Der neue Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt nicht nur eine verschärfte Cyberbedrohung durch Russland. Er offenbart vor allem ein strukturelles Problem, das bisher zu wenig beachtet wird: Die deutsche Verwaltung ist in zentralen Bereichen digital abhängig von den USA. Und diese Abhängigkeit wird zunehmend zum Risiko.

Über Jahre wurden kritische Verwaltungsprozesse auf Plattformen amerikanischer Anbieter verlagert – von Cloud-Diensten über E-Mail und Kollaboration bis hin zu Authentifizierungssystemen. Die Entscheidung war pragmatisch: zuverlässig, schnell verfügbar, kostengünstig. Doch sie hat einen Preis. Deutschland kontrolliert große Teile seiner digitalen Infrastruktur nicht selbst.

Der Lagebericht zeichnet ein Bild, das über technische Unsicherheiten hinausgeht. Die USA haben im Jahr 2025 die Budgets für ihre eigenen Cyberbehörden deutlich gekürzt. Weniger amerikanische Cybersicherheit bedeutet weniger Austausch, weniger Warnungen und weniger verlässliche Partnerschaft – auch für europäische Behörden, die sich lange auf diese Kooperation stützten.

Hinzu kommt ein politisches Risiko. Datenschutzvorgaben, Faktenprüfung in sozialen Netzwerken und Sicherheitsanforderungen werden in den USA derzeit abgebaut. Was in Washington beschlossen wird, prägt globale Plattformen – und damit auch die digitalen Räume deutscher Institutionen. Für Desinformation, Wahlmanipulation und politische Einflussnahme schafft das neue Angriffsflächen.

Besonders brisant: US-Sanktionsentscheidungen können direkten Einfluss auf europäische Daten haben. Als im Mai 2025 der Chefankläger des Internationalen Strafgerichtshofs auf einer amerikanischen Sanktionsliste landete, wurde sein Microsoft-Konto gesperrt – inklusive dienstlicher E-Mails. Ein Vorgeschmack darauf, wie schnell ein externer Staat die digitale Handlungsfähigkeit europäischer Behörden beeinträchtigen kann.

Das BSI fordert deshalb mehr digitale Souveränität: europäische Cloud-Infrastrukturen, klare Datenlokalisierung, offene Standards und weniger Abhängigkeit von einzelnen US-Konzernen. Der Kern der Botschaft ist eindeutig: Cybersicherheit beginnt nicht bei Firewalls, sondern bei der Frage, wer die Kontrolle über staatliche Daten hat. Solange Deutschland diese Kontrolle weitgehend outsourced, bleibt die Verwaltung verwundbar – technisch, politisch und strategisch.