Digitale Souveränität : Digitale Souveränität – Wege, Ziele, Widrigkeiten (2) : Diskussion zu Begrifflichkeit, Problemen und Lösungsansätzen
Um die Debatte um Möglichkeiten und Unmöglichkeiten in Sachen digitaler Souveränität auf eine möglichst stabile Basis zu stellen, hat die eine Reihe von Experten* aus Wirtschaft, Akademia und Verbänden um ihre Einschätzungen zur Begrifflichkeit, zu Herausforderungen und Lösungswegen sowie Prognosen für die absehbare Zukunft gebeten.
Nachdem sich der erste Teil dieses Beitrags in der vorigen Ausgabe [1] mit der Definition und den größten Herausforderungen zum Erreichen digitaler Souveränität befasst hat, geht es im vorliegenden Text um Anforderungen sowohl an Systeme und Dienstleistungen als auch an das Verhalten beteiligter Akteure sowie um hilfreiche Begleitung durch Regulierung oder sonstige staatliche wie privatwirtschaftliche Initiativen. Abschließend hatten wir überdies Prognosen zum Stand der möglichen digitalen Souveränität in Deutschland/Europa für die nächsten zwei bis drei Jahre sowie längerfristige Aussichten erfragt – die entsprechenden Antworten folgen im letzten Teil unserer Serie in der kommenden.
Anforderungen
„Digital souverän einsetzbar sind Hard- und Software sowie Services nur, wenn sie auditierbar, kontrollierbar und ersetzbar sind“, sagt Daniel Zielke, Direktor strategische Partnerschaften der Heinlein Gruppe. Konkret erfordere das ein belastbares Rollen- und Berechtigungsmodell, die Integration in bestehende Strukturen sowie nachvollziehbare Protokollierung und Reporting für Audits: „Open Source ist dabei ein strategischer Vorteil, da der Code unabhängig geprüft werden kann und Betrieb sowie Weiterentwicklung nicht an einen einzelnen Hersteller gebunden sind. Offene Standards und dokumentierte Schnittstellen machen Interoperabilität und Migration planbar.“
„Erforderlich sind offene, dokumentierte Schnittstellen und Standards, die rechtliche Verankerung in EU-Gerichtsbarkeit, überprüfbare Lieferketten, transparente Update- und Patch-Prozesse, tragfähige Exit- und Migrationspfade sowie die Möglichkeit zu Audit, Betrieb und Notfallfortführung durch europäische Akteure. Proprietäre Systeme sind nur dann souverän nutzbar, wenn diese Anforderungen vertraglich und technisch abgesichert sind und reale Wechseloptionen bestehen“, fasst Daniel Loebenberger die Sichtweise des Fachbereichs „Sicherheit – Schutz und Zuverlässigkeit“ der Gesellschaft für Informatik (GI) e.V. zusammen.
„Kernanforderungen sind Transparenz, Nachvollziehbarkeit und Security by Design“, unterstreicht Chris Dimitriadis, Global Chief Strategy Officer bei der ISACA: „Hard- und Software müssen überprüfbar sein – idealerweise basierend auf offenen Standards –, um Abhängigkeiten und Lock-in-Effekte zu vermeiden. Die Integrität der Lieferkette ist dabei ein entscheidender Faktor.“
Sören Schulte, E‑Mail-Security-Experte bei Retarus, ist sich sicher: „Souveräne Services erfordern radikale Transparenz. Anbieter müssen bereit sein, unabhängige Prüfungen und sogar Kunden-Audits zu ermöglichen. Eine Blackbox-Mentalität passt nicht zur Souveränität. Gleichzeitig muss sich eine Lösung flexibel in bestehende Umgebungen – egal ob on Premises oder als CloudDienste – integrieren lassen, ohne neue Abhängigkeiten zu schaffen.“
„Aus meiner Sicht reicht es nicht aus, Eigenschaften nur zu versprechen oder zu dokumentieren: Digitale Souveränität zeigt sich erst dann, wenn Wechsel, Kontrolle und Prüfung im Alltag tatsächlich funktionieren. Viele Risiken entstehen dort, wo Annahmen nicht überprüft werden. Es geht aus diesem Grund auch darum, technische und organisatorische Zusicherungen regelmäßig zu hinterfragen und praktisch zu verproben“, mahnt Oliver Köth, Managing Director Technology & Innovation DACH bei NTT DATA. Als zentrale Anforderungen für eine souveräne Einsetzbarkeit nennt er offene Standards und Portabilität, verbunden mit einer schlanken Architektur-Governance sowie einer transparenten und diversifizierten Lieferkette: „Auch Monitoring-, Cybersecurity-, Routing- und FinOps-Funktionen sollten bedacht werden. Und schließlich muss das Betriebsmodell die lokale Ausführung ermöglichen, sodass sensible Daten vor Ort verarbeitet sowie gespeichert werden können und externe Zugriffe auf ein Minimum beschränkt bleiben.“
„Entscheidend ist, dass Unternehmen jederzeit nachvollziehen können, wo ihre Daten liegen, wer darauf zugreift und wie sie verarbeitet werden“, betont Sebastian von Bomhard, Vorstand und Gründer von SpaceNet: „Offene, modulare Architekturen, Interoperabilität, langfristige Verfügbarkeit und Open-Source-Technik helfen, Abhängigkeiten zu vermeiden und Datenhoheit zu sichern.“
„Software und Plattformen müssen Identitätsrichtlinien, Protokollierung, Rückverfolgbarkeit, Datenklassifizierung und Governance-Funktionen unterstützen. Dienste sollten so gestaltet sein, dass sensible Workloads in kontrollierten Umgebungen bleiben – weniger sensible Aufgaben können skalierbare Cloudfunktionen nutzen“, antwortete Shannon Bell, EVP, CIO und CDO bei Open-Text: „Letztlich geht es um eine durchgängige und überprüfbare Verantwortlichkeit von Anfang bis Ende. Nur so lässt sich nachvollziehen, wie Daten genutzt werden und wie sich Systeme verhalten.“
Abwehr juristischer Zugriffe von Drittstaaten
Jan Frongia, Teammanager Operations & BlueTeam bei HiSolutions, sagt: „Produkte müssen Interoperabilität, Transparenz und strikte Rechtssicherheit gegenüber extraterritorialen Zugriffen bieten (z.B. aufgrund des US Cloud-Act). Hierfür müssen sich technische, organisatorische und prozessuale Maßnahmen zur Wahrung der Souveränität ergänzen – ein isolierter Blick auf Hardware und Software greift zu kurz, da die Services rund um die Hardware und Software zwingend mit betrachtet werden müssen. Um Abhängigkeiten von Drittstaaten zu reduzieren, sind EU-basierte Lösungen zu priorisieren. Schlüsseltechnologien wie Halbleiter, KI und Quantencomputing müssen gezielt gestärkt und der ‚Euro Stack‘ als vertrauenswürdige Infrastruktur-Alternative etabliert werden.“
„Geltende regulatorische Anforderungen und Prüfungsstandards müssen eingehalten werden – besonders das Paradigma ‚kein ausländisches Recht‘ spielt eine zentrale Rolle. Dies muss bei der Schaffung souveräner Infrastrukturen sorgfältig geprüft werden“, mahnt Aleksei Resetko, Sovereign Cloud Security Lead Partner bei Deloitte Deutschland. Wenn es um Daten gehe, müssten Verantwortliche die Anforderungen an die Datenresidenz erfüllen, die häufig regionale Infrastrukturinvestitionen und Replikationsstrategien erfordern: „Außerdem sollten strenge Zugriffskontrollen und Verschlüsselung mit eigenem Key-Management implementiert werden. Hinzu kommt der Aufbau von Resilienzmaßnahmen, um die operative Autonomie zu wahren.“
Anbieter sollten aus Jurisdiktionen mit Datenschutzniveau äquivalent zur EU Datenschutzgrundverordnung (DSGVO) stammen und nachweislich keinen Verpflichtungen zur verdeckten Datenherausgabe unterliegen. Zertifizierungen nach ISO 27001, SOC 2 Type II und branchenspezifische Attestierungen schaffen Transparenz“, konstatiert Dirk Arendt, Director Government & Public Sector DACH bei Trend Micro. Technisch gesehen müssten Architekturen flexible Deployment-Modelle unterstützen: „von Public Cloud über Private Cloud bis zu Air-Gapped-Installationen für hochsensible Umgebungen. Kundenverwaltete Verschlüsselung stellt sicher, dass Anbieter keinen Klartext-Zugriff erhalten – Zero-TrustPrinzipien mit kontinuierlicher Authentifizierung und Least-Privilege-Access sind Pflicht, nicht Kür.“
Dr. Andreas Rohr (DCSO): „Souverän einsetzbar ist nur, was transparent und auditierbar ist. Ohne belastbare Nachweise über Herkunft, Wartbarkeit und Lieferkettenstruktur entsteht Scheinsicherheit.“
Ramon Mörl, Geschäftsführer der itWatch, sieht Privacy und Security by Default als unabdingbar an: „Als Basiseinstellung dürfen ‚meine‘ Daten und Daten über mich nur von mir gesehen, verwaltet, kopiert, gespeichert und modifiziert werden können. Außerdem braucht es eine granulare Einstellbarkeit von Rechten sowie die Nachweisbarkeit einer unter Haftung stehenden Vertrauenskette für die gesamte Liefer- und Servicekette.“
Innovations-Chancen durch digitale Souveränität
„Damit ein sicherer und selbstbestimmter Einsatz von digitalen Lösungen und Plattformen möglich wird, müssen alle risikoreduzierenden Cybersicherheitsmaßnahmen umgesetzt werden“, gibt Prof. Norbert Pohlmann, Geschäftsführender Direktor des Instituts für Internet-Sicherheit – if(is) an der Westfälischen Hochschule Gelsenkirchen zu bedenken: „Eine Sicherheitsmaßnahme in IT-Lösungen könnte zum Beispiel ein ‚Control Layer‘ sein, der Datenabflüsse und Updates kontrolliert und damit Missbrauch verhindert und Funktionstüchtigkeit sicherstellt.“
„Wir brauchen einen souveränen Browser und ein souveränes Betriebssystem“, fordert Markus Heller, Principal Consultant bei IS4IT, und unterstreicht, dass digitale Souveränität auch Chancen für Innovationen bietet: „Huawei hat in China mit HarmonyOS ein neues, innovatives Betriebssystem entwickelt. Die Unabhängigkeit von Android hat dabei völlig neue Wege eröffnet. Wir sollten digitale Souveränität nicht als Kostentreiber sehen, sondern als Hebel für bessere Technologie!“
Dr. Philipp Müller, Vice President Public Sector bei DriveLock, legt Wert auf die Wichtigkeit verschiedener Betriebsmodelle, von cloudbasiert bis vollständig on Premises: „Diese Wahlfreiheit ist zentral, denn digitale Souveränität entsteht nur dort, wo Organisationen echte Optionen haben.“ Technologisch setze sein Unternehmen schon lange konsequent auf Kubernetes: „Diese strategische Entscheidung ermöglicht es uns heute, unsere Lösungen flexibel auf unterschiedlichen Cloud-Plattformen zu betreiben – ohne technische Abhängigkeiten und ohne Architekturbrüche.“ Gleichzeitig zeige sich hieran, dass „Souveränität kein spontanes Ziel ist, sondern das Ergebnis langfristiger Planung und konsequenter Architekturentscheidungen“.
Erforderliches Umdenken
„Das größte Umdenken ist nötig bei der Abkehr von kurzfristiger Effizienz hin zu langfristiger Resilienz“, sagt Loebenberger (GI) und sieht viele Positionen in der Pflicht: „CISOs und Beschaffung müssen Souveränität als Risikodimension behandeln (Vendor-Lock-in, Sanktionen, Update-Abhängigkeit), nicht als politisches Schlagwort. Einkäufer sollten Total-Cost-of-Ownership inklusive Exit-Kosten bewerten. Administratoren benötigen Spielräume für Alternativen und hybride Architekturen. Und Anwender müssen akzeptieren, dass Bequemlichkeit nicht das Primärkriterium ist.“
„Nutzer werden vermutlich formal die kleinste Rolle spielen, jedoch bei Einbußen an Nutzbarkeit durch Wechsel zu Alternativen eine sehr laute Stimme haben – hier gilt es Aufklärungsarbeit zu betreiben“, betont Dr. Andreas Rohr, Geschäftsführer der DCSO – Deutsche Cyber-Sicherheitsorganisation.
Im Übrigen sei Souveränität allem voran eine Organisationsfrage, die zudem Kompetenz benötige, um die notwendige Analyse durchführen zu können: „Neben Technikverständnis braucht es koordinierte Prozesse zwischen Einkauf, Risikomanagement, Business und Produktentwicklung. Der Einkauf muss Sourcing für Souveränität operationalisieren – und dabei keine Labels kaufen, sondern überprüfbare Kriterien: Transparenz, Exit, Resilienz, Auditierbarkeit notfalls auch rekursiv durchgeführt (kritische Lieferanten direkter Lieferanten).“
„Für Unternehmen bedeutet digitale Souveränität vor allem, Risiken transparenter zu machen und bewusst zu steuern. Digitale Souveränität ist dabei keine isolierte Aufgabe einzelner Funktionen, sondern erfordert ein abgestimmtes Vorgehen: CISOs bewerten Sicherheits- und Zugriffsszenarien, der Einkauf berücksichtigt Souveränitätsaspekte in Ausschreibungen, und das Business trifft bewusste Make-or-Buy-Entscheidungen. Die Geschäftsleitung ist gefordert, hierfür klare Leitplanken und Prioritäten vorzugeben“, erläutert Vojislav Kosanovic, Partner, Technology Strategy & Operations bei KPMG.
„Digitale Souveränität erfordert daher vor allem einen Perspektivwechsel weg von kurzfristiger Bequemlichkeit und hin zu langfristiger Kontrolle, Transparenz und Handlungsfähigkeit. Die technologischen Voraussetzungen sind vorhanden – entscheidend sind strategischer Wille, klare Prioritäten und der Mut, bestehende Abhängigkeiten konsequent zu hinterfragen“, unterstreicht Zielke (Heinlein). Die zentrale Frage müsse sich von „Was kann das Tool?“ zu „Wie abhängig macht es uns? Kommen wir im Zweifel wieder raus und sind wir damit autark?“ verschieben: „Diese Perspektive gehört vor die Beschaffung und in verbindliche Mindestanforderungen: Betreiberstruktur und Rechtsraum, Kontrolle über Zugriffe und Schlüssel, Auditierbarkeit, Patch- und Incident-Prozesse, Exit-Plan und Notfallbetrieb, ergänzt um klare Regeln und Schulungen für die sichere Nutzung im Alltag.“
„Das größte Umdenken besteht darin, digitale Souveränität nicht als rein technische Frage, sondern als strategische Managementaufgabe zu verstehen“, kommentiert Armin Simon, Regional Director for Encryption Solutions Deutschland bei Thales: „CISOs müssen davon abkommen, sich nur an Compliance zu orientieren – stattdessen sollten sie Abhängigkeitsanalysen und Bedrohungsmodelle auf Lieferketten-Ebene durchführen sowie Exit- und Resilienzstrategien entwerfen. Der Einkauf sollte nicht nur Preis und Funktionalität bewerten, sondern zusätzlich die Lock-in-Risiken, Vertragslaufzeiten und Wechselkosten in Betracht ziehen: ‚Billig, aber unkündbar‘ stellt ein zu hohes Risiko dar.“ Nicht zu vergessen sei, bei Architekturentscheidungen an Schlüsselmanagement, Multi-Vendor-Strategien und automatisierte Migrationen zu denken. Know-how sollte überdies nicht vollständig an Dienstleister auslagert werden.
„Für CISOs gilt es, Souveränität als Steuerungsziel in Sourcing-, Cloud- und Datenstrategien zu verankern – dazu gehören auch Exit-Szenarien und Datenklassifizierung. Admins stehen vor der Herausforderung, hybride Architekturen zu beherrschen, Monitoring auch auf Kontroll- und Metadatenebene zu etablieren und nicht nur Kosten und Features zu optimieren. Auf Seite der Anwender bedarf es höherer Sensibilisierung, welche Daten ‚KI-/ Cloud-tauglich‘ sind und welche zwingend intern bleiben müssen (z.B. durch Off-Cloud-KI-Lösungen)“, fasst Roland Stritt, CRO bei FAST LTA, zusammen.
„Die Hauptschwierigkeit besteht darin, überhaupt erst einmal einen Überblick über die eigene, gewachsene IT-Landschaft zu gewinnen und Schatten-IT in offizielle Lösungen zu überführen“, stellt Heller (IS4IT) fest: „Dann zeigt sich meist, dass das notwendige Umdenken gar nicht so groß ist: Web-Anwendungen kann man leicht digital souverän gestalten – Libre-Office schlägt sich seit Jahren eigentlich ganz gut. Mit den richtigen Ideen ist nicht viel Umdenken notwendig.“
Chris Dimitriadis (ISACA): „Es braucht ein Umdenken auf allen Ebenen: weg von reiner Compliance hin zu proaktivem Risikomanagement. Der CISO muss vom technischen Umsetzer zum strategischen Berater der Geschäftsführung werden, Einkäufer müssen Resilienz über den reinen Preis stellen und Anwender durch Training zu einer ‚menschlichen Firewall‘ werden.“
Dr. Wieland Holfelder, Vice President Engineering Google Cloud bei Google Germany sieht den größten erforderlichen Mentalitätswandel in der „Abkehr von der Illusion, dass vollständige Autarkie die Antwort ist: Souveränität ist ein Spektrum, keine Ja-oder-Nein-Entscheidung. Organisationen brauchen risikobasierte Workload-Klassifizierung statt pauschaler Verbote – wer sich komplett abschottet, verliert den Anschluss.“
Heiko Müller, Senior Manager DevOps und Cloud-Transformation bei HiSolutions, betont: „CISOs und Einkäufer müssen Cybersicherheit als Wachstumsbooster und Standortvorteil begreifen (im Sinne Deutschlands als Cybernation) – CISOs müssen weg von der risikofreien ‚Vollkasko-Mentalität‘ hin zu einer proaktiven Fehlerkultur. Dogmatische Blockaden vermeintlich nichtsouveräner Dienste verhindern hierbei Innovationen. Die resultierenden Wettbewerbsnachteile gefährden durch drohende Insolvenzen oder Übernahmen die Souveränität letztlich womöglich stärker als kontrollierte Abhängigkeiten.“ Gefragt sei eine pragmatische Güterabwägung statt reflexhafter Bedenken – überdies ein Umdenken weg von kurzfristigen Lizenzkosten hin zur Bewertung systemischer Abhängigkeiten. Wichtig sei, dedizierte Use-Cases zu definieren, in denen man die digitale Souveränität betrachtet – konkret: „In einem Dreieck von Souveränität, Sicherheit/Verfügbarkeit und Kosten muss im Kontext des Risikomanagements bewertet werden, welches die optimale Lösung ist.“
„Das größte Umdenken ist, sich von der Vorstellung ‚maximale Unabhängigkeit überall‘ zu lösen und stattdessen gezielte Souveränität entlang des Schutzbedarfs und messbaren Business-Nutzens zu etablieren“, sagt auch Köth (NTT DATA). Seiner Erfahrung nach scheitere digitale Souveränität in der Regel weniger an fehlendem Willen als an fehlender Abstimmung: „Wenn Sicherheit, Einkauf, IT-Betrieb und Fachbereiche unabhängig voneinander Entscheidungen treffen, entstehen Brüche. Erst wenn diese Rollen gemeinsam Verantwortung übernehmen, wird Souveränität vom Konzept zur gelebten Praxis.“
„Auch wenn die Welt durch Technologie eng miteinander verbunden ist, ist es unerlässlich, eine Ablehnung der Souveränität durch ein ‚Business as usual‘ zu vermeiden“, warnt Markus Grau, Enterprise Architect EMEA, Everpure (vormals Pure Storage): „Angesichts der anhaltenden geopolitischen Unsicherheit, des Risikos von Dienstunterbrechungen und neuer Gesetze, die alle Druck auf den Datenzugriff ausüben, ist es entscheidend zu verstehen, wie Dienste gestört werden könnten. Es ist wichtig zu wissen, wer die Befugnis hat, zu bestimmen, wie Daten verwaltet, abgerufen und verwendet werden.“
„CISOs und Beschaffer sollten souveräne Optionen aktiv scouten, testen und in Ausschreibungen als Alternative zulassen“, rät Prof. Dr. Dennis-Kenji Kipker, Research Director & Founder des cyberintelligence.institute (CII): „Admins brauchen Kompetenz für Multi-VendorStacks, Nutzer Offenheit für neue Tools. Und dafür ist ein größeres Umdenken erforderlich: weg von ‚Marktführer = sicher‘ hin zu Kriterien wie Überprüfbarkeit, Redundanz, Interoperabilität und Lock-in-Kosten.“
Digitale Souveränität lässt sich nicht auslagern: CISOs müssen Abhängigkeiten und Vertrauensbeziehungen aktiv managen und nicht nur Risiken dokumentieren. Der Einkauf muss Kontrolle, Auditierbarkeit und die Einhaltung regulatorischer Vorgaben als zentrale Sicherheitskriterien behandeln. Systeme sollten so konzipiert sein, dass sicheres und konformes Verhalten Standard ist“, unterstreicht Erhard Wiese, VP Market Development Deutschland bei Scrive. Der größte Handlungsbedarf bestehe in der Einkaufskultur, wo Bequemlichkeit oft wichtiger sei als Resilienz und kurzfristige Kosteneinsparungen, langfristigen, strategischen Investitionen vorgezogen würden: „Das schiere Volumen an und von Aufträgen sollte genutzt werden, um den europäischen Markt massiv zu stärken und damit Anbieter zu befähigen, mögliche Funktionslücken in den Produkten zu schließen.“ Zudem sollte man durch konsequente Interoperabilität und den Aufbau lokaler Wartungskompetenz die Gefahr von Vendor-Lock-ins reduzieren.
Hilfreiche Begleitung
Eine weitere Frage bezog sich auf hilfreiche Regulierungen oder andere staatliche, regionale oder brancheninterne Aktivitäten, die ein höheres Maß an digitaler Souveränität ermöglichen oder fördern.
Eine wichtige Aufgabe sieht Mörl (itWatch) darin, dass eine „Allianz der Fähigen“ Best Practices mit nachgewiesen hoher Mechanismus-Stärke erstellt – voll integriert aus möglichst nationaler Herstellung. Marktteilnehmer mit hoher Vorbildfunktion sollten solche Lösungen kaufen und einsetzen, um ihre kontinuierliche Verbesserung im Dialog zu gewährleisten: „Wenn nationale Hersteller Produkte mit hoher Mechanismus-Stärke in schmalen Funktionssegmenten (VPN, FPV, Firewall, IP-Verschlüsselung, EDR/EPS, CDR, Schleuse etc.) bauen und der Public Sector als Vorbild die Integration dieser Fähigkeiten zu Komplettlösungen beauftragt, dann profitiert die nationale/europäische digitale Souveränität erheblich.“
Auch für Kosanovic (KPMG) rückt das Zusammenspiel von Wirtschaft und öffentlicher Hand zu nehmend in den Fokus: „Erfahrungen aus öffentlich unterstützten Kooperationsmodellen (z.B. ZenDiS) zeigen, dass durch geeignete Rahmenbedingungen leistungsfähige, europäisch kontrollierte digitale Lösungen entstehen können. Solche Ansätze können Orientierung für weitere Initiativen bieten.“ Die Umsetzung konkreter Maßnahmen – etwa beim Aufbau nationaler Sicherheitsarchitekturen, europäischen KI-Initiativen, souveränen Cloud-Infrastrukturen oder der Stärkung strategischer Schlüsseltechnologien wie der Halbleiterproduktion – erfolge schrittweise und koordiniert: „Auf dem Weg dorthin sind Übergangsmodelle zu erwarten, die bestehende Abhängigkeiten berücksichtigen und zugleich resilientere Strukturen vorbereiten.“
Armin Simon (Thales): „Für Anwender und Nutzer bedeutet digitale Souveränität, dass Komfort oft Abhängigkeit erzeugt und sie sich sensibilisieren müssen, anstatt in Verboten zu denken.“
„Digitale Souveränität entsteht nicht durch Absichtserklärungen, sondern durch verbindliche, messbare Anforderungen in Beschaffung und Betrieb: offene Standards, Portabilität und Auditierbarkeit sowie Transparenz über Betreiberstrukturen“, betont Zielke (Heinlein). Ohne messbare Kriterien bleibe Souveränität bloße Rhetorik: „Es braucht Kennzahlen, die Abhängigkeiten sichtbar machen und ‚Souveränitäts-Washing‘ verhindern. Wenn öffentliche Mittel in Software fließen, muss sie überprüfbar und nachnutzbar sein. ‚Public Money – Public Code‘ sollte zum Leitprinzip werden. Der Deutschland-Stack kann hierfür ein zentrales Instrument sein, wenn Offenheit von Standards, Schnittstellen und Code verbindlich wird und eine Nachnutzung vorhandener Open-Source-Bausteine Vorrang vor Parallelentwicklungen bekommt.“
„Generell sollte die Regel gelten: Public Money, Public Code“, fordert auch Heller (IS4IT). Gerade im Vergabewesen sollten digital souveräne Lösungen ohne ausländische Abhängigkeiten soweit wie möglich bevorzugt werden – dies stärke auch die heimische Wirtschaft. „Wir haben in Deutschland eine sehr leistungsfähige und kreative Softwareindustrie, die in der Lage ist, großartige Software zu entwickeln. Mit KI-gestützter Softwareentwicklung (Vibe-Coding) wird der Wert bestehender Softwareassets gerade massiv nach unten korrigiert: Software lässt sich schneller und passgenauer erstellen als je zuvor. Das ist eine Riesen-Chance für Europa gegen die bestehenden Softwaremonopole.“
Markus Grau (Everpure): „Vorschriften können die Komplexität erhöhen, sind aber für die digitale Souveränität Europas wichtig. In der EU sind bereits mehrere Vorschriften in Kraft und in Vorbereitung, welche die digitale und datenbezogene Souveränität unterstützen.“
Europäische Perspektiven und Chancen „Regulierungen wie NIS-2, DORA oder der AI Act schaffen eine einheitliche Basis für Resilienz und Sicherheit in der EU. Allerdings ist Regulierung allein nicht ausreichend: Sie muss durch gezielte Förderung von Bildung und europäischen Technologie-Ökosystemen flankiert werden“, erläutert Dimitriadis (ISACA).
Köth (NTT DATA) empfiehlt, europäische Regelwerke nicht isoliert zu betrachten und pragmatisch umzusetzen: „Ihre Wirkung entfalten sie vor allem dann, wenn sie Organisationen helfen, klare Erwartungen zu formulieren, Risiken besser zu steuern und Vertrauen in digitale Lösungen aufzubauen.“ Zertifizierungs- und AssuranceProgramme, die Auditierbarkeit und Transparenz entlang der Lieferkette standardisieren, ohne lediglich zusätzliche Bürokratie zu erzeugen, seien ebenfalls gut für die digitale Souveränität.
Resetko (Deloitte) antwortete: „Ein SovereigntyAssessment, wie es beispielsweise das EU Cloud-Sovereignty-Framework als Hilfestellung adressiert, übersetzt Fragestellungen der digitalen Souveränität in eine strukturierte Bewertung, ermittelt Reifegrade und leitet priorisierte Maßnahmen ab, um Datenhoheit zu stärken, Lock-in-Risiken zu reduzieren, Auditierbarkeit zu erhöhen und interne Kompetenzen auszubauen.“
Wir müssen für die Förderung der digitalen Souveränität einen europäischen Markt und ein europäisches Ökosystem schaffen. Wir sollten im Sinne der ‚Cybernation‘ alle Stakeholder zusammenbringen, um koordiniert die digitale Souveränität gemeinsam und erfolgreich umzusetzen“, konstatiert Pohlmann (if(is)). Diese Aufgabe könnte der Staat durch die Finanzierung eines gemeinsamen Projektbüros und die Schaffung rechtlicher Möglichkeiten fordern und fördern.
„Förderlich wäre ein europäisches Beschaffungsregister mit Souveränitäts-Score, Branchenprofilen und Vergleichbarkeit – etwa nach Standards, Portabilität, Jurisdiktion und Supply-Chain –, um digital souveräne Produkte für jedermann zugänglich zu machen“, meint Kipker (CII). Anlässlich des Digitalgipfels der Bundesregierung Ende 2025 wurde beispielsweise die CII-Initiative „European Value Creation Alliance Cybersecurity & Resilience“ (EUCRA) vorgestellt, die ein entsprechendes Portal aufbauen will.
„Staatliche Impulse müssen den ‚Mut zur Tat‘ fördern (Stichwort Cybernation) und durch ‚Important Projects of Common European Interest‘ (IPCEI) sowie einheitliche Cloud-Sicherheitsstandards die Kooperation mit US-Anbietern unter EU-Regeln rechtssicher gestalten“, sagt Hansgeorg Langhorst, Team Manager DevOps & Cloud Transformation bei HiSolutions: „Notwendig ist außerdem ein europäischer Souveränitätsfonds und eine Harmonisierung der Datenschutzaufsicht zur Reduktion von Interpretationsspielräumen. Darüber hinaus bilden der gemeinschaftliche Zugriff auf Quellcodes, die Verwendung sicherheitsgeprüfter System-Vorlagen sowie herstellerunabhängige Software-Arbeitsplätze wesentliche Grundlagen für eine transparente und kontrollierbare Infrastruktur.“
„Regulierung sollte nicht Technologien vorschreiben, sondern Transparenz einfordern“, fordert Schulte (Retarus): „Wir brauchen überprüfbare Fakten statt Marketing-Versprechen. Eine klare Vorgabe, dass Unternehmen jederzeit nachweisen müssen, wer auf ihre Daten zugreift, würde jenen Anbietern helfen, die offen arbeiten und nichts zu verbergen haben. Das schafft echte Zukunftssicherheit jenseits einzelner Regularien wie NIS-2 oder DORA.“
Und Bell (OpenText) überlegt: „Vorschriften und Rahmenbedingungen, die auf Transparenz, Überprüfbarkeit, Rechenschaftspflicht und Rückverfolgbarkeit abzielen, sind besonders hilfreich, weil sie Souveränität messbar machen. Risikobasierte Governance, Dokumentation und Aufsicht zwingen Organisationen und Anbieter dazu, Systemverhalten und Datenflüsse nachvollziehbar offenzulegen. Am wirksamsten sind Vorschriften, die klare Erwartungen setzen, ohne Innovation unnötig einzuschränken.“
„Wir benötigen Förderung für europäische Infrastruktur, Open-Source-Ansätze und Regulierungen, die befähigen anstatt Abschottung zu fördern“, antwortete Simon (Thales). Hilfreich seien auch Ansätze wie bei DORA, um Resilienz, Exit-Fähigkeit und Transparenz zu erlangen: „Des Weiteren benötigen wir einheitliche europäische Mindeststandards für Cloud-Sicherheit, Schlüsselmanagement und Datenportabilität.“
„Hilfreich wären verpflichtende Souveränitäts- und Exit-Bewertungen in öffentlichen IT-Beschaffungen, Mindestanforderungen an Offenheit und Interoperabilität, gezielte Förderung europäischer Plattformen, langfristige Rahmenverträge mit Mehranbieter-Modellen sowie die konsequente Anwendung des EU-Cloud-SovereigntyFrameworks“, betont Loebenberger (GI). Wichtig seien zudem die Stärkung gemeinsamer europäischer Betriebs- und Zertifizierungsstrukturen.
IT-Compliance-Managerin Dr. Aleksandra Sowa aus der GI-Fachgruppe „Datenschutzfördernde Technik (PET)“ ergänzt, dass Ina Schieferdecker und Christoph March in ihrem Gaia-X-Paper „Technological Sovereignty as Ability, Not Autarky“ [2] die Auffassung vertreten, dass Normen und Werte in entwickelter Technologie bereits verankert seien – deshalb habe nicht nur die Nutzung, sondern bereits das Design von Technologie moralische Implikationen. Sowa folgert: „Eine Ex-post-Regulierung ist nicht ausreichend, um digitale oder technologische Souveränität zu sichern. Vielmehr muss diese entlang der gesamten technologischen Entwicklungskette ‚by Design‘ gewährleistet werden – von der Grundlagenforschung bis zur Einführung und Anwendung.“
Fortsetzung folgt in der nächsten <kes>
Literatur
[1] N. N., Digitale Souveränität – Wege, Ziele, Widrigkeiten (1), Diskussion zu Begrifflichkeit, Problemen und Lösungsansätzen, 2026# 1, S. 29, www.kes-informationssicherheit.de/print/titelthemait-grundschutz-2/digitale-souveraenitaet-wege-zielewidrigkeiten-1/ (<kes>+)
[2] Christoph March, Ina Schieferdecker, Technological Sovereignty as Ability, Not Autarky, CESifo Working Paper No. 9139, Juni 2021, www.ifo.de/cesifo/ZRF