Thought Leadership
Bei jeder Cloud-Nutzung stellt sich die Frage nach der digitalen Souveränität, aktuell mehr denn je.
Geopolitische Verwerfungen und Unsicherheiten erhöhen die Nachfrage nach Lösungen, die Risiken hinsichtlich strategischer Kontrolle und zum Schutz des eigenen Geschäftsmodells reduzieren. Eine vierstufige Handlungsempfehlung kann eine erste Hilfestellung bei der zukunftssicheren und resilienten Gestaltung der IT-Strategie geben.
Zweifellos können politische, rechtliche und technologische Risiken durch die starke Abhängigkeit von US-amerikanischen Cloud-Anbietern europäische Unternehmen gefährden. Der US Cloud Act zeigt, wie weitreichend US-Behörden auf Daten zugreifen können, auch bei einer Speicherung in der EU. In einer Zeit politischer Kurswechsel und globaler Machtverschiebungen mit Handelskonflikten drohen rein hypothetisch sogar technische Abkoppelungen, das heißt Zugangssperren für bestimmte digitale Services. Diese Bedenken sind inzwischen auch in der Wirtschaft angekommen, wie eine aktuelle Bitkom-Untersuchung zeigt. Für 78 Prozent der Befragten ist Deutschland zu abhängig von US-Cloud-Anbietern und 82 Prozent äußern hinsichtlich Souveränität den Wunsch nach alternativen deutschen oder europäischen Lösungen.
Bei der Sicherstellung der digitalen Souveränität sind mehrere Dimensionen zu berücksichtigen. Die Aufrechterhaltung erfordert ein mehrdimensionales Konzept, das Technologie, Daten, Betrieb sowie Recht und Organisation umfasst. Demzufolge lässt sich Cloud-Souveränität nicht durch eine Einzelmaßnahme erreichen, sondern nur durch ein ganzheitliches Zusammenspiel technischer, struktureller und regulatorischer Hebel.
Technologie-Souveränität bedeutet die bewusste Reduzierung einzelner Abhängigkeiten zur Wahrung der technologischen Gestaltungsfreiheit. Datensouveränität beinhaltet die Kontrolle über den Lebenszyklus sensibler Daten im Hinblick auf Speicherort und Verarbeitung, wobei die Zugriffsmöglichkeiten jederzeit aufrechtzuerhalten sind. Betriebssouveränität heißt, dass Unternehmen die IT-und Geschäftsprozesse eigenverantwortlich steuern und kontrollieren sowie den Betrieb selbst bei Cloud-Ausfällen sicherstellen können. Die regulatorische Souveränität umfasst die proaktive Umsetzung gesetzlicher Vorgaben und die organisatorische Souveränität schließlich die Verankerung von Souveränitätsprinzipien in Strukturen, Prozessen und in der Unternehmenskultur.
Die digitale und Cloud-Souveränität sollten nicht als Abschottung verstanden werden, sondern vielmehr als ein bewusster und strategischer Umgang mit Abhängigkeiten, damit Unternehmen ihre Innovationsfähigkeit, Sicherheit und regulatorische Konformität langfristig sichern können. Folglich ist durch multiple externe Einflussfaktoren eine zyklische Neubewertung der IT- und Cloud-Strategie empfehlenswert.
Initiativen von Hyperscalern und lokalen Anbietern
Es existieren somit viele Herausforderungen, wenn es darum geht, die Abhängigkeit zu reduzieren und die Souveränität zu stärken. Klar ist aber auch, dass die Cloud-Nutzung zunehmend Standard ist und Geschäftsmodelle mit Cloud-Technologien transformiert werden.
Welche Möglichkeiten bestehen also für Unternehmen? Zum einen ist festzuhalten, dass auch die Cloud-Marktführer viele Maßnahmen zur Stärkung der digitalen Souveränität ergreifen, unter anderem mit hohen Investitionen in Cloud-Infrastruktur und der Bereitstellung von Services in Europa oder durch Kooperationen mit lokalen Anbietern. Hierbei ist jedoch nicht immer eine vollständige rechtliche Souveränität gewährleistet, auch wenn zum Beispiel Tochtergesellschaften von US-amerikanischen Unternehmen in der EU prinzipiell an das europäische Recht gebunden sind.
Obwohl eine vollständige digitale Souveränität ausgeschlossen ist, wächst die Nachfrage nach europäischen Alternativen zu US-Anbietern. Sie bieten zwar Vorteile hinsichtlich Souveränität, haben aber deutlich geringere Marktanteile und der Reifegrad in der Anzahl bereitgestellter Cloud-Services fällt im direkten Vergleich zu den Hyperscalern geringer aus.
Anbieter sind hier etwa IONOS, STACKIT oder T-Systems. Sie können viele branchenspezifische digitale Anwendungen in einer souveränen Cloud als Referenzen anführen, gerade in Segmenten der öffentlichen Verwaltung und in regulierten Branchen, bei denen besondere Bestimmungen zur Nutzung von Cloud-Technologien gelten.
In vier Phasen zur Cloud-Souveränität
Welchen Weg ein Unternehmen auch beschreitet – Hyperscaler oder lokaler Provider –, es sollte angesichts heutiger Unsicherheiten eine Evaluierung seiner IT-Strategie durchführen. Zur Risikominimierung und Aufrechterhaltung eines sicheren Betriebs kann als Handlungsempfehlung das folgende Vier-Phasen-Modell dienen. Es umfasst die Strategieentwicklung, Analyse, Maßnahmenplanung, Implementierung inklusive Governance, Bewertung und operative Integration.
1. Strategie definieren
Im ersten Schritt wird die digitale Souveränität als strategisches Unternehmensziel verbindlich verankert, um die Grundlage für eine resiliente und unabhängige IT-Landschaft zu schaffen – der Impuls muss zwingend von der Entscheidungsebene ausgehen. Wesentliche Bestandteile sind dabei die klare Definition strategischer Ziele hinsichtlich des gewünschten Unabhängigkeitsgrades sowie die frühzeitige Einbindung relevanter Stakeholder. Besonderes Augenmerk liegt auf der gründlichen Analyse und Bewertung regulatorischer Rahmenbedingungen wie DSGVO, DORA oder NIS2. Gegebenenfalls empfiehlt sich auch die Etablierung neuer Rollen wie eines „Digital Sovereignty Officer“, um Verantwortlichkeiten klar zu regeln. Als Ergebnis entsteht ein umfassendes Strategiepapier, ergänzt um eine Governance-Struktur und die angestrebte Zielarchitektur.
2. Analyse durchführen
In der zweiten Phase erfolgt eine systematische und umfassende Bestandsaufnahme der bestehenden IT-Landschaft. Dazu zählen insbesondere die detaillierte Betrachtung der Architektur, ihrer technischen und vertraglichen Abhängigkeiten sowie eine Bewertung der aktuellen digitalen Reifegrade und potenziellen Lock-in-Risiken. Zudem steht die Prüfung und Optimierung der bestehenden Datenstrategie im Mittelpunkt, einschließlich Datenklassifikation, Speicherorten und Backup-Strategien. Das Ergebnis dieser Phase ist ein fundierter Analysebericht, der Schwachstellen transparent aufzeigt und als „Risikolandkarte“ darstellt.
3. Handlungsfelder identifizieren und priorisieren
Basierend auf den Ergebnissen der Analyse werden gezielte technische, organisatorische und personelle Maßnahmen definiert und nach Dringlichkeit priorisiert. Schwerpunkte bilden hierbei etwa die Entwicklung geeigneter Hybrid-Cloud-Strategien, sicherer und souveräner Datenarchitekturen sowie der gezielte Kompetenzaufbau innerhalb der Organisation. Am Ende dieser Phase steht ein konkreter Handlungsplan, der klar definierte Maßnahmen, Umsetzungsprioritäten und Verantwortlichkeiten umfasst.
4. Maßnahmen umsetzen und operationalisieren
In der abschließenden Phase erfolgt die konkrete Umsetzung der zuvor priorisierten Maßnahmen. Dazu gehören technische Implementierungen ebenso wie organisatorische Anpassungen. Zunächst werden Maßnahmen pilotiert, evaluiert und anschließend flächendeckend im Unternehmen implementiert. Parallel dazu findet die Verankerung der Veränderungen im operativen Betrieb statt. Wesentlicher Bestandteil ist auch die gezielte Schulung der betroffenen Mitarbeiterinnen und Mitarbeiter. Abschließend steht ein vollständiges Umsetzungspaket bereit, das eine umfassende Pilotdokumentation, Monitoring-Konzepte und Betriebsdokumentationen beinhaltet.
Unternehmen müssen heute nicht nur innovativ, sondern auch widerstandsfähig sein – gegenüber geopolitischen Risiken, regulatorischen Veränderungen und technologischen Abhängigkeiten. Ein mehrdimensionales Konzept, das Technologie, Daten, Betrieb, Recht und Organisation abdeckt, dient dabei als ein entscheidender Hebel für die Neuausrichtung der IT-Strategie und die nachhaltige Stärkung der Cloud-Souveränität, um operative Stabilität, Unabhängigkeit, Innovationskraft sowie Wettbewerbsfähigkeit zu fördern.
______________________________________________________________________
Die Entscheidung über die konkreten Schritte zur Stärkung der digitalen Souveränität bestimmt der einzelne Anwendungsfall. Folgende Einzelmaßnahmen sind in den Bereichen Technologie, Daten, Betrieb, Regulatorik und Organisation denkbar.
Datensouveränität
- Geografisch gesteuerte Datenspeicherung (zum Beispiel nur EU-Rechenzentren)
- Einführung strukturierter Datenklassifikation und Data Governance
- Ende-zu-Ende-Verschlüsselung
- Stärkung von Zugriffskontrollen und Auditierbarkeit
Technologie-Souveränität
- Technologieneutrale Migrations-Roadmaps
- Einsatz offener Schnittstellen und modularer Architekturen
- Self-Hosting sensibler Funktionen wie IAM oder KMS
- Open-Source-Komponenten als strategische Alternative
Betriebssouveränität
- Nutzung von Hybrid- oder Multi-Cloud-Modellen
- Eigenbetrieb von kritischen Systemkomponenten
- Notfall- und Wiederanlaufpläne für Cloud-Ausfälle
- Zero-Trust-Sicherheitsarchitektur für den laufenden Betrieb
Regulatorische Souveränität
- Einrichtung eines Regulatorik-Monitorings (zum Beispiel im Hinblick auf NIS2, DORA, AI Act oder DSGVO)
- Berücksichtigung von Regulatorik, Datenschutz und Compliance bei Cloud-Projekten
- Vermeidung rechtlicher Grauzonen durch eine souveräne Datenverarbeitung
Organisatorische Souveränität
- Integration des Themas in IT-Strategie und Governance-Strukturen
- Benennung von Verantwortlichen
- Aufbau interdisziplinärer Steuerungsteams (IT, Recht, Einkauf, Fachbereiche)
- Durchführung von Awareness-Kampagnen und Schulungen
