Unfulfilled promise of digital sovereignty: European payment service Wero uses Amazon servers

Was soll die digitale Souveränität überhaupt heißen? Die meisten Tech-Konzerne haben ihre Sitze sowohl in den USA als auch in der EU, und sobald eine europäische Firma erfolgreich genug wird, macht es oft Sinn, das Hauptquartier in die USA zu verlegen.

Da fühle ich mich doch gleich wieder wie zuhause wenn auch hier wieder die Amerikaner mitlesen können was ich so einkaufe (können sie? Der Artikel ist da ungenau was da auf AWS gemacht wird, aber es wird zumindest Verschlüsselung erwähnt). Oder mal einfach den Service abschalten. Wo ist da dann jetzt der Vorteil von Wero genau…?

Die Entamerikanisierung des Digitalsektors kann nur schrittweise erfolgen. Und alles was mit Hardware zu tun hat, dauert eh länger. Man auch kann einfach mal froh sein, dass Wero gerade tatsächlich Fahrt aufnimmt.

Ja dann können wir es auch lassen.

An die neysayers, man will ein payment system ohne amis machen und nimmt als Backbone amis? Come on! 

Von AWS zu zum Beispiel OVH zu wechseln ist immer theoretisch immer möglich, aber je nach dem, wie man das gebaut hat, kann das praktisch sehr schwer bis nahezu unmöglich sein.

Uff, das ist aber eine ziemlich unnuancierte Betrachtung des Ganzen. Wir reden hier von einem Projekt, welches in etwas weniger als [2 Jahren](https://www.teltarif.de/epi-bezahlsystem-wero-start-2024-skepsis-banken/news/94151.html) auf über [50 Millionen Nutzer:innen](https://www.linkedin.com/posts/epicompany_wero-europeanpayments-epi-activity-7429426992799813633-y7g0/) skaliert werden musste. Ich habe zudem die [Jobangebote von epi](https://careers.epicompany.eu/jobs?split_view=true&geobound_coordinates%5Btop_left_lat%5D=54.08961834920283&geobound_coordinates%5Btop_left_lon%5D=-0.8305267012153763&geobound_coordinates%5Bbottom_right_lat%5D=40.86045566223957&geobound_coordinates%5Bbottom_right_lon%5D=19.551138654618057&query=) (dem Konsortium hinter Wero) durchforstet um mein ein besseres Bild von den tatsächlich eingesetzten Technologien zu machen. Ein paar Feststellungen daraus:

* Kern-Infrastruktur basiert auf portablen open-source Projekten wie Kubernetes, Docker, MongoDB, Kafka und ist in Kotlin geschrieben
* Der Analytics Teil setzt auf closed-source Tools wie Databricks und AWS Kinesis
* Aus dem netzpolitik.org Artikel geht nicht klar hervor ob und falls ja, wie viel der Kern-Infrasturktur überhaupt auf AWS läuft

Und abgleitet davon ein paar Gedanken:

* Es kann gut sein, dass überhaupt keine (nicht aggregierten) Kunden-/Transaktionsdaten auf AWS landen
* Vorher hatten wir: USA können mitlesen und uns den Stecker ziehen, jetzt können sie nur noch (vielleicht) mitlesen -> deutliche Verbesserung zu vorher
* Wie schwer der Ausstieg effektiv ist kann ich nur schwer von aussen beurteilen. Zumindest in der Architektur scheinen sie aber vieles richtig zu machen um einen Ausstieg so einfach wie möglich zu gestalten
* Kenne mich den Europäischen Vorgaben dazu im Vergleich zu den Schweizer (FINMA) nicht gut aus, aber bei uns gibt es viele Vorgaben bezüglich Cloud-Exit-Strategie, Geografischer Redundanz und natürlich Datenresidenz bei Speicherung und Verarbeitung. Wenn dies von Wero so eingehalten wird, sind auch hier schon viele Sachen richtig gemacht worden

Abschliessend würde ich sagen, ja, der Artikel kritisiert das Marketing von EPI zurecht, zieht daraus aber technisch unbelegte Schlüsse über Sicherheitsrisiken für Kundendaten und verpasst es genauer zu recherchieren und einzuordnen.

Ja gut, kann ich ja bei Klarna, Paypal und meinen Karte bleiben. Macht dann ja keinen Unterschied mehr, ob die Daten über meine etablierten Dienste oder Wero in die USA gehen.