Wie steht es um Ihre digitale Souveränität?

Der Fall CrowdStrike dient hier als warnendes Beispiel. Ein fehlerhaftes Software-Update des US-Sicherheitsanbieters führte im Juli 2024 weltweit zu Ausfällen von Millionen Windows-Systemen; in Deutschland mussten fast die Hälfte der betroffenen Organisationen den Betrieb zeitweise einstellen, der wirtschaftliche Schaden ging in die Milliarden.

Wie schnell Cloud-Anbieter auf politischem Druck hin die Zugänge zu zentralen Diensten blockieren, hat der Fall des Chefanklägers des Internationalen Strafgerichtshofs, Karim Khan, eindringlich veranschaulicht: Nach Sanktionen von US-Präsident Donald Trump gegen das Den Haager Gericht im Februar 2025, sperrte Microsoft kurzerhand Khans E-Mail-Konto, um nicht selbst ins Visier von US-Behörden zu geraten.

Die Abhängigkeit von Unternehmen, die nicht der europäischen Jurisdiktion unterstehen, gefährdet die Hoheit über die eigenen Daten und den Datenschutz. Beispielsweise haben US-Ermittlungsbehörden potenziell Zugriff auf alle bei US-Dienstleistern gespeicherten Daten, selbst wenn diese auf deutschen oder europäischen Servern liegen. Denn Überwachungsgesetze wie der CLOUD Act und FISA Section 702 verpflichten US-Dienstleister, Behörden den Zugriff auf alle Daten zu gewähren – auch wenn diese außerhalb der USA gespeichert sind.

Besonders problematisch ist dies bei der SSL/TLS-Terminierung: Zur Identifizierung bösartigen Traffics und zur Abwehr verschlüsselter Angriffe müssen Anbieter von CDN-Services und Webapplikationsschutz die HTTPS-Verschlüsselung kurzfristig aufbrechen. Dabei werden auch personenbezogene Daten und vertrauliche Informationen wie Geschäftsgeheimnisse, medizinische Diagnosen oder Strategiepapiere offengelegt. Nur der Einsatz europäischer Dienstleister gewährleistet dauerhaft die Wahrung der Datenhoheit und DSGVO-Konformität.

• Festlegung eines Zielbilds für digitale Souveränität: Definieren Sie, wie viel Unabhängigkeit und Kontrolle Sie in den verschiedenen Dimensionen (Infrastruktur, Software, Daten, Know-how) erreichen wollen.

• Abstimmung mit der Unternehmensstrategie: Digitale Souveränität sollte integraler Bestandteil Ihrer Gesamtstrategie sein, um langfristige Kontrolle und Wettbewerbsfähigkeit zu sichern.

• Systematische Risikoanalyse: Bewerten Sie die Risiken, die aus bestehenden Abhängigkeiten entstehen (z.B. Lock-in-Effekte, Ausfallrisiken, Compliance-Verstöße, Wissensverlust).

• Priorisierung der Handlungsfelder: Identifizieren Sie besonders kritische oder sensible Bereiche, in denen die Abhängigkeit reduziert werden muss.

• Technologische Maßnahmen: Prüfen Sie Alternativen zu proprietären Lösungen, z.B. durch den Einsatz von Open Source Software, Multi-Vendor-Strategien oder Migration auf souveräne Cloud-Angebote.

• Organisatorische Maßnahmen: Fördern Sie internes Know-how (z.B. durch Schulungen), etablieren Sie Verantwortlichkeiten für digitale Souveränität und bauen Sie interne Kompetenzen auf.

• Prozessuale Maßnahmen: Implementieren Sie ein kontinuierliches Monitoring der IT-Infrastruktur und führen Sie regelmäßige Sicherheits- und Compliance-Audits durch.

• Vertragliche Maßnahmen: Verhandeln Sie Verträge gezielt zur Sicherstellung von Datenportabilität, Exit-Strategien und Interoperabilität.

• Implementierung der Maßnahmen: Setzen Sie die priorisierten Maßnahmen um, z.B. durch Migration kritischer Systeme, Einführung von Open Source, Aufbau redundanter Systeme.

• Monitoring und Erfolgskontrolle: Überwachen Sie kontinuierlich die Wirksamkeit der Maßnahmen und passen Sie die Strategie regelmäßig an neue technologische und regulatorische Entwicklungen an.

• Sensibilisierung und Einbindung der Mitarbeitenden: Fördern Sie das Bewusstsein für digitale Souveränität und binden Sie relevante Stakeholder frühzeitig ein.

• Transparente Kommunikation: Berichten Sie intern und extern über Fortschritte und Herausforderungen, um Akzeptanz und Unterstützung zu sichern.