Der deutsche IT-Sicherheitskonzern secunet und der US-Anbieter Cloudflare entwickeln gemeinsam Cloud-Dienste, die den Souveränitätskriterien des BSI genügen sollen.[1] Cloudflare liefert die globale Infrastruktur, secunet das europäische Betriebsmodell. Angesprochen sind Behörden, Streitkräfte und Betreiber kritischer Infrastruktur.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDas Wichtigste in Kürze
- secunet und Cloudflare entwickeln gemeinsam Cloud-Dienste: Cloudflare stellt die globale Cloud-to-Edge-Infrastruktur, secunet das europäische Betriebsmodell.
- Die Lösungen sollen die C3A-Souveränitätskriterien des BSI erfüllen und richten sich an Behörden, Streitkräfte und KRITIS-Unternehmen.
- Der Ansatz folgt der Doppelstrategie des BSI: US-Spitzentechnik nutzbar machen und zugleich unter strenge Kontrolle stellen.
- secunet ist IT-Sicherheitspartner des Bundes und kam 2025 auf rund 458,8 Mio. € Konzernumsatz.
Was steckt hinter dem Souveränitäts-Pakt?

secunet betreibt Cloudflares weltweite Cloud-Technik nach europäischen Regeln: EU-Personal, abtrennbare Datenverbindungen und deutsche Rechtsaufsicht. Kunden erhalten die Abwehrkraft eines US-Anbieters und behalten zugleich die Kontrolle über Betrieb und Daten.
Cloudflares Netz beschleunigt Cloud-Dienste weltweit und wehrt Überlastungs- sowie Angriffswellen ab. secunet kapselt diese Technik in ein europäisches Betriebsmodell und stellt sie unter deutsche Aufsicht. Vorstandschef Marc-Julian Siewert nennt die Initiative ein Signal, „dass internationale Spitzentechnologie mit den erforderlichen Kontrollmechanismen ausgestattet werden kann“.
Cloudflare ordnet den Schritt geschäftlich ein. Finanzchef Thomas Seifert erklärt, Kunden könnten „ihre digitale Resilienz stärken und gleichzeitig hohe Standards in Bezug auf Sicherheit, Kontrolle und Souveränität einhalten“. Parallel bietet secunet weiter eine Cloud „100 % Made in Germany“ an.
Warum ausgerechnet ein US-Anbieter?
Rein deutsche Clouds erreichen die Skalierung und Abwehrkraft der US-Anbieter bisher kaum. Das BSI verfolgt deshalb eine Doppelstrategie: europäische Alternativen stärken und US-Technik zugleich unter strenge Kontrollkriterien zwingen, statt sie ganz auszusperren.
Im April 2026 hat das BSI mit dem C3A-Katalog messbare Souveränitätskriterien veröffentlicht, gegliedert in sechs Domänen.[2] Der Katalog richtet sich gegen die sogenannte Cyber Dominance, also den dauerhaften Zugriff eines Herstellers auf fremde Systeme und Daten.
Der wunde Punkt bleibt die Rechtslage. Der US-CLOUD Act und das EU-Recht lassen sich nicht gleichzeitig vollständig erfüllen, weshalb ein US-Anbieter allein keine volle Souveränität liefern kann. Genau diese Lücke soll das europäische Betriebsmodell schließen. Wie handfest staatlicher Zugriff auf Technik wird, zeigt der Streit um Chinas Kill-Switch-Gesetze.
Souveränität entsteht nicht dadurch, dass ein Vertrag ‚EU‘ draufschreibt, sondern daran, ob sich die Datenwege im Ernstfall wirklich kappen lassen. Genau daran wird sich der secunet-Cloudflare-Pakt messen lassen müssen.
— Markus Seyfferth, Chefredakteur Dr. Web
secunet und Cloudflare bauen souveräne Cloud-Dienste nach BSI-Kriterien, 2026
Die Doppelstrategie des BSI
Was bedeutet das für deutsche Entscheider?
Für Behörden und KRITIS-Betreiber wird der C3A-Katalog zur Einkaufsliste: Betriebsmodell, Personal und Datenwege jeder US-Cloud gegen die sechs Souveränitäts-Domänen prüfen. Unter NIS2 haftet die Geschäftsführung persönlich für diese Wahl.
Die neue Konstruktion nimmt Beschaffern die Entweder-oder-Entscheidung ab. Statt zwischen deutscher Nischen-Cloud und US-Hyperscaler zu wählen, lässt sich beides koppeln. Die Verantwortung dafür bleibt im Haus, wie der Blick auf NIS2 in der Produktionshalle zeigt.
Ein Restrisiko bleibt der Zeitfaktor. Sicherheitsupdates für die Kerntechnik kommen weiter aus den USA, und wie schnell ein solches Fenster zum Problem wird, führt der Fall um Anthropics Claude Mythos vor. Deutschlands Sicherheitsbranche ordnet sich derweil neu, etwa als die Schwarz Gruppe XM Cyber abgibt.
Für Sie bedeutet das konkret: Verlangen Sie vom Anbieter den Nachweis, dass EU-Personal den Betrieb führt und Verbindungen außerhalb der EU im Ernstfall trennbar sind. secunet bringt als IT-Sicherheitspartner des Bundes genug Gewicht mit, um diesen Standard durchzusetzen: 2025 lag der Konzernumsatz bei rund 458,8 Mio. €.[3]
Quellen
[1] secunet: „secunet und Cloudflare bringen starke Cyberresilienz in die Cloud und die Kunden behalten die Kontrolle“ ↩
[2] BSI: „C3A: BSI veröffentlicht Souveränitätskriterien für Cloud-Dienste“ ↩
[3] secunet: „secunet Security Networks gibt vorläufige Ergebnisse für 2025 bekannt“ ↩
Mehr Newshunger?
- 45 Patente, keine Kunden: Die Schwarz Gruppe gibt XM Cyber an CrowdStrike ab
- Kanadas Bankenaufsicht warnt vor Anthropics Claude Mythos: Das Zeitfenster zum Patchen schrumpft
- NIS2: Die Produktionshalle wird zur Haftungsfalle
- Cyberversicherung: Der Markt boomt, der Mittelstand bleibt ungeschützt
- China-Killswitch: Was die Gesetze wirklich fordern
- Kein einziger Bug: Wie ShinyHunters ein Jahr lang Salesforce-Daten stahl