Cloud-Strategien gelten in vielen Organisationen als entschieden, Cloud-Risiken als beherrschbar. Verträge sind geschlossen, Sicherheitskonzepte etabliert, regulatorische Anforderungen formal erfüllt. Und dennoch wächst bei vielen Entscheidern das ungute Gefühl, dass Kontrolle, Verlässlichkeit und Handlungsfähigkeit im Cloud-Betrieb abnehmen. Der Grund liegt weniger in technischen Schwächen oder klassischer Cyberbedrohung, sondern in strukturellen Abhängigkeiten aus Rechtsräumen, Vertragskonstellationen und geopolitischen Einflussfaktoren. Cloud-Souveränität adressiert genau dieses Spannungsfeld – wird jedoch in der Praxis häufig mit Cyber-Security oder Servicequalität verwechselt und dadurch falsch bewertet.
Cloud-Souveränität ist keine Frage zusätzlicher Sicherheitsmaßnahmen, sondern eine eigenständige strategische Risikodimension. Sie entscheidet darüber, inwieweit Organisationen Cloud-Technologien dauerhaft, regelkonform und ohne ungewollte Einflussnahme nutzen können – selbst dann, wenn Leistungen vertragsgemäß erbracht werden. Im Zentrum stehen Abhängigkeiten aus Rechtsräumen, Vertragsstrukturen und den Einflussmöglichkeiten bekannter Akteure, die sich nicht technisch „absichern“ lassen. Eine belastbare Bewertung von Cloud-Souveränität erfordert daher neue Kriterien, eine ganzheitliche Betrachtung der Enterprise-IT-Architektur sowie bewusste Entscheidungen im Spannungsfeld von Funktionalität, Wirtschaftlichkeit, Regulierung und strategischer Handlungsfähigkeit.
Cloud-Souveränität: Definition und Abgrenzung
Das Thema Souveränität ist vor allem aufgrund der geopolitischen Entwicklungen hochaktuell. Diese führen dazu, dass sich Organisationen – anders als früher – nicht mehr darauf verlassen können, dass ihre Vertragspartner die geschlossenen Vereinbarungen einhalten – sei es aus Eigeninteresse oder weil sie (ggf. geänderten) rechtlichen Anforderungen entsprechen müssen.
Der Beauftragte der Bundesregierung für Informationstechnik hat digitale Souveränität als „die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“ definiert. Da Cloud-Dienste das Rückgrat der Digitalisierung sowohl der öffentlichen Verwaltung als auch der Privatwirtschaft bilden, liegt es nahe, diese Definition für das Cloud-Paradigma weiterzudenken:
„Cloud Souveränität bezeichnet die Fähigkeit von Organisationen, die mit dem Einsatz eines Cloud-Dienstes verfolgten Ziele selbstbestimmt zu erreichen, ohne dass externe, inner- oder außerhalb des Vertragsverhältnisses mit dem Cloud-Anbieter stehende Akteure dies wesentlich beeinflussen können.“
Die in der Definition bewusst vorgenommene Einschränkung „…ohne dass externe, im Rechtsverhältnis bekannte Akteure dies einschränken können“ dient der begrifflichen Schärfung für den Kontext der Souveränität, bei der das Risiko trotz bestehendem Vertragsverhältnis erscheint. Beeinträchtigungen der vertragsbestimmten Nutzung durch außenstehende Dritte sind primär eine Frage der Cybersecurity und mittels etablierter Sicherheitsmechanismen, Resilienzmaßnahmen und Incident-Response-Prozesse zu adressieren. Entsprechendes gilt für Qualitäts- oder Verfügbarkeitsmängel in der Leistungserbringung des Cloud-Anbieters; diese sind durch wirksames Service-, Risiko- und Lieferantenmanagement zu steuern.
Im Mittelpunkt der Definition von Cloud-Souveränität stehen damit Abhängigkeiten und Einschränkungen, die aus dem konkreten Vertrags- und Rechtsrahmen, des zugrundeliegenden Rechtsraums sowie den Einflussmöglichkeiten bekannter Akteure resultieren (z. B. Cloud-Anbieter, Sub-Dienstleister, verbundene Unternehmen, staatliche oder staatsnahe Stellen).
Die aktuell wachsende Relevanz des Souveränitätsbegriffs ist zudem stark geopolitisch begründet. Der maßgebliche Treiber ist, dass es nicht mehr selbstverständlich ist, dass Technologie- und Service-Lieferanten in transnationalen Lieferketten die vereinbarten Leistungen dauerhaft und verlässlich erbringen. Anbieter können aus Eigeninteressen oder aufgrund zwingender Vorgaben ihres Rechtsraums (etwa staatliche Zugriffe, Sanktionen oder Exportkontrollen) zu Leistungsanpassungen, -einschränkungen oder -beendigungen veranlasst werden. Zugleich können auch Nutzenden durch regulatorische Anforderungen ihres eigenen Rechtsraums verpflichtet sein, die Nutzung bestimmter Services einzuschränken oder einzustellen. Vor diesem Hintergrund hat die Sicherstellung technischer Souveränität sowie Daten- und Betriebssouveränität in den letzten Monaten stark an Bedeutung gewonnen.
Betrachtungsebene und Kontext
Eine Souveränitätsbetrachtung auf strategischer, nationaler oder europäischer Ebene ist im Kern den politischen Akteuren vorbehalten und entzieht sich den Handlungsmöglichkeiten der Unternehmen.
Daher stehen bewusst die Nutzenden und Anbieter von Cloud-Diensten im Fokus. Unter „Nutzenden“ sind sowohl privatwirtschaftliche Unternehmen als auch öffentliche Institutionen (Verwaltungen, Behörden, Körperschaften und Anstalten des öffentlichen Rechts) zu verstehen. Der Begriff „Anbieter“ umfasst hingegen Cloud-Anbieter jeder Größe und meint ausdrücklich auch SaaS-Anbieter, um diese in eine belastbare Souveränitätsbewertung über die gesamte Wertschöpfung einzubeziehen. Ebenso gehören auch solche europäischen Anbieter dazu, deren Services auf Cloud-Dienste nicht-europäischer Anbieter aufbauen, inklusive cloudbasierte Industrieanwendungen (z. B. IIoT und Predictive Maintenance).
Bedrohungslage, Risiken und Zielkonflikte
Bedrohungslagen und entstehende Risiken
Das Bedürfnis, die eigene Souveränität zu stärken, steht in direktem Verhältnis zu den individuellen Risikoprofilen der Nutzende und der wahrgenommenen Bedrohungslage. Gemein ist diesen, dass sich die Risiken in den vergangenen Monaten spürbar verschärft haben. Das bislang unterstellte Vertrauen, dass Vertragspartner vereinbarte Leistungen verlässlich erbringen und beteiligte Rechtsräume stabil und berechenbar bleiben, gilt in dieser Form nicht mehr – obwohl sich bisher an der formalen Rechtslage kaum etwas geändert hat. Treiber sind vielmehr die geopolitische Lage und ihr Eskalationsniveau, welche die Risikopositionen einzelner Akteure auf Nutzer- und Anbieterseite unmittelbar, meist negativ beeinflussen.
Zur Einordnung und als Grundlage für Maßnahmen, welche die Cloud-Souveränität stärken können, dient das folgende dreistufige Modell:
Souveränität im Zielkonflikt
Aus der geopolitischen Lage resultieren Risiken für Vertraulichkeit und Verfügbarkeit sowie für die Bezugskosten. Die Integrität – also das unautorisierte Verändern von Daten – ist in dieser Betrachtung bewusst ausgeklammert, weil derartige Eingriffe eher im Kontext einer Konfliktvorbereitung zu erwarten sind und damit auch auf übergeordneter staatlicher Ebene zu behandeln wären.
Die Schutzziele Vertraulichkeit und Verfügbarkeit entsprechen den klassischen Zielen der Cyber-Security. Im Rahmen der Souveränitätsoptimierung erfolgt die Bewertung jedoch nach anderen Kriterien, da Herkunft und Motivlage der Bedrohung abweichen. Ein Beispiel: Aus Cyber-Security-Perspektive kann die leistungsfähigste Endpoint-Protection von einem US-Anbieter stammen. Da ein solches System Zugriff auf unverschlüsselte Daten benötigt und die Bedrohungsanalyse in der globalen Cloud des Anbieters erfolgt, ist es aus Souveränitätssicht allerdings weniger geeignet.
Für die weitere Betrachtung stehen die Souveränitätsaspekte im Fokus. Zugleich müssen im Organisations- und Unternehmensumfeld die daraus entstehenden Zielkonflikte für die Umsetzung diskutiert, abgewogen und tragfähig gelöst werden.
Reale Risiken
Eventuelle Verletzungen der Vertraulichkeit sowie Verfügbarkeit und die tendenziell steigenden Kosten infolge eingeschränkter Souveränität beeinträchtigen die Wirtschaftlichkeit und das Einhalten von Vorgaben und Gesetzen.
Das Reduzieren der Verfügbarkeit von Cloud-Diensten, etwa mittels Sanktionen, beeinträchtigt unmittelbar deren Nutzbarkeit und damit wahrscheinlich auch deren tatsächliche, langfristige Nutzung. Das Erhöhen der Kosten durch Eingriffe staatlicher Akteure, etwa durch Auferlegen von Abgaben, trifft hingegen relativ kurzfristig die Wirtschaftlichkeit des Cloud-Einsatzes. Einerseits können die Anwenderorganisationen ihren Kunden die Produkte und Dienstleistungen gar nicht mehr oder nur noch mit verminderter Qualität anbieten oder im Falle von Kostensteigerungen lässt sich die kalkulierte Marge nicht halten.
Vertraulichkeitsverstöße entfalten ihre negativen wirtschaftlichen Auswirkungen dagegen eher mittelfristig, da auf eine Verletzung der Vertraulichkeit meist keine direkten negativen Konsequenzen folgen. Vielmehr muss ein Akteur die Verletzung der Vertraulichkeit bekannt machen oder die vertraulichen Informationen wirksam verwenden. Im ersteren Fall kann es dazu kommen, dass Kunden potenziell das Vertrauen in das Unternehmen verlieren (z. B. sinkende Nachfrage) oder dass Aufsichtsbehörden bestimmte Maßnahmen (z. B. Strafzahlungen) einleiten, die sich negativ auf die Wirtschaftlichkeit auswirken. Im letzteren Fall wäre das Risiko, dass der Cloud-Anbieter von staatlichen oder staatsnahen Akteuren angewiesen wird, wettbewerbsrelevante Informationen aus Daten ausländischer Kunden zu extrahieren und diese bestimmten Kreisen (z. B. den Akteuren oder heimischen Unternehmen) zugänglich zu machen, etwa um der eigenen Wirtschaft Vorteile zu verschaffen. Dies kann auf längere Sicht negative wirtschaftliche Auswirkungen nach sich ziehen, während ein kausaler Zusammenhang nur schwierig oder gar nicht nachweisbar wäre – insbesondere, wenn der Vertraulichkeitsverstoß nicht allgemein bekannt wird.
Bewertung, Optimierung und Maßnahmen zur Stärkung der Cloud-Souveränität
- Cloud Architektur und Shared responsibility Model
- Neue Dimension im IT-Risikoprofil
- Definition und Ermittlung des Souveränitätsgrads
- Leitfragen zur Souveränitätsoptimierierung
- Maßnahmen zur Souveränitätserhöhung
Cloud Architektur und Shared responsibility Model
Die durch eine eingeschränkte Souveränität entstehenden Risiken betreffen nicht nur die direkt an der Wertschöpfung beteiligten Cloud-Services. Vielmehr wirken sie sich auf alle Cloud-basierten Dienste aus, die notwendig sind, um bestimmte IT-Systeme sicher zu betreiben, zu nutzen sowie weiterzuentwickeln und zu testen. Das Risiko von Souveränitätseinschränkungen ist damit gesamtheitlich für alle in der IT-Architektur verwendeten Cloud-Komponenten zu betrachten: So sind Funktionen, die über Software as a Service (SaaS) bezogen werden, besonders anfällig für Verfügbarkeits- und Vertraulichkeitsrisiken. Dazu gehören neben den bekannten CRM-Anwendungen auch Dienste, die Authentifizierung- und Autorisierungsfunktionen bieten sowie Softwareentwicklungsumgebungen und Netzwerkmanagement-Tools oder Lösungen zur Cyber-Abwehr.
Das isolierte Betrachten und Optimieren einer eher einfach zu definierenden und abzugrenzenden Cloud-Komponente, wie etwa die Portabilität virtueller Maschinen, erhöht die Souveränität im Gesamtkontext nur bedingt. Zusammenfassend bedeutet dies, dass es einer übergreifenden Sicht auf die Enterprise IT-Architektur eines Unternehmens bedarf, wenn die Souveränität wirksam erhöht werden soll.
Neue Dimension im IT-Risikoprofil
Grundsätzlich sind die Souveränitätsrisiken nicht neu. Im Kontext von Cloud-Diensten wurden sie jedoch aufgrund der geringen Eintrittswahrscheinlichkeit lange nicht detailliert betrachtet. Nichtsdestotrotz verfolgen einige Unternehmen bei infrastrukturnahen Cloud-Diensten eine Multi-Cloud-Strategie, um sich nicht zu sehr von einem Cloud-Anbieter abhängig zu machen. Diese Multi-Cloud-Ansätze inkludieren allerdings oft alternative Anbieter aus demselben Rechtsraum. Bei SaaS-Lösungen, die einen oder mehrere Geschäftsprozesse abbilden, ist es hingegen für viele Unternehmen deutlich weniger sinnvoll, Multi-Cloud-Ansätze zu verfolgen. Der Grund hierfür ist, dass das Aufteilen geschäftsnaher Anwendungen, die Funktionen wie etwa Customer Relationship (CRM) oder Enterprise Resource Planning (ERP) unterstützen, auf verschiedene Anbieter dem Ziel des integrierten Verarbeitens von Daten entgegensteht. Auch Unterstützungssysteme sind meist bei einem bevorzugten Cloud-Anbieter gebündelt, da das Zentralisieren dieser Funktionen die Effizienz und Effektivität steigert und Risiken reduziert (z. B. Vorschreiben der Nutzung einer zentralen Multi-Faktor-Authentifizierung).
Bisher wurde die IT-Architektur unter den Risikodimensionen Cybersicherheit, Betriebssicherheit sowie organisatorische Aspekte betrachtet und optimiert. Mit der gesteigerten Bedeutung der Souveränität entsteht eine neue, zusätzliche Dimension im IT-Risikoprofil eines Unternehmens.
Maßnahmen zur Stärkung der Souveränität umfassen das Betrachten und erneute Bewerten der gesamten Enterprise-IT-Architektur und IT-Organisation, einschließlich der Systeme für Cybersicherheit sowie der IT-Betriebs- und Entwicklungssysteme.
Anders als bei den bisherigen Risikodimensionen besteht die zentrale Herausforderung nicht darin, bestehende Implementierungen (z. B. Multi-Faktor-Authentifizierung) zu erweitern oder neue technische Schutzmaßnahmen (z. B. Post-Quantum-Kryptografie) einzuführen. Vielmehr sind die bestehenden Lösungen grundlegend anhand bestimmter Souveränitätsaspekte individuell zu bewerten und gegebenenfalls anzupassen.
Definition und Ermittlung des Souveränitätsgrads
Ziel der Cloud-Kunden ist es, den angemessenen Souveränitätsgrad für die in der Leistungserbringung genutzten Cloud-Dienste individuell zu definieren. Voraussetzung dafür ist eine detaillierte, umfassende und nachvollziehbare Bestimmung des Ausgangszustands. Hierbei sollten die Cloud-Kunden annehmen, dass die bestehende IT-Architektur, die etablierten Betriebsprozesse und das eingesetzte Personal sämtliche fachlichen, funktionalen und regulatorischen Anforderungen erfüllen. Dies stellt sicher, dass bestehende Defizite nicht (fälschlicherweise) als Souveränitätsproblem interpretiert werden, sondern ausschließlich bewertet wird, wie sich die reale Souveränität darstellt und wie sich Maßnahmen zu deren Erhöhung auswirken.
Ermittlung des aktuellen Souveränitätsgrads
Den Souveränitätsgrad ermitteln Cloud-Kunden auf zwei Ebenen.
- Entlang der Geschäftsprozesse der Wertschöpfungskette: Aus dieser Perspektive lässt sich über eine risikobasierte Geschäftsprozessbetrachtung eine sachgerechte Priorisierung der souveränitätserhöhenden Maßnahmen ableiten. In der Enterprise Architecture-Dokumentation sind die dem Prozess zugeordneten IT-Services ersichtlich. Dazu zählen ausdrücklich die IT in der realen Leistungserbringung wie IIoT und Industriesteuerung sowie weitere operative Technologien entlang des gesamten Geschäftsprozesses.
- Entlang der IT-Unterstützungssysteme: Hier bestimmt die Anzahl und Bedeutung der von den Cloud-Diensten unterstützten Geschäftsprozesse die Priorität der Cloud-Dienste. Identity Access Management und Cyber-Security-Services sind meist hoch priorisiert, da sie mehrere Prozesse unterstützen.
Die Analyse erfolgt strukturiert und konsistent entlang der Dimensionen Daten, Technologie sowie Organisation und umfasst auch Aspekte wie Fähigkeiten von Lieferanten, Fähigkeiten und Kapazitäten oder das IT-Sicherheitsniveau sowie regulatorische Anforderungen. Für alle eingesetzten (wertschöpfenden und unterstützenden) IT-Services, die dem ausgewählten Geschäftsprozess zugeordnet sind, ist eine aggregierte Sicht auf den Souveränitätsgrad zu erstellen. Abhängig vom Risikoappetit des Unternehmens wird festgelegt, ob eine Durchschnittsbildung, das Minimalprinzip oder eine alternative Methode zur Aggregation angewendet wird. Das Vorgehen ist mindestens für die kritischsten Geschäftsprozesse und IT-Unterstützungssysteme durchzuführen, bevor Maßnahmen abgeleitet und priorisiert werden.
Durch die strukturierte Vorgehensweise und die Vielzahl an Datenpunkten entsteht ein Netz wechselseitiger Abhängigkeiten. In diesem Netz zeigen sich üblicherweise mehrere zentrale Knoten mit IT-Services, die den Souveränitätsgrad ebenso wie die Gesamtarchitektur maßgeblich beeinflussen und damit gezielte Hebel für wirksame Optimierungen der Souveränität darstellen.
Leitfragen zur Souveränitätsoptimierierung
Das Festlegen des angemessenen Souveränitätsgrads erfordert eine fundierte Analyse und eine ausgewogene Betrachtung aller relevanten Einflussfaktoren. Zu diesen zählen Funktionalität, Wirtschaftlichkeit, Betriebsrisiken und Cyberrisiken sowie personelle Rahmenbedingungen oder regulatorische Anforderungen.
Der zentrale Zielkonflikt liegt darin, dass das Stärken der Souveränität, etwa durch die Entscheidung für einen europäischen Anbieter, häufig mit Einschränkungen in anderen Dimensionen verbunden ist. Bei führenden US-Cloud-Lösungen wie CRM-Systemen oder KI-Modellen und Security-Suiten existieren nur wenige deutsche oder europäische Alternativen mit vergleichbarem Funktionsumfang und Reifegrad.
Orientierung für die Optimierung der Souveränität bieten Leitfragen, die Unternehmen helfen können, ihren Risikoappetit und den Geschäftsnutzen der Cloud-Dienste in Einklang zu bringen:
- Welche zusätzlichen Cyber-Security-Risiken ist das Unternehmen bereit, im täglichen Betrieb zu tragen, etwa wenn es von einer Top Tier Cloud-basierten Security-Suite aus den USA auf eine oder mehrere lokale souveräne Lösungen wechselt?
- Wie viel weniger Funktionalität und Innovation im Service für die eigenen Kunden kann das Unternehmen akzeptieren, sollte es von Frontier-AI-Modellen auf souveräne Lösungen wechseln?
Zur Beschleunigung der Umsetzung empfiehlt es sich, im Vorfeld klare Verantwortlichkeiten, Entscheidungsgremien und Entscheider:innen zu benennen, die Entscheidungsfindung transparent zu gestalten und für jede Dimension verbindliche rote Linien festzulegen. Diese sollten allgemein akzeptierte, maximale Abweichungskorridore zum Status quo definieren, um Konsistenz und Nachvollziehbarkeit im Zeitverlauf zu sichern.
Maßnahmen zur Souveränitätserhöhung
Es empfiehlt sich, die Maßnahmen zur Stärkung der Souveränität aufgrund der diversen Abhängigkeiten mittels eines iterativen Vorgehens auszugestalten und umzusetzen. Unternehmen sollten die Lösungsoptionen strukturiert identifizieren und deren Auswirkungen auf Funktionalität, Kosten sowie Betriebs- und IT-Sicherheit bewerten, um das Gesamtpaket kontinuierlich und zielgerichtet zu optimieren.
Je nach Ausgangslage und angestrebtem Zielniveau lässt sich die Cloud-Souveränität in drei abgestuften Handlungsfeldern erhöhen.
- Vertragliche Maßnahmen: Das Unternehmen kann versuchen, mit dem bestehenden Anbieter Auditrechte zu vereinbaren, bestimmte Compliance-Nachweise verbindlich zu verankern sowie Exit-Strategien festzulegen. Teilweise lassen sich diese Vereinbarungen sogar durch unabhängige, externe Dritte prüfen und zertifizieren.
- Betriebliche Anpassung innerhalb des Portfolios des bestehenden Anbieters: Hierzu zählen die Nutzung souveräner Angebote des Anbieters, die Verschlüsselung von Daten mit eigenem Schlüsselmaterial und die Entscheidung, künftig statt auf SaaS und PaaS auf leichter transferierbare CaaS- und IaaS-Architekturen zu setzen. Möglich ist auch die Migration zu einem air-gapped Cloud-Service, der vom bestehenden Anbieter selbst oder von dessen souveränem, europäischen Partner betrieben wird.
- Vollständige Migration: Der umfassendste Schritt ist das Wechseln auf die souveräne IT-Architektur eines neuen, unabhängigen Anbieters oder auf den eigenen, On-Premises-Betrieb.
Souveränitätserhöhung prinzipiell einfach, aber nicht leicht umzusetzen
Die Stärkung der Souveränität erscheint zwar grundsätzlich einfach. In der Realität stellt sich die Umsetzung der Veränderungen jedoch als anspruchsvoll dar. Für viele Unternehmen sind Maßnahmen der ersten beiden Stufen vergleichsweise gut realisierbar, da sie meist nur begrenzten Einfluss auf andere Bewertungsdimensionen wie Funktionalität, Kosten, Betrieb und Sicherheit haben. Ab Stufe drei vergrößern sich jedoch Tragweite und Wechselwirkungen deutlich, und es entstehen spürbare Konsequenzen für Funktionsumfang, Prozessgestaltung und Wettbewerbsfähigkeit – weil sich Leistungsangebote, und damit die Fähigkeit, Leistungen am Markt anzubieten, verändern. Unternehmen sollten ihr Vorgehen daher sorgfältig vorbereiten und klare Entscheidungskriterien, belastbare Szenarien und fortlaufende Beobachtung der Rahmenbedingungen sicherstellen. Souveränität ist kein reines IT-Thema, sondern eine unternehmensweite Aufgabe mit direktem Einfluss auf Marktauftritt, Kundenerlebnis, Wirtschaftlichkeit und die strategische Positionierung.
Die Autoren
Follow us
