Realitätssinn statt Ideologie : Digitale Souveränität ist nicht Schwarz-Weiß

Beim Berliner Gipfel zur europäischen digitalen Souveränität haben Deutschland und Frankreich gemeinsam mit der Wirtschaft ein starkes Zeichen gesetzt. Das Signal kommt zur richtigen Zeit. Europa muss seine digitale Handlungsfähigkeit stärken, keine Frage. Doch die Realität in Unternehmen und Behörden sieht anders aus: Software- und IT-Lösungen von außereuropäischen Unternehmen gehören zum Alltag.

Oft tragen sie maßgeblich zur Wettbewerbsfähigkeit bei. In solchen Bereichen auf rein europäische Angebote oder Open Source-Lösungen umzuschwenken, ist leichter gesagt als getan. Und ehrlicherweise an vielen Stellen auch gar nicht in letzter Konsequenz nötig. Denn auch die Differenzierung zwischen hochsensiblen IT-Bereichen und solchen, die nicht betriebskritisch sind, geht in der Debatte zunehmend verloren.

Das Problem beginnt bereits bei der Definition. Digitale Souveränität ist nicht nur eine Standortfrage. Sie entsteht nicht dadurch, dass Server in Frankfurt stehen statt in Seattle. Souveränität bedeutet vor allem eines: durchsetzbare Kontrollrechte. Souverän ist, wer den Exit kontrolliert.

Sicherheit und Resilienz statt Abschottung

Gerade der Blick auf die Cloud wird in der aktuellen Diskussion oft durch stark vereinfachte Argumentationsmuster auf ein binäres Schwarz-Weiß-Narrativ verengt. Entweder europäisch oder unsicher, so vielerorts die Annahme. Doch diese Sichtweise greift zu kurz. Souveränität entsteht nicht durch Abschottung, sondern durch technologische und organisatorische Schutzketten.

Technisch bedeutet das: Unternehmen verwalten ihre kryptografischen Schlüssel selbst, extern in Hardware-Sicherheitsmodulen. Der Cloud-Provider hat somit keinerlei Möglichkeit, auf unverschlüsselte Daten zuzugreifen. Ebenfalls wichtig: strikte Zugriffsmodelle – Zugang bekommt nur, wer ihn wirklich braucht. Jeder Zugriff muss forensisch verwertbar protokolliert werden. Und nicht zuletzt gehören auch belastbare Kontrollen der Lieferketten für einen möglichst souveränen Ansatz ganz oben auf die Agenda. Das heißt: Unternehmen wissen im Detail, welche Software-Komponenten in ihrer Cloud-Infrastruktur laufen, woher diese stammen und wie diese schnell zu ersetzen sind.

Die organisatorische Ebene ist dabei mindestens genauso wichtig: Getrennte Verantwortungen, Vier-Augen-Prinzip bei kritischen Änderungen und Exit-Playbooks, die genau beschreiben, wie im Notfall der Anbieterwechsel erfolgt, sind essenziell. Wichtig: Unternehmen müssen diese Exit-Szenarien regelmäßig durchspielen, wie Feuerwehrübungen.

Die Praxis zeigt, dass Cloud-Infrastrukturen auch mit außereuropäischen Lösungen ein hohes Maß an Souveränität und Sicherheit bieten können. Kuratierte Overlay-Ansätze auf etablierten Plattformen machen es möglich. Bei Microsoft-Workloads etwa lassen sich souveräne Eigenschaften nachweislich mit Angeboten wie der Delos-Cloud durchsetzen. Unternehmen nutzen die Leistungsfähigkeit globaler Cloud-Dienste und behalten gleichzeitig messbare Kontrolle. Keine Abschottung, keine Insellösung – sondern pragmatische Souveränität, die sich auditieren und im Ernstfall beweisen lässt.

Mittelwege zwischen Wunsch und Wirklichkeit

Die Politik sollte sich derweil die Frage stellen, ob „Buy European"-Forderungen, wie sie auf dem Souveränitätsgipfel häufiger zu hören waren, wirklich realistisch sind. Technologische Unabhängigkeit muss das langfristige Ziel der EU sein – das steht nicht zur Debatte. Kurzfristig braucht es aber mehr Realitätssinn, gerade in Hinblick auf die Herausforderungen, vor denen viele Unternehmen derzeit sowieso schon stehen.

Hundertprozentige Souveränität gibt es genauso wenig wie hundertprozentige Informationssicherheit. Viel wichtiger ist es, den jeweils angemessenen Grad an Souveränität für die individuellen Anwendungsszenarien zu definieren. Pauschal sämtliche Software- und IT-Komponenten nur von europäischen Anbietern zu beziehen oder auf Open-Source umzustellen, ist zum jetzigen Zeitpunkt nicht realistisch. Vielmehr sind jetzt Ansätze gefragt, mit denen beides gelingt: Der Einsatz global wettbewerbsfähiger Innovationen bei gleichzeitiger Schlüsselhoheit, Betriebshoheit, Auditierbarkeit und Reversibilität.

So abstrakt die Diskussion auf politischer Ebene derzeit noch ist, desto wichtiger werden konkrete Maßnahmen im operativen Alltag: Organisationen müssen ihre Ausstiegsszenarien regelmäßig durchspielen, mit klaren Zielwerten für Wiederanlauf- und Exit-Durchlaufzeiten. Im Idealfall prüfen dabei unabhängige Audits, ob die Prozesse greifen. Nur was geübt und geprüft wird, funktioniert im Ernstfall. Zugleich gilt, dass auch Standards stärker werden müssen. Wir brauchen interoperable Nachweisformate und Attestierungen, die Beweiskraft schaffen. Souveränität muss messbar sein, nicht nur behauptet.

André Glenzer ist Partner für Cyber Security & Privacy bei PwC Deutschland. Im Bereich Informationssicherheit im NIS-2/KRITIS-Bereich mit dem Schwerpunkt BSI IT-Grundschutz berät er unter anderem Organisationen aus dem öffentlichen Sektor zu souveränen Cloud-Lösungen und deren sicheren Betrieb.