Mehr digitale Souveränität: Leitfaden für Resilienz und Innovationsfreiheit
Nehmen wir an, Sie tragen die Verantwortung für die IT eines mittelständischen europäischen Unternehmens. Eine möglichst kostengünstige und effiziente Umsetzung der IT-Infrastruktur gehört damit sicher zu Ihren Zielen. Damit wird das Zurückgreifen auf günstige und niedrigschwellige Einstiegsangebote verschiedenster IT-Services interessant, jedoch sollten dabei auch die langfristigen Folgen bedacht werden. Durch entstehende Abhängigkeiten stellen sich die so beworbenen Lösungen mittel- bis langfristig als Problem dar.
Beispielsweise nutzen Sie Microsoft Office 365, in der Erwartung, geringere Aufwände für Pflege und Wartung der Software zu haben, da dies als Teil des Onlineangebots von Microsoft übernommen wird. Plötzlich steigen jedoch Ihre monatlichen IT-Kosten drastisch, weil Microsoft die Preise um bis zu 40 Prozent erhöht hat (wie im April 2025 geschehen) [1]. Durch die bereits erfolgte Integration der Software in Ihre IT und Unternehmensabläufe ist ein Wechsel des Anbieters nicht einfach möglich, sodass Sie die Preiserhöhung akzeptieren müssen. Durch in der Zukunft stattfindende Technologieanpassungen verstärken Sie die Abhängigkeit gegebenenfalls, sodass Sie bei der nächsten Preiserhöhung wieder alternativlos zahlen müssen.
Noch gravierender: Im Jahr 2021 kam es bei Amazon Web Services (AWS) zu einem mehrstündigen Ausfall, der weltweit Unternehmen lahmlegte und Millionenverluste verursachte [2] Zwar kann auch selbstbetriebene Infrastruktur ausfallen, doch die Konzentration wesentlicher IT-Dienste bei wenigen globalen Hyperscalern führt dazu, dass einzelne Störungen massive volkswirtschaftliche Auswirkungen haben. Derartige Vorfälle machen auch geopolitische Abhängigkeiten greifbar: Wenn kritische digitale Infrastruktur maßgeblich durch Anbieter aus bestimmten Regionen kontrolliert wird, kann deren Ausfall oder politisch bedingte Einschränkung unmittelbare Folgen für ganze Branchen oder Länder haben. Solche realen Vorfälle zeigen, dass digitale Abhängigkeit längst keine theoretische Gefahr mehr ist. Sie ist eine stille Bedrohung, die erst dann sichtbar wird, wenn es bereits zu spät ist. Wenn Software, Daten oder Prozesse nicht mehr ohne Zustimmung Dritter betrieben oder verändert werden können, ist die unternehmerische Handlungsfähigkeit massiv eingeschränkt.
Die Antwort auf dieses wachsende Risiko heißt: digitale Souveränität.
Was ist Digitale Souveränität?
Der Begriff "digitale Souveränität" begegnet uns vermehrt in politischen und wirtschaftlichen Kontexten. Leider fehlt dabei fast immer eine Definition des Begriffs. In der öffentlichen Debatte begegnet man zunehmend dem Phänomen des sogenannten "Sovereign Washing". Dabei werden Produkte oder Dienste als digital souverän vermarktet, erfüllen dieses Versprechen aber nicht oder nur sehr oberflächlich. Häufig reicht schon ein regionaler Rechenzentrumsstandort aus, um ein Angebot als "souverän" zu kennzeichnen – ohne dass tatsächlich Kontrolle über Software, Datenflüsse oder Abhängigkeiten besteht. Für Unternehmen entsteht dadurch eine trügerische Sicherheit, die wahre Risiken verschleiert. Entsprechend werden auch keine hilfreichen Gegenmaßnahmen ergriffen.
Im Kern jedoch geht es bei echter digitaler Souveränität um die Fähigkeit, digitale Dienste, Daten, Software und Prozesse unabhängig und selbstbestimmt nutzen, integrieren, anpassen oder ersetzen zu können. Es reicht nicht, die eigene IT gegen Angriffe abzusichern – Unternehmen müssen sie aktiv gestalten und kontrollieren können. Digitale Souveränität beginnt dort, wo technische, organisatorische und strategische Entscheidungsfreiheit besteht. Sie umfasst die Kontrolle über Infrastruktur, Formate und Software ebenso wie den Aufbau interner Kompetenzen und den bewussten Umgang mit Lieferantenbeziehungen.
Risiken digitaler Abhängigkeit: Wirtschaftliche, technologische Folgen fehlender Souveränität
Die Risiken mangelnder Souveränität zeigen sich in verschiedenen Dimensionen. Besonders drastisch ist das wirtschaftliche Risiko: Viele Anbieter locken mit niedrigen Einstiegskosten, nur um die Preise später stark zu erhöhen – wie etwa Microsoft mit den eingangs erwähnten Preissteigerungen von bis zu 40 Prozent für seine Cloud-Produkte. Da sich viele Unternehmen einmal eingerichtet haben, erscheint ein Wechsel oft zu aufwändig. Genau darauf bauen diese Modelle: Durch kurzfristige Zeitersparnis und fehlendes Risikobewusstsein soll eine Abhängigkeit geschaffen werden.
Gleichzeitig führt die Auslagerung technischer Kernkompetenzen dazu, dass Innovationskraft verloren geht. Ein prägnantes Beispiel liefert die Luftfahrtindustrie: Boeing hatte in den letzten zwei Jahrzehnten weite Teile seiner Fertigung und des technischen Engineerings ausgelagert – mit verheerenden Folgen bei der 737‑Max‑Reihe. Qualitätseinbrüche und erhebliche Kostenprobleme werden in Fachkreisen direkt auf diese strategische Verlagerung zurückgeführt. Unternehmen riskieren dadurch nicht nur operative Schwächen, sondern auch den Verlust ihrer Fähigkeit, selbst Innovationen voranzutreiben [3] Ähnlich verhält es sich mit digitalen Abhängigkeiten: Wer zentrale digitale Prozesse und Tools vollständig extern vergibt – etwa durch proprietäre SaaS-Lösungen mit starkem Vendor Lock-in – gibt nicht nur Kontrolle, sondern auch Innovationspotenzial aus der Hand.
Auch die rechtliche Dimension ist kritisch: Der US Cloud Act erlaubt US-Behörden Zugriff auf Daten, die in Rechenzentren weltweit gespeichert sind – unabhängig davon, ob sich diese physisch in Europa befinden. Die einzige Voraussetzung ist, dass das Unternehmen, das den Service betreibt, ein US-Unternehmen oder eine Tochtergesellschaft eines solchen ist [4]. Das steht in klarem Widerspruch zu europäischen Datenschutzstandards und schafft für europäische Unternehmen ein erhebliches rechtliches und sicherheitstechnisches Risiko. Damit geraten nicht nur personenbezogene Daten in Gefahr, sondern auch das geistige Eigentum eines Unternehmens.
Hinzu kommen massive Verfügbarkeitsrisiken: Lizenzen können kurzfristig entzogen, Produkte vom Markt genommen oder durch geopolitische Spannungen unzugänglich werden. Ein Dienstleister aus einem Drittstaat kann infolge politischer Entscheidungen plötzlich nicht mehr nutzbar sein. Ebenso denkbar ist, dass ein Unternehmen aus ethischen oder strategischen Gründen den Anbieter wechseln möchte – aber technisch oder organisatorisch nicht dazu in der Lage ist. Die Abhängigkeit manifestiert sich dann als reale Betriebsbedrohung.
Nicht zuletzt entsteht aus solchen Abhängigkeiten eine vertragliche Ohnmacht: Anbieter können ihre Lizenzbedingungen einseitig ändern – und Unternehmen müssen sie akzeptieren, da ihnen faktisch die Alternativen fehlen. Die Verhandlungsposition gegenüber dem Anbieter ist schwach, da ein Wechsel mit hohem Zeit- und Ressourcenaufwand verbunden wäre. Individuelle Anforderungen oder Interessen lassen sich in solchen Konstellationen kaum noch durchsetzen. Digitale Abhängigkeit wird so zur unternehmerischen Schwäche. Und dieses Problem trifft nicht nur die kleinen Unternehmen. Ein aktuelles Beispiel ist Figma (ein Anbieter eines kollaborativen Design Tools): Beim Abschluss eines fünf Jahre laufenden Vertrages mit Amazon über AWS-Hostingleistungen im Wert von über 500 Millionen US-Dollar musste akzeptiert werden, dass Amazon seine Nutzungsbedingungen auch zum Nachteil des Kunden jederzeit ändern kann. Aufgrund der bestehenden Abhängigkeit musste dies hingenommen werden [5].
Wie erreiche ich digitale Souveränität?
Digitale Souveränität lässt sich nicht durch eine einzelne Maßnahme herstellen – es braucht ein Zusammenspiel aus Technik, Organisation und Strategie. Zu den grundlegenden Schritten gehört die Wahl offener, standardisierter Datenformate, die es ermöglichen, Daten und Prozesse systemübergreifend zu betreiben oder zu migrieren. Ebenso wichtig ist der Aufbau interner Kompetenzen, die es erlauben, IT-Strukturen nicht nur zu konsumieren, sondern auch aktiv zu gestalten. Auch strategische Maßnahmen, etwa Exit-Strategien für kritische Dienste oder Multi-Vendor-Strategien zur Vermeidung von Abhängigkeiten, tragen zur Resilienz bei.
Ein zentrales Element in diesem Werkzeugkasten ist der Einsatz von Open Source Software. Sie allein ist keine Garantie, aber ein wesentlicher Baustein. Die Offenheit des Quellcodes ermöglicht es, Funktionalitäten nachzuvollziehen, anzupassen und unabhängig vom Hersteller zu betreiben. Standardisierte Schnittstellen und offene Formate fördern Interoperabilität und erleichtern den Austausch einzelner Komponenten. Zudem entfallen nutzungsbasierte Einschränkungen, wie sie bei proprietärer Software üblich sind. Kritiker argumentieren, dass Open Source nur dann Vorteile bringt, wenn technisches Know-how vorhanden ist. Doch hier liegt der Schlüssel: Die Investition in Fähigkeiten und unabhängige Dienstleister stärkt nicht nur die Unabhängigkeit, sondern reduziert auch das Risiko eines Single Point of Failure. Auch wenn intern keine ausreichenden Ressourcen oder Kompetenzen vorhanden sind, können diese bei Open Source Software problemlos durch externe Dienstleister ergänzt werden. Der entscheidende Unterschied zur proprietären Software liegt dabei in der Vielfalt der Anbieter: Während bei herstellereigener Software meist nur ein einziger Anbieter existiert, gibt es im Open-Source-Umfeld eine Vielzahl von Dienstleistern, die Beratung, Entwicklung oder Support anbieten. Dadurch entsteht keine kritische Abhängigkeit von einem einzelnen Partner, und Unternehmen behalten ihre Verhandlungsstärke und Auswahlfreiheit.
Digitale Souveränität lässt sich nicht über Nacht erreichen, aber gezielt entwickeln. Auf technischer Ebene bedeutet das, auf offene Datenformate, dokumentierte Schnittstellen und migrationsfähige Systeme zu setzen. Organisatorisch müssen Kompetenzen gefördert und Entscheidungen nicht nach Markennamen, sondern nach Nachhaltigkeit getroffen werden. Eine durchdachte Cloud-Strategie sollte Portabilität von Anfang an berücksichtigen – wer bei der Einführung eines Dienstes bereits an dessen möglichen Ersatz denkt, sichert sich langfristige Handlungsfreiheit.
Um den Weg zur digitalen Souveränität strukturiert und gezielt gestalten zu können, braucht es eine Quantifizierung. Nur wenn Unternehmen die Qualität ihrer digitalen Unabhängigkeit anhand klarer Kriterien bewerten können, lassen sich fundierte Entscheidungen treffen. Die Quantifizierung digitaler Souveränität ermöglicht es, Stärken und Schwächen systematisch zu identifizieren und gezielt Maßnahmen abzuleiten.
In anderen Bereichen des Risikomanagements ist es selbstverständlich, Risiken durch eine Kombination aus Schadenshöhe und Eintrittswahrscheinlichkeit zu bewerten – und darauf aufbauend Maßnahmen zu treffen. Die schlimmsten Risiken sind immer die unbekannten. Genau deshalb wird in der IT-Sicherheit, beim Brandschutz oder bei betrieblichen Ausfällen auf systematische Risikoanalysen gesetzt. Nur bei digitalen Abhängigkeiten wird diese Praxis erstaunlich oft vernachlässigt. Viele Unternehmen vertrauen darauf, dass "schon nichts passieren wird" – und vermeiden einen genauen Blick auf ihre tatsächlichen Abhängigkeiten. Die Folge: Risiken bleiben unerkannt, bis sie sich schmerzhaft realisieren.
Wie sieht eine Quantifizierung digitaler Souveränität aus?
Dabei spielen verschiedene Dimensionen eine Rolle: Wie offen sind die verwendeten Technologien? Wie leicht lassen sich Systeme migrieren oder unabhängig weiterbetreiben? In welchem Maß besteht Abhängigkeit von einzelnen Anbietern oder proprietären Standards? Die Beantwortung dieser Fragen erlaubt die Einordnung in Reifegrade, die als Kompass für strategische Weiterentwicklung dienen. Die Vorteile liegen auf der Hand: Statt auf Intuition oder Ad-hoc-Reaktionen angewiesen zu sein, kann digitale Souveränität aktiv und messbar gesteuert werden. Eine fundierte Quantifizierung digitaler Souveränität betrachtet mehrere zentrale Teilbereiche.
Erstens die Offenheit der eingesetzten Technologien: Nur wenn Quellcode einsehbar, Schnittstellen dokumentiert und Datenformate standardisiert sind, lässt sich langfristige Kontrolle über digitale Prozesse sicherstellen. Proprietäre Lösungen mit geschlossenen Schnittstellen verhindern Flexibilität und machen ein System schwer austauschbar. Die Verfügbarkeit von Schnittstellendokumentation ist das absolute Minimum. Bestenfalls werden die gleichen Schnittstellen von verschiedenen Anbietern bzw. Softwarelösungen implementiert.
Zweitens die Migrationsfähigkeit: Systeme müssen so konzipiert sein, dass ein Wechsel auf eine alternative Lösung technisch und organisatorisch möglich ist – ohne unverhältnismäßige Kosten oder lange Betriebsunterbrechungen. Nur wer sein digitales Ökosystem beweglich hält, bleibt anpassungsfähig. Hier spielen einerseits wieder die offenen Schnittstellen hinein, aber auch zahlreiche andere Faktoren. Bei den Hyperscalern fallen beispielsweise regelmäßig sehr hohe Gebühren für Datenübertragungen aus deren Cloud heraus an. Technisch gibt es dafür keine Grundlage, sodass anzunehmen ist, dass diese Gebühren nur dafür geschaffen wurden, eine Migration teuer zu machen und den Kunden somit in der Cloud des Hyperscalers zu halten.
Drittens die Weiterbetriebsfähigkeit ohne Anbieterbindung: In vielen Fällen ist es essenziell, zentrale Funktionen auch dann aufrechterhalten zu können, wenn ein Anbieter ausfällt, insolvent wird oder nicht mehr kooperieren kann. Dies betrifft etwa Authentifizierung, Datenzugriffe oder kritische Workflows. Ohne diese zentralen Dienste kommt das eigene Geschäft sehr schnell zum Stillstand.
Darüber hinaus ist die Verfügbarkeit und Zugänglichkeit von Kompetenzen ein kritischer Faktor: Je breiter Know-how zu einer Technologie am Markt verteilt ist, desto besser lassen sich Personalengpässe oder Partnerwechsel überbrücken. Insbesondere bei Open Source zeigen sich hier Vorteile durch ein diversifiziertes Unterstützungsumfeld.
Ein weiterer Baustein ist die Transparenz über vertragliche Verpflichtungen und Rechte: Unternehmen sollten jederzeit wissen, ob sie durch AGB, Lizenzmodelle oder exklusive APIs in eine ungünstige Position geraten könnten. Auch dies gehört zur messbaren Souveränität.
Diese und weitere Kriterien lassen sich in einer strukturierten Analyse zu einem Gesamtbild verdichten. Das Ergebnis ist eine faktenbasierte Grundlage für Priorisierung und Maßnahmenplanung – und letztlich ein kontinuierlich überprüfbarer Kompass für digitale Selbstbestimmung. Durch eine solche Quantifizierung lassen sich digitale Abhängigkeiten nicht nur sichtbar machen, sondern auch priorisieren. Daraus ergibt sich ein individueller Fahrplan, der als strategischer Kompass für notwendige Maßnahmen dient – fundierter als reine Intuition und besser steuerbar als punktuelle Einzelentscheidungen. Ganz nebenbei erhält man einen ersten Schritt in Richtung eines Notfallplans, um im Falle des Wegfalls eines Anbieters schnell agieren zu können.
Für Unternehmen empfiehlt es sich, in drei Schritten zu handeln. Kurzfristig sollten bestehende Abhängigkeiten identifiziert und kritische Komponenten festgehalten werden. Mittelfristig geht es darum, Alternativen zu evaluieren, Know-how aufzubauen und Open-Source-Komponenten dort zu integrieren, wo es sinnvoll ist. Langfristig braucht es eine Verankerung der digitalen Souveränität in der IT-Governance – mit regelmäßigen Quantifizierungen und einem klaren Bekenntnis zur technologischen Selbstbestimmung. Nur so lässt sich die einmal erlangte digitale Souveränität auch langfristig erhalten.
Fazit
Digitale Souveränität ist kein reines Sicherheitskonzept. Sie ist die Grundlage für Innovationsfähigkeit, Krisenfestigkeit und strategische Unabhängigkeit. In einer Welt, in der technologische Rahmenbedingungen sich schnell ändern und geopolitische Spannungen zunehmen, wird sie zum entscheidenden Wettbewerbsfaktor. Es geht nicht darum, jede Cloud zu vermeiden oder jede Software selbst zu entwickeln. Aber es geht darum, die Wahl zu haben – und diese Wahl auch treffen zu können.
Open Source, Standardisierung und Kompetenzaufbau sind keine ideologischen Entscheidungen. Sie sind strategische Investitionen in die Zukunftsfähigkeit eines Unternehmens. Wer sie heute tätigt, handelt nicht nur risikoavers – sondern vorausschauend.
- Stefan Krempl: EU-Cloud-Wettbewerber: Microsofts Preissteigerungen reichen an Erpressung
- Martin Giles: A Major Outage At AWS Has Caused Chaos At Amazon’s Own Operations, Highlighting Cloud Computing Risks
- Steve Banker: Boeing Is Haunted By Two Decades Of Outsourcing
- Tobias Haar: US CLOUD Act regelt internationalen Datenzugriff – Wolkenbruch
- Mike Faus: AWS kostet Figma 300.000 US-Dollar pro Tag
