Digitale Souveränität Digitale Souveränität – Wege, Ziele, Widrigkeiten (3) : Diskussion zu Begrifflichkeit, Problemen und Lösungsansätzen
Um die Debatte um Möglichkeiten und Unmöglichkeiten in Sachen digitaler Souveränität auf eine möglichst stabile Basis zu stellen, hat die eine Reihe von Experten* aus Wirtschaft, Akademia und Verbänden um ihre Einschätzungen zur Begrifflichkeit, zu Herausforderungen und Lösungswegen sowie Prognosen für die absehbare Zukunft gebeten.
Die ersten Teile dieses Beitrags [1, 2] haben sich Definitionen und Herausforderungen zum Erreichen digitaler Souveränität sowie Anforderungen an Systeme und Dienstleistungen sowie das Verhalten beteiligter Akteure nebst hilfreicher Begleitung durch Regulierung oder sonstige Initiativen gewidmet. Abschließend geht es nun um Prognosen zum Stand der möglichen digitalen Souveränität in Deutschland/Europa für die nächsten zwei bis drei Jahre sowie längerfristige Aussichten.
„Digitale Souveränität gewinnt gerade durch das Bewusstsein der Serviceverfügbarkeit, der Kritikalität von Daten und nicht zuletzt durch Geopolitik weiterhin hohe Priorität. Viele europäische Länder erweitern ihre CloudKapazitäten, unterstützt durch öffentliche Förderprogramme und private Organisationen“, berichtet Markus Grau, Enterprise Architect EMEA bei Everpure (vormals Pure Storage): „Der KI-Boom wird weiterhin Bedenken hinsichtlich der Speicherung von Daten aufkommen lassen. Hinzu kommt die organisatorische Anforderung, im Falle eines Vorfalls das Vertrauen aufrechtzuerhalten und den Zugang zu gewährleisten. Es ist daher leicht nachvollziehbar, dass alle Unternehmen jetzt handeln müssen, um die digitale Souveränität und Datenhoheit in den kommenden Jahren sicherzustellen.“ Unternehmen können das nicht ignorieren, sondern müssten ihre Datenbestände und Geschäftsziele proaktiv bewerten und den jeweils besten Weg suchen: „Dazu zählen eine solide Risikobewertung, die Prüfung hybrider Ansätze, die Bewertung souveräner Dienstleister und die Vorbereitung auf regulatorische Entwicklungen.“ Das Wichtigste sei zunächst, die Problematik nicht zu ignorieren, sondern jetzt Maßnahmen zu treffen und für zukunftssichere Strategien zu sorgen.
Open Source als Schlüssel
Prof. Norbert Pohlmann, Geschäftsführender Direktor des Instituts für Internet-Sicherheit – if(is) an der Westfälischen Hochschule Gelsenkirchen, beobachtet, dass einige Unternehmen bereits begonnen haben, erfolgreich Open-Source-Technologie einzusetzen: „Weitere Maßnahmen könnten ‚Control-Layer‘ sein, die Datenabflüsse und Updates kontrollieren und damit Missbrauch verhindern und Funktionstüchtigkeit sicherstellen.“ Für Cloud-Dienste hat das BSI schon Anforderungen für eine solche „souveräne Kontrollschichten“ definiert [3], um die Selbstbestimmung zu gewährleisten – vergleichbare Control-Layers würden für weitere Fachgebiete wie Betriebssysteme, 5G-Technik oder Energieversorgung diskutiert. Für die Zukunft erwartet Pohlmann: „Open Source ist sicherlich langfristig für alle eine gute Möglichkeit, um digitale Souveränität zu schaffen.“ Schließlich könne man international zusammenarbeiten, um Open-Source-Projekte zu finanzieren – allerdings müsse jede Gesellschaft in der Lage sein, sich eigenständig um Pflege und Nutzung von Open-Source-Lösungen zu kümmern.
Die Richtung sei klar, sagt auch Agathe Hütter, CEO von OpenTalk: „Open Source wird zunehmend als Hebel für digitale Souveränität gesehen – im Bitkom-Monitor sagen das 73 % der Unternehmen (vgl. www.bitkom.org/Open-Source-Monitor-2025). “ Schleswig-Holstein und Thüringen zeigten bereits, wie die Umsetzung aussehen kann: „In Schleswig-Holstein wird OpenTalk lokal in einem BSI-zertifizierten Rechenzentrum betrieben und zentral für die Landesverwaltung bereitgestellt. Thüringen verfolgt mit OpenTalk einen ähnlichen Ansatz und setzt dabei konsequent auf Nachnutzung nach dem Prinzip ‚Public Money – Public Code‘. Diese Beispiele zeigen, dass digitale Souveränität dort entsteht, wo strategische Entscheidungen konsequent umgesetzt werden – und wo Open Source verbindlich verankert ist. Und es ist höchste Zeit, hier nachzuschärfen, damit wir als Staat und Gesellschaft auf Dauer handlungsfähig bleiben und uns unabhängig von ausländischen Konzernen und Regierungen machen.“
„Freie Software wird bereits seit Jahren aus Kostengründen in manchen Bereichen bevorzugt“, antwortete Markus Heller, Principal Consultant bei IS4IT: „Digital souveräne Lösungen müssen nicht zwangsläufig immer freie Software sein, aber ich erwarte eine Stärkung der europäischen Softwareindustrie, ob quelloffen oder nicht. Zudem werden mehr Funktionen in deutsche beziehungsweise europäische Cloud-Plattformen verlagert. Auch rund um LibreOffice erwarte ich mehr Entwicklungstätigkeit.“
Europa als Ausweg
„EU-Regulierung wird Fakten schaffen: ‚Smart Stacks‘ sowie lokalisierte, souveräne Cloud-Modelle werden Standard“, erwartet Dr. Wieland Holfelder, Vice President Engineering Google Cloud bei Google Germany. Langfristig gebe es gute Chancen: „Nutzt Europa seine Anwendungsstärken auf diesen ‚Smart Stacks‘, sind in den nächsten 10 Jahren 1,2 Billionen Euro zusätzliche Wertschöpfung möglich (Quelle: [4]). Pragmatismus statt Protektionismus ist dabei der Schlüssel.“
„Digitale Souveränität entwickelt sich vom Nischenthema zur Grundvoraussetzung für vertrauenswürdige digitale Geschäftsbeziehungen“, unterstreicht Sören Schulte, E‑Mail-Security-Experte bei Retarus: „Langfristig wird sich der Markt spalten: Auf der einen Seite die Hyperscaler – auf der anderen Seite europäische Anbieter, die auf Transparenz, Kontrolle und persönliche Erreichbarkeit setzen. Für immer mehr Unternehmen wird Letzteres die strategisch nachhaltigere Wahl sein.“
Armin Simon, Regional Director for Encryption Solutions Deutschland bei Thales, prognostiziert für die kommenden zwei bis drei Jahre eine deutliche Bewusstseinssteigerung – vor allem durch DORA und geopolitische Entwicklungen: „Viele Organisationen bleiben jedoch stark abhängig und dadurch nur teilweise souverän. Der Fokus sollte deshalb auf Datensouveränität und der Schlüsselhoheit liegen. Mittel- bis langfristig wird digitale Souveränität messbarer und zu einem architektonischen Standard: ‚Souveränität by Design‘ wird dann zum Qualitätsmerkmal. Allerdings wird eine vollständige Souveränität die Ausnahme bleiben und eine beherrschte Abhängigkeit der realistische Zielzustand.“
„Wir werden in nächster Zeit mehr Rhetorik als Umsetzung sehen – außer dort, wo Messbarkeit entsteht oder die Kosten durch marktpolitisches Verhalten schmerzhaft steigen“, befürchtet Dr. Andreas Rohr, Geschäftsführer der DCSO – Deutsche Cyber-Sicherheitsorganisation. Wirkliche Fortschritte werde es zuerst bei großen Akteuren geben, die klare Kriterien und Governance etablieren: „Lieferketten-Resilienz wird zum Kern von Souveränität – geopolitische Szenarien werden Standardbestandteil von Risikoanalysen.“ Im Übrigen erwartet Rohr in Europa mehr Investitionen in Resilienz sowie kollaborative Forschung rund um KI und ihre Anwendungen.
„Kurzfristig wird die Umsetzung der EU-Regulierungen das allgemeine Sicherheitsniveau deutlich anheben. Echte digitale Souveränität bleibt jedoch ein Marathon und hängt langfristig davon ab, ob Europa die Qualifikationslücke schließen kann, um seine Vorschriften wirksam umzusetzen“, betont Chris Dimitriadis, Global Chief Strategy Officer der ISACA.
„In zwei bis drei Jahren sehe ich mehr praktische Souveränität vor allem durch NIS-2, CRA, ‚EU DataAct‘ & Co.: bessere Lieferkettenprüfung, mehr Interoperabilität und mehr ‚Exit by design‘“, konstatiert Prof. Dr. Dennis-Kenji Kipker, Research Director und Founder des cyberintelligence.institute (CII): „Europa ist schon heute besser aufgestellt als oft berichtet wird. Längerfristig wird sich entscheiden, ob IT-Beschaffung und Plattformstrategien tatsächlich die erwünschte Vielfalt und den Wechsel in der IT-Landschaft fördern.“
Kurzfristig ist – gerade durch die aktuell sehr erratisch handelnde US-Administration – mit mehr Bewusstsein, aber begrenzter Umsetzung zu rechnen. Bestehende Abhängigkeiten werden nur langsam reduziert“, sagt Daniel Loebenberger von der Gesellschaft für Informatik (GI) e.V.: „Mittel- bis langfristig zeichnen sich bessere Aussichten ab, sofern politische Beschaffung, Regulierung und Förderung konsistent ausgerichtet werden. Ohne diesen Schulterschluss droht digitale Souveränität jedoch ein normatives Ziel zu bleiben, statt gelebte Praxis zu werden.“
Hybride Lösungen
Roland Stritt, CRO bei FAST LTA, sieht in näherer Zukunft einen deutlichen Ausbau hybrider Szenarien: „Cloud-only-Strategien werden aktuell bei kritischen Institutionen zugunsten von ‚Cloud-smart und souverän‘ korrigiert. Mittelfristig wird sich digitale Souveränität als Beschaffungskriterium (neben Preis und Compliance) etablieren – besonders bei Public Sector, KRITIS und regulierten Branchen. Langfristig erwarten wir europäische Kontrollschichten über globalen Plattformen, kombiniert mit stärkerem Einsatz souveräner On-Premises- und Off-Cloud-Lösungen.“ Diese lieferten dann Standardbausteine für resiliente Infrastrukturen.
„In den nächsten Jahren wird ein pragmatisches De-Risking durch hybride Modelle dominieren, wobei die Standardisierung souveräner Cloud-Lösungen voranschreitet“, prognostiziert Andreas Barke, Information Security Consultant bei HiSolutions: „Langfristig steht Europa am Scheideweg: Entweder gelingt die Transformation zur ‚Cybernation‘ beziehungsweise zu einem ‚Cybereurope‘ mit resilienter Integrität von KRITIS – oder Europa degradiert zum digitalen Risiko-Standort, der seine technologische Basis und damit seine globale Relevanz verliert (vgl. [5]).“
„In den nächsten zwei bis drei Jahren wird digitale Souveränität stärker über Resilienz definiert werden. Präventive Sicherheitsansätze und Zero-Trust-Architekturen werden zum Standard“, antwortete Dr. Philipp Müller, Vice President Public Sector bei DriveLock: „Entscheidend ist nicht, ob Abhängigkeiten existieren. Entscheidend ist, ob Organisationen auch dann handlungsfähig bleiben, wenn diese Abhängigkeiten unter Druck geraten.“
„Souveränität wird sich von einem theoretischen Konzept zu einem praktischen hybriden Betriebsmodell entwickeln, das auch Hyperscaler einschließt. Unternehmen verlagern ihre sensibelsten Daten und Workloads in kontrollierte Umgebungen – weniger sensible Dienste werden parallel global betrieben. Dieser mehrstufige Ansatz wird zur Norm, sobald regulatorische Anforderungen klarer werden und die Nutzung von KI weiter zunimmt“, fasst Shannon Bell, EVP, CIO und CDO bei OpenText, ihren Blick auf die kommenden Jahre zusammen.
„Wir werden künftig mehr diversifizierte Strategien sehen, bei denen beispielsweise Public-Cloud-Services gezielt dort eingesetzt werden, wo sie als sinnvoll erachtet werden, während man für besonders kritische Daten, Systeme oder Funktionen zusätzliche Kontrollmechanismen, alternative Komponenten oder europäische Angebote nutzt, um die Steuerbarkeit zu erhöhen und Konzentrationsrisiken zu begrenzen. So müssen Organisationen nicht auf die Vorteile der Lösungen großer Anbieter verzichten, reduzieren aber gleichzeitig Risiken einer zu starken Abhängigkeit“, sagt Marius von Spreti, Partner und Leiter des Cyber-Offering-Portfolios bei Deloitte Deutschland.
Auch Oliver Köth, Managing Director Technology and Innovation DACH bei NTT DATA, erwartet in den nächsten Jahren vor allem eine „selektive Form“ digitaler Souveränität: „Organisationen werden hybride oder private Lösungen sowie souveräne Implementierungen je nach Workload umsetzen. Eine flächendeckende Unabhängigkeit auf allen Ebenen ist kurzfristig einfach nicht realistisch. Bis 2027 werden Regulierungen wie der EU AI-Act und der Cyber-Resilience-Act (CRA) Investitionen in Governance und Security deutlich vorantreiben. Kurzfristig bleiben jedoch Engpässe bei der Souveränität in Sachen Rechen- und Hardware-Leistung bestehen und Fortschritte werden eher über Architektur, Effizienz und intelligente Systemgestaltung erzielt.“ Sofern längerfristig Investitionen in Skills, Forschung und Entwicklung, geistiges Eigentum sowie Infrastruktur konsequent umgesetzt würden, könne die reale Handlungsfähigkeit europäischer Organisationen allerdings deutlich steigen: „Digitale Souveränität wird dann nicht nur ein regulatorisches Ziel, sondern ein tatsächlich gelebter Vorteil sein. Ich gehe zudem davon aus, dass digitale Souveränität künftig stärker messbar und vergleichbar wird: Organisationen werden zunehmend danach beurteilt, wie gut sie Kontrolle, Transparenz und Anpassungsfähigkeit tatsächlich umsetzen und nicht mehr nur danach, welche Technologien sie einsetzen. Langfristig wird digitale Souveränität zu einem echten Wettbewerbsfaktor, für Organisationen ebenso wie für deren Technologiepartner.“
Literatur
[1] N. N., Digitale Souveränität – Wege, Ziele, Widrigkeiten (1), Diskussion zu Begrifflichkeit, Problemen und Lösungsansätzen, 2026# 1, S. 29, www.kes-informationssicherheit.de/print/titelthemait-grundschutz-2/digitale-souveraenitaet-wege-zielewidrigkeiten-1/ (<kes>+)
[2] N. N., Digitale Souveränität – Wege, Ziele, Widrigkeiten (2), Diskussion zu Begrifflichkeit, Problemen und Lösungsansätzen, 2026# 2, S. 17, www.kes-informationssicherheit.de/print/titelthemagraph-datenbanken/digitale-souveraenitaet-wege-ziele-widrigkeiten-2/ (<kes>+)
[3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Positionierung des BSI zu digitaler Souveränität in Zeiten von Cyber-Dominance, Cybernation-Blog, März 2025, www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Blog/Digitale_Souveraenitaet_250319.html
[4] Implement Consulting Group / Google, Digital innovation with control – Clearing the cloud, Achieving digital sovereignty in Europe, November 2025, https://implementconsultinggroup.com/article/european-digital-sovereignty
[5] Verschiedene Autoren, Digitales Europa 2030, Internationale Politik (IP) Special 3/2020, Oktober 2020, https://internationalepolitik.de/digitales-europa-2030