Digitale Souveränität beginnt oft mit einer einfachen Frage: Können wir unseren Cloud-Anbieter wechseln? Ein Migrationsprojekt von AWS Textract zeigt, warum die Antwort meist komplizierter ist als erwartet.
Diese auf den ersten Blick rein technische Frage hat durch geopolitische Verschiebungen und neue regulatorische Anforderungen eine enorme strategische Dringlichkeit erhalten. Die Zahlen unterstreichen das: Laut der Bitkom-Studie „Cloud-Monitor 2024“ nutzen bereits 9 von 10 Unternehmen in Deutschland Cloud-Computing. Gleichzeitig dominieren US-Anbieter diesen Markt mit über 70 % Anteil bei Infrastruktur- und Plattformdiensten. Doch was verbirgt sich wirklich hinter dem Schlagwort Souveränität und wie realistisch ist die Umsetzung in der Praxis?
Souveränität: Worum es wirklich geht
Im Kern beschreibt digitale Souveränität die Fähigkeit zur Selbstbestimmung im digitalen Raum. Man kann sie auf zwei zentrale Säulen stützen:
Technologische Souveränität: Die Freiheit, Technologien und Dienste selbstbestimmt auszuwählen, zu nutzen und zu kontrollieren, ohne von einzelnen Anbietern abhängig zu sein.
Datensouveränität: Die Kontrolle über die eigenen Daten. Das bedeutet, selbst zu entscheiden, wer wann und unter welchen Umständen auf diese Daten zugreifen darf.
Ziel ist es also, die eigene Handlungsfreiheit zu maximieren und externe Abhängigkeiten zu minimieren. Das betrifft jeden – vom einzelnen Bürger über Unternehmen bis hin zu ganzen Staaten. Klingt einfach, oder? Keine Lust mehr auf die Cloud, also einfach alles selbst hosten? Die Realität ist leider deutlich komplexer.
Wenn die Cloud zur politischen Falle wird
Die Dringlichkeit des Themas wird deutlich, wenn man einen Blick auf die globale politische Bühne wirft. Gesetze wie der CLOUD Act in den USA oder das Data Security Law (DSL) in China ermöglichen es staatlichen Behörden, auf Daten zuzugreifen, die bei Unternehmen aus diesen Ländern gespeichert sind. Hierbei wird ein entscheidender Punkt oft missverstanden: Datenlokalität ist nicht gleich Datensouveränität. Nur weil deine Daten in einem Rechenzentrum in Frankfurt liegen, sind sie nicht automatisch sicher. Unterliegt der Betreiber des Dienstes amerikanischem Recht, kann der CLOUD Act greifen – unabhängig vom Serverstandort.
Gleichzeitig erhöht die EU den regulatorischen Druck massiv. Neue Richtlinien wie NIS2 (für Betreiber kritischer Infrastrukturen), DORA (für den Finanzsektor) und der Cyber Resilience Act (CRA, für Produkte mit digitalen Elementen) zwingen Unternehmen dazu, ihre digitale Widerstandsfähigkeit und ihre Lieferketten genau zu kennen und abzusichern. Eine unkontrollierte Abhängigkeit von außereuropäischen Anbietern wird hier zunehmend zu einem Compliance-Risiko.
Wie real diese Gefahr ist, zeigte ein Vorfall beim Internationalen Strafgerichtshof (IStGH): Nachdem der IStGH einen Haftbefehl gegen hochrangige Politiker erlassen hatte, wurden Sanktionen durch die US-Regierung verhängt. Kurz darauf sperrte Microsoft – mutmaßlich aus Vorsicht vor rechtlichen Konsequenzen in den USA – den E-Mail-Account des Chefanklägers. Ein solcher Eingriff verdeutlicht schmerzhaft, wie schnell digitale Dienste zu einem Instrument politischer Einflussnahme werden können.
Realitätscheck: Die Tücke im Detail
Stellen wir uns ein typisches, Cloud-Native Projekt vor: Eine Anwendung, die Rechnungen per Foto digitalisiert und die extrahierten Daten in einer Datenbank ablegt.
Bei einem großen Anbieter wie AWS könnte die Architektur so aussehen: Ein Frontend lädt Bilder in einen Objektspeicher (S3). Dies löst eine Serverless-Funktion (Lambda) aus, die den spezialisierten KI-Dienst AWS Textract zur Texterkennung nutzt. Das Ergebnis wird über weitere Dienste (SNS, SQS) an eine andere Lambda-Funktion übergeben, die es in einer NoSQL-Datenbank (DynamoDB) speichert.
Diese Architektur ist effizient und kostengünstig. Nun wollen wir aus Gründen der Souveränität dieses Setup zu einem europäischen Anbieter oder sogar auf eigene Server migrieren. Hier beginnt die Herausforderung. Während sich Objektspeicher und Datenbanken mit Open-Source-Alternativen relativ gut ersetzen lassen, stoßen wir bei AWS Textract an eine Grenze. Einen qualitativ ebenbürtigen, selbst-hostbaren Ersatz gibt es praktisch nicht. Dieser spezialisierte Dienst ist der eigentliche „Haken" – der Punkt, an dem der Vendor Lock-in greifbar wird.
Das strategische Dilemma: Make or Buy?
An diesem Beispiel kristallisiert sich die zentrale strategische Frage heraus: Soll man einen solchen Dienst mit enormem Aufwand nachbauen oder die Abhängigkeit bewusst in Kauf nehmen? Diese Entscheidung erfordert eine sorgfältige Abwägung von Budget, Know-how, Zeit und der reinen Machbarkeit.
Drehe die Kostenfrage jedoch einmal um und betrachte die „versteckten“ Kosten der Abhängigkeit. Was kostet es dein Unternehmen, nicht souverän zu sein? Ein erzwungener Datenzugriff, ein Reputationsverlust oder eine politisch motivierte Dienstabschaltung können enormen Schaden anrichten. Solche Risiken können die Einsparungen durch vermeintlich günstigere Dienste schnell zunichtemachen.Es ist eine strategische Risikoabwägung, keine reine Sparmaßnahme.
Wege aus der Abhängigkeit
Das Ziel sollte ein bewusstes Management von Abhängigkeiten sein. Folgende Ansätze sind dabei zentral:
Vendor Lock-in aktiv vermeiden: Setze, wo immer möglich, auf portable Technologien. Containerisierung (z. B. mit Docker und Kubernetes) ist hier ein Schlüsselwerkzeug. Sie erlaubt es, Anwendungen flexibel zwischen verschiedenen Anbietern zu verschieben, löst aber nicht das Problem proprietärer Spezialdienste.
Open Source als Fundament: Open-Source-Software schafft Transparenz und Unabhängigkeit von den Geschäftsentscheidungen einzelner Firmen. Projekte wie das deutsche Open CoDE zeigen, dass auch die öffentliche Verwaltung diesen Wert erkannt hat.
Europäische Alternativen prüfen: Für viele Standardanwendungen gibt es starke Cloud-Anbieter aus Europa. Sie unterliegen europäischem Recht (DSGVO) und bieten besseren Schutz vor dem Zugriff durch außereuropäische Staaten.
Auf Zertifizierungen und Standards achten: Etablierte Standards bieten Orientierung bei der Auswahl von Cloud-Diensten. Zertifizierungen wie das C5-Testat des BSI in Deutschland oder SecNumCloud in Frankreich helfen dir, die Sicherheit und die rechtlichen Rahmenbedingungen eines Anbieters zu bewerten.
Erste Schritte: Was du sofort tun kannst (Quick-Wins)
Digitale Souveränität ist ein Marathon, kein Sprint. Doch es gibt erste, wirkungsvolle Schritte, die jedes Unternehmen kurzfristig umsetzen kann:
Abhängigkeiten inventarisieren: Schaffe Transparenz. Liste alle genutzten Cloud-Dienste, Software und kritischen Hardware-Komponenten auf. Wo liegen die Daten? Welchem Recht unterliegt der Anbieter?
„Kronjuwelen" identifizieren: Bewerte, welche Daten und Anwendungen für dein Geschäft am kritischsten sind. Konzentriere deine Souveränitätsbemühungen zuerst auf diese Bereiche.
Pilotprojekte starten: Teste europäische Anbieter oder Open-Source-Alternativen in einem kleinen, unkritischen Pilotprojekt. So baust du Know-how ohne großes Risiko auf.
Fazit: Jetzt strategisch handeln
Digitale Souveränität ist kein Schalter, den man umlegt. Es ist eine strategische Daueraufgabe, die eine ehrliche Analyse der eigenen Systeme erfordert. Die entscheidenden Fragen lauten:
Welche Abhängigkeiten haben wir (Hardware, Software, Dienste)?
Welche Risiken (technisch, rechtlich, politisch) ergeben sich daraus?
Welchen Preis – inklusive der versteckten Risikokosten – sind wir bereit zu zahlen, um diese Risiken zu minimieren?
Diese Fragen können nicht allein von der IT oder der Rechtsabteilung beantwortet werden. Sie erfordern einen Dialog zwischen der technischen Ebene, die die Machbarkeit beurteilt, und der Führungsebene, die die strategische Weitsicht und Risikobereitschaft definiert. Am Ende geht es darum, Abhängigkeiten zu verstehen, Risiken bewusst zu bewerten und proaktive Strategien für die eigene digitale Zukunft zu entwickeln – bevor externe Faktoren uns dazu zwingen. Als codecentric ist es unsere Stärke, Unternehmen genau auf dieser Reise zu begleiten – mit unabhängiger strategischer Beratung, um die richtigen Entscheidungen zu treffen, und mit technischer Expertise, um diese nachhaltig umzusetzen.
War dieser Beitrag hilfreich?
Dein Job bei codecentric?
Jobs
Agile Developer und Consultant (w/d/m)
Alle Standorte
Weitere Artikel in diesem Themenbereich
Entdecke spannende weiterführende Themen und lass dich von der codecentric Welt inspirieren.
28.5.2025
Blog-Autor*in
Lorenzo Petricone
IT-Consultant & Developer
Du hast noch Fragen zu diesem Thema? Dann sprich mich einfach an.
Du hast noch Fragen zu diesem Thema? Dann sprich mich einfach an.