Digitale Souveränität – eine Kurz-Nachlese

Insbesondere den Hauptpunkt der Veranstaltung möchte ich im Rahmen dieser Nachlese kurz hervorheben. In Zusammenhang mit digitaler Souveränität zeigt sich mittlerweile bei einigen Kunden der Wunsch, die weltpolitische Situation bei der Auswahl von IT-Lösungen stärker zu berücksichtigen.

Weltpolitische Abhängigkeiten sowie Risiken durch einen möglichen Technologie- oder Vendor-Lock-in stellen potentielle Gefahren für den eigenen Betrieb dar. Betrachtet man diese Aspekte und versucht, entsprechende Risiken zu vermeiden, spricht man von digitaler Souveränität. Diese umfasst die eingesetzten Technologien (technologische Souveränität), die Hoheit über die eigenen Daten (Datensouveränität), die rechtlichen Rahmenbedingungen, an die man sich bindet (rechtliche Souveränität), sowie betriebliche Entscheidungen und den Betrieb kritischer Systeme (operative Souveränität). Für die Umsetzung digitaler Souveränität sind daher ein ausgewogener Mix unterschiedlicher Betriebsszenarien, die Nutzung verschiedener Technologien und offener Standards, der Aufbau des entsprechenden internen Know-hows sowie staatliche Maßnahmen und Regulierungen von Bedeutung.

Betrachtet man diese Punkte im Detail, wird deutlich: Sie führen dazu, dass bei der Herstellerwahl sowohl die globalen Krisen als auch die Herausforderungen digitaler Transformation einbezogen werden müssen. Für eine wirklich souveräne IT sind daher die Beschaffungssituation und damit mögliche weltweite Krisen genauso zu berücksichtigen wie Migrationsmöglichkeiten und Interoperabilität der eingesetzten Technologien. Auf betrieblicher Ebene ist darüber hinaus der Markt möglicher Dienstleister und Betreiber zu beachten. Gerade in kritischen Systemen und in KRITIS-Bereichen ist zu erwarten, dass diese Aspekte eine Rolle spielen. Für andere Kunden mag dies aktuell eine untergeordnete Relevanz haben.

Aus diesen Punkten ergeben sich immer wieder Wünsche, welche sowohl die Planung als auch die Beschaffung betreffen. Auch dies wurde im Rahmen der Veranstaltung diskutiert und vergaberechtlich eingeordnet. Im Rahmen von Vergaben kann es daher sinnvoll sein, bestimmte Einschränkungen zu definieren. Beispielsweise lässt sich im Hinblick auf Sicherheitsinteressen das Bieterfeld abgrenzen oder die Anforderungen an die Lösung konkretisieren. Dies betrifft etwa die Wahl eines Cloud-Standorts oder den Ausschluss von Bietern aus Drittstaaten ohne Handelsabkommen mit der EU. Im Zweifelsfall ist jedoch eine rechtliche Prüfung erforderlich – ein Aspekt, der naturgemäß außerhalb unserer technischen Expertise liegt.

Zusammenfassend lässt sich festhalten, dass auf der Veranstaltung das Fokusthema „digitale Souveränität“ besonders für den öffentlichen Bereich diskutiert wurde. Aus meiner Sicht sollte die Souveränität der eingesetzten Technologien und des Betriebs berücksichtigt werden. Mögliche Risiken sollten zumindest für KRITIS-Unternehmen abgewogen werden.

Im Rahmen der Veranstaltung wurden noch zahlreiche weitere Themen behandelt, die wir an anderer Stelle aufgreifen werden. Besonders im Bereich der technischen Vorträge zu Kommunikationslösungen verweise ich an dieser Stelle auf einen zukünftigen Blog-Beitrag meiner Kollegin Leonie Herden.