Kommentar

Digitale Souveränität ist eine Worthülse

Die Abhängigkeit von einzelnen Anbietern oder IT-Lösungen birgt Risiken. Das ist bekannt. In Zeiten geopolitischer Spannungen, wachsender Business-Abhängigkeiten von IT-Infrastrukturen und nicht zuletzt von KI-Modellen gewinnt dies jedoch an Brisanz.

Digitale Souveränität ist deshalb in aller Munde und soll die Unabhängigkeit der Unternehmen zurückbringen. Das wird leider nur zum Teil funktionieren.

Anzeige

Was genau ist eigentlich gemeint, wenn von digitaler Souveränität die Rede ist? Zwar werden diese und ähnliche Begriffe derzeit geradezu inflationär gebraucht, doch kaum jemand hinterfragt mehr deren eigentliche Bedeutung. Souverän ist ein Unternehmen dann, wenn es selbstbestimmt, unabhängig sowie sicher entscheiden und handeln kann. Im IT-Sinne trifft das auf kaum ein Unternehmen zu – zu groß ist die digitale Abhängigkeit von IT-Lösungen weniger Hersteller, von der Hardware über Betriebssysteme und Desktop-Lösungen bis hin zu SaaS und IaaS.

Bei den Cloud-Services sieht das beispielsweise konkret so aus: Obwohl es längst europäische und sogar deutsche Cloud-Anbieter gibt, die per Gesetz ihren Kundinnen und Kunden zahlreiche Rechte einräumen müssen, dominieren noch immer die drei großen amerikanischen Hyperscaler AWS, Google und Microsoft den Cloud-Service-Markt. Selbst wenn Unternehmen beispielsweise lokal ansässige „souveräne Clouds“ der US-Anbieter nutzen, bleibt die rechtliche Lage eindeutig: Ist der Mutterkonzern ein amerikanisches Unternehmen, gilt US-Recht (z.B. US CLOUD Act) – mit allen bekannten und unbekannten Unwägbarkeiten. Die Gründe, warum Unternehmen dennoch diese Services einkaufen, sind vielfältig: Sie haben sich an die omnipräsenten, leicht zugänglichen und umfangreichen Ökosysteme gewöhnt. Häufig werden bestehende Verträge schlicht erweitertet, statt andere Dienstleister in Betracht zu ziehen.

Europäisches Recht ist nicht dasselbe wie Souveränität

Doch auch ein Umzug in eine wirklich europäische Cloud löst das Dilemma nur zum Teil. Denn genau genommen kann eine Cloud-Infrastruktur gar nicht souverän sein – es ist und bleibt der Server eines Dienstleisters, die volle Kontrolle kann das Unternehmen als Kunde nicht übernehmen. Völlig unabhängig können nur Unternehmen sein, die jegliche IT-Infrastruktur selbst betreiben, Anwendungen programmieren und supporten sowie nicht zuletzt ihre Schnittstellen zu Partner-Unternehmen streng reglementieren.

Anzeige

Es ist also auch eine Frage der Definition, was digitale Souveränität sein soll. Wenn echte Unabhängigkeit unrealistisch ist, ist digitale Wahlfreiheit die treffendere Bezeichnung. Es mag spitzfindig anmuten, macht aber einen Unterschied: Es hilft Unternehmen dabei, ihre IT unter einem neuen Blickwinkel zu beurteilen und in kleineren Schritten unabhängiger zu werden. So muss beispielsweise ein US-Cloud-Service nicht per se ausgeschlossen, wohl aber hinsichtlich Nutzen-Risiko-Verhältnis abgewogen werden. Oft führt das bereits zu besseren Verträgen mit Exit-Klauseln oder einer Fragmentierung der IT, bei der sensible Bereiche herausgelöst und anderweitig gesourct werden.

Hinter digitaler Wahlfreiheit steckt das, was oft unter digitaler Souveränität missverstanden wird: die bewusste Entscheidung für oder gegen eine Technologie, ohne aufgrund von bestehenden Vereinbarungen oder technischen Abhängigkeiten zu etwas gezwungen zu sein. Dazu gehört es ebenso, wählen zu können, wo Daten liegen sollen und den Anbieter wechseln zu können, ohne dass rechtliche Probleme oder technische Verluste entstehen. Diese Philosophie lässt sich ganz gut mit dem OpenSource-Ansatz vergleichen: Auch hier liegt die Idee zugrunde, dass Jeder das nutzen und anpassen kann, was sich am besten eignet.

Der Weg zu mehr digitaler Souveränität

Was können Unternehmen, insbesondere Mittelständler, tun, um Abhängigkeiten zu mindern? Vier strategische Lösungsansätze im Überblick:

  • Eine Vision entwickeln, was digitale Souveränität für das eigene Unternehmen bedeutet
    Egal, ob von Souveränität oder Wahlfreiheit die Rede ist – das Thema muss durch strategische Überlegungen mit Leben gefüllt werden. Abhängigkeiten entstehen nicht, weil jemand unaufmerksam war, sondern weil Business nur auf Grundlage von IT, weitgehend digitalen Prozessen und Vernetzung mit Partner-Unternehmen funktioniert. Es gilt herauszufinden, welche Abhängigkeiten sich reduzieren lassen, welche Daten, Datenflüsse und Prozesse sensibel und besonders schützenswert sind.
  • Einen mittelfristigen Fahrplan mit konkreten Maßnahmen definieren
    Nun geht es ans Eingemachte: Verträge, Laufzeiten, Lizenzen, Roadmaps, Prozesse und ähnliches müssen geprüft und beurteilt werden. Zu wann kann ein unangemessener Vertrag gekündigt werden? Welche alternativen Lösungen gibt es? Wie sieht eine Migration von sensiblen Daten auf eine andere Plattform aus und welche Prozesse ändern sich dadurch? Apropos Prozesse: Es ist eine perfekte Gelegenheit, um gewachsene, automatisierte und nun durch KI-Tools veränderte Abläufe im Unternehmen aufzuräumen und zu optimieren.
  • Die Unterstützung durch die Geschäftsführung absichern und Mitarbeiter mitnehmen
    Was nach einer Selbstverständlichkeit klingt, ist häufig wenig fundiert: Oft gibt die Geschäftsführung zwar ein generelles Ok für mehr Souveränität, ist aber nicht bereit, das notwendige Budget zur Verfügung zu stellen. Prozessanpassungen, Datenmigrationen und IT-Infrastruktur-Änderungen kosten Geld. Zudem ist das Commitment der Unternehmenslenker wichtig, um den dazugehörigen kulturellen Wandel zu schaffen. Mitarbeiter müssen von Beginn an sensibilisiert, einbezogen und immer wieder entsprechend geschult werden. 
  • Definierte Maßnahmen umsetzen und jede Entscheidung hinsichtlich Souveränität hinterfragen
    Auf keinen Fall alles gleichzeitig: Schritt für Schritt in kleinen Iterationen finden nun die geplanten Umstellungen statt – Migrationen, Testläufe, Proof-of-Concepts, etc. Unternehmen sollten sich, trotz der Dringlichkeit des Problems, nicht stressen lassen. Jede Änderung hat Auswirkungen auf andere Anwendungen und Prozesse, überstürztes Vorgehen zieht schnell unüberschaubare Folgen nach sich. Außerdem gilt ab sofort: Jede IT-Entscheidung sollten nun sorgfältig zischen Wirtschaftlichkeit, Praxistauglichkeit und selbstdefinierter digitaler Souveränität abgewogen werden.

Digitale Souveränität wird trotz aller Bemühungen wohl nicht erreicht werden können. Und dennoch lassen sich IT-Abhängigkeiten reduzieren – durch eine eigene, dem Unternehmen angemessene Vision von digitaler Wahlfreiheit und entsprechenden, maßvoll umgesetzten Änderungen. Digitale Wahlfreiheit heißt, die Kontrolle über die eigenen Unternehmensdaten zu haben und sich nach belastbaren Kriterien für das eine oder das andere IT-Tool zu entscheiden. Unternehmen sind selbst für die Sicherheit ihrer Daten verantwortlich und sollten diese sehr ernst nehmen.

Autor: Sebastian Scheuring, CEO, bitbone AG

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.