Wer heute digitale Infrastruktur betreibt, tut das nie autark. Cloud-Dienste, Softwareplattformen, externe Rechenzentren, Hardware-Komponenten – die moderne IT ist ein Geflecht aus Abhängigkeiten. Das ist nur bis zu einem sehr geringen Grad vermeidbar: Spezialisierung spart Kosten, beschleunigt Innovation, entlastet interne Teams.
Doch Abhängigkeit hat einen Preis. Und dieser Preis steht nicht auf einer Preisliste. Sechs der sieben Risiken unten drehen sich daher um Kontrolle. Wer entscheidet, ob deine Systeme laufen? Wer hat Zugriff auf deine Daten? Wer kann dir morgen den Stecker ziehen – abrupt oder schleichend?
Im siebten Risiko geht es um Leistungsfähigkeit. Es ist das stillste: Es braucht keinen Angreifer, keinen Anbieter, keine Behörde. Es entsteht durch Unterlassung – dadurch, dass Technologien nicht genutzt, nicht verstanden, nicht eingebaut werden. Wer sich der Bronze nicht bedient, weil er dafür Zinn aus Cornwall importieren müsste, der bleibt ewig in der Steinzeit.
Übersicht über die Risiken bezogen auf digitale Souveränität
| Kategorie | Definition | Beispiel | Schlagworte |
| Cyber-Verwundbarkeit | Sicherheitsvorfälle in externen Systemen können zu Datenverlust, Betriebsunterbrechungen und Kontrollverlust über geschäftskritische Prozesse führen. | SolarWinds-Angriff über kompromittierte Software-Lieferkette | Cyberangriff, Supply Chain Attack, Zero-Day Exploit, Ransomware, Compromise of digital infrastructure, … |
| Operative Betriebsstörung | Fehler, Ausfälle oder Fehlkonfigurationen in eigenen oder externen Systemen können Geschäftsprozesse unterbrechen, verzögern oder in ihrer Qualität beeinträchtigen. | AWS-Ausfälle oder Fehlkonfigurationen (z. B. offene S3-Buckets), Streik des staatlichen Dienstleisters. | Outage, Downtime, Incidents, Operational Failure, Human error, Misconfiguration, operational resilience failure, … |
| Legaler Datenabfluss | Datenhoheit und Vertraulichkeit gehen verloren aufgrund des Zugriffs lokaler oder exterritorialer Behörden auf Unternehmensdaten. | CLOUD Act, FISA, Artikel10-Gesetz, § 100a StPO | Government access, backdoor access, surveillance, CLOUD Act risk, FISA access, extraterritorial access, data sovereignty risk, loss of data control, third-country access, … |
| Vendor-Lock-in | Anbieterabhängigkeit führt zu Fremdsteuerung von Leistungen und zur Zwangsakzeptanz von Preis- und Vertragsänderungen. | VMware-Preiserhöhungen nach Broadcom-Übernahme | Vendor lock-in, lock-in effect, switching costs, dependency risk, pricing power, monopolistic control, platform dependency, ecosystem lock-in, proprietary lock-in, exit barriers, cost trap, … |
| Kompetenz-verlust | Internes IT-Know-how geht verloren, wodurch Steuerungsfähigkeit, Unabhängigkeit und Weiterentwicklungsmöglichkeiten des Unternehmens eingeschränkt werden. | Kunden beherrschen seit der Einführung von C++ kein Assembly mehr. | Skills erosion, loss of expertise, brain drain, deskilling, knowledge drain, capability loss, loss of in-house expertise, dependency on external expertise, … |
| Operativer Zugriffsentzug | Anbieter können Zugriff auf Systeme, Daten oder essenzielle Funktionen einseitig einschränken oder entziehen – entweder abrupt oder schleichend durch Entzug von Updates, Support oder Ökosystem-Zugang. | Adobe Cloud in Venezuela; Google/Android vs. Huawei | Kill Switch, Digital Black-Out, Digital Blackmail, remote shut-down, technology weaponization, … |
| Technologie-ausschluss | Zugang zu bestimmten Technologien wird durch regulatorische, geopolitische oder marktbezogene Beschränkungen von vornherein verhindert, wodurch Nutzung, Innovation und Wettbewerbsfähigkeit eingeschränkt werden. | US-Exportkontrollen für AI-Chips; Huawei Router | Export controls, technology embargo, restricted access to technology, supply chain restrictions, … |
Digitale Souveränität bedeutet nicht, alles selbst zu kontrollieren – es bedeutet, genau zu wissen, was man tut, und die Kontrolle zu haben, die man braucht, um die Geschäfte zu betreiben, die man betreiben will. Nicht mehr. Aber auch nicht weniger. Wer das hat, kann gestalten. Wer das nicht hat, reagiert.
Einladung zum Sparring
Wer in IT- oder Business-Strategie arbeitet: Welche dieser Risiken sind bei euch aktiv bewertet? Welche laufen einfach mit? Feedback, Ergänzungen, Gegenthesen gerne.
