicherheitsfeatures und Rechenzentrums-Compliance investierten (Quelle: Gartner, „Cloud Infrastructure 2025 Outlook“).
Dennoch bleibt Skepsis berechtigt. Experten kritisieren den sogenannten Cloud Act (Clarifying Lawful Overseas Use of Data Act), der es US-Behörden potenziell erlaubt, auf gespeicherte Daten von US-Anbietern zuzugreifen – selbst wenn diese sich in europäischen Rechenzentren befinden. Zwar versichert AWS, dass verschlüsselte Kundendaten nicht ohne richterlichen Beschluss lesbar seien, doch die Zweifel an der Souveränität bleiben.
NIS 2: Neue Maßstäbe für Betreiber kritischer Infrastruktur
Die europäische Richtlinie NIS 2 (Network and Information Security Directive) wurde im Januar 2023 in Kraft gesetzt und ersetzt die NIS 1 aus dem Jahr 2016. Mit ihr wird der Schutz kritischer digitaler Infrastruktur erheblich verschärft. Statt rund 800 Unternehmen wie bisher, sind nun über 29.000 Organisationen in Deutschland meldepflichtig (Quelle: Bitkom, 2025).
Zu den betroffenen Sektoren gehören u.a. Energieversorger, Wasserwerke, Banken, Verkehrsunternehmen, Krankenhäuser und Hersteller kritischer Güter. Die Richtlinie fordert unter anderem:
- schnelle und standardisierte Sicherheitsvorfall-Meldungen innerhalb von 24 Stunden
- fortlaufende Risikoanalyse und Penetration Testing
- Nachweis über technische und organisatorische Sicherheitsmaßnahmen
Vor diesem Hintergrund ist das neue Meldeportal kein reines IT-Projekt, sondern ein zentrales Element nationaler Cyberabwehr. Die Entscheidung für AWS als Betreiberplattform ist daher strategisch bedeutend – sowohl aus Sicht der Resilienz als auch hinsichtlich geopolitischer Unabhängigkeit.
Sicherheitsstrategie versus digitale Souveränität
Die Debatte über die Nutzung ausländischer Cloud-Dienste für sicherheitskritische Anwendungen ist nicht neu. Bereits 2021 forderten deutsche IT-Verbände im Rahmen der „Gaia-X“-Initiative eine gemeinwohlorientierte europäische Cloud-Infrastruktur. Das Projekt konnte politisch Einfluss nehmen, konnte jedoch bis heute keine echte Konkurrenz zu hyperskalierenden Providern wie AWS, Microsoft Azure oder Google Cloud aufbauen.
Der bekannte IT-Sicherheitsexperte Dr. Sandro Gaycken vom Digital Society Institute Berlin äußert deutliche Kritik: „Die Nutzung US-amerikanischer Cloud-Dienste für kritische Sicherheitsstrukturen schwächt die digitale Souveränität Deutschlands nachhaltig. Der Zugriff durch Drittstaaten bleibt trotz Verschlüsselung ein realpolitisches Risiko.“
Doch es gibt auch differenzierte Stimmen. Die Sicherheitsexpertin Claudia Plattner, Präsidentin des BSI, verweist auf „eine pragmatische Güterabwägung zwischen Umsetzungsgeschwindigkeit, Ressourcenverfügbarkeit und regulatorischer Absicherung.“ Entscheidender sei, so Plattner, „wie die Plattform implementiert, abgesichert und langfristig kontrolliert wird – nicht, bei welchem Cloud-Anbieter sie läuft.“
Praxisbeispiel: Wie andere Staaten mit Cloud im KRITIS-Umfeld umgehen
Auch in anderen EU-Staaten werden Cloud-Plattformen zunehmend in sicherheitskritischen Bereichen eingesetzt. Frankreich betreibt mit „Blue [Cloud]“ eine staatlich zertifizierte Plattform auf Infrastruktur von Microsoft Azure France, die jedoch unter strengen Staatskontrollen steht.
Die Niederlande wiederum setzen auf Public-Private-Partnerships zwischen dem National Cyber Security Centre (NCSC-NL) und Anbietern wie Google Cloud, allerdings mit Open-Source-basierten Architekturen und vollständiger Transparenzpflicht.
Deutschland befindet sich in einer Zwischenposition – weder vollkommen souverän noch vollständig ausgelagert. Die AWS-Wahl unterstreicht die Herausforderung, kurzfristige Anforderungen mit langfristiger Digitalstrategie in Einklang zu bringen.
Empfehlungen für KRITIS-Betreiber und IT-Verantwortliche
Unabhängig davon, ob ein Unternehmen selbst auf AWS, Azure oder ein privates Hosting setzt – die Anforderungen aus NIS 2 und die komplexer werdende Bedrohungslage erfordern proaktive Maßnahmen:
- Cloud Security Assessment regelmäßig durchführen: Unternehmen sollten mindestens jährlich eine detaillierte Bewertung ihrer Cloud-Dienste auf Compliance, Datenverschlüsselung, Zugriffssicherheit und geografische Ausführungen vornehmen.
- Zero-Trust-Architektur einführen: Ein modernisiertes Sicherheitsmodell mit konsequentem Identitäts- und Zugriffsmangement (IAM) ist Schlüssel für Resilienz in dynamischen Cloud-Umgebungen.
- Notfallprozesse regelmäßig testen: Incident-Response-Pläne, Backup-Wiederherstellungen und Krisenkommunikation müssen praktisch erprobt sein – nicht nur auf dem Papier bestehen.
Fazit: Zwischen Effizienz und Eigenständigkeit navigieren
Die Entscheidung des BSI für AWS als Hosting-Partner verdeutlicht ein zentrales Spannungsfeld unserer Zeit: Wie lässt sich technologische Innovationskraft mit Souveränitätsansprüchen und strategischer Resilienz in Einklang bringen?
Cloud-Technologie stellt einen leistungsfähigen Hebel für Cyberabwehr und Digitalisierung dar – wenn sie konsequent und sicher implementiert wird. NIS 2 schafft hierfür verbindliche Leitplanken, doch der Weg zu echter europäischer Cloud-Souveränität bleibt anspruchsvoll.
Ihre Meinung zählt: Wie bewerten Sie die Entscheidung des BSI? Welche Erfahrungen machen Sie mit Cloud-Sicherheit im KRITIS-Umfeld? Diskutieren Sie mit uns – in den Kommentaren oder auf LinkedIn.
