Erst gekapptes russisches Gas, dann demolierte Ostseekabel. Die zunehmend multilaterale Welt bringt neue strategische Risiken in die weltweite Logistikketten westlicher Unternehmen. Dazu gehören auch Risiken für die Lieferfähigkeit von cloudbasierten IT-Produkten. Die geopolitischen Kräfte bedrohen das Geschäftsmodell der Deutschland AG massiv.
Wir haben bereits gelernt, wie gefährlich Abhängigkeiten sein können: Deutschland war jahrelang stark von russischem Gas abhängig, während unsere Exporte ohne den freien Marktzugang in China kaum denkbar wären. Dabei geht die andere Seite hochstrategisch vor – China kauft seit Jahren mit seinem Projekt Seidenstrasse bspw. internationale Häfen. Die bewusste Destabilisierung globaler Infrastrukturen ist eine reale Bedrohung – Unternehmen müssen jetzt handeln, um sich abzusichern.
Cloud-Nutzung ist die Achillesferse
Von vielen noch massiv unterschätzt wird derzeit noch das Risiko, auch den Rückhalt amerikanischer Cloud-Dienste zu verlieren, die als Rückgrat für Kollaboration und operative Steuerung gelten. Wenn diese beiden kritischen Karten – der Zugang zu globalen Märkten und die technologische Infrastruktur – gleichzeitig ausfallen, wird schwierig.
Unternehmen in Deutschland nutzen IT-Systeme wie Microsoft M365, Google Drive, Zoom, Miro und andere mehr bis hin zu innovativen KI-Lösungen wie ChatGPT . Diese bieten zwar enorme Vorteile in Sachen Effizienz und Skalierbarkeit, doch sie binden uns auch an externe Akteure.
Im Jahr 2021 nutzten laut DIW 41 % der europäischen Unternehmen kostenpflichtige Cloud-Dienste. In Deutschland lag dieser Anteil bei 42 %, was dem europäischen Durchschnitt entspricht. Dabei führt Finnland führt mit 73 % der Unternehmen, die Cloud Computing nutzen, die europäische Rangliste an (de.statista.com)
Diese Abhängigkeiten gleichen einer Energielieferkette: So wie der Verlust von russischem Gas unsere Wirtschaft lähmen könnte, würde der Wegfall amerikanischer Cloud-Services nicht nur operative Herausforderungen auslösen, sondern auch das Vertrauen in die digitale Zukunft des Unternehmens nachhaltig erschüttern.
Unternehmen konnten sich relativ schnell vom russischen Gas lösen – von amerikanischen Cloud-Diensten wäre das viel schwieriger.
IT-Souveränität wird Chefsache
Die digitale Souveränität wird damit zunehmend zum strategischen Imperativ. Worum geht es dabei? Einfach ausgedrückt: Digitale Souveränität ist das Recht, die eigenen Daten zu kontrollieren. Es ist der Grad, in dem Kunden unabhängig oder „souverän“ in ihren Entscheidungen sind, wie sie Daten teilen – und dabei dennoch vom Unternehmen geschützt werden. BITKOM definert das so: Unter dem Begriff »Souveränität« versteht man allgemein die Fähigkeit zu ausschließlicher Selbstbestimmung. Diese Selbstbestimmungsfähigkeit wird durch Eigenständigkeit und Unabhängigkeit gekennzeichnet. Sie grenzt sich einerseits von Fremdbestimmung und andererseits von Autarkie ab.“ (Link BITKOM). Die starke Nutzung von Cloud-Diensten, insbesondere von US-amerikanischen Anbietern, wirft Fragen zur digitalen Souveränität Europas auf. Die Bundesnetzagentur betont in einer Studie die strategische Bedeutung von Cloud-Diensten für die digitale Unabhängigkeit kleiner und mittlerer Unternehmen.
Ganzheitliches Assessment der Abhängigkeiten notwendig
Der strategische Richtungswechsel in der IT-Strategie muss daher auf einer differenzierten Risikoanalyse basieren. Frameworks wie das NIST Cybersecurity Framework, ISO/IEC 27001 und COBIT bieten hierbei einen fundierten Ansatz, um die IT-Landschaft ganzheitlich zu bewerten und potenzielle Schwachstellen systematisch zu identifizieren. Diese Instrumente erlauben es, den Ist-Zustand eines Unternehmens präzise zu erfassen und eine Roadmap zu entwickeln, die die kritischen Systeme – insbesondere Kollaborationsplattformen, Datenspeicherlösungen und operative Steuerungsprozesse – in den Mittelpunkt der Transformation stellt.
Kein Bruch, sondern Neuausrichtung
Der strategische Wandel ist nicht als radikaler Bruch zu verstehen, sondern als eine Neuausrichtung, die den Spagat zwischen globaler Innovation und lokaler Souveränität meistert. Es geht darum, hybride Architekturen zu etablieren, die lokale und private IT-Infrastrukturen mit ausgewählten externen Services kombinieren. Dadurch bleibt die Flexibilität erhalten, während gleichzeitig die Kontrolle über kritische Daten und Prozesse gestärkt wird. Die Lehre aus vergangenen Abhängigkeiten – seien es Gaslieferungen oder Exportwege – ist eindeutig: Übermäßige Abhängigkeit von einem externen Partner birgt das Risiko, dass geopolitische Veränderungen den Betrieb lahmlegen.
Grundsätzlich ist die Bedrohung den Führungskräften bekannt. Laut einer Gartner-Studie betrachten 62 % der Unternehmen die Abhängigkeit von einem einzigen Cloud-Anbieter als eines der fünf größten Risiken. Diese Abhängigkeit kann laut Netzwoche zu erheblichen betrieblichen und regulatorischen Herausforderungen führen.
Die Unternehmen müssen also ins Handeln kommen und das ist natürlich schwer, weil die Nutzerakzeptanz vieler Alternativen oft nicht vollständig gegeben ist. Dabei gibt es bereits erste Initiativen wie etwa das EU-Projekt „8ra“, die darauf abzielen, die Dominanz US-amerikanischer Cloud-Anbieter zu reduzieren und europäische Alternativen zu fördern, um die digitale Souveränität zu stärken.
Kritische Systeme zuerst absichern
Unternehmer müssen daher priorisieren: Bei kritischen Systemen ist der Aufbau eigener oder zumindest hybrider IT-Architekturen unerlässlich. Für weniger sensible Anwendungen können externe Cloud-Dienste weiterhin genutzt werden, sofern strenge Sicherheits- und Compliance-Maßnahmen greifen.
Schichtenmodell digitaler Souveränität
Das Schichtenmodell digitaler Souveränität beschreibt die verschiedenen Ebenen, auf denen Organisationen ihre digitale Unabhängigkeit bewerten und absichern können. Es zeigt, dass Souveränität nicht absolut ist, sondern in unterschiedlichen Abstufungen existiert. Zentral sind dabei die Kontrolle über Daten, der Zugang zu offenen Schnittstellen und die Möglichkeit, Quellcode zu prüfen oder zu verändern. Ebenso spielen Hardware-Abhängigkeiten, regulatorische Rahmenbedingungen und die Fähigkeit zur eigenständigen Anpassung von IT-Systemen eine Rolle. Je nach Ausprägung reicht die digitale Souveränität von vollständiger Abhängigkeit bis hin zur vollständigen Kontrolle über alle Komponenten. Unternehmen und Institutionen sollten daher gezielt analysieren, in welchen Bereichen eine stärkere Unabhängigkeit strategisch notwendig ist und wie sie diese erreichen können.
Ein evidenzbasierter Ansatz, unterstützt durch die oben genannten Assessment-Frameworks, bildet die Grundlage, um bestehende Abhängigkeiten zu reduzieren und so die digitale Souveränität zu sichern. Nur wer heute in eine robuste und resiliente IT-Strategie investiert, stellt sicher, dass das Unternehmen auch in einem volatilen globalen Umfeld handlungsfähig bleibt.
KI-Podcast
Quellen
[1] Bharadwaj, A., El Sawy, O. A., Pavlou, P. A. & Venkatraman, N. (2013). Digital Business Strategy: Toward a Next Generation of Insights. MIS Quarterly – https://www.misq.org/
[2] cloudcomputing-insider.de, https://www.cloudcomputing-insider.de/-europas-digitaler-wendepunkt-eu-projekt-gegen-us-dominanz-im-cloud-markt-a-98be87dbe5e920f10f5b0a8ebd10c1be/?utm_source=chatgpt.com
[3] DIW, https://www.diw.de/de/diw_01.c.872618.de/publikationen/wochenberichte/2023_20_1/cloud-loesungen_koennen_produktivitaet_steigern.html?utm_source=chatgpt.com
[4] de.statista.com
[5] NIST Cybersecurity Framework – https://www.nist.gov/cyberframework
[6] ISO/IEC 27001 – https://www.iso.org/isoiec-27001-information-security.html
COBIT – https://www.isaca.org/resources/cobit
[7] https://www.bitkom.org/Themen/Politik-Recht/Digitale-Souveraenitaet/Das-verstehen-wir-unter-Digitaler-Souveraenitaet.html
[8] Bundesnetzagentur, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitalisierung/Mittelstand/Downloads/WIK_Summary.pdf?__blob=publicationFile&v=1&utm_source=chatgpt.com
[9] Netzwoche, https://www.netzwoche.ch/news/2023-11-01/unternehmen-kennen-die-gefahr-der-cloud-abhaengigkeit?utm_source=chatgpt.com
[9] Plattform Innovative Digitalisierung der Wirtschaft: Fokusgruppe „Digitale Souveränität in einer vernetzten Gesellschaft“. Digitale Souveränität und Künstliche Intelligenz – Voraussetzungen, Verantwortlichkeiten und Handlungsempfehlungen, https://www.de.digital/DIGITAL/Redaktion/DE/Digital-Gipfel/Download/2018/p2-digitale-souveraenitaet-und-kuenstliche-intelligenz.pdf?__blob=publicationFile&v=5