Digitale Souveränität: : Ein Puzzle mit vielen Facetten
Freier Welthandel, offene Grenzen und friedlicher Austausch von Waren, Dienstleistungen oder Ideen – ein Zustand, an den man sich gern gewöhnt hätte. Doch diese Zeiten sind offenbar vorerst vorbei, weswegen digitale Sicherheit und Unabhängigkeit zu einer Überlebensfrage werden, betont unser Autor. In seinem Kommentar fordert er ein Umdenken hin zu mehr eigener Hoheit über Daten und Systeme sowie die vermehrte Nutzung offener Quellcodes und Standards – gerade auch in Sachen künstlicher Intelligenz.
Wenn selbst gute alte Freunde zur potenziellen Bedrohung werden, muss eine Reaktion erfolgen, um die eigene Unabhängigkeit zu sichern – und die ist ohne digitale Souveränität schlechterdings nicht vorstellbar, denn diese ist die Basis für die eigene Prosperität und Sicherheit. Damit rückt die Datensouveränität in den Mittelpunkt aller strategischen Überlegungen: Das gilt gleichermaßen für Unternehmen und Behörden, aber auch für kritische Infrastrukturen. Sie alle sind gefordert, uneingeschränkte Herrscher über ihre Daten zu werden, beziehungsweise zu bleiben.
Diese Aufgabe ist schwer genug, denn die Souveränität muss über alle Ebenen des typischen IT-Stacks gewährleistet sein. Sie beginnt also bei unabhängigen und resilienten Rechenzentrums-Infrastrukturen, geht weiter über sichere, nicht-proprietäre Plattformen samt den entsprechenden Bereitstellungsmodellen und reicht bis zur Anwendungs-Software selbst. Jede Lücke ist dabei ein potenzieller Schwachpunkt für einen unkontrollierten Datenabfluss. Ein wirklich wasserdichtes Datensicherungskonzept muss demnach alle Ebenen abdecken und miteinander verbinden.
Hyperscaler Dilemma
Wenn wir uns den untersten Layer anschauen wird schnell klar, dass ausgerechnet die Rechenzentrums-Infrastruktur fest in außereuropäischer Hand ist. Giganten wie AWS, Azure und Google dominieren diesen Markt quasi konkurrenzlos, unterliegen aber US-amerikanischem Recht – auch in Sachen Datenzugriff und -souveränität. Konkurrenz besteht hier nur untereinander, europäische Alternativen sind demgegenüber rar gesät.
Damit haben wir es bereits an der Basis mit einem großen Unsicherheitsfaktor zu tun, wenn es um die Unantastbarkeit der eigenen Daten geht. Die wohlfeile Forderung, Europa müsse hier folgerichtig massiv in „Blech und Beton“ investieren, übersieht allerdings die Tatsache, dass die Hyperscaler nicht nur quantitativ, sondern auch qualitativ so weit enteilt sind, dass ein zukünftiges Kräftegleichgewicht illusorisch erscheint: Angesichts der Geschwindigkeit, mit der dort rund um die Uhr neue Services entwickelt und freigegeben werden, ist daran nicht mehr ernsthaft zu denken.
AWS hat als Hyperscaler-Pionier über Jahre hinweg viele Milliarden US-Dollar investiert und gigantische Defizite angehäuft, die sich erst jetzt als Marktführer in schwindelerregenden Renditen bezahlbar machen (vgl. etwa [1]). Wenn man so will, ist dieser Zug daher abgefahren, denn europäische Konkurrenz müsste den gleichen, höchst aufwendigen, zeit- und kapitalintensiven Prozess durchlaufen. Die Mittel dafür stehen schlicht nicht zur Verfügung.
Als cleverer Ausweg bieten sich hybride Cloud-Strukturen an, in denen alle wichtigen Elemente wie sensible Daten, geistiges Eigentum, zentrale Services oder gesetzlich besonders geschützte Anwendungen entweder im eigenen Rechenzentrum oder bei regionalen Hostern verbleiben, die den strengeren europäischen Datenschutzverordnungen verpflichtet sind. Bei diesem Konzept dürfen die Hyperscaler dann weiterhin das machen, was sie ohnehin am besten können: die unkritischen Daten skalieren. Es bietet die notwendige Flexibilität für kurz- und mittelfristige Lastspitzen, ohne mulmige Kompromisse bei der Unverletzlichkeit der elementar wichtigen eigenen Daten eingehen zu müssen.
Versteckspiel hybrider Plattformen
Auf der Plattform-Ebene ist uns eine ähnliche Dominanz bislang erspart geblieben – auch wenn proprietäre Anbieter hier nichts unversucht lassen und beispielsweise durch Kooperationen mit lokalen Anbietern locken, die den Anschein erwecken sollen, ausschließlich an deutsches, respektive europäisches Recht gebunden zu sein. Doch der Schein trügt: Auch US-Tochterfirmen unterliegen den einschlägigen rechtlichen Vorgaben in ihrem Heimatland, wie beispielsweise dem Cloud Act in den USA. Er gestattet dortigen Behörden unter anderem, auch auf Daten zuzugreifen, die auf Servern außerhalb der USA gespeichert sind – Datenschutzkonflikte sind damit vorprogrammiert. EU-Unternehmen und -Behörden, die Plattform-as-a-Service-Angebote (PaaS) von US-Anbietern nutzen, gehen damit die Gefahr potenzieller Verstöße gegen EU-Datenschutzvorschriften ein.
Auch die Bereitstellung von Programmen auf proprietären, anbietergebundenen Plattformen als Softwareas-a-Service (SaaS) ist ein Versuch, Abhängigkeiten oder gar ein Vendor-Lock-in zu schaffen. Unternehmen begeben sich mit deren Nutzung nicht nur der Wahlfreiheit, sie können auch unliebsame (und teure) Überraschungen erleben – etwa dann, wenn sie den Anbieter wechseln und beim bisherigen Hoster gespeicherte Daten wieder zurückholen wollen, um beispielsweise auf Open-SourceAnwendungen umzusteigen.
Open Source (OS) wird häufig auf der Applikations-Ebene verortet, ihr Einzugsgebiet erstreckt sich aber längst auch auf die Plattformen: Bestes Beispiel dafür ist Kubernetes für das Management containerisierter Anwendungen, samt der Bereitstellung und Orchestrierung der Container und Microservices. Die Tatsache, dass es ursprünglich von Google entwickelt wurde, hat dabei keinen Einfluss auf die Datensouveränität.
Kubernetes verkörpert einen der größten, zumindest potenziellen Vorteile von Open Source: die Interoperabilität. Während proprietäre Anbieter sich aus nachvollziehbaren Gründen gerne abschotten, sind offene Standards und Schnittstellen das Gegenteil von Lock-in. Zudem bieten offene Quellcodes die Option zur individuellen Anpassung und Weiterentwicklung von Anwendungen. Unternehmen können so für sie wichtige Funktionen hinzufügen, überflüssige Features entfernen und damit sukzessive ihre eigenen, maßgeschneiderten Lösungen entwickeln. Davon profitiert nicht nur die Effizienz von Prozessen und Workflows – auch die häufig von überflüssig aufgeblähten Funktionsmonstern genervten Mitarbeiter werden es dankend zur Kenntnis nehmen.
Nichtz zuletzt erleichtert Open Source auch die Software-Auditierung. Während proprietäre Anbieter daraus ein höchst profitables Geschäftsmodell gemacht haben, zu dem Anwender keine günstigere Alternative haben, läuft die Auditierung bei Open Source herstellerunabhängig. Für Code-Analyse, Lizenzprüfung sowie Risiko- und Sicherheitsbewertung von OS-Anwendungen steht eine große Auswahl unabhängiger Tools zur Verfügung. Die Open-Source-Community könnte zudem ein Ansatzpunkt sein, nicht nur mit IT-Entwicklern, sondern auch mit Experten anderer Unternehmen in einen konstruktiven Austausch zu kommen. Statt mit dem leben zu müssen, was proprietäre Anbieter im Angebot haben, können das Feedback und clevere Lösungsansätze aus der Praxis Vorbild für eigene Lösungen sein!
Open Source für KI
Das gilt auch für den Umgang mit künstlicher Intelligenz (KI): Statt KI-Modelle mit den eigenen Daten auf fremden Plattformen zu füttern, könnte man sie mithilfe entsprechender OS-Tools stattdessen auch in eigenen IT-Umgebungen trainieren und nutzen – einem Datenabfluss ist damit von vorneherein ein Riegel vorgeschoben. Zugegeben, das ist nicht ganz so bequem wie KI-Modelle als Service zu nutzen, aber weitaus sicherer.
Und damit sind wir wieder beim Ausgangsthema „digitale Souveränität“: Sie geht über die Aspekte von IT-Infrastruktur und Software-Anwendungen weit hinaus und bekommt im KI-Zeitalter zusätzliche Brisanz durch ein neues, riesiges Puzzle-Teil, dessen Bedeutung gar nicht überschätzt werden kann. Spätestens jetzt muss klar sein, dass digitale Souveränität der Schlüssel zu wirtschaftlicher und sozialer Selbstbestimmung ist. Die Alternative wären Abhängigkeiten, die letztlich auch dem Missbrauch Tür und Tor öffnen.
Alain Blaes ist Gründer und Geschäftsführer der auf Hightech spezialisierten Münchner PR- und Kommunikationsagentur PR-COM, die unter anderem für diese Thematik relevante Unternehmen wie Climb Channel Solutions, Unframe und VNC betreut.
Literatur
[1] Ingmar Königshofen, Amazon: Erholung aufrecht, Chance von 109,04 Prozent p. a., Börse Daily „Exotic-Trader“, Juni 2025, www.boerse-daily.de/boersen-nachrichten/exotic-amazon-chance-von109-04-prozent-p-a