Europa baute souveräne Clouds, um sich der US-Kontrolle zu entziehen. Dann vergaß es die Prozessoren

Europa investiert beträchtlich, über 2 Milliarden Euro, in souveräne Cloud-Initiativen mit dem Ziel, die digitale Autonomie zu stärken und die Abhängigkeit von US-Gerichtsbarkeiten zu verringern. Diese Bemühungen, beispielhaft verkörpert durch Frankreichs SecNumCloud-Framework mit seinen umfangreichen technischen Anforderungen, zielen darauf ab, eine "gegen extraterritoriale Gesetze immunisierte" Umgebung bereitzustellen. Das Kernziel ist die Schaffung einer Cloud-Infrastruktur, die nachweislich unabhängig von ausländischem staatlichem Einfluss und Kontrolle ist. Ein kritischer Versehen hat sich jedoch herauskristallisiert: Die zugrunde liegende Hardware, insbesondere die Prozessoren, wird weitgehend von US-Herstellern wie Intel und AMD bezogen. Diese Prozessoren enthalten hochentwickelte Management-Engines, die auf einer Privilegienebene unterhalb des Betriebssystems arbeiten und von der Host-Sicherheitssoftware weitgehend unsichtbar und unkontrolliert bleiben. Diese integrierte Technologie kann auch dann noch aktiv und potenziell anfällig sein, wenn eine Maschine scheinbar ausgeschaltet ist. Diese Abhängigkeit von in den USA entwickelten Siliziumchips stellt eine erhebliche Herausforderung für die Ziele der digitalen Souveränität dar, da US-Gesetze wie der Reforming Intelligence and Securing America Act (RISAA) 2024 Hardwarehersteller als "Anbieter von elektronischen Kommunikationsdiensten" einstufen können. Diese Klassifizierung ermöglicht potenziellen Zugriff durch geheime Regierungsanordnungen, wodurch die Sicherheitszertifizierungen europäischer Cloud-Frameworks umgangen werden. Die Architektur dieser Management-Engines mit eigenem Speicher, Taktgeber und Netzwerkkapazitäten bedeutet, dass von ihnen generierter Datenverkehr von legitimen Host-Datenverkehr nicht zu unterscheiden ist und ein verdecktes Exfiltrationsrisiko darstellt, das mit bestehenden Sicherheitsmaßnahmen nicht erkannt werden kann.