Um die Datensouveränität im öffentlichen Sektor zu erhöhen arbeiten das BSI und Google ab sofort zusammen. Die Kooperation umfasst die Entwicklung von quantensicherer Cloud-Lösungen sowie strategischen Austausch. Kritik erntet das BSI dafür vor allem von der Gesellschaft für Informatik.
Security-Insider hat Claudia Plattner in Berlin zum Gespräch getroffen und auf die Kritik, die die Kooperation mit Google erhält, angesprochen.
(Bild: Vogel IT-Medien GmbH)
Im Februar 2025 haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Google Cloud eine Kooperationsvereinbarung unterzeichnet, deren Ziel es ist, die Entwicklung und Bereitstellung sicherer und souveräner Cloud-Lösungen für Behörden auf Bundes-, Landes- und Kommunalebene zu unterstützen. Doch genau den Punkt Souveränität scheint die Gesellschaft für Informatik (GI) dem BSI nicht so recht abzukaufen. Die europäischen und deutschen Bemühungen, die digitale Souveränität zu stärken, würden durch die Zusammenarbeit des BSI mit Google zunichte gemacht.
Wir haben BSI-Präsidentin Claudia Plattner gefragt, wie sich die Zusammenarbeit mit Google bisher gestaltet. Sie können das Statement hier im Player anhören oder darunter vollständig lesen:
Claudia Plattner: Wir arbeiten mit sehr vielen verschiedenen Cloud-Unternehmen zusammen und wir haben mit allen immer wieder den Punkt, dass wir ganz klar sagen müssen, okay, das hier sind Sicherheitsanforderungen, die wir umgesetzt sehen wollen. Das betrifft manchmal rein die Sicherheit in den Rechenzentren und es betrifft aber natürlich auch die Frage, wie man mit einer Cloud zusammenarbeiten kann und wo man gegebenenfalls auch Sicherheitspunkte einziehen kann. Gerade für US-Hyperscaler ist es natürlich spannend zu sagen, wie sieht denn eigentlich ein Cloud-Betrieb hier in Europa aus, wie kann man den absichern, wie kann man hier gegebenenfalls auch aus deutscher Seite, aus europäischer Seite eine entsprechende Kontrolle ausüben, und genau das schauen wir uns zusammen an. Es betrifft immer die Daten, die rausgehen, also zum Beispiel Telemetriedaten, es betrifft aber immer auch, was kommt denn rein, zum Beispiel Updates oder Steuerbefehle. Und dann nicht zuletzt wie gut funktioniert denn eine Cloud, wenn wir sie mal sozusagen von den USA lösen. Und das sind die Fragen, die wir uns zusammen anschauen. Und da sind wir sehr konstruktiv mit sehr vielen Anbietern unterwegs. Das machen wir in der Tat nicht nur mit einem Hyperscaler sondern mit mehreren. Und hier versuchen wir Lösungen zu schaffen, die dann wiederum zu Optionen werden können, die dann die Bundesregierung, Landesregierung oder auch die deutsche Wirtschaft ziehen können.
Die gemeinsam entwickelten Lösungen des BSI und Google sollen speziell auf die Anforderungen des öffentlichen Sektors zugeschnitten werden, unter Einhaltung der deutschen und europäischen Datenschutzbestimmungen. Besonderer Schwerpunkt soll dabei die Gewährleistung der Datensouveränität sein. Als Basis für die Cloud-Lösungen dient das gesamte Cloud-Portfolio von Google, einschließlich der KI-Anwendungen und zugehöriger Support-Dienste.
Außerdem sollen modernste kryptografische Verfahren integriert werden, wie Google berichtet. An der Entwicklung von Post-Quanten-Kryptografie sowie dem Einsatz von Brainpool-Kurven würden die beiden Partner bereits arbeiten. Die Brainpool-Kurven beschreiben spezielle mathematische Funktionen, die in der Elliptischen-Kurven-Kryptographie (ECC) verwendet werden. Sie helfen, Daten sicher zu verschlüsseln. „Die Kooperation mit Google Cloud ermöglicht im Bereich der Post-Quanten-Kryptografie eine zukunftssichere digitale Infrastruktur, die auch kommenden technologischen Herausforderungen gewachsen ist“, sagt Thomas Caspers, Designierter Vizepräsident des BSI.
An dieser Stelle kritisieren die Arbeitskreise „Digitale Souveränität“, „Open Source Software“ und „Datenschutz und IT-Sicherheit“ der GI sowie ihre Vertreter Prof. Dr. Harald Wehnes, Prof. Dr. Julian Kunkel und Dr. Martin Weigele fehlende Transparenz. Die bisherigen Informationen seien so dürftig, dass nicht klar werde, für welche Anwedungsszenarien die untersuchten Lösungen geeignet seien sollen.
Auf der Nationalen Konferenz IT-Sicherheitsforschung des Bundesministerium für Bildung und Forschung (BMBF) traf Security-Insider BSI-Präsidentin Claudia Plattner zum Gespräch. Wir haben sie auf die Kritik zur Kooperation mit Google angesprochen:
Weitere Argumente der GI, warum die Kooperation des BSI mit Google den Kriterien der digitalen Souveränität widerspreche, sind:
Die Zusammenarbeit des BSI mit Google würde als potenzieller Booster für die digitale Abhängigkeit und Erpressbarkeit Deutschlands gegenüber den USA fungieren. Es sei unverantwortlich dass das Bundesamt somit der US-Regierung Möglichkeiten der Erpressung frei Haus liefere.
Google sei aufgrund der Rechtslage in den USA gar nicht imstande, einen souveränen Dienst anzubieten. Denn ein souveräner Dienst müsse unter anderem die Datenintegrität sowie die Datenverfügbarkeit sicherstellen. Doch im Rahmen der Kooperation würde Google nur auf die Datensouveränität eingehen. Über die Verfügbarkeit der Daten hätte allerdings der US-Präsident die Macht.
Das BSI würde mit der Kooperation Google eine Art „TÜV-Stempel“ erteilen, der dessen marktbeherrschende Stellung noch weiter festige. Dies bringe erhebliche Wettbewersnachteile für europäische Anbieter mit sich.
Zu guter Letzt werfe eine Partnerschaft mit einen Unternehmen, dessen Kerngeschäft der Verkauf von Daten ist und das nicht der europäischen Gesetzgebung unterliegt, erhebliche Bedenken hinsichtlich der Unabhängigkeit und Souveränität der geplanten Cloud-Lösungen auf. Selbst wenn versichert würde, dass keine wirtschaftliche Nutzung der in Deutschland gespeicherten behördlichen und unternehmerischen Daten erfolge, bleibe eine grundlegende Abhängigkeit von Google bestehen.
In einer Pressemitteilung vom 18. März 2025 kündigte das BSI eine Kooperation mit Stackit an. Dies ist zwar der Cloud-Provider des deutschen Unternehmens Schwarz Digits, und auch eine Kooperation mit SAP sei vereinbart, doch im selben Atemzug werden auch Partnerschaften mit den US-Hyperscalern AWS und Oracle angekündigt. Grundsätzlich stuft die GI dieses neue Bündnis als Gefahr ein, sowohl für die nationale Sicherheit und Cybersecurity wie auch für die strategische Autonomie und die Handslungsfähigkeit der Bundesbehörden.
Weniger kritisch sieht Prof. Dr. Dennis-Kenji Kipker, Forschungsdirektor des Cyberintelligence Institutes (CII), die Kooperation hinsichtlich der Souveränität. Auch mit ihm hat Security-Insider im Rahmen der Nationalen Konferenz IT-Sicherheitsforschung darüber gesprochen, wie er zu der Zusammenarbeit zwischen dem BSI und Google steht. Doch auch Prof. Kipker hat Bedenken:
Strategische Partnerschaft
Ebenfalls Teil der Partnerschaft zwischen BSI und Google ist das neu eingerichtete „Kooperationsforum“. Dieses wird von BSI-Vizepräsidenten Thomas Caspers und Dr. Wieland Holfelder, Vice President Engineering & Site Lead bei Google Cloud, geleitet. Vor dort aus sollen alle Aktivitäten der Zusammenarbeit koordiniert werden sowie die systematische Sicherheitsüberwachung, Incident Response sowie die Entwicklung neuer Standards und Zertifizierungen stattfinden. Auch für den Austausch von Threat Intelligence soll dort Platz sein, um neue Bedrohungen proaktiv und schnell zu bekämpfen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Daneben umfasst die strategische Zusammenarbeit mit dem BSI auch die regelmäßige Überprüfung auf Sicherheitslücken und die Sicherheitsdokumentation. Google verpflichtet sich zudem, das BSI proaktiv über sicherheitsrelevante Entwicklungen zu informieren, insbesondere bei Vorfällen von besonderem öffentlichen Interesse. Darüber hinaus erhält das BSI Einblicke in Googles Maßnahmen zur Lieferkettensicherheit, um den eigenen Zugriffsschutz und die Manipulationsabwehr zu verbessern.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/74/00/7400729b1511ef03967a194ad20d06fa/0122127363v2.jpeg "Das BSI veröffentlichte jüngst seine Cloud-Strategie für eine sichere und souveräne Nutzung von Cloud-Diensten. (Bild: Intelligent Horizons - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dd/dc/dddc238e7e96c16d563f1357cd71c401/0112150345v1.jpeg "Prof. Harald Wehnes argumentiert als langähriger IT-Praktiker und GI-Vertreter für digitale Souveränität mit Open Source, zur Not aber auch mit proprietärer Software. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/89/2e/892ed2dbe8b0fcd55d2eb1f6d7813fb7/0123701974v2.jpeg "Die Cybersicherheit in Deutschland – eine Baustelle? Darüber wurde auf der Nationalen Konferenz IT-Sicherheitsforschung in Berlin diskutiert. Die Erwartungen an die neue Regierung und den neuen Bundestag sind hoch. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/a7/7c/a77cc8fbf1a892cd02e3708a1753866c/0122043762v1.jpeg "Die Tür ist offen, der Schlüssel verfügbar und dennoch bleibt Deutschland im goldenen Käfig und nutzt weiterhin die user- aber nicht unbedingt daten-freundliche Cloud von Microsoft. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/81/06/81063301a7b1384446e1956b0962da7c/0128938076v2.jpeg "Symbolischer Auftakt in Brandenburg: Die AWS European Sovereign Cloud richtet sich an öffentliche Auftraggeber und stark regulierte Branchen in der EU. (Bild: AWS)")
:quality(80)/p7i.vogel.de/wcms/89/2e/892ed2dbe8b0fcd55d2eb1f6d7813fb7/0123701974v2.jpeg "Die Cybersicherheit in Deutschland – eine Baustelle? Darüber wurde auf der Nationalen Konferenz IT-Sicherheitsforschung in Berlin diskutiert. Die Erwartungen an die neue Regierung und den neuen Bundestag sind hoch. (Bild: Vogel IT-Medien GmbH)")