Thought Leadership
Digitale Souveränität bedeutet für Unternehmen und Behörden Verfügungsgewalt über Daten, Kontrolle über Infrastruktur und Vorhersehbarkeit gegenüber rechtlichen Eingriffen.
Angesichts grenzüberschreitender Datenflüsse, verteilten Rechenzentren und geopolitischen Spannungen kann fehlende Souveränität zu Betriebsunterbrechungen, Compliance-Risiken und Reputationsverlust führen. Besonders kritisch ist die Souveränität des Cloud Providers: Wer die Encryption-Keys, Logs, SupportProzesse und Governance-Entscheidungen kontrolliert, bestimmt im Ernstfall, ob ein Unternehmen oder eine Verwaltungseinheit handlungsfähig bleibt.
Bedenken in diese Richtungen führen zwangsläufig dazu, die vorhandene IT neu zu bewerten: Welche Tools sind im Einsatz? Wo werden die Daten abgelegt? Wo sitzt der Hersteller? Und was passiert, wenn das Tool nicht mehr benutzbar ist, die Daten von fremden Regierungen abgerufen oder die Kosten sprunghaft erhöht werden?
Die Antworten auf diese Fragen werden für sich betrachtet in den meisten Fällen dazu führen, dass die IT-Strategie für 2026 und die Zukunft eine übergreifende Migration der Daten und Prozesse auf einen anderen, risikoärmeren Provider vorsieht. Es bleibt jedoch die Frage, nach welchen Kriterien ein Cloud Provider ausgewählt werden sollte und ob potenzielle Ängste die einzige Rolle bei einer Entscheidung spielen sollten.
Die Bewertung der Souveränität
Die Bewertung von Souveränität ist komplex und mehrstufig. Die EU hat mit dem Cloud Sovereignty Framework erstmals einen operationalisierbaren Rahmen geschaffen, der konkrete Kriterien für die Beschaffung und Bewertung souveräner Cloud-Dienste definiert. Das Framework nutzt einen 8-Punkte-Katalog, um Souveränität stufenweise messbar zu machen. Branchenkommentare und Implementierungsleitfäden zeigen, dass Versionen des Frameworks bereits als Grundlage für Ausschreibungen und Marktgestaltung dienen. Das Framework ist eine exzellente Basis zur Risikobewertung in Bezug auf juristische Zuständigkeit, Datenresidenz, Zugriffsschutz und Auditierbarkeit.
Allein auf Risiko-Checks zu setzen ist jedoch zu eng gefasst. Unternehmen müssen zusätzlich pragmatische und zukunftsgerichtete Kriterien einbeziehen, wie Interoperabilität, Exit-Strategien, Hybrid-/Multi-Cloud-Fähigkeit, Ökosystem-Abhängigkeiten und Innovationszugang. Es darf nicht vergessen werden, dass auch Souveränität kein Selbstzweck ist. So dürfen auch die mit einer Migration oder Einführung einhergehenden Kosten, Aufwände und letztendlich Einschränkungen der Nutzer nicht ignoriert werden.
Dementsprechend befindet sich die Souveränitäts-Debatte im kontinuierlichen Spannungsfeld zwischen Risiko und Wirtschaftlichkeit. Ähnlich wie bei der Auswahl einer Versicherungspolice sollten Unternehmen und Behörden ihre Risiken kennen, beziffern und bewerten können. Erst nach dieser Analyse kann entschieden werden, welches Risiko reduziert werden muss und welche Kosten die Police verursachen darf.
Souveränität muss operationalisierbar bleiben und Pauschalentscheidungen vermeiden, die Innovation und Wirtschaftlichkeit unnötig einschränken.
Dr. Philip Zweihoff, conet Deutschland GmbH
Alle für einen und einer für Alle?
Neben den Bewertungskriterien muss digitale Souveränität kontextbezogen betrachtet werden, da nicht jedes System oder jeder Anwendungsfall dieselben Anforderungen an Kontrolle, Verfügbarkeit oder Rechtsklarheit stellt. Während bei sensiblen Kundendaten und Kernprozessen Jurisdiktion, Zugriffsschutz und Auditierbarkeit oberste Priorität haben, können für Entwicklungsumgebungen, Testdaten oder nichtkritische Workloads andere Kriterien wie Kosten, Agilität und Innovationszugang dominieren. Das beste Beispiel sind hier Open-Data-Portale, deren Informationen nicht schützenswert sind, sodass in diesem Fall Kriterien der Wirtschaftlichkeit in den Vordergrund rücken können.
Entsprechend muss eine IT-Landschaft in Use-Case-Profile unterteilt werden, die für jeden Anwendungsfall die Datenklassifikation, Verfügbarkeitsanforderungen, Integrationsbedarf und Regularien abbilden, um diese Profile gezielt gegen die Souveränitäts-Kriterien zu prüfen. So wird Souveränität auch im Enterprise- und Großbehörden-Umfeld operationalisierbar und vermeidet Pauschalentscheidungen, die Innovation und Wirtschaftlichkeit unnötig einschränken.
Die aktuelle Debatte hat dazu geführt, dass nahezu alle Technologieanbieter und insbesondere die Cloud Provider entsprechende souveräne Angebote schaffen und zugehörige Marketing-Versprechen publizieren. Jedoch kann ein Provider „souverän“ klingen, aber bei genauer Prüfung fehlen Exit-Mechanismen, der Cloud Act ist anwendbar oder es existieren keine unabhängigen Audits. Aus diesem Grund benötigt es einen Kompass, um die passenden Technologien für die jeweiligen Geschäftsziele und Vorgaben zu ermitteln.
| Die Abbildung zeigt die verschiedenen Kriterien anhand derer ein Kompass zur Analyse genutzt werden kann. Die Kriterien lassen sich dabei in die drei Dimensionen Risiken Innovation und Kosten unterteilen, sodass keine einseitige und dogmatische Bewertung stattfindet – sondern Zukunftsfähigkeit und Wirtschaftlichkeit ebenfalls betrachtet werden. Hinter jedem einzelnen Kriterium einer Dimension stehen verschiedene Fragen, die für einen bestimmten Use Case oder ein einzelnes System beantwortet werden sollten. Die individuellen Anforderungen können über die nicht binären Antwortmöglichkeiten dargestellt und gewichtet werden. Zum Beispiel steht hinter dem Kriterium: „Vendor Lock-in“ die Frage, ob eine Abhängigkeit von proprietärer Software irrelevant beziehungsweise akzeptabel ist oder aber strikt vermieden werden muss. Das Kriterium „Exit“ beinhaltet hingegen Fragen zur Relevanz von Flexibilität. So gilt es etwa zu entscheiden, wie aufwändig das Transferieren von Workloads und Daten zu einem anderen Provider sein darf. Bei dieser Frage erstreckt sich das Antwort-Spektrum von großem manuellem Aufwand bis zu dedizierten unterstützenden Diensten, um einen Wechsel durchzuführen. Im Hinblick auf Innovation steht hinter dem Kriterium „Adaptierbarkeit“ beispielsweise die Frage, ob ein Cloud Provider vorgefertigte Möglichkeiten bietet, andere etablierte Systeme zu integrieren, um sie mit neuen innovativen Technologien wie Agentic AI zu erweitern. Sobald alle Fragen beantwortet sind, kann anhand einer vorherigen Bewertung aller Cloud Provider eine Auswahl getroffen werden. Jede Antwort und die jeweilige Gewichtung werden gegen die Eigenschaften eines Providers gelegt, um die jeweilige Eignung zu prüfen. Somit dient der Kompass zur Ermittlung der passenden Technologien für die jeweiligen Geschäftsziele, Vorgaben und den konkreten Use Case. |
Für jeden Fall die passende Lösung
Die Frage nach digitaler Souveränität ist kontextabhängig, individuell und nicht binär. Daher kann es nicht die eine einzig wahre und allgemeingültige Lösung in der gesamten Souveränitäts-Debatte geben, sondern immer nur die passende Lösung für den einzelnen Use Case. Um den richtigen Kurs einzuschlagen, kann ein entsprechend detaillierter und auf das jeweilige Anwendungsumfeld ausgerichteter Souveränitäts-Kompass eine wertvolle Entscheidungshilfe bieten.
Diversifikation in der Cloud-Strategie bleibt der effektivste Hebel zur Risikominimierung. Entscheidend ist nicht die Ideologie, sondern eine ausgewogene kontextbezogene Bewertung von Risiken, Kosten und Innovationsfähigkeit.
