Digitale Souveränität – Wege, Ziele, Widrigkeiten (1) : Diskussion zu Begrifflichkeit, Problemen und Lösungsansätzen
Um die Debatte um Möglichkeiten und Unmöglichkeiten in Sachen digitaler Souveränität auf eine möglichst stabile Basis zu stellen, hat die <kes> eine Reihe von Experten* aus Wirtschaft, Wissenschaft und Verbänden um ihre Einschätzungen zur Begrifflichkeit, zu Herausforderungen und Lösungswegen sowie zukünftigen Entwicklungen gebeten.
Viele heiße Themen bergen die Gefahr, dass die Debatte um „schwarz oder weiß“ sowohl das „Worum geht es eigentlich genau?“ als auch die meist möglichen vielen Graustufen der konkreten Ausgestaltung in den Hintergrund drängt. Zu Beginn unserer vorliegenden Expertenumfrage wollte die daher wissen: Was genau verstehen Sie unter digitaler Souveränität? Auszüge aus gut zwanzig Antworten, die hierzu eingegangen sind, füllen das Gros des ersten Teils unserer Beitragsreihe.
Definition
Weitgehende Einigkeit besteht offenbar darin, dass digitale Souveränität nicht mit dem Streben nach absoluter Autarkie gleichzusetzen ist. Vielmehr geht es vorrangig um die Realisierung von Kontrolle und selbstbestimmtem Handeln sowie die Aufrechterhaltung der eigenen Handlungsfähigkeit auch bei veränderten Rahmenbedingungen und in kritischen Situationen – insofern sprechen einige Stimmen auch von klaren Verbindungen zur Resilienz.
Daniel Loebenberger antwortete als Sprecher für den Fachbereich „Sicherheit – Schutz und Zuverlässigkeit“ der Gesellschaft für Informatik (GI) e.V.: „Als digitale Souveränität bezeichnet man die Fähigkeit eines Staates oder einer Organisation, digitale Technologien selbstbestimmt einzusetzen, zu betreiben, zu verändern und im Krisenfall weiterzuführen. Dies umfasst rechtliche, technische, wirtschaftliche und organisatorische Aspekte“ (vgl. [1]). Dabei sei zwar keine absolute Autarkie gefordert, wohl aber Handlungs- und Entscheidungsfähigkeit auf strategischer (Anbieterauswahl, Exit-Optionen), rechtlicher (Gerichtsbarkeit, Zugriffsschutz), operativer (Betrieb, Wartung, Know-how), technologischer (Transparenz, Auditierbarkeit) sowie ökonomischer Ebene (Kosten- und Preiskontrolle): „Operative Abhängigkeiten, Exit-Kosten, Fachkräftebindung und Krisen- sowie Sanktionsszenarien kommen allerdings in der Debatte häufig zu kurz – der Fokus liegt zu stark auf Datenstandortfragen.“
„In der aktuellen Diskussion wird häufig zu stark auf den Anbieterfokus geschaut (europäisch vs. nicht-europäisch) und zu wenig auf echte Kontrollmechanismen,“ betont auch Armin Simon, Regional Director for Encryption Solutions Deutschland bei Thales – wesentlich seien hier etwa die Schlüsselhoheit, Exit-Strategien, Abhängigkeiten durch Subscriptions oder auch ein Lock-in auf Prozess- und Betriebsebene. Bei der Betrachtung digitaler Souveränität sei zudem eine Untergliederung in drei miteinander verbundene Teilbereiche sinnvoll: Datensouveränität als Kontrolle über Speicherort und Verarbeitung von Informationen (inkl. technischer, rechtlicher und organisatorischer Absicherung), Technologiesouveränität vor allem im Sinne von Nachvollziehbarkeit und Verfügbarkeit (inkl. Wissen, Transparenz, Interoperabilität und Exit-Fähigkeiten) sowie operative Souveränität, die sicherstellt, dass eine Organisation auch bei Lieferantenwechseln, geopolitischen Spannungen, regulatorischen Änderungen oder wirtschaftlichen Krisen einzelner Anbieter handlungsfähig bleibt.
Erhard Wiese (Scrive): „Neben fragmentierter Governance und veralteten Infrastrukturen sind deutsche und europäische Organisationen zu stark von außereuropäischen Anbietern abhängig, ohne ausreichende kompensatorische Kontrollmechanismen zu haben.“
Vojislav Kosanovic, Partner „Technology Strategy & Operations“ bei KPMG, sieht in der Praxis verschiedene Reifegrade: „Diese reichen von Datensouveränität, bei der Datenschutz und rechtliche Kontrolle im Vordergrund stehen, über betriebliche Souveränität mit europäischem Betrieb und klaren Zugriffs- und Governance-Regeln bis hin zu software- und technologiebezogenen Ansätzen, bei denen Entwicklung, Betrieb und Weiterentwicklung stärker im europäischen Rechtsraum verankert sind. Eine vollständig technologische Souveränität über die gesamte digitale Wertschöpfungskette ist aufgrund globaler Liefer- und Innovationsstrukturen derzeit aber kaum realistisch.“
Entscheidend ist, ob Organisationen auch unter Druck handlungsfähig bleiben“, sagt Dr. Philipp Müller, Vice President Public Sector bei DriveLock: „Hier ist Resilienz der hilfreichere Begriff – er beschreibt die Fähigkeit, Abhängigkeiten zu kennen, bewusst einzugehen und im Ernstfall steuern zu können.“
Für Andreas Barke, Information Security Consultant bei HiSolutions, umfasst Souveränität zwingend eine Agenda für Resilienz: „In Extremfällen, wie die Kriegslage im Fall der Ukraine zeigt, ist auch Georedundanz von Rechenzentren eine wichtige Voraussetzung für Souveränität.“ Generell sollte eine risikobasierte Abschätzung von sinnvollen und konsistenten Maßnahmen im Vordergrund stehen – die oft binäre Diskussion um Souveränität schaffe häufig eine Barriere, die Souveränitätsprobleme einer Organisation eher noch vergrößere. Dabei sei Souveränität heute eine Bedingung für globale Wettbewerbsfähigkeit: „Es geht um die Freiheit, Entscheidungen für oder gegen Anbieter treffen zu können, ohne die Integrität (Schutz vor Spionage/Sabotage) zu gefährden.
Selbstbestimmtes Handeln
Die Fähigkeit zur digitalen Selbstbestimmung betont auch Chris Dimitriadis, Global Chief Strategy Officer der ISACA: „Unabhängigkeit ist dabei sowohl auf der Infrastrukturebene (z.B. Cloud-Dienste) erforderlich als auch auf der Daten-, Software- und Kompetenz-Ebene. In der Debatte wird oft übersehen, dass qualifizierte Fachkräfte und eine aktive Governance-Kultur die Grundlage für Souveränität sind: Ohne eigene Experten, die unsere digitalen Systeme entwickeln, steuern und prüfen können, bleibt technologische Autonomie eine Illusion.“
Zu selbstbestimmtem Handeln und Entscheiden im digitalen Raum zählt für Dirk Arendt, Director Government & Public Sector DACH bei Trend Micro, das Vermögen, selbstbestimmt zwischen Alternativen entscheiden und diese bewusst und verantwortungsvoll einsetzen zu können: „Cybersicherheit ist dabei essenzielle Voraussetzung für Souveränität, denn Organisationen unter permanentem Angriffsdruck verlieren ebendiese Handlungsfähigkeit für strategische Entscheidungen.“
„Durch das Erreichen digitaler Souveränität können auch die gewünschten und notwendigen Cyber-Sicherheits- und Ethik-Anforderungen umgesetzt werden“, konstatiert Prof. Norbert Pohlmann, Geschäftsführender Direktor des Instituts für Internet-Sicherheit – if(is) an der Westfälischen Hochschule Gelsenkirchen: „Da eine vollständige digitale Souveränität in der Regel nicht finanziell umgesetzt werden kann, sollten zumindest wichtige Schlüsseltechnologien unabhängig beherrscht und weiterentwickelt werden können.“ Die wachsende Abhängigkeit von global agierenden monopolistischen Technologie- und Dienste-Anbietern mache die Frage der digitalen Souveränität immer dringlicher: „Eine solche Cyber-Dominance liegt vor, wenn Hersteller durch den Zugriff auf Informationen und die strukturelle Kontrolle über ihre digitalen Lösungen eine dauerhafte Möglichkeit haben, unkontrolliert Einfluss zu nehmen.“ Das sei zurzeit bei digitalen Alltagslösungen wie Smartphones, Smartwatches, Notebooks, PCs, Smarthome-Lösungen und vielem mehr bereits gegeben – aber auch bei Social-Media- und E-CommercePlattformen, Cloud-Infrastrukturen sowie KI-Diensten.
Als größten „blinden Fleck“ sieht Shannon Bell, EVP, CIO & CDO bei OpenText, derzeit die KI: „Wenn sich nicht eindeutig belegen lässt, welche Daten genutzt werden, wie Schlussfolgerungen entstehen oder welche Rechtsordnung gilt, gibt es keine Souveränität – das gilt auch dann, wenn die Daten lokal gespeichert sind.“
Wichtig für die digitale Souveränität seien zudem Überprüfbarkeit, konsistente Governance, wirksame Identitätskontrollen und rechtliche Absicherung in hybriden Umgebungen.
Häufig gibt es eine große Diskrepanz zwischen formaler Compliance und tatsächlicher Kontrolle, insbesondere wenn Serviceketten, Zuständigkeiten oder Vertrauensannahmen nicht ausreichend transparent sind“, warnt Erhard Wiese, VP Market Development Deutschland bei Scrive. Man übersehe dabei bisweilen, dass Souveränität kein statischer Zustand ist, sondern eine permanente Investition in lokale Wartungskompetenz und digitale Bildung erfordert. Außerdem werde zu wenig über verpflichtende Exit-Strategien gesprochen, die einen Anbieterwechsel ohne massiven Funktionsverlust technisch erst ermöglichen.
IT-Compliance-Managerin Dr. Aleksandra Sowa aus der GI-Fachgruppe „Datenschutzfördernde Technik (PET)“ ergänzt, dass die Perspektiven von Staat und Wirtschaft einerseits sowie Individuen andererseits durchaus voneinander abweichen können, wenn man zwar Unabhängigkeit wahren, nicht aber auf Vorteile von Globalisierung und Innovation verzichten will: „Für Bürgerinnen und Bürger bedeutet digitale Souveränität, bewusste Entscheidungen über die Nutzung digitaler Angebote treffen zu können, Risiken zu kennen, Kontrolle über eigene Daten, Identität und Privatsphäre zu behalten. Für Unternehmen und Regierungen hingegen bedeutet digitale Souveränität häufig, kritische Infrastrukturen, Datenströme oder Schlüsseltechnologien sicher zu betreiben. Folgt man diesem Gedanken, darf digitale Souveränität nicht bedeuten, eine technologische Abhängigkeit (z.B. von USA, China o. Ä.) lediglich gegen eine andere (ggü. Deutschland oder der EU) auszutauschen. Es geht vielmehr darum, individuelle Unabhängigkeit, Freiheit und Mündigkeit zu ermöglichen – und dafür die entsprechenden Rahmenbedingungen staatlicher und wirtschaftlicher digitaler Souveränität zu schaffen.“
„Innovation und Kontrolle, nicht Innovation oder Kontrolle“, sieht auch Dr. Wieland Holfelder, Vice President Engineering Google Cloud bei Google Germany, als eine zentrale Anforderung. Digitale Souveränität bedeute Wahlfreiheit, Daten und Technologie nach eigenen Regeln steuern zu können: „mit Sicherheits- und Compliance-Garantien – das ist kein Alles-oder-Nichts-Prinzip, sondern ein Spektrum“.
Oliver Köth, Managing Director Technology & Innovation DACH bei NTT DATA, versteht digitale Souveränität als ein Spektrum mehr oder minder ausgeprägter Abhängigkeiten: „Das notwendige Maß der Unabhängigkeit muss dabei individuell auf mehreren Ebenen betrachtet werden und hängt zudem stark vom Schutzbedarf der jeweiligen Anwendung oder Workloads ab. Governance und Vertrauen, der digitale Technologie-Stack, die physische Infrastruktur und Lieferketten sowie die Verfügbarkeit von qualifiziertem Personal und entsprechenden Skills spielen dabei eine gleichwertige Rolle. Zu bedenken ist, dass selbst in stark regulierten Bereichen nicht immer volle Eigenständigkeit der genutzten Lösungen nötig ist – oft reicht ein hybrides oder ‚privates‘ Modell.“ In der aktuellen Diskussion werde außerdem häufig übersehen, dass Abhängigkeiten auch Bereiche wie Stromversorgung, Materialien, Logistik, Finanzierung, Forschung und Entwicklung sowie geistiges Eigentum betreffen. „Wichtig ist mir vor allem, dass digitale Souveränität kein Selbstzweck ist und sein darf. Sie entfaltet ihren Wert erst dann, wenn sie konkrete Entscheidungsfreiheit schafft – also die Fähigkeit, Technologien bewusst auszuwählen, kontrolliert zu betreiben und bei Bedarf auch wieder zu verändern oder zu verlassen. Genau diese Handlungsfähigkeit wird in vielen Diskussionen unterschätzt.“
Management von Abhängigkeiten?
Für Dr. Andreas Rohr, Geschäftsführer der DCSO – Deutsche Cyber-Sicherheitsorganisation, bedeutet Souveränität: „Abhängigkeiten kennen, bewerten und steuern – und nicht ausschließlich von positiven Szenarien der Vernunft eines beiderseitigen Nutzens von Beziehungen auszugehen. Gerade in globalen Lieferketten ist die Frage nicht, ob wir abhängig sind, sondern wie bewusst wir damit umgehen.“ Entscheidend sei die Analyse der gesamten Kette: Komponenten, (Sub-)Lieferanten, Fertigungsstandorte, regulatorische Zugriffsmöglichkeiten sowie exogene Marktbeeinflussung. Die eigene Strategie dürfe dabei „nicht ausschließlich auf ein kurzfristig optimales Kosten-/Nutzenverhältnis setzen, sondern muss potenziell existenzielle Risiken in der Wertschöpfung und die Vorhersagbarkeit von Änderungen der Rahmenbedingungen in den Fokus nehmen.“
„Unter digitaler Souveränität verstehen wir nicht die komplette Abschottung von Abhängigkeiten, sondern die Fähigkeit eines Unternehmens oder einer öffentlichen Institution, flexible, unabhängige und sichere Entscheidungen in Bezug auf die eigene Geschäftstätigkeit, Daten, Software und Infrastruktur zu treffen und dabei eine strategisch angemessene Kontrolle innerhalb der geltenden rechtlichen Rahmenbedingungen und geografischen Grenzen sicherzustellen“, unterstreicht Aleksei Resetko, Sovereign Cloud Security Lead Partner bei Deloitte Deutschland.
Shannon Bell (OpenText): „Bei digitaler Souveränität geht es darum, dass Unternehmen selbst bestimmen, wie sensible Informationen gespeichert, verarbeitet, gesteuert und geschützt werden. Wichtig sind eine konsistente Governance, wirksame Identitätskontrollen sowie Überprüfbarkeit und rechtliche Absicherung in hybriden Umgebungen“
Die Frage des Vendor Lock-in komme häufig zu kurz, mahnt Daniel Zielke, Direktor strategische Partnerschaften der Heinlein Gruppe: „Solange alles läuft, wirken Abhängigkeiten harmlos. Sichtbar werden sie, wenn sich Rahmenbedingungen ändern – dann zeigt sich, ob man tatsächlich ausweichen kann oder faktisch festhängt.“ Digitale Souveränität erfordere daher Kontrolle statt Abhängigkeit: „Entscheidend ist, ob eine Organisation ihre digitale Infrastruktur rechtlich, technisch und organisatorisch so steuern kann, dass sie im Ernstfall handlungsfähig bleibt. Dazu gehört der Rechtsraum, in dem ein Anbieter tatsächlich gebunden ist, ebenso wie die Kontrolle über Identitäten, Adminrechte und Schlüssel sowie ein belastbarer Betrieb. Digitale Souveränität beginnt dort, wo zentrale Infrastrukturen nicht von externen Entscheidungen abhängig sind. Außerdem müssen die Daten, die ich produziere, mir gehören – und zwar nur mir!“
Auch Ramon Mörl, Geschäftsführer der itWatch, sieht in digitaler Souveränität nicht zuletzt die „Selbstbestimmung über die Sichtbarkeit, Nutzung, Speicherung und Veränderung ‚meiner‘ Daten und insbesondere auch für Daten über mich.“
Entscheidungsfreiheit über Daten, Technik und Regeln – ohne Zwang in ein Ökosystem“, steht für Prof. Dr. Dennis-Kenji Kipker, Research Director & Founder des cyberintelligence.institute (CII), im Fokus der digitalen Souveränität. Dabei gehe es nicht um Autarkie: „Wichtig sind vielmehr Alternativen auf Infrastruktur-, Plattformund Anwendungsebene.“ Häufig werde hierbei übersehen, dass auch Europa durchaus viele starke Lösungen bereitstellt: „Sie sind nur bislang nicht sichtbar genug.“
„Geschäftsprozesse und dazugehörige Infrastruktur müssen vor Entscheidungen außereuropäischer Mächte schützbar sein“, unterstreicht Markus Heller, Principal Consultant bei IS4IT: „Digitale Souveränität ist die Fähigkeit, Geschäftsprozesse aufrechtzuerhalten, auch wenn ausländische Hersteller ihre Services aus politischen Gründen einstellen.“ Abhängigkeiten – vor allem von Microsoft – bestünden heute vor allem im Office-Bereich: „Abseits davon sieht die Welt gänzlich anders aus. Nur wenige Unternehmensanwendungen sind noch strikt an Microsoft oder Apple gebunden. Der Trend geht klar zu BrowserApps und Cloud – damit wird das Client-Betriebssystem zweitrangig. In der Cloud laufen Backends ohnehin oft auf Linux. Aber auch on-Prem sehen wir schon heute viele Linux-Installationen – vor allem in hochsicheren Bereichen wie Luft- und Seeverkehrsmanagement. Behörden sind ebenfalls oft weiter als gedacht: Sparvorgaben früherer Jahre haben sie aus Kostengründen früh zu Open Source gebracht.“
„Digitale Souveränität umfasst den gesamten Technologie-Stack eines Unternehmens – Server, Netzwerke, Softwareplattformen und Infrastruktur“, sagt Markus Grau, Enterprise Architect EMEA bei Pure Storage: „Es geht darum, die Autonomie über das gesamte digitale Ökosystem zu bewahren. Ein weiteres wichtiges Element, das nicht übersehen werden darf, ist die Datenhoheit, die sich auf den Grundsatz bezieht, dass Daten den lokalen Gesetzen und Vorschriften unterliegen, wo sie erfasst oder gespeichert werden. Da Unternehmen für ihre Geschäftsprozesse und zur Gewinnung von Erkenntnissen zunehmend auf ihre Daten angewiesen sind, ist es von größter Bedeutung, wo diese gespeichert werden, damit Führungskräfte die Compliance gewährleisten können.“
Herausforderungen Eine weitere Frage galt naturgemäß den derzeit größten Problemen oder Herausforderungen, um als deutsche/europäische Organisation digitale Souveränität zu erlangen. Wenig überraschend nannten etliche Teilnehmer hier (zumindest auch) die Vorherrschaft weniger, vor allem US-amerikanischer Anbieter. So berichtet etwa Roland Stritt, CRO bei FAST LTA „Wir sehen leider eine starke Abhängigkeit von wenigen US-/Nicht-EU-Plattformen und lediglich begrenzte europäische Alternativen im Enterprise-Segment.“ Als weitere Schwierigkeit sieht er zudem einen Fachkräftemangel für souveräne Architekturen.
„Die Abhängigkeit von US-Hyperscalern ist so tief verankert, dass ein Verzicht darauf vielerorts die Betriebskontinuität gefährden würde“, stellt Arendt (Trend Micro) fest: „Gleichzeitig ermöglicht der US Cloud-Act behördlichen Datenzugriff unabhängig vom physischen Speicherort [vgl. S. 24] – dieser Rechtskonflikt mit der DSGVO ist bis heute ungelöst.“ Nationale Neuentwicklungen erforderten jedoch jahrelange Forschungsarbeit und Milliarden-Investitionen, um eine vergleichbare Skalierung und Funktionstiefe zu erreichen: „Deutsche Unternehmen und Behörden sollten deshalb auch Alternativen aus vertrauenswürdigen Partnerländern in Betracht ziehen. Neben EU-Mitgliedstaaten zählt Japan zu den engen Wertepartnern, mit denen die Bundesrepublik eine umfassende strategische Partnerschaft – gerade auch in (Cyber-)Sicherheitsfragen pflegt.“ Überdies warnt Arendt, dass der häufig ins Spiel gebrachte Ausweg „Open Source“ ebenfalls Risiken berge: „Der xz-Utils-Backdoor-Fall demonstrierte 2024, wie staatlich motivierte Akteure CommunityProjekte über Jahre hinweg infiltrieren können – Zudem scheitern Open-Source-Deployments häufig an Wartung und Dokumentation.“
Auch Simon (Thales) sieht ein Problem in der Marktdominanz weniger globaler Anbieter: „Der hohe Komfort und die Innovationsgeschwindigkeit haben zu einem faktischen Vendor-Lock-in geführt. Darüber hinaus fehlen Fachkräfte, die Zeit und das Budget für Alternativen. Weitere Herausforderungen sind die Komplexität moderner IT-Landschaften.“ Darüber hinaus stellen Subscriptionsmodelle ein Risiko dar, „weil bei einer Nichtverlängerung die Nutzung nicht mehr möglich ist und es kaum Rückfalloptionen gibt“.
„Zentrale Probleme sind Marktkonzentration bei US-Hyperscalern, fehlende konsequente Ausschreibungen, geringe Investitionen in europäische Alternativen, eine Fragmentierung des Marktes, Fachkräftemangel sowie politische Inkonsistenz zwischen Souveränitätsrhetorik und Beschaffungspraxis“, listet Loebenberger (GI) eine ganze Reihe von Herausforderungen auf. Hinzu komme noch eine heikle kulturelle Gewöhnung an proprietäre Ökosysteme.
„Die größten Hürden sind weniger fehlende Produkte als die Beschaffungspraxis: geringe Marktdurchdringung, Lock-in in Lizenz- und Cloud-Ökosysteme, geringere Marketingbudgets europäischer Anbieter und zu enge Ausschreibungsanforderungen der öffentlichen Hand“, beobachtet Kipker (CII): „Dadurch bleibt das vorhandene EU-Angebot oft unsichtbar – und Entscheidungen zu mehr digitaler Souveränität lassen sich leicht begründbar hinauszögern.“
„Das Kernproblem ist eine fehlende Transparenz in Tier-n-Lieferketten. Viele Organisationen kennen nur den direkten Tier-1 – die Verwundbarkeit liegt jedoch oft tiefer“, antwortete Rohr (DCSO) und warnt gleichzeitig, dass durch eine vereinfachte Sicht auf Anbieter nur eine Scheinsouveränität entstehe: „EU-Anbieter“ seien einerseits auch kein Garant, wenn kritische Vorprodukte aus den USA oder China stammen – und andererseits: „Investitionspolitik für Resilienz erfordert, den Fokus auf rein EU-gestützte Organisationen und Projekte zu lenken. Dies würde nicht der bisherigen regelbasierten Ordnung in einer globalisierten Welt entsprechen, was im Rahmen der EU-Politik schwer anzuerkennen und – aufgrund des Einstimmigkeitsprinzips – nur schwer anzupassen wäre.“
Für Sebastian von Bomhard, Vorstand und Gründer der SpaceNet, ist die größte Hürde das Thema „Legacy“: „Organisationen stecken häufig in gewachsenen IT-Architekturen fest und sehen sich dadurch in einem Vendor-Lock-in. Sie erkennen keine realistische Alternative, obwohl es in der Regel auch lokale Lösungen zu großen Anbietern wie Microsoft, Amazon oder Google gibt.
Dr. Wieland Holfelder (Google Germany): „Deutschland fehlt ein einheitlicher Anforderungskatalog für souveräne Clouds. Europa versucht, Rückstände durch Isolation aufzuholen – das ist eine Wette gegen die Zeit.“
Veränderungen und neue Systeme sind jedoch immer mit Unsicherheit verbunden und haben oft auch persönliche Auswirkungen. Wandel und digitale Souveränität erfordern daher bewusste Alternativen statt Monokultur.“
Macht der Gewohnheit und problematische Altlasten
„Das größte Hindernis für digitale Souveränität ist oft die Macht der Gewohnheit“, meint Sören Schulte, E‑Mail-Security-Experte bei Retarus: „Viele Unternehmen scheuen den vermeintlichen Aufwand eines Wechsels, obwohl sie bei ihren aktuellen Anbietern juristische oder regulatorische Bauchschmerzen haben. Es braucht daher Lösungen, die Souveränität pragmatisch ermöglichen und sich nahtlos in laufende Transformationsprojekte integrieren, statt sie zu blockieren.“
„Die Beharrungskräfte in Unternehmen und Organisationen sind die größten Hemmschuhe, um digitale Souveränität zu erlangen. Der Mensch ist ein Gewohnheitstier – auch was die IT anbelangt“, sagt auch Heller (IS4IT): „Es erfordert Initiative und Überzeugungsarbeit damit frühzeitig gehandelt wird. Nur wer seine Strategie selbstkritisch hinterfragt und sich Freiräume schafft, ist auf geopolitische Verwerfungen vorbereitet.“
Mörl (itWatch) beklagt, dass vielfach eine „jahrzehntelange Mischung aus Mainstream, Kostenfaktor, Individualsoftwareentwicklung von Fachverfahren und ‚Lass es die anderen machen‘ – Consulting und IT-Dienstleister – zu reduziertem Know-how“ geführt haben: „Organisationen haben so ihre Entscheidungsfähigkeit nach Qualitäts- und Nachhaltigkeitskriterien verloren.“ Überdies würden durchaus vorhandener politischer Wille sowie vorliegende Erkenntnisse (z.B. zu demokratiegefährdenden Fake News oder staatlich motivierten Hintertüren in Soft- und Hardware) nicht zu tatsächlichen Handlungen führen.
„In Europa wird digitale Souveränität intensiv diskutiert, aber oft nicht konsequent umgesetzt“, bedauert Müller (DriveLock): „Der Fokus liegt zu häufig auf politischen Schlagworten statt auf operativer Steuerbarkeit. Gleichzeitig fehlt es an wirksamer Nachfragebündelung: Öffentliche Auftraggeber und große Organisationen agieren fragmentiert und senden damit widersprüchliche Signale an den Markt. Hinzu kommen Vergaberegeln, die IT-Sicherheit häufig wie ein austauschbares Produkt behandeln und europäische Sicherheitsarchitekturen oder Betriebsmodelle kaum berücksichtigen. So entsteht wenig Planungssicherheit für Anbieter, die langfristig in europäische Resilienz investieren.“ Abschottung sei allerdings auch keine Lösung: „Sie erhöht die Komplexität und schafft neue Abhängigkeiten. Entscheidend sind transparente Kriterien, klare Verantwortlichkeiten und koordinierte Nachfrage.“
„Ein wesentliches Hindernis für digitale Souveränität ist der Mangel an reproduzierbaren und standardisierten Betriebsmodellen“, sagt Hansgeorg Langhorst, Team Manager DevOps & Cloud Transformation bei HiSolutions: „Viele IT-Infrastrukturen sind historisch gewachsen, individuell angepasst und stark personenabhängig. In Krisen- oder Wiederanlaufsituationen führt dies zu eingeschränkter Beherrschbarkeit, langen Wiederherstellungszeiten und einer faktischen Abhängigkeit vom bestehenden Zustand. Digitale Souveränität erfordert jedoch, dass die entsprechenden Systeme unabhängig von einzelnen Personen oder Dienstleistern nachvollziehbar, wiederholbar und kontrolliert neu aufgebaut werden können. Reproduzierbarkeit ist damit keine optionale technische Eigenschaft, sondern eine zentrale Voraussetzung operativer Handlungsfähigkeit.“
Festgefahrene Denkweisen
„Die größte Herausforderung ist, dass viele Unternehmen Souveränität als Infrastrukturproblem sehen und nicht als Frage der Governance in hybriden Umgebungen“, berichtet Bell (OpenText): „Sensible Daten sind längst über lokale Systeme, mehrere Clouds, SaaS-Platt formen und Partner-Ökosysteme verteilt – ohne einheitliche Kontrollen und durchgängige Transparenz über alle Umgebungen hinweg ist Souveränität nicht möglich.“
Viele Organisationen behandeln digitale Souveränität als kurzfristiges Projekt – tatsächlich handelt es sich aber um einen längerfristigen Lern- und Veränderungsprozess, der strategische Entscheidungen, Investitionen und auch bewusste Priorisierungen erfordert“, erläutert Köth (NTT DATA): Etliche Organisationen seien zudem neben der Souveränitätsfrage mit einer Vielzahl paralleler Anforderungen konfrontiert: „Ohne klare Priorisierung und Struktur entsteht sehr schnell Überforderung statt Souveränität. Hinzu kommt die Komplexität des Marktes, die Organisationen zwingt, bewusst strategische ‚Bets‘ zu platzieren und iterativ zu lernen. Und auch in Sachen Governance und Architektur gibt es Engpässe: Häufig fehlt zum Beispiel eine klare Struktur oder sie ist zu schwergewichtig, sodass Portabilität und Exit-Strategien nur in der Theorie möglich sind.“
Auch Zielke (Heinlein) sieht Probleme im Mindset: „Wenn ‚Es funktioniert ja gut!‘ die Annahme ist und diese darauf beruht, dass es so bleiben wird, dann kommen wir in immer größere Abhängigkeiten.“ Die Frage müsse vielmehr lauten: „Bin und bleibe ich mit dem eingesetzten Tool handlungsfähig?“ Ein weiteres zentrales Problem sei die fehlende strategische Verankerung digitaler Souveränität: „Sie wird häufig als abstraktes politisches Ziel verstanden, nicht als konkrete Management- und Zukunftsaufgabe. In der Praxis mangelt es an Wissen über verfügbare Open-Source- und europäische Alternativen, am Verstehen der Notwendigkeit digitaler Souveränität, an klaren Entscheidungsgrundlagen sowie an Ressourcen für geplante Transformationsprozesse.“
Fortsetzung folgt in der nächsten <kes>
Literatur
[1] Europäische Kommission, Cloud Sovereignty Framework, Version 1.2.1, Oktober 2025, https://commission.europa.eu/document/download/09579818-64a6-4dd5-9577-a46ab6219113_en
[2] Florian Oelmaier, Gerald Boyne, Souveränität umfassend definiert, Warum digitale Souveränität viel mehr ist als nur Datensouveränität, 2025#4, S. 73, www.kes-informationssicherheit.de/print/titelthema-digitalesouveraenitaet-mehr-als-hoheit-ueber-daten/souveraenitaet-umfassend-definiert/ (<kes>+)
[3] Florian Oelmaier, Gerald Boyne, Souveränität global geliefert, Wie stabilisiert Europa die Kontrolle über die digitale Souveränität?, 2025#5, S. 61, www.kes-informationssicherheit.de/print/titelthema-brauchtdeutschland-einen-cybershield-und-weitere-fragen-der-sicherheitspolitik/souveraenitaet-global-geliefert/ (<kes>+)
[4] Norbert Luckhardt, Souverän sind wir!, 2025#5, S. 3, www.kes-informationssicherheit.de/print/titelthema-braucht-deutschland-einen-cybershield-undweitere-fragen-der-sicherheitspolitik/souveraen-sindwir/ (<kes>+)