top of page

Souveränität: Macht euch ehrlich und seid realistisch

  • vor 6 Stunden
  • 4 Min. Lesezeit

Die Souveränität in unserer vernetzten Welt ist ein Thema, aber was ist das eigentlich? Unter dem Begriff Souveränität versteht man in der Rechtswissenschaft die Fähigkeit einer juristischen Person zu ausschließlicher rechtlicher Selbstbestimmung. Diese Selbstbestimmungsfähigkeit wird durch Eigenständigkeit und Unabhängigkeit des Rechtssubjektes gekennzeichnet und grenzt sich so vom Zustand der Fremdbestimmung ab. In der IT ist das aus verschiedenen Blickwinkeln zu sehen.


Datenstandort

Digitale Souveränität wird in der IT- und Cloud-Debatte häufig als gegeben dargestellt, sobald Daten in Deutschland oder zumindest in Europa gespeichert werden. Doch dieser Schluss ist zu kurz gegriffen.


Der Datenstandort ist wichtig, aber er ersetzt nicht die Kontrolle über die zugrunde liegende Technologie, den Betrieb, die Weiterentwicklung und die wirtschaftliche Abhängigkeit von einzelnen Plattformanbietern. In der Praxis zeigt sich: Wer heute moderne Cloud-Services in

-          hoher Qualität, mit

-          globaler Skalierbarkeit,

-          hoher Verfügbarkeit und

-          kontinuierlicher Innovation nutzen will,

greift meist auf die Angebote großer Hyperscaler zurück.



Diese Anbieter haben über viele Jahre enorme Vorleistungen aufgebaut — bei Infrastruktur, Automatisierung und Sicherheitsmechanismen, Entwicklerwerkzeugen und globalen Betriebsmodellen. Den Nutzen ziehen viele Unternehmen auf unterschiedliche Art und Weise, indem man mit Teilen oder der ganzen IT „in die Cloud“ geht und damit idealerweise Kosten und Zeit sparen kann. Ganze Liefermodelle und Kalkulationen sowie Philosophien (OPEX vs. CAPEX) bauen darauf auf.


Aber es wird zunehmend deutlich: Was oft als souveräne Cloud bezeichnet wird, ist häufig nur eine gefühlte Souveränität. Die Daten mögen lokal liegen, die Abhängigkeit von Technologie, Schnittstellen, Betriebskonzepten und proprietären Plattformen bleibt jedoch bestehen.


Lock-in

Hinzu kommt das Risiko des Lock-in. Je stärker Prozesse, Anwendungen und Sicherheitsarchitekturen auf eine bestimmte Plattform zugeschnitten sind, desto schwieriger wird ein späterer Wechsel. Souveränität bedeutet aber gerade, Wahlfreiheit zu behalten, Alternativen real nutzen zu können und kritische Abhängigkeiten zu vermeiden.

Denn es geht um viele Facetten der Souveränität:

  • Technologische Souveränität: Fähigkeit, Kerntechnologien zu verstehen, zu beherrschen, selbst zu betreiben oder sinnvoll zu ersetzen.

  • Betriebliche Souveränität: Kontrolle über Betrieb, Wartung, Updates, Verfügbarkeit und Fehlerbehebung der Systeme.

  • Datenhoheit: Bestimmung darüber, wo Daten liegen, wer darauf zugreifen darf und unter welchen rechtlichen Rahmenbedingungen.

  • Architektursouveränität: Freiheit, Systeme modular, offen und austauschbar zu gestalten, ohne starke Abhängigkeit von einem Anbieter.

  • Lieferanten- bzw. Anbietersouveränität: Vermeidung von Lock-in, also der Abhängigkeit von proprietären Plattformen, Schnittstellen oder Preismodellen.

  • Rechtliche Souveränität: Möglichkeit, Daten- und Systemnutzung im Einklang mit europäischen und nationalen Vorgaben zu steuern.

  • Wirtschaftliche Souveränität: Unabhängigkeit von Preissetzung, Lizenzmodellen und strategischen Entscheidungen externer Anbieter.

  • Innovationssouveränität: Fähigkeit, neue Funktionen, Sicherheitsmechanismen und Plattformverbesserungen selbst oder mit kontrollierbaren Partnern voranzutreiben.


Für den Kontext ist vor allem wichtig: Datenhaltung allein deckt nur einen kleinen Teil der Souveränität ab. Wirklich kritisch sind die Dimensionen, in denen Kontrolle, Wechselbarkeit und Eigenständigkeit fehlen.


Genau daran scheitern viele Cloud-Strategien in der Realität


Deutschland und Europa brauchen deshalb keine Scheinlösung, sondern einen ehrlichen Blick auf den Status quo. Digitale Souveränität entsteht nicht allein durch nationale Rechenzentren oder lokale Datenhaltung, sondern durch technologische Eigenständigkeit, offene Standards, Interoperabilität, starke Open-Source-Strategien und die Fähigkeit, kritische Systeme wirklich unabhängig zu betreiben. Davon sind wir vielerorts noch entfernt.


Datenbetrachtung

Daten in Deutschland zu halten, wäre ein wichtiger Schritt, aber noch keine echte digitale Souveränität. Solange zentrale Cloud-Technologien, Betriebsmodelle und Innovationssprünge weiterhin überwiegend von Hyperscalern kommen, bleibt die Unabhängigkeit begrenzt. Wirkliche Souveränität erfordert mehr als Datenlokalisierung: Sie braucht technologische Kontrolle, offene Standards, Wechselmöglichkeiten und eigene operative Stärke. Sonst ist das keine Souveränität, sondern eine Abhängigkeit mit lokalem Etikett.


Digitale Souveränität: mehr Anspruch als Realität

Die Realität ist unbequem: Deutsche und europäische Anbieter können die Vorleistungen, die globale Plattformen über Jahre aufgebaut haben, nicht zeitnah in gleicher Qualität und Geschwindigkeit nachbilden. Und selbst wenn die Entwicklung auf beiden Seiten (Hypserscaler, Eurropa) weitergeht, ist der Einstiegspunkt völlig unterschiedlich, in den USA quasi unerschöpfliche Ressourcen und Dynamik, hier viele technologische Kompetenzen im  Flickenteppich von Interessen und Meinungen in einem uneinheitlichen Markt, den die EU jedoch zunehmend zu gestalten versucht.


Genau deshalb ist die verbreitete Rede von „souveräner Cloud“ oft mehr Marketing als Substanz. Wer von Souveränität spricht, muss auch die Fähigkeit meinen, Systeme selbst zu kontrollieren, zu betreiben, zu verändern und notfalls ohne massive Reibungsverluste zu wechseln. Daran fehlt es in vielen Organisationen noch immer.


Echte digitale Souveränität beginnt nicht bei der Datenadresse, sondern bei der technologischen Selbstbestimmung. Alles andere ist ein Kompromiss — manchmal sinnvoll, aber eben nicht souverän.


Schlussfolgerungen

Wenn kurzfristig keine echte Souveränität herstellbar ist, lautet die sinnvolle Schlussfolgerung, dass jede Organisation für sich selbst definieren sollte, was sie braucht, welches Risiko sie eingehen kann oder will und welche Ressourcen sie dafür einsetzen kann oder will!


Man sollte nicht „weitermachen wie bisher“, sondern Abhängigkeiten aktiv begrenzen und beherrschbar machen. Vollständige Unabhängigkeit ist oft unrealistisch, aber gezielte Risikoreduktion, Exit-Fähigkeit und Resilienz sind ggf. mittelfristig oder sofort umsetzbar.


Was zu empfehlen ist:


  • Kritikalität trennen: Nicht alles muss souverän sein. Kritische Daten, Kernprozesse und regulierte Workloads sollten priorisiert behandelt werden.

  • Multi-Provider-Strategie: Keine maximale Bindung an einen einzelnen Hyperscaler. Mehrere Anbieter oder hybride Architekturen reduzieren Lock-in-Risiken.

  • Offene Standards erzwingen: APIs, Datenformate und Schnittstellen so gestalten, dass ein Wechsel technisch möglich bleibt.

  • Exit-Plan einfordern: Für jede zentrale Plattform braucht es einen dokumentierten Ausstiegspfad, inklusive Datenexport, Betriebsübergabe und Wiederanlauf.

  • Datenklassifizierung anwenden: Nur dort, wo Schutzbedarf wirklich hoch ist, strengere Souveränitätsanforderungen festlegen.

  • Abhängigkeiten messen: Provider-, Lizenz-, Betriebs- und Know-how-Abhängigkeiten transparent machen und regelmäßig bewerten.

  • Vertragsfragen zu einem EXIT schon bei Vertragsbeginn diskutieren und technisch abwägen (der Einstieg ist meist leichter als der Ausstieg)


Strategische Schlussfolgerung


Wenn Souveränität also kurzfristig nicht erreichbar ist, muss das Ziel lauten, Abhängigkeiten zu minimieren, Wechselbarkeit sicherzustellen und kritische Funktionen resilient auszulegen und insgesamt eine Strategie zu entwickeln, sich aus Abhängigkeiten zu lösen. Alles andere wäre keine Strategie, sondern ein Vertrauensvorschuss gegenüber Anbietern.


Praktischer Rat für die Umsetzung und Prioritäten in der Reihenfolge


1. Kritische Systeme identifizieren.

2. Lock-in-Risiken sichtbar machen.

3. Offene Architektur und Exit-Fähigkeit festlegen.

4. Multi-Cloud oder hybride Modelle prüfen.

5. Souveränität nur dort maximal fordern, wo Schutzbedarf, Regulierung oder Geschäftsrisiko es rechtfertigen.


Die realistische Zielsetzung ist nicht sofortige Vollsouveränität, sondern kontrollierte Handlungsfähigkeit. Das heißt: weniger Single-Point-of-Failure, bessere Verhandlungsposition gegenüber Anbietern und die Fähigkeit, im Ernstfall umzustellen oder zentrale Dienste getrennt weiterzubetreiben.


Nicht alles muss (kann) jetzt sofort souverän sein, aber alles muss mit dem Ziel der Ersetzbarkeit und Kontrolle gesteuert werden.



Und dies alles kann durch Nutzung eines Informationssicherheitsmanagementsystems unter Nutzung von Normen (z. B. ISO 27001, ISO 27002, ISO 27017, ISO 27018) und BSI-Standards (C5, C3A) geprüft, umgesetzt und abgesichert werden.


Diese Aktivitäten zum Zweck der Reduktion von Lieferanterisiken sind auch Teil des aktiven Lieferantenmanagements, wie es die NIS2 oder DORA verlangen!


Sprechen Sie mit uns!

 
 
bottom of page