Die Diskussion um digitale Souveränität hat in den letzten Monaten wieder deutlich an Fahrt aufgenommen – befeuert durch geopolitische Entwicklungen, neue Regulierungen und nicht zuletzt durch den Koalitionsvertrag der neuen Bundesregierung.

Doch allzu oft wird dabei ein entscheidender Fehler gemacht: Zwei sehr unterschiedliche Ebenen – die Beziehungsebene und die technische Ebene – werden vermischt. Das Ergebnis sind Forderungen, die zwar ein berechtigtes Bedürfnis nach Unabhängigkeit artikulieren, in der praktischen Umsetzung jedoch wenig belastbar sind.

Beziehungsebene vs. technische Ebene

Auf der Beziehungsebene geht es um Vertrauen zwischen Staaten, Institutionen, Unternehmen und Individuen. Auf der technischen Ebene hingegen stehen Aspekte wie Verfügbarkeit, Datenschutz, Datenhoheit, Verschlüsselung, Backdoors und Updatefähigkeit im Fokus.

Immer wieder fällt in diesem Zusammenhang der Begriff „Vertrauen“ – meist ohne klare Definition. Wird dieser Begriff jedoch technisch konkretisiert, geht es häufig um nachvollziehbare Anforderungen: keine heimliche Datenweitergabe, keine versteckten Funktionen, kontinuierliche Softwarepflege und transparente Sicherheitsarchitekturen.

Auf der Beziehungsebene wiederum wird „Vertrauen“ oft national oder geopolitisch interpretiert. Das führt dazu, dass Anbieter aus bestimmten Staaten pauschal als nicht vertrauenswürdig eingestuft werden – unabhängig von der tatsächlichen technischen Qualität ihrer Produkte. Der Koalitionsvertrag spricht nun von „nicht vertrauenswürdigen Lieferanten“ – ein politisch aufgeladener Begriff, der in der Praxis schwer zu fassen ist.

Ein bekanntes Beispiel: Huawei

In Gesprächen mit Bundestagsabgeordneten wurde mir bestätigt, dass bei Huawei-Produkten keine Backdoors oder Kill-Switches gefunden wurden. Tatsächlich wurden diese Produkte intensiver untersucht als nahezu alle anderen Netzwerkkomponenten auf dem Markt – inklusive Source-Code-Prüfungen und Reproducible Builds. Gleichzeitig blieben viele Produkte aus „vertrauenswürdigen“ Ländern weitgehend ungeprüft – ein gefährliches Ungleichgewicht.

Multilateralität statt Schwarz-Weiß-Denken

In einer vernetzten, multilateralen Welt greifen bilaterale Denkmuster – in “gute” und “böse” Anbieter zu unterscheiden – zu kurz. Selbst in der Vergangenheit war das Bild nicht so eindeutig, wie wir es gerne hätten: Plakate entlang des Highways in San Francisco erinnerten damals an die NSA-Affäre um Angela Merkel. Technisch änderte sich nach Snowden wenig – politisch wurde das Vorgehen jedoch nachträglich legalisiert.

Was bedeutet das für digitale Souveränität?

Digitale Souveränität lässt sich nur erreichen, wenn technische Kriterien im Vordergrund stehen und nicht politische Zuschreibungen. Es braucht technische Maßnahmen und Exit-Strategien für den Fall, dass Hersteller ihren Verpflichtungen – aus welchem Grund auch immer – nicht mehr nachkommen.

Einige Beispiele:

• Modulare Kryptografie: Verschlüsselungsbibliotheken müssen austauschbar sein, wie es etwa SAP schon seit Jahren praktiziert. So lässt sich auf neue Bedrohungen (z. B. durch Quantencomputer) schnell reagieren.
• Treuhand-Modelle: Der vollständige Source-Code inklusive Build-Prozess kann bei einer vertrauenswürdigen Instanz hinterlegt werden. So bleiben Updates auch dann möglich, wenn der Hersteller ausfällt – insbesondere mit der zunehmenden Unterstützung durch KI-gestützte Entwicklung.

Und Sie? 

Wie stellen Sie digitale Souveränität in Ihrer Organisation sicher?

Welche technischen Evaluierungsmethoden setzen Sie ein – als Kunde oder als Anbieter?