Die europaweite Debatte rund um digitale Souveränität fokussiert sich in den vergangenen Wochen überwiegend auf das Thema KI (KI-Gigafactory etc.). Roland Stritt, CRO bei FAST LTA, weist darauf hin, dass dabei ein anderer Aspekt etwas in den Hintergrund gerät: Cyberresilienz und die Kontrolle über kritische Daten innerhalb Europas. [...]
In einer zunehmend geopolitisch angespannten Welt rückt digitale Unabhängigkeit in den Vordergrund. Daten sind längst ein Machtfaktor und ihr Schutz entscheidet über Innovationskraft, Sicherheit und Vertrauen. Wie verletzlich diese digitale Abhängigkeit sein kann, zeigt ein Vorfall im Mai 2025: Ein US-Cloud-Anbieter sperrte auf Anweisung der Regierung der USA das Postfach des Chefanklägers des Internationalen Strafgerichtshofs. Die internationale Justiz war damit handlungsunfähig. Der Vorfall verdeutlicht, wie politischer Druck von außen den Zugang zu digitalen Ressourcen in Europa gefährden kann.
Immer mehr Unternehmen und öffentliche Einrichtungen erkennen deshalb: Digitale Souveränität ist keine theoretische Debatte mehr, sondern eine strategische Notwendigkeit. Clouddienste bringen Skalierbarkeit und Flexibilität. Zugleich wächst jedoch das Risiko des Kontrollverlusts. Daten in US-Clouds unterliegen dem CLOUD Act oder FISA 702. Diese Regelungen erlauben amerikanischen Behörden den Zugriff, auch wenn die Daten physisch in Europa gespeichert sind. Das steht im Widerspruch zur DSGVO und gefährdet die Rechtskonformität.
Auch das neue Data Privacy Framework bleibt politisch angreifbar. Nach Regierungswechseln könnte es erneut ausgesetzt oder verändert werden. Unternehmen dürfen deshalb nicht allein auf internationale Abkommen vertrauen, um dauerhaft Datenschutz und Betriebsfähigkeit zu gewährleisten.
Kontrollverlust durch Abhängigkeiten
Neben juristischen Risiken treten operative Schwächen zutage. Nach der Flutkatastrophe im Ahrtal 2021 verlor ein Krankenhaus tagelang den Zugriff auf Patientendaten. Die Verwaltung und Datensicherung waren vollständig in die Cloud ausgelagert. Als das Internet ausfiel, standen keine lokalen Kopien zur Verfügung. Die Versorgung kam zum Stillstand. Solche Szenarien belegen, dass Organisationen im Ernstfall keine Handlungsfähigkeit haben, wenn kritische Systeme nur aus der Ferne erreichbar sind.
Technisch bleiben viele Abläufe in der Cloud intransparent. Unternehmen können oft nicht überprüfen, wie Backups gesichert werden oder ob zusätzlich physisch getrennte Notfallkopien existieren. Auch Angriffe durch Ransomware oder menschliche Fehler bedrohen Systeme, wenn keine unveränderbaren und lokal geschützten Kopien verfügbar sind.
Anforderungen an digitale Resilienz steigen
Mit Vorgaben wie NIS2 und DORA steigen die Anforderungen an Unternehmen. Sie müssen belegen, wo ihre Daten gespeichert sind, wer darauf zugreift und wie schnell Systeme nach einem Vorfall wiederhergestellt werden können. Es ist schwierig solche Nachweise gegenüber Aufsichtsbehörden zu erbringen, wenn zentrale IT-Prozesse vollständig ausgelagert sind.
Auch geopolitische Konflikte oder Sanktionen können dazu führen, dass Anbieter ihre Dienste kurzfristig einstellen oder ändern müssen. Preissteigerungen und Vertragskündigungen können Organisationen zusätzlich belasten, wenn sie zu stark von einzelnen Anbietern abhängig sind. Diese Risiken betreffen nicht nur große Cloud-Anbieter, sondern wirken sich direkt auf alle Branchen aus, die auf deren Infrastruktur angewiesen sind.
Europäischer On-Premises-Speicher als stabile Basis
Hybride Konzepte mit europäischem On-Premises-Speicher bieten hier einen Ausweg. Organisationen können ihre kritischsten Daten lokal verwalten und zugleich Cloud-Dienste ergänzend einsetzen. Daten, die in europäischen Speicherlösungen abgelegt werden, unterliegen ausschließlich dem EU-Recht. Das erleichtert die Einhaltung der DSGVO und schafft Vertrauen bei Prüfern und Aufsichtsbehörden.
Darüber hinaus stärken On-Premises-Lösungen die operative Autonomie. Air-gapped-Backups und hardwarebasierte WORM-Technologien (Write Once Read Many) sichern Daten unveränderbar. Bei einem Ausfall des Netzwerks oder der Cloud bleiben sie lokal verfügbar. So sind Organisationen selbst bei Cyberangriffen wie Ransomware oder Naturkatastrophen schnell wieder handlungsfähig.
Zudem ermöglichen europäische Speicherplattformen kürzere Lieferwege und direkten Support über lokale Partner. Das erleichtert die Wartung und erhöht die Planungssicherheit. Auch ein Vendor-Lock-in lässt sich vermeiden, wenn Daten lokal in einem standardisierten Format abgelegt werden. Unternehmen gewinnen damit nicht nur juristische Sicherheit, sondern auch Unabhängigkeit von Lieferketten und internationalen Machtinteressen.
Schritte zur digitalen Souveränität
Digitale Souveränität entsteht nicht automatisch. Unternehmen müssen sie bewusst und strukturiert aufbauen:
1. Datenflüsse und Risiken analysieren: Organisationen sollten systematisch prüfen, welche Daten aktuell in ausländischen, insbesondere US-basierten Cloud- und SaaS-Diensten verarbeitet werden. Sensible oder besonders geschäftskritische Daten gilt es zu identifizieren. Das bildet die Grundlage, um die größten Risiken für die Souveränität zu erkennen.
2. Cloud-Strategie überprüfen: Es empfiehlt sich, besonders kritische Daten gezielt in die eigene Infrastruktur zurückzuführen. Falls eine Speicherung in der Cloud unvermeidbar ist, sollten diese Daten Ende-zu-Ende verschlüsselt werden, idealerweise mit eigenen Schlüsseln.
3. Hybride Infrastruktur etablieren: Der parallele Betrieb von Cloud-Diensten und On-Premises-Lösungen verbindet Skalierbarkeit mit maximaler Kontrolle. So bleiben Unternehmen flexibel und gleichzeitig in Krisenfällen eigenständig handlungsfähig.
4. Unveränderbare und Air-gapped-Backups umsetzen: Backups sollten nicht nur unveränderbar gespeichert werden, sondern zusätzlich physisch getrennt (Air Gap). Diese Kombination schützt vor Cyberangriffen, menschlichen Fehlern oder Manipulation. Sie bildet die letzte Verteidigungslinie.
5. Transparenz und Compliance sicherstellen: Eine lückenlose Dokumentation der Speicherorte, Zugriffe und Schutzmaßnahmen ist Pflicht. Nur so können Unternehmen gegenüber Regulierungsbehörden nachweisen, dass sie NIS2, DORA und andere Vorgaben erfüllen.
6. Europäische Technologien und Partner bevorzugen: Wo möglich, sollten Unternehmen auf Lösungen setzen, die in Europa entwickelt und gehostet werden. Das reduziert Abhängigkeiten von ausländischen Gesetzen und intransparenten Black-Box-Technologien. Gleichzeitig profitieren Unternehmen von kürzeren Liefer- und Supportwegen. Europäische Speicherlösungen bieten zudem eine zusätzliche Absicherung, damit Daten nicht ungewollt in geopolitische Konflikte geraten. Immer mehr Organisationen aus dem öffentlichen und regulierten Sektor entscheiden sich daher bewusst für heimische IT.
Zukunft sichern durch digitale Eigenverantwortung
Digitale Souveränität verlangt mehr als gute Verträge. Sie schützt Organisationen vor politischem Druck, technischen Ausfällen und regulatorischen Konflikten. Nur wer seine Daten- und Systemarchitektur konsequent unter eigener Kontrolle behält, kann im Krisenfall verlässlich reagieren. Digitale Souveränität bedeutet aber mehr als Schutz. Sie schafft die Grundlage für nachhaltige Innovationen, stabile Geschäftsmodelle und Vertrauen bei Kunden und Partnern. Damit wird sie zu einer Investition in die Handlungsfähigkeit von morgen.
* Roland Stritt ist CRO beim Münchner Technologieunternehmen FAST LTA.
Be the first to comment