Digitale Souveränität ist das Leitthema dieser Tage schlechthin. Dabei ist gerade die Geoinformationswirtschaft von nordamerikanischer Software, sicherer Cloud-Infrastruktur und internationalen Satellitennetzwerken abhängig. Im Bereich Verteidigung wird der Markt zudem neu gedacht. Der zivile Markt folgt mit schnellen Schritten.
Der Internationale Strafgerichtshof (IStGH) ist eines der bekanntesten Mahnmale für das Thema Digitale Souveränität. Der amtierende US-Präsident hatte das Gericht in Den Haag sanktioniert, nachdem es im November 2024 Haftbefehle gegen den israelischen Premierminister Benjamin Netanjahu und seinen früheren Verteidigungsminister Yoav Gallant wegen Kriegsverbrechen im Gazastreifen erlassen hatte. Konkret wurde die mit Microsoft-Technologie ausgestattete Institution unter anderem aus der US-Zentrale des Konzerns lahmgelegt. Ebenso wurden Richter und Ankläger digital kaltgestellt. Daraufhin setzte der IStGH alles in Bewegung, um technologisch autonom zu werden. Eine der ersten Maßnahmen war die Umstellung auf das Betriebssystem OpenDesk, das als Open-Source-Lösung von der deutschen Bundesregierung gefördert wird. Ein beispielloser Fall, der weite Kreise zog. Vor allem zeigt er, wie groß die Abhängigkeiten im Bereich der Digitalisierung geworden sind und welche technologiepolitischen Nachlässigkeiten sich in Europa und Deutschland in den vergangenen Jahrzehnten gesammelt haben. Der Trumpismus fungiert dabei viel mehr als Katalysator. Er ist mehr Lackmustest als Ursache. Der Ruf nach Digitaler Souveränität klingt im Moment ein wenig nach Hilferuf.
Die Akropolis in Griechenland ist das Symbol für die politische Kultur in Europa. Zunehmend macht man sich über fehlenden Wettbewerb im IT-Bereich, die Marktmacht von Firmen aus den USA und auch aus China sowie Schwächen im Sektor militärischer Aufklärung (GEOINT) Sorgen.
Quelle: tilialucida; viktoria_ngm / stock.adobe.com
Thema größter Wichtigkeit
Das Schlagwort der Digitalen Souveränität hat verschiedenste Facetten. Im Bereich Cloud-Speicher geht es beispielsweise darum, Daten rechtlich und technisch gegen Fremdzugriff und Spionage zu sichern. Im Bereich Softwareanwendungen steht die Abhängigkeit von einzelnen Herstellern und damit fehlender Wettbewerb im Zentrum. Im nationalstaatlichen Kontext geht es neben den wirtschaftspolitischen und finanziellen Aspekten vor allem um die IT-Ausstattung von Militär, Behörden und Organisationen mit Sicherheitsaufgaben (BOS) sowie sicherheitskritischen Einrichtungen wie der Versorgungswirtschaft. Allgemein gesprochen bedeutet Souveränität, die eigene Kontrolle zu behalten und sich rechtlich und technisch gegen Zugriffe und Einflussnahme von außen widersetzen zu können.
In einer Bitkom-Studie aus dem Jahr 2025 zum Thema sehen sich rund 90 Prozent der befragten Unternehmen in einer zum Teil starken Abhängigkeit zu ausländischen Technologien. Laut einer aktuellen Studie von valantic und dem Handelsblatt Research Institute (HRI) haben bereits 90 Prozent der 1.000 befragten Entscheider:innen gehandelt oder planen Maßnahmen zur Stärkung ihrer digitalen Unabhängigkeit. Fast zwei Drittel der Befragten erachten ihre digitale Abhängigkeit als kritisch für die künftige Wettbewerbsfähigkeit. 69 Prozent wollen bei der Speicherung auf EU-Datenresidenz und -lokation setzen. Es zeigt sich: Wo Daten liegen, unter welcher Jurisdiktion sie verarbeitet werden und wie technologische Abhängigkeiten von außereuropäischen Anbietern reduziert werden können, ist für die Befragten insgesamt von stark wachsender Bedeutung.
Auch die wirtschaftliche Leistungsbilanz ist eindeutig. Deutschland exportiert zwar wesentlich mehr Waren in die USA als umgekehrt. Im Bereich IT und digitale Services ist es jedoch genau andersherum. Laut Statistiken hat Deutschland eine negative Leistungsbilanz von 109 Milliarden Euro im Bereich digitale Produkte und Dienstleistungen gegenüber den USA. Vielfach wird gefordert, diese Mittel zur Stärkung der deutschen und europäischen Digitalwirtschaft zu verwenden.
Der Einsatz von Software amerikanischer Tech-Konzerne wird daher in Europa zunehmend kritisch gesehen. Viele europäische Spitzenpolitiker:innen möchten die Digitalisierung vorantreiben und dabei aber Abhängigkeiten bei Rechenzentren, Software und Expertise verringern. Sie erhoffen sich dadurch größere Unabhängigkeit, mehr Sicherheit, strategische Spielräume und Freiraum für eigene geostrategische Standpunkte. Kritiker sehen in der digitalen Souveränität zwar eine überzogene Form von Protektionismus und bemängeln, dass dadurch der Zugriff auf modernste IT- und KI-Technologien aus Nordamerika unnötig erschwert wird. Die Souveränitätsbestrebungen haben jedoch weit mehr Konjunktur. Die digitale Verwaltung prüft immer stärker, ob sie die Kontrolle über ihre Daten noch hat und wie groß die Abhängigkeit tatsächlich ist. Die geopolitischen Spannungen im transatlantischen Raum werden genau beobachtet und beeinflussen Investitionen in die IT massiv. Innovationen wie die European Sovereign Cloud, der Deutschland-Stack oder der souveräne Arbeitsplatz mit OpenDesk sind konkrete Projekte dieser Entwicklung.
Der Deutschland-Stack, initiiert vom Bundesministerium für Digitales und Staatsmodernisierung zeigt die Herausforderung, die in der Grundidee liegt. Er soll zwar eine nationale, souveräne Technologie-Plattform für Digitalvorhaben in Deutschland schaffen, dafür wurde kürzlich eine zweite Entwurfsversion vorgelegt. Doch prompt folgten kritische Stimmen. Der Initiative wird etwa vorgeworfen, unübersichtlich zu sein und zu viele Möglichkeiten für eine Beteiligung internationaler Hyperscaler und Technologieunternehmen zu bieten. Der Open-Source-Lobbyverband OSBA sprach sogar von Sovereignty Washing. Der Wille, neue Wege in der digitalen Verwaltungsmodernisierung zu gehen, ist zwar da, die Umsetzung folgt aber alten Mustern, die in Deutschland meist nicht nachhaltig erfolgreich waren. Klar ist: Die Digitale Souveränität ist technologisch gesehen ein dickes Brett.
Ein langer Weg
In der heutigen vernetzten und arbeitsteiligen Welt ist digitale Souveränität zudem ein theoretisches Ideal. Heute bedeutet sie weit mehr als nur IT-Standards oder Datenschutz-Compliance. Es geht darum, als Organisation handlungsfähig zu bleiben, wenn globale Lieferketten reißen oder politische Spannungen den digitalen Datenfluss unterbrechen. Ebenso geht es darum, den unerwünschten Abfluss eigener Informationen an Dritte zu verhindern.
Der Weg zur Souveränität gilt demnach als lang. Kritiker halten sie in den nächsten Jahrzehnten für kaum erreichbar. Befürworter einer weiterhin globalisierten Wirtschaftspolitik sehen in der nationalen Souveränität sogar einen Hebel des Protektionismus und befürchten negative Effekte, vor allem eine Verlangsamung der Entwicklungsdynamik und steigende Kosten.
Rechtliches: Das BSI mit Kriterienkatalog C3A
Das BSI hat im April den Kriterienkatalog C3A entwickelt, der sich damit beschäftigt, Daten in offen dokumentierten Formaten exportierbar zu machen. Dort werden Aspekte für Residenz, Portabilität, Interoperabilität, Transparenz über Sub-Dienstleister und Zugriffskontrolle überprüfbar und messbar gemacht. Lieferanten müssen Leistung, Pflichten und Ausstiegsrechte demnach klar angeben.
Die C3A können sowohl von Cloud-Anbietern als auch von Cloud-Kunden genutzt werden. Cloud-Anbieter können die Einhaltung der Kriterien durch ein Audit nachweisen. Cloud-Kunden können das
Framework nutzen, um für das eigene Nutzungsszenario relevante Anforderungen zu identifizieren und so ihr angestrebtes Maß an Souveränität festlegen.
ZenDIS
Wie schwierig die Umsetzung ist, zeigt auch das europäische Projekt Gaia-X, das 2019 als europäische Antwort auf die Dominanz amerikanischer und chinesischer Tech-Giganten initiiert wurde und in erster Linie den Versuch darstellt, einen europäischen Hyperscaler zu etablieren. Doch bei Gaia-X stocken die Entwicklungen. Zwar sind inzwischen einige Konzepte und Standards rund um branchenspezifische Datenräume entstanden, doch der Status einer Hyperscaler-Alternative wurde weit verfehlt. Nach anfänglicher Euphorie überwiegt hinter den Kulissen die Kritik an der Technologie gegenüber der hoffnungsvollen Aufbruchsstimmung.
Kritisches Thema Vendor Lock-in
Souveränität zeigt sich im Moment des Systemwechsels, bei dem, induziert durch künstliche Barrieren, ein überhöhter Aufwand und Kosten entstehen. Dies bezeichnet man allgemein als Vendor-Lock-in: Je höher die Migrationskosten, desto höher die „künstlich“ geschaffene Kundenbindung. Meist liegen diese Hürden versteckt. Viele internationale Software-Monopole haben diesbezüglich einen schlechten Ruf. Offene Schnittstellen (APIs) und standardisierte Prozesse wirken dem entgegen und werden daher im Zuge der Digitalen Souveränität massiv gefordert. Es wird immer stärker versucht, die Kriterien des Vendor-Lock-ins objektiv zu fassen und eine Art objektiven Scorewert dafür zu entwickeln (siehe Beispiel München).
München hat im Februar einen Score veröffentlicht, mit dem der Grad an Souveränität bestimmt werden kann. Der Souveränitätscheck ist eine neu entwickelte Methodik des IT-Referats zur systematischen Prüfung Digitaler Souveränität von IT-Services. Das Werkzeug ist sehr einfach gehalten, die Methodik wurde aber an bestehende wissenschaftliche Arbeiten angelehnt und wurde wissenschaftlich durch die Technische Universität München begleitet.
Ein Beispiel aus dem software-technischen Bereich bilden Datenbanksysteme. Der weltweit akzeptierte ISO-Standard 9075 beschreibt die Datenbanksprache SQL. Eine große Zahl quelloffener und proprietärer Systeme unterstützen SQL. Wenn man sich bei der Anwendungsentwicklung an den Standard hält und keine spezifischen Erweiterungen nutzt, kann man mit überschaubarem Aufwand das zugrunde liegende System wechseln, beispielsweise von IBM DB2 zu PostgreSQL oder von Oracle zu MariaDB. Im Gegensatz dazu haben NoSQL-Datenbanken sehr individuelle Modelle und Schnittstellen. Das kann auch bei Open-Source-Datenbanken zu einem „Vendor Lock-In“ führen. Eine Entscheidung für Hive, Cassandra, MongoDB etc. bedeutet eine sehr strikte Festlegung, denn das Wechseln der Technologie erfordert ein Neuprogrammieren des Anwendungscodes. Entscheidend für eine Unabhängigkeit von einzelnen Technologien sind also stabile, vom Markt akzeptierte Standards.
Schwerwiegend ist die rechtliche Seite. Ein Beispiel ist der CLOUD Act von 2018, ein US-amerikanisches Gesetz, das den US-Behörden den Zugriff auf im Internet gespeicherte Daten ermöglicht. Demnach müssen US-Cloud-Anbieter den US-Behörden auch dann Zugriff auf die gespeicherten Daten gewährleisten, wenn diese physisch nicht in den USA gespeichert sind. Daraus ergibt sich eine rechtliche Grauzone, denn in Europa gilt die DSGVO. Dies ist ein auf juristischer Ebene unvereinbares Dilemma, das praktisch meist nicht relevant ist, in Ausnahmesituationen wie beim IStGH aber durchaus schon.
In der Praxis dominieren nach wie vor US-Formen den Rechenzentrums-Markt. Als im Januar Amazon Web Services (AWS) die Inbetriebnahme eines Rechenzentrums zur Bereitstellung einer EU-Cloud ankündigte, sagte BITKOM-Präsident Dr. Ralf Wintergerst: „Ohne Cloud-Dienste geht in Deutschland nichts mehr. Es ist wichtig, die entsprechende Infrastruktur hier vor Ort auszubauen. Dazu braucht es schnellere Genehmigungen, praxistaugliche regulatorische Rahmenbedingungen und vor allem eine zuverlässige Energieversorgung zu wettbewerbsfähigen Preisen.“ Die Alternative zu Non-US-Cloud ist meist noch No-Cloud – was auch nicht im Sinne von Souveränität ist.
Erste objektive Kriterien für Souveränität
SOV-1 Strategische Souveränität
Beschreibt, inwieweit die Dienste eines Cloud-Anbieters (oder Technologieunternehmens) im rechtlichen, finanziellen und industriellen Ökosystem der Europäischen Union verankert sind. Dabei werden die Stabilität der Eigentumsverhältnisse, der Einfluss auf die Unternehmensführung sowie die Übereinstimmung mit den strategischen Prioritäten der EU bewertet.SOV-2 Rechtliche und gerichtliche Souveränität
Bewertet das rechtliche Umfeld, die Abhängigkeit von ausländischen Behörden sowie die Durchsetzbarkeit der Rechte, die für die Dienste eines Technologieanbieters gelten.SOV-3 Daten & KI
Konzentriert sich auf den Schutz, die Kontrolle und die Unabhängigkeit von Datenbeständen und KI-Diensten innerhalb der EU.SOV-4 Operative Souveränität
Misst die praktische Fähigkeit von EU-Akteuren, eine Technologie unabhängig von ausländischer Kontrolle zu betreiben, zu unterstützen und weiterzuentwickeln. Im Mittelpunkt stehen dabei die Kontinuität des Betriebs, die Verfügbarkeit von Fachkräften und die Widerstandsfähigkeit gegenüber externen Abhängigkeiten.
SOV-5 Souveränität der Lieferkette
Bewertet die geografische Herkunft, die Transparenz und die Widerstandsfähigkeit der Technologie-Lieferkette, wobei der Schwerpunkt darauf liegt, inwieweit kritische Komponenten und Prozesse unter EU-Kontrolle bleiben oder Abhängigkeiten von Drittländern ausgesetzt sind.SOV-6 Technologische Souveränität
Bewertet den Grad an Offenheit, Transparenz und Unabhängigkeit des zugrunde liegenden Technologie-Stacks und stellt sicher, dass Akteure in der EU Lösungen interoperabel gestalten, prüfen und weiterentwickeln können, ohne an proprietäre Systeme ausländischer Anbieter gebunden zu sein.SOV-7 Sicherheit und Compliance-Souveränität
Misst, inwieweit Sicherheitsmaßnahmen, Compliance-Verpflichtungen und Resilienzmaßnahmen innerhalb der EU gesteuert werden, wodurch Unabhängigkeit von ausländischen Rechtsordnungen und langfristige Betriebssicherheit gewährleistet werden.
SOV-8 Ökologische Nachhaltigkeit
Bewertet die langfristige Autonomie und Widerstandsfähigkeit von Cloud-Diensten im Hinblick auf Energieverbrauch, Abhängigkeiten und Rohstoffknappheit.
Der BITKOM beobachtet den Trend zur digitalen Souveränität in Europa schon lange. Auch die rechtlichen Implikationen des internetbasierten Geschäftslebens schon seit Jahren diskutiert. Der BITKOM betont, dass es bereits viele Initiativen gab, die die Souveränität fördern sollten, die aber nicht nachhaltig erfolgreich waren und die Klarheit und Präzision in der Kommunikation nicht gefördert haben. „Bisher gab es keine einheitliche Definition dafür, was Cloud-Souveränität eigentlich ist“, sagt Lucy Czachowski, Bereichsleiterin KI & Cloud beim BITKOM. An dieser Stelle gibt es jedoch Bewegung. Die Europäische Union hat mit dem Cloud Sovereignty Framework acht Kriterien aufgelistet, die für Souveränität stehen (siehe Kasten). „Dies schafft erstmal einen objektiven Rahmen für die Verständigung und kann helfen, strategische Geschäftsentscheidungen im Kontext von Beschaffungen zu begründen“, so Czachowski. Einschränkend sei jedoch zu bedenken, dass die Kriterien niemals objektiv und verallgemeinernd gelten können, sondern immer im Anwendungskontext gesehen werden müssen. Als erster Schritt seien die Kriterien jedoch sehr zu begrüßen.
Der BITKOM betont, dass Souveränität auch ein Kostenfaktor ist. Spätestens an der Stelle, an der Souveränität mit Wirtschaftlichkeit abgeglichen werden muss, werde es nämlich komplex. Ähnlich wie bei Ökologiefragen drohen auch hier Entscheidungen pro Souveränität dem Rotstift zum Opfer zu fallen. „Zudem ist es gefährlich, wenn Firmen und Institutionen der Zugriff auf die beste Cloud-Technologie verwehrt bleibt und sie jahrzehntelang im internationalen Wettbewerb im Status der Zweitklassigkeit bestehen müssen“, so Czachowski.
Digitale Souveränität in der Geoinformationswirtschaft
Wie andere Branchen auch ist die Geoinformationsbranche geprägt von internationalen, vorwiegend US-amerikanischen Softwareanbietern. Anbieter wie Esri, GE (Smallworld), Autodesk, VertiGIS oder Bentley dominieren den weltweiten Markt. Da Geodaten Grundlage hoheitlichen Handelns sind, hat die Frage nach Digitaler Souveränität damit eine besondere Dimension. Auch Wettbewerbs- und Beschaffungsfragen stehen im Fokus. Oft werden steigende Kosten reklamiert, die aus den Lizenzmodelle der Anbieter resultieren können, insbesondere bei einer weitverteilten Nutzung von Geodaten. Ebenso sorgt die Konsolidierung von Produkten dafür, dass die Anzahl der Angebote reduziert wird.
Daher rückt das Open-Source-Angebot immer mehr in den Mittelpunkt der Aufmerksamkeit. Freie und offene Software gilt insbesondere bei Behörden und in der öffentlichen Verwaltung als wirksames Werkzeug für mehr digitale Souveränität in allen relevanten Technologiefeldern: Anwendungen, Infrastruktur, Cloud, Datenbanken und KI. Offener Code, offene Standards und Schnittstellen sollen die Verwaltung unabhängig von Herstellern machen und den Wettbewerb in der von wenigen Anbietern dominierten Geoinformationswirtschaft stärken. Im Kaufhaus des Bundes stehen bereits Rahmenverträge für den Umstieg auf quelloffene Alternativen bereit. Dabei wird in der neuen EVB-IT vom März dieses Jahres Open Source explizit als neuer Standardfall abgebildet. Diese neuen Standardbedingungen können unter evb-it.gov.de jederzeit eingesehen und heruntergeladen werden.
Der Einsatz offener Software bedeutet oft, dass eigenes Know-how aufgebaut werden muss. Trotz des allgemein spürbaren Fachkräftemangels wird dies als wichtiger Aspekt der Souveränität angesehen. „Wenn dieses Ziel konsequent verfolgt wird, sich auf eigene Füße zu stellen und Wissen und Können ‚zu Hause‘ zu konsolidieren, ergeben sich ganz zwangsläufig Sekundäreffekte, die selbst als Ziele und wünschenswerte Veränderungen angesehen werden können“, sagt Pirmin Kalberer Vorstandsvorsitzender des FOSSGIS e. V., dem wichtigsten Verein für offene und freie Software im GIS-Bereich in Deutschland. Der Verein versammelt eine Vielzahl von Einzelpersonen und Unternehmen mit Sitz in Deutschland, die auf Basis quelloffener Software erfolgreich Beratung, Entwicklung, Schulung und Support anbieten. Die FOSSGIS-Mitglieder arbeiten in der Überzeugung, dass offene Systeme die Einstiegshürde für neue Ideen senken. Wenn Algorithmen, Schnittstellen und Datenmodelle offen liegen, können Forschungseinrichtungen, Start-ups und öffentliche Stellen darauf aufbauen. Das Ökosystem für den Aufbau souveräner Geo-Infrastruktur existiert bereits.
Andere Stimmen betonen jedoch auch die Risiken offener Software. Unter dem Sammelbegriff Open Source existieren viele unterschiedliche Lizenzmodelle, die unterschiedliche Nutzungsarten erlauben, darunter die MIT-Lizenz, die Apache-Lizenz und die GPL-Familie. Copyleft-Lizenzen wie die GPL erlauben keine Einbettung in proprietären Code. Dabei handelt es sich nicht um ein Defizit, sondern um einen bewussten Schutzmechanismus, der sicherstellt, dass Weiterentwicklungen offen bleiben. Die Kombination mit anderem offenen Code ist ausdrücklich vorgesehen.
Ein weiterer kritischer Punkt ist die Annahme, dass alle Code-Beiträger (sogenannte Committer) den gesamten Code verstehen. Vor allem bei großen, komplexen Systemen wie Datenbanksystemen (PostgreSQL, MariaDB, Rasdaman etc.) oder Betriebssystemen (Red Hat, SUSE, Ubuntu etc.) ist das Entwicklerwissen weltweit verteilt. Hier können Unternehmen vor Ort diese Systeme kommerziell betreuen, weiterentwickeln und dafür haften. In Deutschland existiert ein wachsendes Ökosystem solcher Dienstleister für den Open Source Bereich, viele davon sind im FOSSGIS e.V. organisiert.
Ebenso im Fokus steht die Sicherheit. Der Synopsys-Report „Open Source Security and Risk Analysis“ (OSSRA) 2023, der mehr als 1.700 Codebasen untersuchte, deckte beispielsweise zahlreiche Sicherheitslücken in Open-Source-Komponenten auf. Der Report untersuchte vorwiegend proprietäre Produkte untersucht, die Open-Source-Komponenten einbetten. Die gefundenen Lücken betreffen demnach meist veraltete, ungepatchte Abhängigkeiten. Der Report zeigte demnach ein Patch-Management-Problem.
Egal ob Open Source oder proprietäre Software – die Qualität der Software hängt letztlich immer entscheidend von der Qualität der Entwickler und Projektmanager ab. Ein Unternehmen trägt die Verantwortung dafür und kann, insbesondere wenn der Firmensitz in Europa bzw. Deutschland ist, gesetzlich in die Pflicht genommen werden. Die EU hat mit dem Cyber Resilience Act (CRA, EU 2024/2847) das Ziel formuliert, dass Software-Hersteller ihre Verantwortung über den gesamten Produktlebenszyklus ernst nehmen. Hersteller haften demnach für das Gesamtprodukt, unabhängig davon, ob es sich um Open Source oder eine Eigenentwicklung handelt. Open-Source-Projekte, die ihren Code lizenzkostenfrei zur Verfügung stellen, können dieses Haftungsrisiko nicht aus eigener Kraft tragen, da das Modell der kostenlosen Bereitstellung keine Rücklagen dafür erzeugt. Auf der Ebene der Haftungsfragen gibt es daher eine intensive Diskussion mit teils sehr konträren Standpunkten.
Die Lösung liegt bei Open Source in der professionellen Beschaffung: Open Source ist ein Lizenzmodell, das verschiedene Geschäftsmodelle ermöglicht, darunter Community-Betrieb, kommerzielle Dienstleistung, Dual Licensing und Managed Hosting. Wird Open Source im Rahmen von Liefer- und Dienstleistungsverträgen mit Software-Beratungen oder Entwicklerbüros eingesetzt, so wird das Haftungsrisiko vertraglich an den Dienstleister übertragen.
Teilnehmende der diesjährigen FOSSGIS-Konferenz in Göttingen. Die Zahl war nie so hoch wie hier. Die Diskussion rund um die Digitale Souveränität gibt dem Ansatz Rückenwind. Quelle: FOSSGIS e.V.
In Deutschland ist generell eine ganzheitliche Sicht auf die IT-Infrastruktur gefragt. Im Sinne der Souveränität sollten Komplettsysteme, etwa Datenbanksysteme, in Deutschland entstehen, sagt Prof. H.-J. Bullinger, ehemaliger FhG-Präsident: „Grundsätzlich sind wir Deutschen zu sehr in der anwendungsbezogenen sekundären IT-Industrie aktiv. Da sind wir zwar erfolgreich, aber das reicht langfristig nicht – wir müssen wieder in den primären IT-Markt der Betriebssysteme und Datenbanken einsteigen und ihn nicht völlig den Amerikanern überlassen, wenn wir im Wettbewerb stärker werden wollen.“ Einige wenige Firmen gehen diesen Weg.
Innovationstreiber Militär
Die Bereiche Militär, Verteidigung und Aufklärung sind traditionell nicht nur große Märkte für Geoinformationssysteme (GIS), sondern auch Treiber für Innovation – auch und gerade auf dem zunehmend digitalen Gefechtsfeld. Ohne die Impulse aus dem Militärsektor wären Satellitennavigationssysteme, Geoinformationssysteme oder Fernerkundung in ihrer heutigen Form kaum denkbar. Lange Zeit wurde, dem IT-Trend folgend, grundsätzlich erst einmal in den USA eingekauft. Dies ändert sich jedoch, seit in Europa die Souveränität für Militär und kritische Infrastrukturen auf allen Ebenen – von der Hardware über die Software bis hin zum integrierten System und dessen Anwendung – höchste Priorität hat. Vor allem sollen die Abhängigkeiten von den USA und China reduziert werden. Seitdem investieren die europäischen Staaten massiv, was bei einigen Rüstungsfirmen zu einer „Goldgräberstimmung” geführt hat.
Das Schlagwort „Geospatial Intelligence”, kurz GEOINT, bezeichnet die Aufklärung mittels Geodaten mit dem Ziel der Erlangung von Informationsüberlegenheit („Information Supremacy“) als Teil von Command & Control, Intelligence, Surveillance und Reconnaissance (C2ISR) nach dem Motto „die richtige Information zur richtigen Zeit im richtigen Format“. Dazu müssen sämtliche Informationsquellen analysiert und zusammengeführt werden, darunter alle Arten von Geodaten wie optische und Radarsatellitendaten, Luftaufnahmen von Drohnen und Aufklärungsflugzeugen wie AWACS usw.
Vor allem durch die Zusammenführung gewinnen die Daten erheblich an Wert für ein vollständiges Lagebild zur Entscheidungsfindung. Daher schenkt die NATO diesem Aspekt im Rahmen des Federated Mission Networking (FMN) besondere Aufmerksamkeit. Zu integrieren sind einerseits die verschiedenen Dimensionen (früher: Waffengattungen) Land, Wasser, Luft, Cyber und Weltraum, andererseits die verschiedenen Technologien, die oftmals auf sehr speziellen und aufwendigen MIL-Standards beruhen. So umfasst der Standard LINK16 für gesicherte Kommunikation inzwischen beispielsweise 11.000 Seiten. Zudem sollen Sensoren und Effektoren nahtlos in die „Battle Cloud“ eingebunden werden. Schließlich sind auch die NATO-Staaten zu integrieren, die souverän und unabhängig beschaffen. Zu den Beispielen zählen die Kampfjets Eurofighter, F-35 aus den USA, Rafale aus Frankreich und Gripen aus Schweden.
ZenDiS
Die ZenDiS GmbH (Zentrum für Digitale Souveränität der Öffentlichen Verwaltung) ist ein vom Bund im Jahr 2022 gegründetes Unternehmen, das im Sinne der digitalen Souveränität Open-Source-Software im öffentlichen Sektor fördern soll. Die Institution entwickelt selbst keine Software, sondern fungiert als Vermittlungs- Beratungs- und Zertifizierungsinstanz im Bereich der Open-Source-Projekte. Das ZenDiS fokussiert auf OpenDesk, eine modular aufgebaute, Open-Source-basierte Arbeitsplattform, die zahlreiche Anwendungen für digitale Büroarbeit und Kollaboration unter einer Oberfläche bündelt und als Ersatz für das Microsoft-Betriebssystem eingesetzt werden kann. Bereits viele Kommunen und Behörden haben sich für OpenDesk entschieden.
Zudem unterstützt es bei Fragen der digitalen Souveränität die Selbstprüfung der Anwendungsseite: Wie abhängig ist die eigene Organisation von einzelnen Anbietern? Wie hoch wären die Kosten eines Wechsels? Wer hat Zugriff auf die eigenen Daten, und unter welchem Recht? Das ZenDiS bietet mit seinem Souveränitätscheck einen strukturierten Einstieg in diese Bewertung.
Eine zentrale Rolle spielt dabei die Interoperabilität, vor allem im Hinblick auf die angestrebte Modular Open Systems Architecture (MOSA). Dabei ist klar, dass für einzelne Aufgaben heterogene, unabhängig voneinander entwickelte Komponenten direkt miteinander interagieren können müssen. Wichtig sind also die Schnittstellen-Standards. Die NATO kuratiert dazu Standardization Agreements (STANAGs), will jedoch aus mehreren Gründen künftig zivilen Standards (etwa OGC und ISO) mehr Gewicht verleihen: größere Produktvielfalt durch vielseitige Werkzeuge statt spezieller NATO-Tools, Kosteneinsparungen durch „Dual-Use“ (also Nutzung sowohl für zivile als auch militärische Zwecke) und damit auch schnellere Entwicklungszyklen. Die künftigen „Battle Clouds“, die derzeit mit Hochdruck bei Airbus, Rheinmetall, Hensoldt und anderen entwickelt werden, basieren alle auf etablierten IT-Standards.
Souveränitäts-Washing
Nach dem Green Washing nun das Sovereignty Washing: Um die Deutungsmacht ihrer Produkte und Dienstleistungen zu verteidigen, deklarieren viele Anbieter im Bereich Cloud-Dienste ihre Angebote als souverän. Fehlende Definition des Begriffs und offene Möglichkeiten zu dessen Interpretation machen die Souveränität zum Feld einer aktiven Diskussion.
Der IT-Planungsrat definiert digitale Souveränität zwar als „die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“ und schafft damit einen klaren Rahmen, dennoch wird kräftig umgedeutet. Das Zentrum für Digitale Souveränität (ZenDiS) hat mit einem Whitepaper auf diesen Trend reagiert und Hilfestellungen zur Enttarnung bereitgestellt.
Demnach gibt nicht alleine der Firmenstandort das Vorzeichen vor. Ist nicht nur die Firma selbst, sondern auch die Muttergesellschaft in den USA ansässig, wie es beispielsweise bei Amazon, Microsoft oder Google der Fall ist, fällt die Souveränität aus. Der US Cloud Act schreibt den US-Unternehmen vor, dass sie die Daten auf Anweisung der Behörden bereitstellen müssen, auch wenn es sich um Tochtergesellschaften handelt, die nicht in den USA registriert sind.
Auch die Delos Cloud, die von einer Tochtergesellschaft von SAP betrieben wird, fällt unter diese Kategorie, denn die Plattform basiert auf Microsoft-Technologien. Selbst bei GAIA-X, der 2019 in Deutschland und Frankreich gestarteten Initiative, sind US-Hyperscaler mit involviert. Die Kritik blieb nicht aus, wurde immer lauter und dürfte mit ein Grund dafür gewesen sein, dass Gaia-X stark unter Druck steht und bisher kaum Praxisrelevanz entwickelt hat.
Auch die Diskussion um Open Source versus proprietäre Software wird im militärischen Kontext geführt. Dort wird sie sehr sachlich betrachtet: Beide Modelle haben aus militärischer Sicht ihre Vor- und Nachteile. Daher dürfte künftig bei Beschaffungen individuell unter ganzheitlicher Abwägung sämtlicher Anforderungen entschieden werden.
Beispiel rasdaman
Ein vollständig in Deutschland entwickeltes System, welches GEOINT und FMN bereits heute vereint, ist rasdaman („raster data manager“). Diese Plattform für Management und Analyse von Big Geo Data bietet raum-zeitliche Datenwürfel (etwa 2D Satellitenbilder, 3D x/y/t Bild-Zeitreihen und x/y/z geologische Voxeldaten, 4D x/y/z/t atmosphärische Daten, usw.), Föderation (orts-transparent inklusive verteilter Datenfusion, also mehr als derzeit von FMN vorgegeben) und optimierte Energieeffizienz durch GreenCubes. „Durch AI-Cubes können Nutzer ihre eigenen KI-Modelle hochladen und ausführen, wobei die Zuverlässigkeit vorab vom Server eingeschätzt wird“, sagt Geschäftsführer Professor Peter Baumann.
Die identische Codebasis kann in großen Clouds laufen (in AWS mit über 1.000 Knoten demonstriert) sowie auf kleinen „Edge Devices“. Cloud und Edge können nahtlos föderiert werden, so dass Nutzer und Werkzeuge einen einheitlichen, homogenisierten Informationsraum sehen. So wurde auf Basis von rasdaman im NATO Science for Peace and Security (SPS) Flaggschiff-Projekt Cube4EnvSec erstmals eine Cloud/Edge-Föderation gezeigt, bei der Flug-Drohnen und Schiffe in Echtzeit mit CoperniCUBE vernetzt wurden. Weiterhin wurde rasdaman bereists im Erd-Orbit auf einem Nano-Satelliten erfolgreich gezeigt.
Interoperabilität ist gegeben durch die OGC-Standards WMS, WMTS, WCS und WCPS, als OGC-Referenzimplementierung bei Datenwürfeln und INSPIRE-WCS Good Practice. Die rasdaman-Anfragesprache wurde von ISO in den SQL-Datenbankstandard übernommen (der einzige bisher von Europa beigetragene Teil).
„Diese vollständig in Deutschland entwickelte Technologie, welche mit einer Reihe hochrangiger Innovationspreisen ausgezeichnet wurde, etwa dem DIN Innovatoren-Preis oder als Copernicus Masters Winner Big Data), ist seit Jahren im produktiven Einsatz in Behörden (z.B. BSH in Hamburg), Industrie (z.B. Telefonica) und Forschung (z.B. IARC in Alaska und NCHC in Taiwan“, sagt Baumann.
Nationale Technologiepolitik
Wenn in Deutschland von digitaler Souveränität die Rede ist, dann ist damit keine Autarkie gemeint und es geht auch nicht um Protektionismus. Es geht darum, Entscheidungsgrundlagen zu schärfen und Know-how in einem Terrain aufzubauen, in dem Deutschland international zurückliegt. Im Jahr 2013 erntete Angela Merkel mit ihrer Bemerkung, das Internet sei für Deutschland noch „Neuland“, Häme. Doch auch heute muss konstatiert werden, dass die digitale, aufgeklärte Zivilgesellschaft und die KI-Kompetenz noch unterentwickelt sind. Zwar gibt es mit SAP noch den Weltmarktführer für betriebliche Software, doch selbst das Walldorfer Unternehmen steht gehörig unter Druck, die von KI geprägte Marktphase erfolgreich zu bestehen.
Die Diskussionen rund um die digitale Souveränität führen den aktuellen Status quo Deutschlands daher schmerzhaft vor Augen. Die Ursachen dafür sind tiefgreifend. Schon in den 1970er Jahren hatte Deutschland weitreichende IT-Kompetenz, die aber nicht ausreichte, um mit den US-Entwicklungen Stand zu halten. Heute ein ähnliches Bild: So bekundete kürzlich ein deutscher Energieversorger, ein neues Rechenzentren erst in 10 Jahren ans Netz nehmen zu können. Ebenso scheint es an Know-how und finanziellen Mitteln zu fehlen, um die für das KI-Zeitalter notwendigen IT-Kapazitäten aus eigener Kraft zu schaffen. Projekte wie STACKIT der Schwarz Digits Cloud GmbH & Co. KG sind hier noch die Ausnahme.
Dabei bedeutet Souveränität, die Kraft und Wichtigkeit von Technologieentwicklungen zu erkennen und eigene Kapazitäten, Know-how und Finanzmittel bereitzustellen. Mit dem Aufkommen von KI hat sich inzwischen ein Tsunami an Verbesserungspotenzialen aufgebaut, die noch weitgehend ungenutzt sind. KI gilt heute als Schlüssel für Wohlstand. Hier ist Souveränität wichtiger denn je.
Dafür müssen bestimmte Voraussetzungen erfüllt sein, vor allem müssen Energie, Speicherkapazität und Übertragungsbandbreite verfügbar sein. Die hohe Aufmerksamkeit für die digitale Souveränität in Deutschland und Europa resultiert aus dieser komplexen Standortanforderung. Heute setzt sich die breite Erkenntnis durch: Um den Status quo in Deutschland erhalten zu können, müssen bestehende IT-Ressourcen effizienter eingesetzt werden. Es ist volkswirtschaftlich notwendig, mit weniger Experten mehr Leistung zu erzielen. Fortschritt ist nur möglich, wenn die gleiche Leistung mit weniger Personen erzielt werden kann. Eine schnellere Verwaltung mit weniger Beamten, eine leistungsfähigere Software mit weniger Programmierern und aktuellere und genauere Geodaten mit weniger Geographen und Geodäten. Ebenso ist eine bessere Verteidigungsfähigkeit mit weniger Soldaten und mehr innere Sicherheit mit weniger BOS-Kräften möglich. Dafür gilt es, die effizientesten digitalen Werkzeuge zu nutzen und Kompetenzen neu aufzubauen. Dazu müssen Abhängigkeiten abgebaut, Zugriff auf Daten unter eigene Kontrolle gebracht, Spionage verhindert, Kosten eingedämmt und Innovationen geschaffen werden. Kurz: Es braucht Digitale Souveränität.