Digitale Souveränität ist politisch gefordert, aber in der Praxis fehlen messbare Kriterien. Viele europäische Unternehmen wissen nicht, wo ihre Daten verarbeitet werden, wer darauf zugreift und wie sie im Krisenfall die Kontrolle behalten. Strategische Autonomie entsteht erst, wenn Vertraulichkeit, Integrität und Verfügbarkeit überprüfbar sind.
Digitale Souveränität bleibt ein Buzzword, solange Kontrolle über Daten und Systeme nicht an Vertraulichkeit, Integrität und Verfügbarkeit messbar wird.
Digitale Souveränität ist zum politischen Leitbegriff geworden. Ob auf EU-Ebene oder zuletzt in Davos – die Botschaft ist eindeutig. Europa will unabhängiger werden, vor allem bei kritischer Technologie. In der Praxis bleibt jedoch oft unklar, woran sich diese Unabhängigkeit messen lässt. Denn entscheidend ist nicht, wie häufig ein Begriff fällt, sondern ob Unternehmen im Alltag Kontrolle über Daten, Systeme und Sicherheitsprozesse haben.
Ein Beispiel aus der Praxis zeigt die bestehende Lücke klar auf. Ein europäisches Unternehmen will im Rahmen einer Risikoanalyse nachvollziehen, welche sicherheitsrelevanten Daten das eingesetzte Endpoint-Tool sammelt. Es geht um drei einfache Fragen. Wo werden die Daten verarbeitet? Wer kann darauf zugreifen? Und welche Einflussmöglichkeiten gibt es bei Anpassungen oder im Incident-Fall? Die Antworten sind unbefriedigend. Denn die Dokumentationen sind lückenhaft, Logdaten liegen außerhalb Europas und individuelle Anpassungen sind kaum möglich. Noch bevor ein Sicherheitsvorfall eintritt, wird sichtbar, dass Kontrolle fehlt. Nicht auf technischer Ebene, sondern strukturell.
Viele Organisationen sind in zentralen Bereichen von nicht-europäischen Anbietern abhängig, ohne dass diese Abhängigkeiten im Alltag sofort sichtbar werden. Häufig treten sie erst im Ernstfall offen zutage. Dabei zeigen sich die strukturellen Lücken schon vorher. Bei Cloud- und Hosting-Anbietern ist die Datenresidenz zwar oft vertraglich geregelt, die tatsächliche Zugriffskette bleibt jedoch unklar. Updates und Patches lassen sich nur begrenzt steuern, Support- und Incident-Response-Strukturen liegen nicht selten außerhalb Europas. Zusätzlich erschweren komplexe Lieferketten die Transparenz, weil Rollen, Zuständigkeiten und Zugriffsmöglichkeiten nicht vollständig nachvollziehbar sind.
Dass diese Unsicherheit längst in der Praxis angekommen ist, zeigt auch der Blick auf Beschaffungsentscheidungen. In unserer letzten Umfrage gaben 59 Prozent der deutschen IT-Sicherheitsentscheider an, dass digitale Souveränität ein entscheidendes Kaufkriterium bei Sicherheitslösungen ist. 74 Prozent sehen Europa weiterhin zu stark von ausländischen Technologien abhängig. 72 Prozent sorgen sich zudem, dass Lösungen aus Nicht-EU-Staaten ausländischen Überwachungsgesetzen unterliegen könnten.
Diese Zahlen sind kein kurzfristiges Stimmungsbild, sondern Ergebnis einer jahrelangen Entwicklung. Viele IT-Architekturen und Beschaffungsmodelle orientieren sich noch immer an globalen Anbietern. Europa verfügt zwar über fundierte Expertise in der IT-Sicherheit, nutzt sie aber gerade in kritischen Infrastrukturen zu wenig. Gleichzeitig wirken rechtliche Zugriffsrechte oft asymmetrisch. Europäische Unternehmen unterliegen fremden Rechtsräumen, während europäische Regeln für außereuropäische Anbieter nur eingeschränkt durchsetzbar sind. Zudem ist es schwierig, sich auf einheitliche europäische Regeln und Verfahren zu verständigen, da jedes Land seine eigenen Besonderheiten hat, was die Schaffung eines gemeinsamen Marktes für lokale Akteure erschwert. Der Begriff digitale Souveränität ist zwar politisch aufgeladen und suggeriert einen Kontrollanspruch, wird aber in dem global vernetzten IT-Ökosystem praktisch nicht immer eingehalten. Zielführender ist der Blick auf das Prinzip der strategischen Autonomie. Gemeint ist die überprüfbare Fähigkeit, Daten, Systeme, Prozesse und Partner so zu steuern, dass Organisationen im Normalbetrieb und im Krisenfall handlungsfähig bleiben.
Autonomie messbar machen: drei Dimensionen der Kontrolle
Strategische Autonomie wird greifbar, wenn Unternehmen klare Maßstäbe anlegen. Im Kern geht es um drei Dimensionen.
1. Vertraulichkeit: Entscheidend ist, wer technisch und rechtlich auf sensible Daten zugreifen kann. Datenverarbeitung innerhalb Europas ist dafür eine Grundlage. Ebenso wichtig sind transparente Zugangswege sowie der Schutz vor Zugriffen durch nicht autorisierte Stellen und Personen.
2. Integrität: Unternehmen müssen nachvollziehen können, wer Systeme verändert und nach welchen Regeln Updates erfolgen. Auditierbarkeit von Code, Architektur und Sicherheitsfunktionen ist dabei ebenso relevant wie der Überblick über Drittanbieter und Abhängigkeiten.
3. Verfügbarkeit: Im Ernstfall zählt, ob Organisationen handlungsfähig bleiben. Dazu gehören belastbare Support- und Incident-Response-Strukturen in Europa, klare Eskalationswege im europäischen Rechtsrahmen und die Fähigkeit, Systeme auch unter Krisenbedingungen weiter zu betreiben.
Strategische Autonomie entsteht nur dann, wenn alle drei Dimensionen zusammenspielen. Sie ist damit keine Eigenschaft einzelner Technologien, sondern das Ergebnis konsequenter Architektur- und Beschaffungsentscheidungen. Wichtig ist es, bereits heute zu prüfen, wie belastbar die Autonomie der Unternehmen tatsächlich ist. Dazu gehört, Abhängigkeiten systematisch offenzulegen und entlang der drei Dimensionen zu bewerten.
Der Markt wird diese Herausforderungen nicht von selbst lösen. Solange Beschaffung vor allem nach Preislogik funktioniert, und Lieferketten, Vertrauen und Kontrollfähigkeit vernachlässigt bleiben, werden Abhängigkeiten bestehen bleiben. Deshalb braucht es einen europäischen Rahmen, der Sicherheit und Resilienz systematisch belohnt. Öffentliche Auftraggeber müssen Vertrauen und Lieferkette stärker gewichten, europäische Zertifizierungen gegenseitig anerkennen und verbindlich nutzen. Frankreich geht dabei aktuell mit einem praktischen Beispiel voran. Die französische Regierung hat angekündigt, Microsoft Teams und Zoom in staatlichen Behörden durch eine eigene, in Frankreich entwickelte Videokonferenzplattform zu ersetzen, die bis 2027 in allen Ministerien und Ressorts eingeführt werden soll. Der Schritt ist Teil einer Strategie, die Kontrolle über kritische digitale Infrastruktur zurückzugewinnen und Sicherheits- und Vertraulichkeitsfragen in der öffentlichen Kommunikation stärker im europäischen Kontext zu verankern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Damit solche Regeln Wirkung entfalten, müssen sie europaweit anschlussfähig sein. Andernfalls bleibt Europa ein Flickenteppich aus Einzelinitiativen, während außereuropäische Anbieter ihre strukturellen Vorteile behalten. Deutschland und Frankreich spielen dabei eine Schlüsselrolle. Beide Länder verfügen über hohes öffentliches Beschaffungsvolumen, politischen Einfluss und industrielle Umsetzungskraft. Wenn gemeinsame Standards anerkannt werden, entstehen de facto europäische Maßstäbe.
Über den Autor: Grégoire Germain ist Mitgründer und CEO von HarfangLab. Bevor er das Unternehmen 2018 gegründet hat, war er mehr als zwanzig Jahre lang beim französischen Verteidigungsministerium tätig, wo er maßgeblich zum Aufbau und zur Erweiterung der Cyberabteilung beitrug. Als ehemaliger Marineoffizier hatte er mehrere Führungspositionen inne und spezialisierte sich auf Kommunikationssysteme und Nachrichtendienst. Anschließend wechselte er zu Thales als Direktor für Cyberabwehr, bevor er sich dem Unternehmertum zuwandte, um einen europäischen Ansatz für Cybersicherheit zu entwickeln. Grégoire ist Absolvent der Marineakademie und hat einen Master-Abschluss in Naturwissenschaften sowie einen MBA der HEC Paris.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/89/8f/898ff3ba2b3ce9cb5531f4bd5b001f03/0131532147v1.jpeg "Mehr Befugnisse für BSI, Polizei und BKA bei Cyberangriffen (Bild: © igor.nazlo - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/1f/701fa87fd3ca0d6fd201d968b3c3002c/0131408575v1.jpeg "Speicherbeschädigungen bei Mozilla ermöglichen die Ausführung bösartigen Codes in Thunderbird und Firefox. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b5/77/b577cb5f141a04fba94d755c2c294a28/0131321215v2.jpeg "Der Cognyte-Studie nach ist für europäische Ermittlungsbehörden nicht mehr der Datenzugang, sondern die KI-gestützte Fusion und integrierte Analyse fragmentierter Quellen über klassische SIGINT hinaus entscheidend, um angesichts wachsender Komplexität und der Verflechtung von organisierter Kriminalität und Terrorismus wirksame Lagebilder und Entscheidungen zu ermöglichen. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c8/9d/c89dba8e9b5c9a9040af0340cbe85fb3/0130888470v1.jpeg "Controlware und Sekoia.io bieten Unternehmen ein 24/7-SOC, ohne dass sie selbst in komplexe Infrastruktur, spezialisiertes Personal oder kontinuierliche Weiterentwicklung investieren müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/47/8f/478f681fb719e187aebd62bed84ac17a/0131405244v2.jpeg "Der Authentication Bypass wie auch die anderen Sicherheitslücken im Nvidia Triton Inference Server können zu Denial-of-Service-Angriffen führen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/cf/b2cfb9a90a95a2c19d73d4d720b26379/0130962097v1.jpeg "Cedrik Neike (Siemens, links) und Bernie Wagner (Schwarz Digits) bei der Vertragsunterzeichnung auf der Hannover Messe 2026. STACKIT erhält durch die Kooperation eine private 5G-Konnektivitätsschicht für Behörden und KRITIS-Betreiber. (Bild: Schwarz Digits)")
:quality(80)/p7i.vogel.de/wcms/cb/46/cb46c789bdfb6699f690de3212afbeda/0131031070v2.jpeg "Unternehmen, die SaaS-Dienste nutzen möchten, stehen vor der Herausforderung, cloudbasierte Identitäten und traditionelle Verzeichnis‑Kompatibilität in einer Architektur zu vereinen. (© STUDIO.no.3 - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/74/56/7456d1b884ec8babe8213eb174138410/0131163827v1.jpeg "Bei der Locked Shields kommen jährlich Cybersepzialisten aus dem öffentlichen und privaten Sektor zusammen, um unter möglichst realen Bedingungen ihre Abwehrfähigkeiten zu trainieren. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/93/4d9396b44a264d448ec947e22f567ffd/0131031702v1.jpeg "In einer softwaregetriebenen Verteidigungslandschaft ist die vollständige Kontrolle über die eigene IT-Architektur, Datenflüsse und Identitäten entscheidend. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/80/3c80744a6ac15a9c622768ef57021674/0131031351v1.jpeg "Security-by-Design verankert Sicherheit von Beginn an in Architektur, Entwicklung und Betrieb. NIS2 macht diesen Ansatz zum verbindlichen Mindeststandard. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/b0/e7b05d1628b543d6dfc572a6a6d9ade6/0131031767v2.jpeg "Zero-Knowledge-Biometrie verifiziert Identitäten passwortlos, ohne biometrische Daten preiszugeben oder zentral zu speichern, wodurch Datenschutz und Compliance gestärkt, Breach-Risiken und Deepfake-Missbrauch minimiert und zugleich ein nutzerfreundlicher, skalierbarer Login ermöglicht werden. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/07/95/0795e8ee2c5493f136bd924aeba3dbfa/0131416504v1.jpeg "Die geplante EUDI-Wallet soll künftig digitale Ausweise und weitere Nachweise sicher auf dem Smartphone bündeln. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/6b/886bb3fac399a6177ebf70fce6956522/0130917336v2.jpeg "Digitale Souveränität bleibt ein Buzzword, solange Kontrolle über Daten und Systeme nicht an Vertraulichkeit, Integrität und Verfügbarkeit messbar wird. (Bild: © vectorfusionart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/p7i.vogel.de/wcms/8b/26/8b265eeaf37e063d4abbb47ae723526a/0126593157v1.jpeg "Die NIS-Kooperationsgruppe (NIS Cooperation Group) ist ein EU-Gremium zur Stärkung der Zusammenarbeit im Bereich Cybersicherheit.
(Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/04/8a/048a3e0e64cb8e042343910d93547645/0130028344v2.jpeg "Um digitaler Abhängigkeit entgegenzuwirken, braucht es Mut. Diesen wollen wir Ihnen mit der neuen Folge des Security-Insider-Podcasts machen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/78/26/7826b476036d68942ba87bc43f1ec575/0125812847v1.jpeg "„Hat ein Unternehmen Security-Lösungen aus den USA im Einsatz, dann besteht auch hier das Risiko einer Abschaltung aus der Ferne per Remote-Management“, warnt René Büst, Analyst für Cloud-IT-Services bei Gartner. (Bild: Gartner / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d1/22/d122b73b7f9be7a99616009871c601ad/0124369392v2.jpeg "Fehlende digitale Souveränität macht Europa anfällig für politische Erpressung, wirtschaftliche Abhängigkeiten und gefährdet die Datensicherheit. Wie jahrzehntelanges Outsourcing uns heute in eine digitale Krise geführt hat und wie IT-Experten dabei helfen können, das Ruder herumzureißen. (Bild: pkproject - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/5b/3f5bdace5d8e42b41979b918d1248725/0127869997v2.jpeg "Martin Hullin, Director, Network for Technological Resilience & Sovereignty bei der Bertelsmann Stiftung, stellte bei der Fachkonferenz des Nationalen Koordinierungszentrums für Cybersicherheit den „Eurostack“ vor. (Bild: NKCS)")
:quality(80)/p7i.vogel.de/wcms/f2/91/f2915699e4e8cd959a0c800fa0ca5a92/0130369559v1.jpeg "Datensouveränität hat keine geografische Bestimmung und verlagert sich von der Infrastruktur hin zum konsistenten Betriebsmodell. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d8/e8d851d1fc5247a79b153333164751e0/0130563051v1.jpeg "In europäischen Unternehmen ist digitale Souveränität mittlerweile ein Thema auf Vorstandsebene. (Bild: © Raisa – stock.adobe.com / KI-generiert)")