Digitale Souveränität ist keine Kür, sondern Pflicht. Aktuelle Entwicklungen machen deutlich: Wer digitale Systeme betreibt – in Staat, Wirtschaft oder Verwaltung – ist Teil der Landesverteidigung und trägt Verantwortung für Sicherheit, Stabilität und Resilienz.
Nach dem großflächigen Stromausfall in Berlin forderte die Berliner Energie-Senatorin Franziska Giffey einen stärkeren Schutz sensibler Infrastrukturdaten. Die Veröffentlichung detaillierter Informationen zu Energie- und Versorgungsnetzen stelle ein erhebliches Sicherheitsrisiko dar und dürfe nicht länger als selbstverständlich gelten. Transparenz sei zu oft vor Sicherheit gegangen – und das müsse sich ändern.
Dieser Appell ist symptomatisch für eine tiefere Einsicht: Der digitale Raum ist selbst Teil kritischer Infrastruktur. Energie- und Verkehrsnetze, Lieferketten, Gesundheits- und Finanzsysteme sind untrennbar mit digitalen Systemen verbunden. Angriffe auf diese Systeme haben längst reale wirtschaftliche, gesellschaftliche und politische Konsequenzen.
Warum digitale Souveränität heute ein strategisches Thema ist
Digitale Souveränität ist weder ausschließlich Staats- noch reine Behördenaufgabe. Sie entsteht nur durch das Zusammenwirken aller Akteure, die digitale Infrastruktur betreiben, nutzen oder absichern: staatliche Stellen, Infrastrukturbetreiber – und in besonderem Maße Unternehmen.
Mit der Umsetzung von NIS 2 werden Unternehmen in Europa und Österreich verpflichtet, Cyber-Risiken systematisch zu adressieren, Notfallpläne vorzuhalten und Angriffsversuche zu melden. Das ist ein klares Signal: Cyber-Resilienz ist kein „Nice-to-Have“ mehr, sondern Teil nationaler Sicherheitsvorsorge und wirtschaftlicher Stabilität.
Der Hintergrund dieser Regulierung reicht weit über Verwaltungssicherheit hinaus. Das World Economic Forum zeigt in seinem Global Cybersecurity Outlook 2026, dass Cybersecurity-Vorfälle in einzelnen Ländern Schäden von bis zu 1,5 Prozent des BIP verursachen können. Diese Verluste fließen zudem größtenteils in Bereiche außerhalb des regulären Wirtschaftskreislaufs ab. Schätzungen zufolge gehen rund 24 Prozent der gezahlten Lösegelder an Cyberkriminelle in China und 15 Prozent an Akteure in Russland. Cyberangriffe sind damit nicht nur ein wirtschaftliches, sondern auch ein geopolitisches Risiko.
Demgegenüber erscheinen die Kosten regulatorischer Compliance – ein geschätzter Anstieg der Security-Ausgaben um 10 bis 15 Prozent – überschaubar. Diese Investitionen stärken nationale Resilienz, verbleiben im legitimen Wirtschaftsraum und tragen zur Wertschöpfung bei, statt sie zu untergraben.
Digitale Souveränität ist mehr als Technologie
Digitale Souveränität wird häufig auf Technologie oder Gesetzgebung reduziert. Tatsächlich umfasst sie weit mehr.
- Cybersecurity als Geschäftsstrategie
Unternehmen sind keine passiven Objekte staatlicher Regulierung, sondern zentrale Akteure digitaler Sicherheit. Wer robuste, sichere Architekturen wählt, schützt nicht nur das eigene Geschäft, sondern trägt zur digitalen Landesverteidigung insgesamt bei.
Dort, wo Digitalisierung Risiken schafft, die analoge Systeme nicht hatten – etwa bei vernetzten digitalen Schließanlagen, die sich in Minuten kompromittieren lassen –, müssen technologische Entscheidungen neu bewertet werden. Nicht jede Digitalisierung erhöht Sicherheit oder ist langfristig wirtschaftlich vertretbar.
- Der menschliche Faktor
Nach wie vor ist menschliche Fehlleistung der häufigste Einstiegspunkt für Cybervorfälle: Phishing-Mails, Fehlkonfigurationen, schwache Passwörter. Investitionen in Awareness-Programme, Sicherheitskultur und kontinuierliche Schulungen sind daher kein Zusatz, sondern Kernbestandteil digitaler Souveränität – gleichrangig mit Firewalls und Verschlüsselung.
- Wenn Informationsfreiheit zum Sicherheitsrisiko wird
In westlichen Demokratien gilt Informationsfreiheit als hohes Gut. Doch nicht jede Information sollte öffentlich zugänglich sein, wie die Berliner Energiesenatorin Giffey treffend formulierte. Netz- und Versorgungspläne, Gebäude- und Einbautenpläne, strategische Dokumente kritischer Infrastrukturen: Würde man akzeptieren, dass diese Daten offen im Netz stehen, wenn sie russische oder chinesische Infrastrukturen betreffen?
Die Vorstellung, die allgemeine Öffentlichkeit müsse staatliches Handeln permanent kontrollieren, verkennt die Rolle bestehender Institutionen. Rechnungshöfe, Gerichte, parlamentarische Untersuchungsausschüsse und befugte Prüfstellen sind genau für diese Kontrolle geschaffen. Transparenz kann – insbesondere im Sicherheitsbereich – mehr gefährden als schützen.
Hinzu kommt ein technisches Problem: Selbst geschwärzte oder anonymisierte Dokumente lassen sich durch Re-Identifikation und Datenabgleich heute mit hoher Trefferquote rekonstruieren – ein Risiko, das das World Economic Forum bereits im Global Risks Report 2023 klar benannt hat. Studien zufolge konnten 99,98 Prozent der US-amerikanischen Bevölkerung in umfangreichen Datensätzen re-identifiziert werden.
Bereits vor dem breiten Einsatz künstlicher Intelligenz ab 2022 war damit klar, dass verlässliche Anonymisierung in komplexen Datensätzen faktisch nicht mehr möglich ist. Dokumente und Datensätze sind seit längerem nicht mehr sicher anonymisierbar – und damit in vielen Fällen nicht zur Veröffentlichung geeignet.
Die eigentliche Herausforderung liegt daher nicht in der Entscheidung zwischen Sicherheit und Transparenz, sondern in ihrer institutionellen Ausbalancierung. Eine offene Gesellschaft lebt vom Zugang zu Information und von Kontrolle staatlichen Handelns. Gleichzeitig muss kritische Infrastruktur vor Sabotage, Spionage und strategischer Ausnutzung geschützt werden. Digitale Souveränität bedeutet, Transparenz dort zu ermöglichen, wo sie demokratische Kontrolle stärkt – und sie dort bewusst zu begrenzen, wo sie Sicherheit, Resilienz und Funktionsfähigkeit gefährdet. Die jüngsten Entwicklungen zeigen, dass diese Abwägung in deutlich mehr Bereichen neu vorgenommen werden muss als bislang angenommen (das Informationsfreiheitsgesetzt ermöglicht bereits das Verhindern einer Veröffentlichung, wenn Landesverteidigung betroffen ist – aber ist das ausreichend?).
Cybersecurity und digitale Souveränität: Chance statt Last
Zahlreiche Cybervorfälle zeigen, dass digitale Abhängigkeiten nicht bloß technische Schwächen sind, sondern strategische und finanzielle Risiken für Staat und Wirtschaft gleichermaßen darstellen.
Für Unternehmen bedeutet digitale Souveränität daher auch, strategisch zu entscheiden, welche Daten bedenkenlos in ausländischen Cloud-Infrastrukturen liegen können – und welche nicht. Noch immer wird unterschätzt, dass US-Behörden auf Server amerikanischer Anbieter zugreifen können, selbst wenn diese physisch in Europa stehen und einer europäischen Tochtergesellschaft gehören. In der aktuellen geopolitischen Lage ist die dauerhafte Verlässlichkeit multilateraler Abkommen keine Selbstverständlichkeit.
Es gibt daher Unternehmen in Europa, deren Schlüsseltechnologien bewusst nicht patentiert sind oder deren Wissensträger strengen internen Schutzmaßnahmen unterliegen – etwa durch Aufzeichnungsverbote. Nicht alles, was dokumentierbar wäre, sollte dokumentiert werden.
Regulierung von Cybersecurity wird oft als Innovationshemmnis kritisiert. Übersehen wird dabei, dass ungesicherte Daten- und Informationsabflüsse langfristig Wettbewerbsfähigkeit, technologische Führungspositionen und wirtschaftliche Stabilität gefährden. Regelwerke wie NIS 2 wirken deshalb nicht nur restriktiv, sondern als gemeinsamer Sicherheitsstandard für eine digitale Gesellschaft.
Digitale Souveränität in der Umsetzung
Wie Waltraud Kaserer in der i-presse analysiert – eine klare Leseempfehlung –, liegt der Hebel für digitale Souveränität weniger im Aufbau europäischer Hyperscaler als in strategischen Wahlmöglichkeiten: durch hybride und Multi-Cloud-Ansätze, offene Standards, Interoperabilität und den gezielten Einsatz europäischer Anbieter dort, wo Daten- und Rechtssouveränität besonders kritisch sind. Initiativen wie Gaia-X oder branchenspezifische Datenökosysteme zielen genau darauf ab, technologische Abhängigkeiten zu reduzieren, ohne die globale Anschlussfähigkeit zu verlieren.
Inkompatibilitäten zwischen Rechtsnormen – etwa zwischen europäischem Datenschutzrecht und dem US Cloud Act – sind strukturell nicht auflösbar. Hinzu kommt, dass internationale Abkommen in der aktuellen geopolitischen Lage zunehmend fragil wirken. Digitale Souveränität wird damit zum pragmatischen Ausweg aus einem systemischen Dilemma.
Kaserer zitiert auch Vertreter europäischer Cloud-Anbieter wie Exoscale oder T-Systems, die betonen, dass Souveränität mehrdimensional gedacht werden muss: als Zusammenspiel von Datenhoheit, operativer Kontrolle und technologischer Unabhängigkeit. Nicht jede Anwendung erfordert maximale Souveränität – doch dort, wo kritische Infrastrukturen, sicherheitsrelevante Informationen oder strategisches Know-how betroffen sind, wird sie zur Voraussetzung. Digitale Souveränität bedeutet damit vor allem eines: Handlungsfähigkeit im Ernstfall.
Eine neue Sicht auf Sicherheit
Digitale Souveränität ist kein statischer Zustand, sondern ein dynamischer Prozess. Sie entsteht im Zusammenspiel von Staat, Wirtschaft und Gesellschaft. Sie beginnt beim Vorstand, der Cybersecurity als strategische Aufgabe versteht, setzt sich fort bei Mitarbeitenden, die Risiken erkennen und vermeiden, und wird durch politische Rahmenbedingungen getragen, die nicht nur regulieren, sondern Resilienz ermöglichen.
Digitale Souveränität entsteht nicht durch Abschottung oder Verbote, sondern durch Kompetenz, Kooperation und Verantwortung.
Quellen:
https://www.deutschlandfunk.de/energiesenatorin-giffey-fordert-schutz-sensibler-daten-zur-infrastruktur-100.html
https://www.diepresse.com/20259453/europas-suche-nach-digitaler-souveraenitaet-in-der-cloud
https://reports.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2026.pdf
https://www3.weforum.org/docs/WEF_Global_Risks_Report_2023.pdf
