Digitale Souveränität in der Microsoft Azure Cloud: Warum sie wichtiger ist als je zuvor

Mit der Rückkehr von Präsident Trump ins Weiße Haus ist das Thema der digitalen Souveränität wieder in den Mittelpunkt der politischen und wirtschaftlichen Debatten in Europa gerückt. Die jüngsten Ereignisse haben gezeigt, wie abhängig Europa nach wie vor von außereuropäischen Hyperscalern wie Microsoft ist und wie schnell sich ausländische politische Entscheidungen auf europäische Institutionen auswirken können. Dies wirft wichtige Fragen auf: Was bedeutet digitale Souveränität, warum ist sie heute so dringlich, und wie versucht Microsoft, sie in seiner Azure-Cloud zu berücksichtigen?

Digitale Souveränität ist die Fähigkeit eines Landes oder einer Organisation, sicherzustellen, dass seine Daten, Infrastruktur und digitalen Systeme unter der Kontrolle seiner eigenen Gesetze bleiben. Das ist wichtig, denn die extraterritorialen Vorschriften der USA und die Cloud-Abhängigkeiten können europäische Institutionen dem Zugriff oder der Störung durch das Ausland aussetzen.

Was ist digitale Souveränität?

Digitale Souveränität bezieht sich auf die Fähigkeit eines Landes oder einer Region, seine Daten, Infrastruktur und digitalen Systeme nach seinen eigenen Gesetzen zu kontrollieren und zu schützen. In der Praxis bedeutet dies, dass Daten, die innerhalb der Grenzen eines Landes generiert werden, weiterhin dem Rechtsrahmen dieses Landes unterliegen sollten und dass ausländische Regierungen nicht in der Lage sein sollten, über ihre eigenen Rechtssysteme darauf zuzugreifen oder sie zu manipulieren.

Diese Idee hat mit dem Aufkommen des Cloud Computing enorm an Gewicht gewonnen. Da Daten oft in verschiedenen Regionen gespeichert und von globalen Anbietern verwaltet werden, ist die Frage, wer sie kontrolliert und nach welchen Gesetzen, zu einem zentralen Thema für die digitale Zukunft Europas geworden (Ryan, 2024).

Warum ist digitale Souveränität jetzt ein heißes Thema?

In den letzten Jahren haben mehrere öffentlichkeitswirksame Vorfälle deutlich gemacht, wie abhängig europäische Unternehmen von ausländischen Cloud-Anbietern sind - und wie anfällig sie für Entscheidungen außerhalb Europas sind. Diese Ereignisse haben die digitale Souveränität von einem theoretischen Konzept zu einem dringenden Thema für Unternehmen, Regierungen und Regulierungsbehörden gemacht. Die Kombination aus rechtlichen Verpflichtungen, die von ausländischen Regierungen auferlegt werden, und dem politischen Klima in den Vereinigten Staaten hat die Dringlichkeit dieser Debatte noch erhöht.

Daraus ergeben sich drei Arten von Schwachstellen: plötzliche Einstellung des Dienstes, politische Einmischung und die Unterwerfung selbst internationaler Institutionen unter das US-Recht.

Welche Vorschriften ermöglichen dies und was schützt Europa?

Um die Debatte über die digitale Souveränität zu verstehen, müssen wir uns die rechtlichen Rahmenbedingungen ansehen, die den US-Behörden im Ausland Macht verleihen, und die europäischen Vorschriften, die versuchen, diese Reichweite zu begrenzen. Auf der einen Seite geben die US-Gesetze den Behörden weitreichende extraterritoriale Rechte über Cloud-Anbieter. Auf der anderen Seite hat Europa starke Gesetze zum Schutz der Privatsphäre und des Datenschutzes geschaffen, die jedoch nicht immer ausländische Forderungen blockieren können. Dieses rechtliche Ungleichgewicht ist der Kern der europäischen Souveränitätsbedenken (Blancato, 2024).

U.S.-Verordnungen mit extraterritorialer Reichweite

Der U.S. Cloud Act ist ein Gesetz, das es amerikanischen Behörden ermöglicht, Daten von in den USA ansässigen Cloud-Anbietern anzufordern, auch wenn diese in Europa gespeichert sind. Der Cloud Act ist das direkteste Instrument. Er ermöglicht es den US-Behörden, Daten von amerikanischen Cloud-Anbietern anzufordern, auch wenn diese in Europa gespeichert sind. Daneben erlauben auch der Patriot Act und FISA Section 702 den US-Behörden, Daten von Nicht-US-Bürgern außerhalb der Vereinigten Staaten anzufordern oder abzufangen. Zusammen sorgen diese Gesetze dafür, dass jedes Unternehmen, das der US-Gerichtsbarkeit unterliegt, zur Herausgabe von Informationen gezwungen werden kann, ganz gleich, wo es sich befindet.

Europäische Gegengewichte

Europa hat seine eigenen Vorschriften entwickelt, um die Privatsphäre zu schützen und die Souveränität zu stärken. Die Datenschutz-Grundverordnung (GDPR) legt strenge Bedingungen für die Datenübermittlung außerhalb der EU fest und birgt hohe rechtliche Risiken für Unternehmen, die persönliche Daten an ausländische Regierungen weitergeben. Die E-Evidence-Verordnung gibt den Strafverfolgungsbehörden in der EU eine standardisierte Möglichkeit, digitale Beweise anzufordern, mit Schutzmaßnahmen gegen ausländische Übergriffe. Darüber hinaus haben mehrere Länder wie die Niederlande Gesetze zur nationalen Sicherheit und Computerkriminalität erlassen, die den Zugriff ihrer eigenen Behörden auf Daten regeln.

Die Gesetzeslücke

Trotz dieser Schutzmaßnahmen kann keine der europäischen Maßnahmen eine an Microsoft, AWS oder Google gerichtete US-Anfrage vollständig blockieren. Der Europäische Datenschutzausschuss (2024) hat ausdrücklich erklärt, dass die Übermittlung personenbezogener Daten an Drittlandsbehörden außerhalb des GDPR-Rahmens rechtswidrig ist, was die Anbieter jedoch zwischen widersprüchlichen rechtlichen Verpflichtungen gefangen hält. Diese Lücke erklärt, warum rechtliche Schutzmaßnahmen allein nicht ausreichen (ENISA, 2017). Infolgedessen wenden sich europäische Institutionen und Unternehmen zunehmend technischen und operativen Maßnahmen zu, um die Souveränität zu stärken.

Wie sichert Microsoft die digitale Souveränität in Azure?

Da die europäischen Gesetze die Forderungen der US-Justiz nicht vollständig abwehren können, hat Microsoft versucht, die europäischen Kunden mit einer Reihe von Verpflichtungen und technischen Sicherheitsvorkehrungen zu beruhigen. Diese Maßnahmen sollen zeigen, dass die in Azure gehosteten Daten unter europäischer rechtlicher Kontrolle bleiben können, auch wenn Microsoft ein amerikanisches Unternehmen ist. Die Strategie kombiniert drei Ebenen: rechtliche Zusagen, operative Überwachung und technische Kontrollen.

1. Europäische Verpflichtungen im Bereich Digitales

Im April 2025 kündigte Microsoft seine European Digital Commitments an, ein Paket von Versprechungen, mit denen Azure stärker an die europäischen Erwartungen angepasst werden soll. Zu den Verpflichtungen gehören der Ausbau der Rechenzentrumskapazitäten in der gesamten EU, die Einrichtung eines europäischen Aufsichtsgremiums, das nur aus EU-Bürgern besteht, und die Garantie, dass sensible Daten des öffentlichen Sektors und regulierte Daten innerhalb der EU- oder EFTA-Grenzen bleiben. Microsoft hat sich außerdem verpflichtet, jede Anordnung aus einem Drittland, die den europäischen Betrieb bedroht, rechtlich anzufechten und Transparenzberichte über solche Anfragen zu veröffentlichen. Zusammengenommen zielen diese Schritte darauf ab, Vertrauen zu schaffen, dass europäische Regeln und nicht US-Forderungen die Aktivitäten von Microsoft in der Region leiten werden.

2. Die Sovereign Cloud Familie

Um den unterschiedlichen Anforderungen an die Souveränität gerecht zu werden, hat Microsoft eine Reihe von souveränen Optionen auf Azure aufgesetzt. Bei einer sSovereignPublic Cloud bleiben die Daten und die meisten Metadaten innerhalb der EU und die Kunden können ihre eigenen Verschlüsselungsschlüssel halten und verwalten. Für Fälle mit höherem Risiko führt ein Sovereign Private Cloud-Ansatz - oft Azure Local genannt - Azure-Dienste in einem Land unter lokaler Betriebskontrolle aus und kann sogar im getrennten "Air-Gapped"-Modus arbeiten. In einigen Ländern unterstützt Microsoft auch von Partnern betriebene nationale Clouds, wie z.B. Bleu in Frankreich mit Orange und Capgemini und Delos in Deutschland mit T-Systems der Deutschen Telekom, die auf nationale Zertifizierungen wie SecNumCloud und BSI C5 abzielen und dennoch Azure-Technologie verwenden. Diese Optionen tauschen ein gewisses Maß an Geschwindigkeit und Breite der Dienste gegen mehr lokale Kontrolle und klarere Compliance-Pfade. (Capgemini, 2024; T-Systems, 2022; Michels, 2025.)

3. Data Guardian Funktion

Operative Kontrolle braucht auch überprüfbare Leitplanken. Data Guardian ist eine Prozess- und Tooling-Ebene, die den Fernzugriff auf europäische Umgebungen aufzeichnet und regelt. Der Zugriff von Nicht-EU-Mitarbeitern erfordert die vorherige Genehmigung durch EU-Personal, und alle Aktionen werden in manipulationssicheren Protokollen festgehalten, die von Kunden und Aufsichtsbehörden geprüft werden können. Dies ersetzt nicht die Verschlüsselung oder Schlüsselkontrolle, aber es bietet eine klare Spur und einen Genehmigungsschritt, wenn grenzüberschreitende Unterstützung benötigt wird.

Diese Funktion bietet europäischen Organisationen mehr Transparenz und die Gewissheit, dass hinter den Kulissen kein unbefugter Zugriff erfolgt.

Glaubwürdigkeit der rechtlichen Anfechtungen von Microsoft

Microsoft hat zugesagt, jede ausländische Regierungsanordnung, die seine europäischen Aktivitäten gefährden könnte, rechtlich anzufechten. Dies ist ein starkes politisches Signal, aber seine Glaubwürdigkeit hängt von der Geschichte ab. Im Fall des irischen Durchsuchungsbefehls hat Microsoft eine US-Forderung nach in Dublin gespeicherten Daten bis vor den Obersten Gerichtshof angefochten. Der Fall wurde jedoch durch die Verabschiedung des CLOUD Act überholt, der die extraterritorialen Befugnisse der USA ausweitete und das frühere Urteil aufhob. In einem anderen Fall reichte Microsoft eine Klage gegen Geheimhaltungsverfügungen ein, ließ den Fall aber fallen, nachdem das Justizministerium seine Politik angepasst hatte. Diese Beispiele zeigen, dass Microsoft sich manchmal gewehrt hat, aber die Ergebnisse hängen oft von legislativen oder politischen Änderungen ab, auf die Microsoft keinen Einfluss hat. Das Versprechen ist daher als Absicht glaubwürdig, aber als stabile Garantie begrenzt.

Wie Azure Confidential Computing und Azure Local die Souveränität unterstützen

Rechtliche und organisatorische Verpflichtungen sind wichtig, aber sie können die digitale Souveränität nicht vollständig garantieren. Um die Bedenken der Europäer direkter anzusprechen, hat Microsoft ein Portfolio von technischen und betrieblichen Diensten entwickelt, die darauf abzielen, den Kunden eine stärkere Kontrolle über ihre Daten zu geben. Diese Dienste sind unter dem Dach der Microsoft Cloud für Souveränität zusammengefasst, die 2022 eingeführt wurde, und umfassen Confidential Computing, Hardware-Sicherheitsmodule und souveräne Cloud-Modelle wie Azure Local, Bleu und Delos. Zusammen zeigen sie, wie technische und betriebliche Schutzmaßnahmen die rechtlichen Maßnahmen ergänzen, um einen mehrschichtigen Souveränitätsrahmen zu schaffen.

Azure Vertrauliches Computing

Die europäischen Regulierungsbehörden erkennen an, dass selbst strenge Datenschutzgesetze extraterritoriale Ansprüche der USA nach dem Cloud Act oder FISA nicht vollständig verhindern können. Diese Lücke unterstreicht den Bedarf an technischen Schutzmaßnahmen, die Daten unabhängig von Konflikten mit der Gerichtsbarkeit schützen. Confidential Computing, das Daten während der Verarbeitung durch vertrauenswürdige Ausführungsumgebungen (Trusted Execution Environments, TEEs) abschirmt, ist eine solche Maßnahme.

Microsoft hat vertrauliche VMs auf der Basis von AMD SEV-SNP und Intel TDX in mehreren europäischen Regionen eingeführt. Ab Mai 2023 waren die DCasv5- und ECasv5-VM-Familien in Westeuropa (Niederlande) und Nordeuropa (Irland) verfügbar, mit einer Ausweitung auf Deutschland West-Mitte und Schweden Mitte im Laufe des Jahres 2024 (Microsoft, 2024a). Im März 2024 führte der Azure Kubernetes Service (AKS) eine Vorschauunterstützung für Confidential Containers in den EU-Regionen ein (Microsoft, 2024b).

Die Akzeptanz in sensiblen Sektoren nimmt zu. Im Jahr 2023 testete ein deutsches Konsortium aus der Gesundheitsbranche vertrauliche VMs für die Analyse genomischer Daten, während Finanzinstitute in Frankreich SEV-SNP-Workloads testeten, um die EBA-Richtlinien einzuhalten. Betreiber kritischer Infrastrukturen in den Niederlanden haben vertrauliche Container für SCADA-Telemetrie erforscht, um Betriebsdaten vor Insider-Bedrohungen zu schützen (Akram et al., 2022; ENISA, 2023). Benchmarks zeigen jedoch eine gemischte Leistung: In einer Studie aus dem Jahr 2025 wurden bei GPU-Inferenz im vertraulichen Modus ein Durchsatzverlust von 45-70 % und eine um 20-30 % höhere Latenzzeit gemessen (Anonymous, 2025).

Im Vergleich zu anderen Anbietern legt Azure den Schwerpunkt auf den Schutz von VMs und Containern. Google Cloud Confidential VMs verlassen sich ebenfalls auf AMD SEV-SNP, melden aber einen geringeren Overhead (<7% in Google-Tests). AWS Nitro Enclaves isolieren Anwendungen auf Prozessebene, haben aber Speicherbeschränkungen und erfordern mehr Aufwand für Entwickler. Das Unterscheidungsmerkmal von Azure ist die Kubernetes-Integration, während Google die Leistung betont und AWS sich auf die Enklavenisolierung konzentriert.

TEEs gehen jedoch nicht auf die Souveränität der Metadaten ein. Nutzungs- und Abrechnungsdaten, Serviceprotokolle und Ressourcendeskriptoren verbleiben außerhalb der Enklave und geben Kontextinformationen an die Anbieter preis. Für die Aufsichtsbehörden ist dies ein Problem der Souveränität, da die Metadaten Muster offenbaren können, die genauso sensibel sind wie die Daten selbst (EDPB, 2024). Zu den Abhilfemaßnahmen gehören eine auf die EU beschränkte Protokollierung, vom Kunden verwaltete Schlüssel, Private Link, um die Telemetrie auf Europa zu beschränken, und strenge Zugriffskontrollen wie Microsofts Data Guardian.

Confidential Computing ist daher ein nützlicher, aber unvollständiger Schutz. Es schützt sensible Daten in der Anwendung, muss jedoch mit dem Schutz von Metadaten und organisatorischen Verpflichtungen gepaart werden, um Souveränität zu gewährleisten.

Die Rolle von Hardware-Sicherheitsmodulen (HSMs)

Die Verwaltung kryptographischer Schlüssel ist ein weiterer Eckpfeiler der Souveränität. Die Regel ist einfach: Wer die Schlüssel kontrolliert, kontrolliert auch die Daten. Microsoft bietet in Azure zwei wichtige HSM-basierte Dienste an, die unterschiedliche Souveränitätsmodelle widerspiegeln.

Azure Key Vault Managed HSM ist ein vollständig verwalteter, mandantenfähiger Dienst, der nach FIPS 140-2 Level 3 validiert ist. Er lässt sich nahtlos in andere Azure-Dienste integrieren, wodurch die betriebliche Komplexität reduziert wird, die Kunden jedoch teilweise von der Infrastruktur von Microsoft abhängig bleiben.

Azure Dedicated HSM bietet physisch isolierte Thales Luna 7 Appliances, bei denen die Kunden die administrative Kontrolle haben und Microsoft-Mitarbeiter nicht auf die Geräte zugreifen können. Ab 2024 war dieser Dienst in Westeuropa, Nordeuropa und Deutschland West Central verfügbar (Microsoft, 2024c). Dediziertes HSM bietet stärkere Souveränitätsgarantien, hat aber eine begrenzte Dienstintegration und höhere Kosten.

Trotz ihrer Stärken sind HSMs nicht perfekt. Die Souveränität hängt davon ab, wo das HSM physisch untergebracht ist und wie die Backups verwaltet werden. Wenn die Replikation außerhalb der EU erfolgt, wird der Schutz geschwächt. Ein weiterer Faktor ist das operationelle Risiko: Bei dedizierten HSM liegt die volle Verantwortung für die Verwaltung des Lebenszyklus und die Wiederherstellung der Schlüssel beim Kunden, und Fehler können zu irreversiblem Datenverlust führen (ENISA, 2017; NIST, 2020).

Europäische politische Gremien betonen die Bedeutung der Schlüsselkontrolle. ENISA (2023) nennt HSM-gestützte kryptografische Governance als Grundvoraussetzung für eine souveräne Cloud, während ISO/IEC 19790 internationale Sicherheitsanforderungen für HSMs definiert. Zu den bewährten Praktiken gehören der Einsatz nur in der EU, Residenzgarantien in Verträgen und fortgeschrittene Techniken wie Schwellenwertkryptografie, die Aufteilung von Schlüsseln auf mehrere Länder.

HSMs stärken also die Souveränität, indem sie die Kontrolle auf die Kunden verlagern, aber sie können das extraterritoriale Risiko nicht vollständig beseitigen. Ihre Effektivität hängt von der physischen Unterbringung, einer sorgfältigen Verwaltung und der Anpassung an den europäischen Rechtsrahmen ab.

Azure Local & Sovereign Private Cloud

Für Europas souveränste Sektoren hat Microsoft souveräne Partnerschaften und lokalisierte Bereitstellungsmodelle entwickelt. Diese gehen über technische Zusicherungen hinaus, indem sie die operative Kontrolle in nationale Hände legen.

In Frankreich zielt das Joint Venture Bleu, das in Partnerschaft mit Orange und Capgemini gegründet wurde, darauf ab, Microsoft-Cloud-Dienste anzubieten, die vollständig vom globalen Azure-Betrieb isoliert und auf die SecNumCloud-Zertifizierung abgestimmt sind (Capgemini, 2024).

In Deutschland haben Microsoft und T-Systems der Deutschen Telekom im Jahr 2022 Delos Cloud eingeführt. Es zielt auf die Einhaltung von BSI C5 und die Angleichung an das kommende EUCS-System ab, wobei der Schwerpunkt auf der Versorgung des öffentlichen Sektors in Deutschland liegt (T-Systems, 2022; Bertelsmann, 2024).

Diese Modelle sind mit Kompromissen verbunden. Die Zertifizierung verlangsamt die Innovation, was bedeutet, dass souveräne Clouds bei neuen Funktionen möglicherweise Jahre hinter dem öffentlichen Azure zurückbleiben. Die Serviceverfügbarkeit ist geringer und schließt oft fortschrittliche PaaS oder KI-Tools aus. Die Kosten sind höher, wobei Analystenschätzungen von einem Aufschlag von 20-40% im Vergleich zu Hyperscale-Regionen ausgehen (Michels, 2025). Es besteht auch das Risiko einer Fragmentierung: Mehrere nationale Modelle können sich mit EU-Initiativen wie GAIA-X überschneiden, was die europäische Souveränitätslandschaft verkompliziert.

Souveräne Partnerschaften wie Bleu und Delos sind pragmatische Antworten auf nationale Souveränitätsanforderungen. Sie bieten Konformität und operative Unabhängigkeit, allerdings auf Kosten von Flexibilität und Innovationsgeschwindigkeit.

Die Kombination von rechtlichen, technischen und operativen Ebenen

Souveränität in der Cloud lässt sich nicht allein durch rechtliche, technische oder operative Maßnahmen erreichen. Jede einzelne Maßnahme spielt eine Rolle, aber nur wenn sie kombiniert werden, bieten sie glaubwürdigen Schutz.

Microsofts rechtliche Sicherheitsvorkehrungen - EuropeanDigital Commitments, Governance Boards und die Zusage, ausländische Anordnungen anzufechten - bieten eine externe Rechenschaftspflicht, laufen aber Gefahr, symbolisch zu sein, wenn sie nicht unterstützt werden. Technische Maßnahmen wie Confidential Computing und vom Kunden verwaltete HSMs schützen die Daten vor unbefugtem Zugriff, können aber nicht alle Risiken in Bezug auf Metadaten oder Rechtsprechung abdecken. Operative Modelle wie Azure Local, Bleu und Delos bieten die größten Sicherheiten, sind aber kostspielig, begrenzt und langsamer in der Innovation.

Fehlt eine Ebene, wird die Souveränität geschwächt: Rechtliche Garantien ohne technische Durchsetzung sind symbolisch, technische Instrumente ohne Governance sind eng, und operative Souveränität ohne Integration birgt die Gefahr der Fragmentierung. Der Weg nach vorne für Europa ist daher nicht binär, sondern mehrschichtig, wobei sich rechtliche, technische und operative Maßnahmen gegenseitig verstärken. Nur in Kombination können europäische Institutionen echte Kontrolle über ihre Cloud-Umgebungen beanspruchen (Blancato, 2024; ENISA, 2023; Michels, 2025).

Fazit

Die Debatte über digitale Souveränität ist nicht mehr abstrakt. Jüngste Vorfälle, von der Schließung der Amsterdam Trade Bank bis zur Sperrung der ICC-E-Mail-Konten, zeigen, wie schnell US-amerikanische Rechtsentscheidungen europäische Institutionen stören können. Gleichzeitig geben US-Gesetze wie der Cloud Act und FISA den amerikanischen Behörden weiterhin eine breite extraterritoriale Reichweite. Europäische Vorschriften wie die GDPR und die E-Evidence-Verordnung haben den Datenschutz und die Rechenschaftspflicht gestärkt, aber sie können ausländische Forderungen an US-Cloud-Anbieter nicht vollständig verhindern.

Angesichts dieser Spannungen hat Microsoft eine vielschichtige Antwort entwickelt. Auf rechtlicher und organisatorischer Ebene hat das Unternehmen die European Digital Commitments eingeführt und sich verpflichtet, ausländische Regierungsanordnungen anzufechten. Auf operativer Ebene hat das Unternehmen Sovereign Cloud-Partnerschaften und Überwachungsmechanismen eingeführt, die mehr Kontrolle in europäische Hände legen. Auf technischer Ebene bietet sie Tools wie Confidential Computing, Hardware Security Modules und Microsoft Cloud for Sovereignty an, die sicherstellen sollen, dass sensible Daten auch bei der Verarbeitung in der Cloud geschützt bleiben.

Dieses mehrstufige Modell zeigt, dass Souveränität in der Cloud nicht durch eine einzige Maßnahme erreicht wird, sondern durch die Kombination von rechtlichen, betrieblichen und technischen Schutzmaßnahmen. Dieser Ansatz verringert die Risiken ausländischer Eingriffe, aber er bringt auch Nachteile mit sich: höhere Kosten, geringere Serviceverfügbarkeit und langsamere Innovationszyklen. Für die meisten kommerziellen und öffentlichen Arbeitsabläufe können diese Sicherheitsvorkehrungen ausreichend sein, wenn sie sorgfältig umgesetzt werden. Für unternehmenskritische oder für die nationale Sicherheit relevante Workloads können jedoch nur vollständig souveräne oder Air-Gapped-Lösungen die strengsten Souveränitätsanforderungen erfüllen.

Die digitale Souveränität in Europa hängt also vom Gleichgewicht ab. Eine völlige Abkehr von den US-Hyperscalern ist weder praktikabel noch notwendig, aber sich ohne Anpassung auf sie zu verlassen, ist riskant. Der wahre Weg nach vorne liegt in der klugen Nutzung der Cloud, wobei die Souveränitätsmerkmale klar berücksichtigt und akzeptiert werden müssen, dass Souveränität ihren Preis hat (Blancato, 2024; Ryan, 2024).

Referenzen

Akram, A., Peisert, S., et al. (2022). SoK: Beschränkungen des vertraulichen Rechnens über TEEs für Hochleistungs-Rechensysteme. Universität von Kalifornien, Davis. https://www.cs.ucdavis.edu/\~peisert/research/2022-SEED-TEE-SOK.pdf

Anonym. (2025). Performance of Confidential Computing GPUs: inference workloads under confidential mode. arXiv preprint. arXiv Studie - Confidential GPU Performance (2025)

Baldoni, R., & Di Luna, G. (2025). Souveränität im digitalen Zeitalter: Das Streben nach kontinuierlichem Zugang zu verlässlichen technologischen Fähigkeiten. arXiv Preprint. arXiv Paper - Sovereignty in the Digital Era (Baldoni & Di Luna, 2025)

Bertelsmann. (2024, 24. September). Erste souveräne Cloud-Plattform für die deutsche Verwaltung auf der Zielgeraden. Bertelsmann News - Update der deutschen Sovereign Cloud Platform (2024)

Blancato, F. G. (2024). The cloud sovereignty nexus: How the European Union may need to choose vendors outside U.S. jurisdiction. Politik & Internet. Policy & Internet Journal - Analyse der Cloud-Souveränität der EU (Blancato, 2024)

Capgemini. (2024, Januar 15). Capgemini und Orange freuen sich, den Start der kommerziellen Aktivitäten von Bleu, ihrer zukünftigen Cloud de Confiance-Plattform, bekannt zu geben. Capgemini Pressemitteilung - Start von BLEU Sovereign Cloud (2024)

Dautov, R., et al. (2019). Föderierte Cloud-Sicherheitsarchitektur für verwaltete Schlüsselspeicherung. Future Generation Computer Systems, 96, 580-594. Future Generation Computer Systems - Föderierte Cloud-Sicherheitsarchitektur (Dautov et al., 2019)

ENISA. (2023). Analyse des Cloud-Cybersicherheitsmarktes. Agentur der Europäischen Union für Cybersicherheit. ENISA-Bericht - Analyse des Cloud-Cybersicherheitsmarktes (2023)

Europäisches Parlament & Rat. (2023). Verordnung (EU) 2023/2854 über harmonisierte Vorschriften für einen fairen Zugang zu und die Nutzung von Daten (Data Act). Amtsblatt der Europäischen Union. EU-Datenschutzgesetz - Offizielle Verordnung (2023)

Feng, Y., et al. (2024). Überblick über die Forschung im Bereich des vertraulichen Computings. IET Communications. https://doi.org/10.1049/cmu2.12759

Li, L., Lee, R., Zhong, Y., et al. (2024). Blindfold: Confidential memory management by untrusted operating system. arXiv preprint. IET Communications - Forschungsübersicht über vertrauliche Datenverarbeitung (Feng et al., 2024)

Michels, J. D. (2025). Sovereign Cloud für Europa: Unabhängiger Forschungsbericht. Centre for Commercial Law Studies, Queen Mary University of London. SSRN. SSRN Research - Souveräne Cloud für Europa (Michels, 2025)

Microsoft. (2024b). Vertrauliche Container auf AKS (Vorschau). Microsoft Learn - Azure Vertrauliche Container (Vorschau)

Microsoft. (2024c). Technische Details zu Azure Key Vault Managed HSM. Microsoft Learn - Technische Details zu Managed HSM

Microsoft. (2024d). Azure Local Überblick. Microsoft Learn - Azure Local Überblick

NIST. (2020). Empfehlung für die Schlüsselverwaltung, Teil 1 - Allgemein (SP 800-57 Rev. 5). Nationales Institut für Standards und Technologie. NIST Sonderveröffentlichung 800-57 - Richtlinien zur Schlüsselverwaltung (2020)

Orange & Capgemini. (2022, 21. Juni). Bleu wird ab Ende 2022 mit den Kunden in Kontakt treten. Orange Newsroom. Orange Newsroom - Ankündigung BLEU Sovereign Cloud (2022)

Ryan, M. (2024). Würde der wahre Datensouverän bitte aufstehen? Eine politische Perspektive der EU. Internationales Journal für Recht und Informationstechnologie. Internationales Journal für Recht und IT - Perspektive der Datensouveränität der EU (Ryan, 2024)

T-Systems. (2022, November 10). Souveräne Cloud für Deutschland: Delos Cloud gestartet. T-Systems News - Delos Cloud für Deutschland im Überblick (2022)