Gerald Boyne ist IT-Security-Architekt und -Berater mit langjähriger Erfahrung in der Modernisierung komplexer IT-Landschaften. Er begleitet mittlere und große Unternehmen bei Fragen rund um Cloud-Migration, Sicherheitsarchitektur und Lieferantenmanagement – stets mit Blick auf das Zusammenspiel von Technologie, Regulierung und geopolitischem Risiko. Zuvor war er mehrere Jahre bei AWS tätig und kennt daher auch die Perspektive eines führenden Hyperscalers aus erster Hand.
Alle fordern mehr digitale Souveränität – und die Lösungsrezepte scheinen einfach: Backend-Systeme auf Open Source umstellen, US-Hyperscaler durch europäische Clouds ersetzen und auf vorhandene europäische Alternativen setzen. Doch was sind die Strategien der großen europäischen Konzerne? Wie empfänglich sind sie für solche Vorschläge? Schließlich waren sie es, die maßgeblich zum Wachstum von AWS, Microsoft und Google beigetragen haben.
Gregor: Gerald, wie sehen die IT-Landschaften in großen Konzernen typischerweise aus?
Gerald: Die IT in großen Unternehmen ist oft historisch gewachsen und entsprechend heterogen – moderne Anwendungen stehen neben einer Vielzahl an Legacy-Systemen. Fachlich gibt es meist exzellente Spezialisten, etwa für Datenbanken oder Windows, doch bei komplexeren Themen wie Kryptographie wird es schnell dünn. Informationssicherheit ist häufig nur ein Pflichtprogramm: In regulierten Branchen wie dem Finanzwesen besser aufgestellt, ansonsten aber oft unter dem CIO angesiedelt – ohne echte Durchsetzungskraft.
„SaaS wird oft wie On-Prem ausgeschrieben, aber aus der Cloud geliefert – da knirscht es dann schnell bei Sicherheit und Erwartungsmanagement.“
Gregor: Wie sieht es mit Software-as-a-Service-Angeboten aus?
In den letzten Jahren greifen viele Geschäftsbereiche vermehrt zu Software-as-a-Service-Lösungen. Statt lange IT-Projekte aufzusetzen, wird ein cloud-basierter Service eingekauft – häufig außerhalb der Strukturen der eigenen IT. Das löst dann das Problem der Fachabteilung, bringt aber neue Herausforderungen mit sich: Die Qualitätssicherung, das Lieferantenmanagement, Backups und Informationssicherheit.
Gregor: Ah … Unternehmen entscheiden sich für SaaS, weil da müssen sie „ja nur die Verträge verhandeln“?
Gerald: Ja, genau das denken sie. SaaS wird häufig wie klassische On-Premise-Software ausgeschrieben, aber sie wird ja standardisiert aus der Cloud geliefert. Man kauft also etwas Standardisiertes „in der Box“, hat aber möglicherweise im Detail ganz andere Anforderungen bezüglich Resilienz und Datensicherheit. Wie viel Verhandlungsspielraum gibt es hier bei den Lieferanten? Welche technischen Lösungen muss ich zusätzlich definieren? Da fehlt es vielen Unternehmen noch an Erfahrung.
Gregor: Warum gehen die Unternehmen trotzdem so stark in Richtung SaaS-Produkte?
Gerald: Vor allem geht es darum, schnell die fachlichen Probleme zu lösen. Die klassische IT-Abteilung ist oft zu langsam. Dies liegt einerseits an den umständlichen, manuellen Prozessen, andererseits ist das für den Eigenbetrieb notwendige Personal häufig nicht verfügbar. SaaS-Lösungen bieten standardisierte Funktionen direkt vom Markt, ohne dass eigene Infrastruktur aufgebaut oder betrieben werden muss. Selbst Unternehmen, die eigentlich keine Cloud wollen, nutzen SaaS, weil viele Anbieter ihre Produkte inzwischen nur noch als Managed Service oder aus der Cloud anbieten.
Gregor: Ok, nehmen wir also einen durchschnittlichen, halbmodernisierten Konzern. Wie abhängig ist er bei seiner IT-Landschaft von den USA?
„Nicht jede Nutzung von US-Technologie ist gleich kritische Abhängigkeit – kritisch wird es erst, wenn ich keinen Plan B habe.“
Gerald: Das kommt darauf an, wie man Abhängigkeit definiert. Der Begriff ist ja negativ konnotiert.
Gregor: Ich würde sagen, wenn die genutzte Software von einem US-Unternehmen bereitgestellt wird.
Gerald: Wenn du Abhängigkeit so definierst, dann ist sie sehr groß. Fast alle grundlegenden Technologien in Konzernen, von Betriebssystemen bis hin zu Cloud-Diensten, basieren auf US-Produkten. Aber für mich ist das erst dann eine kritische Abhängigkeit, wenn daraus ein reales Risiko entsteht, also wenn keine Alternativen verfügbar sind. Solange Unternehmen diese vorbereitet haben, ist es eher ein operatives Risiko – beherrschbar, wenngleich nicht zu ignorieren.
Gregor: Gibt es denn Konzerne, die ohne US-IT-Komponenten auskommen?
Gerald: Wenn Unternehmen viel Engagement mitbringen, ließe sich eine große IT-Landschaft sicher auch ausschliesslich mit EU-Softwares und Open-Source betreiben. Aber mir ist kein Konzern mit dieser Leidenschaft bekannt.
Gregor: Corporates versuchen also nicht, ein Trump’sches Erdbeben zu verhindern, es geht eher darum, mit möglichen Folgen daraus umzugehen?
Gerald: Ja, so kann man es sagen. Es geht darum, die Folgen kontrollierbar zu halten.
Gregor: Aber ist die Idee einer Disruption der US-basierten Software-Wertschöpfungskette mit einem Risikomanagement zu begegnen, nicht eine theoretische Lösung? Corporates müssen doch für für hunderte Softwares einzelne Plan-Bs in der Tasche haben.
„Man kann Risiken nicht vermeiden, aber man kann sie bewerten – und bei den kritischen Systemen vorbereitet sein.“
Gerald: Ja, das stimmt – und genau deshalb müssen sie priorisieren. Es geht nicht darum, für jede einzelne Software sofort eine Ausweichlösung einsatzbereit zu haben, sondern darum, für kritische Anwendungen realistische Alternativen zu planen. Für Plattformen wie VMware gibt es heute standardisierte Migrationspfade, die professionelle Anbieter umsetzen können. Wichtig ist, dass Unternehmen diese Vorsorge nicht nur der eigenen IT aufhalsen, sondern sich externe Expertise holen – und idealerweise in Managed-Umgebungen arbeiten, in denen sie solche Szenarien vertraglich absichern können. Dann wird aus einer theoretischen Option eine handhabbare Praxis.
Gregor: Aber viele dieser kritischen Anwendungen sind funktional stark mit anderen Systemen verzahnt – es gibt also nicht nur einen Anbieter-Login, sondern auch funktionelle Abhängigkeiten auf höheren Ebenen. Wenn man das wirklich ernst nimmt, müsste man sich durch hunderte Systeme arbeiten. Ist das nicht genau das Dilemma, das Gregor Hohpe beschreibt: „Don’t get locked up into avoiding lock-in“?
Gerald: Ja, das ist ein berechtigter Punkt – und genau deshalb beginnt man nicht sofort mit einem Großprojekt, sondern mit einer Business Impact Analyse. Man muss prüfen: Ist diese Abhängigkeit wirklich geschäftskritisch? Wenn ich eine Software nutze, die eine einzigartige Funktion bietet, die ich zwingend brauche, dann gibt es möglicherweise keine echte Alternative. In dem Fall halte ich das fest, dokumentiere das Risiko und akzeptiere, dass im Ernstfall ein kompletter Neustart nötig wäre. Es geht nicht darum, überall funktionelle Lock-ins aufzulösen, sondern gezielt zu bewerten, wo das Risiko tatsächlich geschäftsentscheidend ist – und genau dafür ist das Risikomanagement da.
Gregor: Ah, also der Geschäftsführer kann sich darauf berufen, alles sauber dokumentiert zu haben – aber das Risiko selbst bleibt bestehen. Und genau damit sind wir bei der Kernkritik auf Social Media: Wir treffen letztlich keine echten Vorsorgemaßnahmen gegen eine mögliche Trump’sche Disruption der US-basierten IT-Wertschöpfungskette.
„Im Ernstfall geht es nicht darum, alles weiterzubetreiben – sondern zu wissen, was wirklich geschäftskritisch ist.“
Gerald: Zunächst müsste man konkret benennen, welche Art von Trump-Disruption überhaupt denkbar ist. Ein US-Präsident kann per Executive Order Impulse anstoßen – aber das ist kein Gesetz, sondern eine Anordnung mit begrenzter Gültigkeit, die in der Vergangenheit auch immer wieder von Gerichten kassiert wurde. Wenn er wirklich die gesamte Digitalwirtschaft anweisen wollte, Europa nicht mehr zu beliefern, müsste er einen nationalen Notstand ausrufen. Das wäre ein extremer wirtschaftlicher Schaden für US-Unternehmen – ein Multi-Milliardenmarkt stünde auf dem Spiel.
Gregor: Also europäische Unternehmen sagen: Der Schaden eines solchen Szenarios wäre zwar hoch, die Eintrittswahrscheinlichkeit eines Großboykotts aber ist so gering, dass auch das Risiko insgesamt gering zu bewerten ist.
Gerald: Ja, genau – aber wichtig ist: Unternehmen ignorieren dieses Szenario nicht, sie analysieren es sehr sorgfältig. Entscheiderinnen und Entscheider beobachten ihre Dienstleister genau – wie positionieren sie sich, wie reagieren sie auf geopolitischen Druck? Und sie spielen konkrete Szenarien durch: Bekomme ich im Ernstfall nur keine neuen Features mehr? Fehlen Sicherheitsupdates? Oder droht sogar eine vollständige Abschaltung des Dienstes? Auf dieser Basis wird dann bewertet, ob und welche Maßnahmen notwendig sind – das ist pragmatisches Risikomanagement.
Gregor: Und dann höre ich schon wieder die Stimmen auf LinkedIn: „Es gibt doch längst Kill Switches – vielleicht gut versteckt, zum Beispiel über zentrale Lizenzserver.“
Gerald: Klar, Angst bringt Klicks. Aber auch hier gilt: Man muss genau hinschauen. Ja, Lizenzserver oder Feature-Toggles können Funktionen zentral steuern, aber das bedeutet nicht automatisch, dass ein Dienst plötzlich abgeschaltet wird. Entscheidend ist, ob ich das System auch ohne zentrale Freigabe weiterbetreiben kann – zum Beispiel mit lokalen Backups oder einem On-Premise-Betrieb. Die reale Risikobewertung hängt davon ab, wie konkret diese Abhängigkeiten technisch ausgestaltet sind – und das wissen viele Unternehmen im Detail gar nicht.
Gregor: An einem Fleißprojekt kommt man also nicht vorbei. Jedes einzelne System muss genau analysiert werden – im Detail. Und danach heißt es, mit dem IT-Werkzeugkasten zu reagieren: Backups einrichten, Alternativen planen, Notfallszenarien vorbereiten … richtig?
„Selbst in der Bronzezeit war keine Großmacht autark – weil das Zinn aus Cornwall kam. Warum sollten wir es in der digitalen Welt sein?“
Gerald: Genau. Und vor allem muss man das Ganze als realistisches Krisenszenario denken. Wenn es tatsächlich zu einem großflächigen Ausfall käme – etwa durch politische Entscheidungen wie einen transatlantischer Lieferstopp – würden plötzlich alle gleichzeitig versuchen, auf lokale IT-Infrastruktur umzusteigen. Wie es bei Corona einen Mangel an Toilettenpapier gab, würde es in diesem Szenario zu einem Run auf Rechenzentrums-Kapazitäten, IT-Dienstleister und Fachkräfte kommen. Die Preise würden explodieren, wie wir es etwa bei Gas in der Energiekrise gesehen haben. Deshalb muss man vorher planen, priorisieren und wissen: Welche Anwendungen sind überlebenswichtig? Für diese muss ein konkreter Plan existieren – wer das frühzeitig tut, hat in der Krise die besseren Karten.
Gregor: Wenn ein Unternehmen diese Detailanalyse wirklich durchführt, Szenarien durchspielt und konkrete Vorsorgemaßnahmen trifft – würdest du sagen, dass es damit digital souverän ist?
Gerald: Ja, absolut. Ein Unternehmen ist dann souverän, wenn es seine Risiken kennt, Szenarien durchdenkt und bewusst handelt – oder auch begründet nicht handelt. Souveränität heißt: handlungsfähig und vorbereitet zu sein, nicht überrascht.
Gregor: Ist es dann autark?
Gerald: Nein, autark ist ein Unternehmen nie – und war es auch historisch betrachtet nie. Selbst in der Bronzezeit waren die großen Mächte am Mittelmeer auf die Zinnlagerstätten in Cornwall angewiesen. Aber uns sollte es ja um digitale Selbstbestimmung gehen, und die ist heute schon möglich, wenn wir die notwendigen Maßnahmen entschieden umsetzen.
Gregor: Vielen Dank für Deine Zeit!
