Ein neues Gesetz aus den Vereinigten Staaten sorgt international für Aufsehen: Ex-Präsident Donald Trump unterzeichnete 2024 eine Verordnung, die den Zugriff chinesischer Firmen und Staatsangehöriger auf Pentagon-nahe Cloud-Infrastrukturen grundsätzlich verbietet. Der Schritt folgt der zunehmenden Sorge über Spionage, Cyberangriffe und systematische Datenabschöpfung durch staatlich unterstützte chinesische Akteure. Die Maßnahme markiert eine neue Eskalationsstufe im Wettlauf um digitale Souveränität – mit weitreichenden Folgen für internationale IT-Sicherheitsstrategien und Cloud-Infrastrukturen weltweit.
Geopolitik im digitalen Raum: Die Hintergründe des Verbots
Am 12. Oktober 2024 unterzeichnete Donald Trump, bereits in der Vorwahlkampfphase zur US-Präsidentschaftswahl 2024, die sogenannte „Secure Military Cloud Infrastructure Act“. Diese Maßnahme verbietet sämtlichen Anbietern mit Sitz in China – namentlich Alibaba Cloud, Huawei Cloud und Tencent Cloud – den Zugang zu sicherheitsrelevanten Cloudsystemen des US-Verteidigungsministeriums. Gleichzeitig werden auch Kooperationen mit Subunternehmen oder Drittanbietern unter die Lupe genommen, wenn potenzielle Verbindungen zu China bestehen.
Der Vorstoß ist Teil einer längerfristigen Strategie der USA, kritische digitale Infrastrukturen zu entflechten („decoupling“) und ausländischen Zugriff – insbesondere durch strategische Wettbewerber wie China und Russland – zu unterbinden. Ursprünglich initiiert unter der „Clean Network Initiative“ von Ex-Außenminister Mike Pompeo im Jahr 2020, erfuhr der Kurs im Jahr 2023 unter der Biden-Regierung eine eher moderate Anpassung. Mit Trumps Wiederauftreten in der US-Politik nahm die Rhetorik jedoch wieder deutlich an Schärfe zu.
Beobachter sehen im neuen Gesetz sowohl wirtschaftliche wie politische Signale: Es soll nicht nur den militärischen Perimeter der USA absichern, sondern setzt auch ein deutliches Zeichen in Richtung Verbündete, den sicherheitspolitischen Schulterschluss in der Cloud-Infrastruktur zu suchen – insbesondere im Kontext der NATO und der „Five Eyes“-Allianz.
Warum gerade die Cloud zur geopolitischen Frontlinie wird
Cloud-Computing bildet das Rückgrat moderner Verteidigungssysteme. Ob KI-basierte Zielerkennung, Echtzeit-Datenanalyse im Schlachtfeld oder hybride Cyberabwehr: Ohne skalierbare, hochverfügbare Cloud-Technologien wäre die moderne Kriegsführung längst nicht mehr durchführbar. Das Pentagon investierte allein 2023 rund 9 Milliarden US-Dollar in fortschrittliche Cloud-basierte Infrastrukturen, etwa im Rahmen des „Joint Warfighting Cloud Capability“ (JWCC)-Projekts (Quelle: U.S. Department of Defense).
Aktuelle Einschätzungen der internationalen Sicherheitsdienste und Analysten wie FireEye und CrowdStrike zeigen jedoch, dass chinesische Gruppen wie APT40, Mustang Panda oder Winnti verstärkt versuchen, über Software-Lieferketten, Drittzugänge oder komplexe Identitätsspoofing-Methoden an sensible Daten westlicher Militärwesen zu gelangen. 2022 berichtete das US Government Accountability Office, dass bei über 47 % der untersuchten Cloud-Systeme keine konsistente Zugangskontrolle im Einsatz war (Quelle: GAO Cloud Security Report 2022).
In diesem Umfeld erhalten nationalstaatlich regulierte Cloud-Zugriffe eine neue Dimension: Es geht nicht mehr nur um Datenschutz, sondern um strategische Überlebensfähigkeit. Das erklärt auch, warum militärische Ausschlüsse bestimmter Anbieter längst keine technischen Vorgänge mehr sind, sondern geopolitische Manöver.
Internationale Reaktionen und globale Vergleichsperspektiven
Die Reaktionen auf Trumps militärisches Cloud-Verbot fielen international gespalten aus. Während Großbritannien, Australien und Kanada ähnliche Maßnahmen andenken, äußerten sich Länder wie Deutschland oder Frankreich bislang eher zurückhaltend. In der EU wird vor allem diskutiert, wie man Absatzmärkte und strategische Partner voneinander abgrenzt, ohne wirtschaftliche Reibungen heraufzubeschwören.
Mit GAIA-X startete Europa 2020 ein eigenes Projekt zur Schaffung souveräner, europäischer Cloud-Infrastrukturen. In der Praxis wird GAIA-X bisher jedoch primär von amerikanischen Anbietern wie Amazon Web Services und Microsoft Azure getragen, was wiederum neue Abhängigkeiten schafft. Im Gegensatz dazu verfolgt Frankreich mit OVHcloud und Deutschland mit T-Systems zunehmend eigene Lösungen für datensouveräne Infrastrukturen, die auch militärisch nutzbar gemacht werden sollen.
China hingegen reagierte scharf auf das US-Gesetz: Das Außenministerium sprach von „digitalem Protektionismus“ und kündigte Gegenmaßnahmen gegen US-Cloud-Beteiligungen in Asien an – insbesondere gegenüber Microsofts Joint Ventures in Hongkong, Singapur und Malaysia. Analysten erwarten, dass auch China den Transfer westlicher Cloud-Technologien stärker kontrollieren wird und gleichzeitig seine nationalen Anbieter mit Förderpaketen weiter stärkt.
Implikationen für internationale Sicherheitsstrategien
Cyber-Sicherheit auf militärischem Level ist längst keine allein nationale Aufgabe mehr. Wenn digitale Angriffsvektoren global verstreut sind, müssen auch Verteidigungsmechanismen internationalen Standards folgen. Die NATO hat deshalb im März 2025 ein „Multinational Cybercloud Center“ in Brüssel eröffnet, das länderübergreifende Standards für „Zero-Trust“-Architekturen, KI-basierte Anomalieerkennung und identitätszentriertes Monitoring entwickelt.
Zudem zeigt sich auch in zivilen Infrastrukturen ein wachsender Trend zur geopolitisch sensiblen Cloud-Governance. So kündigte die EU-Kommission im November 2025 neue Auflagen an, wonach kritische Infrastrukturen (KRITIS) in der Energie-, Verkehrs- und Gesundheitsbranche nur noch unter Einsatz „souveräner Clouds“ betrieben werden dürfen. Diese müssen u.a. garantieren, dass Daten in Europa gespeichert und nur durch nach europäischem Recht zertifizierte Betreiber verarbeitet werden.
Die Folge: Strategisch bedeutsame Cloud-Services werden zunehmend in No-Go-Zonen für ausländische Anbieter verwandelt – sowohl technologisch als auch regulatorisch. Ein Trend, der sich in verschiedenen Ländern manifestiert:
- USA: „FedRAMP“-Zertifizierung als Mindestvoraussetzung für Agencies, JWCC-Projekte strikt US-gehostet
- Indien: „Data Localization“-Policy seit 2022 – militärische Daten dürfen nicht außer Landes gespeichert werden
- Israel: National Cloud „Nimbus“ explizit auf inländische Kontrolle ausgelegt
Chancen und Herausforderungen für Unternehmen
Für Unternehmen im Cloud-Sektor ergeben sich aus diesen Entwicklungen sowohl neue Risiken als auch Chancen. Auf der einen Seite steigt der regulatorische Druck durch wachsende Anforderungen der nationalen Sicherheitsbehörden – auf der anderen Seite entsteht ein schnell wachsender Markt für hochsichere, zertifizierte Cloud-Services im Verteidigungsbereich.
Unternehmen wie Palantir, Oracle Government Cloud oder IBM Federal setzen längst auf stark segmentierte, sicherheitsspezifische Cloud-Umgebungen, die bei Militär und Regierungseinrichtungen punkten. Gleichzeitig wächst das Feld für Managed Security Provider, die Defense-spezifische Dienste wie Netzwerkforensik, digitale Zugangskontrolle und „Government-Grade Threat Intelligence“ anbieten.
Wer als Anbieter erfolgreich in diesem Markt bestehen will, sollte folgende Handlungsempfehlungen berücksichtigen:
- Implementieren Sie konsequent das Zero-Trust-Prinzip und nutzen Sie Identity Access Management (IAM) mit rollenbasierter Kontrolle.
- Setzen Sie auf lokal auditierbare, jurisdiction-konforme Hostingmodelle, insbesondere wenn Sie mit NATO oder EU-Partnern arbeiten.
- Investieren Sie in Sicherheitszertifizierungen wie C5 (Deutschland), FedRAMP (USA) oder ISO/IEC 27001 mit militärischer Erweiterung.
Zu beachten ist jedoch: Der Vertrieb von militärisch relevanten Cloud-Diensten wird immer stärker politisiert, was neue Compliance-Risiken mit sich bringt – insbesondere bei multinational agierenden IT-Dienstleistern.
Ausblick: Digitales Rüsten und kooperative Sicherheit
Die Trump-Initiative zur Abschottung der US-Militär-Clouds gegen chinesischen Einfluss markiert nicht das Ende, sondern einen Wendepunkt in der Diskussion um digitale Souveränität. Die Cloud wird künftig nicht nur ein wirtschaftliches Infrastrukturthema bleiben, sondern zur sicherheitspolitischen Kernkomponente in der Außen- und Verteidigungspolitik avancieren.
Entscheidend wird sein, ob es gelingt, Sicherheitsinteressen mit innovationsoffener Technologiepolitik zu verbinden – ohne in übermäßigen Protektionismus zu verfallen. Denn globale Sicherheit im digitalen Raum kann nur durch Interoperabilität, gemeinsame Standards und vertrauenswürdige Partnerschaften gewährleistet werden.
Diskutieren Sie mit: Wie sollte Europa auf die zunehmende Fragmentierung der Cloud-Welt reagieren? Welche Rolle spielen Open-Source-Standards in militärischer IT? Und wie behalten Unternehmen den Überblick zwischen Sicherheitspflichten und Innovationsfreiheit? Wir freuen uns auf Ihre Kommentare!
