ISMS

Digitale Souveränität im Mittelstand: Mehr als ein politisches Schlagwort

10 Min. Lesezeit
TL;DR
  • Digitale Souveränität bedeutet, dass du jederzeit die Kontrolle über deine Daten, Prozesse und Infrastruktur behältst, unabhängig von einzelnen Anbietern, Ländern oder politischen Entscheidungen.
  • Für den Mittelstand ist das kein abstraktes Konzept: Wer von einem einzigen Cloud-Anbieter abhängt, riskiert Kontrollverlust bei Preiserhöhungen, Funktionsänderungen oder geopolitischen Verwerfungen.
  • Die EU treibt mit Gaia-X, dem Data Act und der European Cloud Initiative eine Infrastruktur voran, die europäischen Unternehmen mehr Unabhängigkeit von US-Hyperscalern ermöglichen soll.
  • Praktische Schritte sind: offene Standards und Formate wählen, europäische Anbieter bevorzugen, Self-Hosted-Lösungen evaluieren und Export-Fähigkeiten vor dem Kauf prüfen.
  • Ein ISMS ist der logische Startpunkt für digitale Souveränität, weil es erzwingt, über Datenflüsse, Abhängigkeiten und Risiken systematisch nachzudenken.

Was digitale Souveränität konkret bedeutet

Digitale Souveränität ist ein Begriff, der in politischen Diskussionen, auf EU-Gipfeln und in Strategiepapieren auftaucht. Und genau deshalb nehmen viele mittelständische Unternehmer das Thema nicht ernst. Klingt nach Brüssel, nicht nach dem eigenen Serverraum.

Aber wenn du den politischen Überbau wegschneidest, bleibt eine sehr praktische Frage: Hast du die Kontrolle über deine eigenen Daten und Systeme? Oder bist du in einer Situation, in der jemand anderes entscheiden kann, ob und wie du auf deine Daten zugreifst, was du dafür bezahlst und was mit deinen Daten passiert?

Digitale Souveränität lässt sich in drei Dimensionen aufteilen:

Datensouveränität: Du bestimmst, wo deine Daten liegen, wer darauf zugreift und unter welchem Rechtsrahmen sie verarbeitet werden. Du kannst deine Daten jederzeit exportieren und zu einem anderen Anbieter oder auf eigene Infrastruktur migrieren.

Technologische Souveränität: Du bist nicht von einer einzelnen Technologie, einem einzelnen Anbieter oder einem einzelnen Ökosystem abhängig. Du kannst Komponenten austauschen, ohne dass dein gesamter Betrieb stillsteht.

Operationelle Souveränität: Du kannst deine Geschäftsprozesse auch dann aufrechterhalten, wenn externe Dienste ausfallen, Verträge gekündigt werden oder sich politische Rahmenbedingungen ändern.

Für ein mittelständisches Unternehmen mit 100 bis 300 Mitarbeitern sind das keine Fragen aus der Vogelperspektive. Das sind Fragen, die sich im Alltag stellen.

Warum der Mittelstand besonders betroffen ist

Großkonzerne haben eigene Rechtsabteilungen, die Verträge mit Cloud-Anbietern verhandeln. Sie haben die Marktmacht, Sonderkonditionen und Zusicherungen zu fordern. Wenn Microsoft die Preise für Enterprise Agreements erhöht, setzt sich ein Verhandlungsteam zusammen und redet über Rabatte.

Ein mittelständisches Unternehmen hat diese Verhandlungsposition nicht. Es nimmt die Standardverträge, die Standardpreise und die Standardkonditionen. Und es akzeptiert die Änderungen, die der Anbieter einseitig vornimmt, weil die Alternative ein aufwändiger Anbieterwechsel wäre.

Preisabhängigkeit

Die Abhängigkeit von einem Cloud-Anbieter wird besonders deutlich, wenn die Preise steigen. Und sie steigen. Microsoft hat die Microsoft-365-Preise seit 2019 mehrfach erhöht. VMware wurde von Broadcom aufgekauft, und die Lizenzkosten sind für viele Kunden um den Faktor 3 bis 10 gestiegen. Atlassian hat die Server-Lizenzen für Jira und Confluence abgekündigt und alle Kunden in die Cloud migriert, zu deutlich höheren Kosten.

Für ein Unternehmen, das seine ISMS-Software als SaaS bezieht, bedeutet das: Der Anbieter kann jederzeit die Preise erhöhen. Du kannst zwar kündigen, aber nur, wenn du eine Alternative hast und deine Daten mitnehmen kannst. In der Praxis entsteht genau die Situation, die man als Vendor Lock-in bezeichnet.

Funktionsabhängigkeit

Cloud-Anbieter ändern ihre Produkte laufend. Features werden eingestellt, Benutzeroberflächen umgebaut, APIs verändert. Manche dieser Änderungen sind Verbesserungen. Andere sind es nicht, zumindest nicht aus deiner Perspektive. Wenn ein Feature, auf das dein Prozess aufbaut, ohne Vorwarnung wegfällt, hast du ein Problem, das du nicht verursacht hast und nicht kontrollieren kannst.

Rechtsabhängigkeit

Deine Daten liegen beim Cloud-Anbieter. Unter welchem Recht? Wenn der Anbieter seinen Sitz in den USA hat, unterliegen die Daten potenziell dem CLOUD Act, der US-Behörden unter bestimmten Umständen Zugriff auf Daten bei US-Unternehmen gewährt, auch wenn die Daten physisch in Europa liegen.

Für Unternehmen, die personenbezogene Daten nach DSGVO verarbeiten oder die Sicherheitsdokumentation mit vertraulichen Inhalten führen, ist das relevant. Nicht als Panikmache vor dem US-Geheimdienst, sondern als nüchterne Risikobetrachtung: Du hast einen Kontrollverlust über die rechtlichen Rahmenbedingungen, unter denen deine Daten verarbeitet werden.

Die EU-Strategie: Gaia-X, Data Act und European Cloud

Die Europäische Union hat erkannt, dass die Abhängigkeit europäischer Unternehmen von US-Technologiekonzernen ein strukturelles Problem ist. Die Antwort darauf besteht aus mehreren Initiativen:

Gaia-X

Gaia-X ist eine europäische Initiative für eine föderierte Dateninfrastruktur. Das Ziel: Ein Ökosystem von Cloud-Diensten, die europäischen Standards für Datenschutz, Transparenz und Interoperabilität entsprechen. Nicht eine europäische Cloud als Alternative zu AWS oder Azure, sondern ein Rahmenwerk, das sicherstellt, dass Cloud-Dienste bestimmte Souveränitätsanforderungen erfüllen.

In der Praxis hat Gaia-X bislang mehr Papier als Ergebnisse produziert. Aber das Rahmenwerk für Zertifizierungen und Vertrauensstufen (Trust Anchors) nimmt Form an. Für den Mittelstand wird Gaia-X relevant, wenn Cloud-Anbieter beginnen, sich nach diesen Standards zertifizieren zu lassen, ähnlich wie ISO 27001 heute ein Auswahlkriterium für Dienstleister ist.

Data Act

Der EU Data Act, seit September 2025 anwendbar, regelt unter anderem den Wechsel zwischen Cloud-Anbietern. Er verpflichtet Anbieter, den Export von Daten und den Wechsel zu anderen Diensten zu ermöglichen. Künstliche Wechselbarrieren sind verboten. Bis 2027 sollen auch die Gebühren für den Datentransfer bei einem Anbieterwechsel auf null sinken.

Das ist eine direkte Verbesserung der Datensouveränität für Unternehmen. Wer heute einen Cloud-Dienst nutzt und wechseln möchte, hat künftig einen gesetzlichen Anspruch darauf, seine Daten in einem standardisierten Format zu erhalten.

European Cloud Initiative und EUCS

Das European Cybersecurity Certification Scheme for Cloud Services (EUCS) definiert Sicherheitsstufen für Cloud-Dienste. Die Diskussion um eine "Souveränitätsstufe", die fordert, dass Daten ausschließlich in der EU verarbeitet werden und nur europäisches Personal Zugriff hat, ist politisch umstritten, aber sie zeigt die Richtung: Europa will Kriterien definieren, die es Unternehmen erleichtern, souveräne Cloud-Entscheidungen zu treffen.

Warum KMUs davon profitieren

Diese EU-Initiativen klingen nach Großkonzern-Themen. Aber der Mittelstand profitiert auf drei Ebenen:

1. Bessere Wechselmöglichkeiten

Durch den Data Act wird der Wechsel zwischen Cloud-Anbietern einfacher und günstiger. Das reduziert den Vendor Lock-in und stärkt deine Verhandlungsposition. Wenn du weißt, dass du jederzeit wechseln kannst, akzeptierst du keine ungerechtfertigten Preiserhöhungen mehr.

2. Klarere Auswahlkriterien

Wenn Cloud-Dienste nach EUCS zertifiziert sind, kannst du bei der Auswahl auf definierte Souveränitätsstufen achten, statt dich durch hundert Seiten Datenschutzerklärungen zu arbeiten. Das vereinfacht die Lieferantenbewertung.

3. Europäische Alternativen

Die politische Unterstützung für europäische Cloud-Anbieter und Open-Source-Lösungen wächst. Das bedeutet mehr Auswahl, mehr Wettbewerb und bessere Konditionen für den Mittelstand.

Praktische Schritte zur digitalen Souveränität

Digitale Souveränität ist kein Zustand, den du einmal erreichst und dann abhakst. Es ist eine Haltung, die sich in konkreten Entscheidungen niederschlägt. Diese Schritte kannst du sofort umsetzen:

Schritt 1: Abhängigkeiten inventarisieren

Erstelle eine Liste aller externen Dienste und Anbieter, von denen dein Unternehmen abhängt. Nicht nur die offensichtlichen wie Microsoft 365 oder AWS, sondern auch die kleinen: das Ticketsystem, das Passwort-Tool, den DNS-Anbieter, das ISMS-System.

Bewerte für jeden Dienst:

  • Wie kritisch ist er für den Geschäftsbetrieb?
  • Gibt es Alternativen, zu denen du innerhalb von 30 Tagen wechseln könntest?
  • Kannst du deine Daten jederzeit vollständig exportieren?
  • Unter welchem Rechtsrahmen werden deine Daten verarbeitet?
  • Was passiert, wenn der Anbieter den Dienst einstellt?

Diese Analyse offenbart in den meisten Unternehmen Überraschendes. Typischerweise gibt es drei bis fünf Dienste, bei denen ein Ausfall oder eine Kündigung den Geschäftsbetrieb massiv beeinträchtigen würde und für die es keine kurzfristige Alternative gibt. Das sind deine kritischen Abhängigkeiten.

Schritt 2: Offene Standards und Formate bevorzugen

Bei jeder neuen Softwareentscheidung solltest du offene Standards als Auswahlkriterium einbeziehen:

  • Offene Datenformate: JSON, CSV, XML statt proprietärer Formate. Daten, die du nicht exportieren kannst, gehören dir faktisch nicht.
  • Offene Schnittstellen: REST-APIs, Standard-Authentifizierung (SAML, OIDC) statt proprietärer Integrationen
  • Offene Dokumentformate: PDF/A, ODF statt Formate, die nur mit der Software des Herstellers lesbar sind
  • Offene Protokolle: IMAP statt proprietärer E-Mail-Systeme, CalDAV/CardDAV statt geschlossener Kalender-Ökosysteme

Das bedeutet nicht, dass du keine proprietäre Software nutzen darfst. Es bedeutet, dass du bei der Auswahl darauf achtest, dass du deine Daten jederzeit herausholen kannst.

Schritt 3: Europäische Anbieter evaluieren

Für viele Anwendungsfälle gibt es europäische Alternativen, die in puncto Funktionalität mit den US-Anbietern mithalten:

Bereich US-Anbieter Europäische Alternative
Cloud-Infrastruktur AWS, Azure, GCP Hetzner, OVH, IONOS, Scaleway
E-Mail und Groupware Google Workspace, M365 Open-Xchange, Mailbox.org, Tutanota
Filesharing Dropbox, Google Drive Nextcloud (Self-Hosted), Tresorit
Videokonferenz Zoom, Teams Jitsi (Self-Hosted), Wire
Passwort-Manager LastPass, 1Password Vaultwarden (Self-Hosted), Psono
ISMS-Software Diverse US-SaaS ISMS Lite (Self-Hosted, DE)

Europäische Anbieter zu bevorzugen ist kein Nationalismus, sondern Risikomanagement. Du reduzierst die Exposition gegenüber extraterritorialer Gesetzgebung und hast im Streitfall kürzere Wege zur Rechtsdurchsetzung.

Schritt 4: Self-Hosted-Lösungen für kritische Systeme

Nicht alles muss auf dem eigenen Server laufen. Aber für Systeme, die kritische oder vertrauliche Daten enthalten, ist Self-Hosting die konsequente Umsetzung von Datensouveränität:

  • ISMS: Enthält deine Schwachstellen, Risikobewertungen und Sicherheitslücken. In ISMS Lite laufen alle Daten auf deinem eigenen Server, in offenen Formaten, jederzeit exportierbar und ohne Internetabhängigkeit.
  • Passwort-Management: Ein Self-Hosted Vaultwarden speichert alle Unternehmenspasswörter auf deiner Infrastruktur
  • Filesharing: Nextcloud bietet Filesharing, Kalender und Zusammenarbeit ohne externe Abhängigkeit
  • Kommunikation: Element/Matrix für Chat, Jitsi für Videokonferenzen

Der Aufwand für Self-Hosting ist geringer, als die meisten denken. Ein moderner Linux-Server mit Docker braucht wenige Stunden für die Einrichtung und wenige Stunden pro Monat für die Wartung. Das ist eine Investition in Unabhängigkeit.

Schritt 5: Exit-Strategie für jeden Cloud-Dienst

Für jeden Cloud-Dienst, den du nutzt, sollte eine dokumentierte Exit-Strategie existieren. Nicht weil du vorhast zu wechseln, sondern weil du wechseln können musst:

  • Welche Daten müssen exportiert werden?
  • In welchem Format sind die Daten exportierbar?
  • Wie lange dauert der Export?
  • Welche Alternative steht bereit?
  • Wie lange dauert die Migration?
  • Wer ist verantwortlich?

Diese Exit-Strategien gehören in dein IT-Asset-Management und sollten jährlich überprüft werden.

Das ISMS als Startpunkt für digitale Souveränität

Warum ist ein ISMS der logische Einstiegspunkt für digitale Souveränität? Weil es genau die Denkprozesse erzwingt, die du für Souveränität brauchst.

Risikobewertung deckt Abhängigkeiten auf

Wenn du eine Risikobewertung für deine IT-Assets durchführst, identifizierst du automatisch kritische Abhängigkeiten. Das Risiko "Ausfall des Cloud-ISMS-Anbieters" oder "Preiserhöhung beim ERP-Anbieter" taucht auf, sobald du systematisch nach Bedrohungen und Schwachstellen suchst. Das ISMS zwingt dich, diese Risiken zu bewerten und zu behandeln.

Schutzbedarfsfeststellung zeigt, was kritisch ist

Die Schutzbedarfsfeststellung bewertet, welche Daten und Systeme besonders schutzbedürftig sind. Genau diese Systeme sind die Kandidaten für Self-Hosting oder europäische Anbieter. Du musst nicht alles selbst hosten, aber die Daten mit hohem Schutzbedarf sollten unter deiner maximalen Kontrolle stehen.

Lieferantenbewertung prüft Souveränität

Im Rahmen der ISO 27001 bewertest du deine Lieferanten und Dienstleister. Dabei prüfst du ohnehin Aspekte wie Datenstandort, Zertifizierungen, Vertragsklauseln und Ausstiegsoptionen. Wenn du diese Bewertung um Souveränitätskriterien erweiterst (Export-Fähigkeit, offene Standards, Rechtsrahmen), hast du eine systematische Grundlage für souveräne Beschaffungsentscheidungen.

Dokumentation schafft Transparenz

Ein ISMS dokumentiert deine IT-Landschaft, deine Datenflüsse und deine Abhängigkeiten. Diese Transparenz ist die Voraussetzung dafür, Souveränität überhaupt beurteilen zu können. Wer nicht weiß, wo seine Daten liegen und von welchen Anbietern er abhängt, kann keine informierte Entscheidung über Souveränität treffen.

Was passiert, wenn du nichts tust

Die Gegenposition zu aktiver Souveränität ist passives Vertrauen: Du verlässt dich darauf, dass dein Cloud-Anbieter fair bleibt, die Preise stabil hält, die Daten schützt und den Service nicht einstellt. Für die meisten Unternehmen geht das jahrelang gut. Bis es nicht mehr gut geht.

Ein konkretes Beispiel aus 2024: Broadcom übernahm VMware und änderte das gesamte Lizenzmodell. Unternehmen, die jahrelang VMware-Lizenzen für ihre Virtualisierung bezahlt hatten, sahen sich plötzlich mit Preiserhöhungen von 300 bis 1000 Prozent konfrontiert. Wer keine Alternative vorbereitet hatte, stand vor der Wahl: zahlen oder im laufenden Betrieb migrieren. Beides schmerzhaft, eines davon vermeidbar.

Ähnliche Szenarien gab es bei Atlassian (Abkündigung der Server-Lizenzen), bei Oracle (aggressive Lizenzaudits), bei Google (Abschaltung von Google Domains). Das Muster ist immer dasselbe: Ein Anbieter ändert die Spielregeln, und wer abhängig ist, hat keine Verhandlungsposition.

Für ein ISMS ist das Risiko besonders hoch, weil die Daten sensibel sind und eine Migration komplex. Wenn dein ISMS-Anbieter aufgekauft wird, die Preise verdoppelt oder den Service einstellt, brauchst du eine Alternative. Und die Alternative muss vorher existieren, nicht danach.

Häufige Einwände und ehrliche Antworten

"Europäische Anbieter sind weniger leistungsfähig"

In manchen Bereichen stimmt das. Kein europäischer Cloud-Anbieter hat die Breite und Tiefe von AWS. Aber für die meisten Mittelstandsanforderungen, und dazu gehören Hosting, E-Mail, Filesharing, Datenbanken und Anwendungsserver, reichen europäische Anbieter vollkommen aus. Die Frage ist nicht, ob du die gleiche Funktionalität bekommst, sondern ob du die Funktionalität bekommst, die du tatsächlich brauchst.

"Self-Hosting ist zu aufwändig"

Für ein Unternehmen mit einer IT-Abteilung ist Self-Hosting einzelner Anwendungen kein unverhältnismäßiger Aufwand. Nicht alles muss selbst gehostet werden, aber die kritischsten Systeme sollten es. Ein ISMS-Server, ein Passwort-Manager und ein Filesharing-System auf einem eigenen Server, dafür braucht ein erfahrener Admin einen Tag für die Einrichtung und wenige Stunden pro Monat für Updates.

"Unsere Kunden verlangen Cloud-Zertifizierungen"

Manche Kunden verlangen SOC 2 oder ISO-27001-zertifizierte Cloud-Dienste. Das ist ein valider Punkt für bestimmte kundenorientierte Systeme. Aber es gilt nicht für interne Systeme wie dein ISMS. Kein Kunde verlangt, dass dein internes Sicherheitsmanagement-System in einer SOC-2-zertifizierten Cloud läuft. Im Gegenteil: Manche Kunden bevorzugen es, wenn du deine Sicherheitsdaten unter eigener Kontrolle hast.

"Gaia-X hat nichts geliefert"

Stimmt, Gaia-X hat bisher mehr versprochen als geliefert. Aber digitale Souveränität hängt nicht an Gaia-X. Du kannst heute schon souveräne Entscheidungen treffen: europäische Anbieter wählen, offene Standards fordern, Self-Hosted-Lösungen evaluieren. Gaia-X ist eine von vielen Initiativen, und ob sie erfolgreich wird, ändert nichts an der Sinnhaftigkeit eigener Souveränitätsschritte.

Checkliste: Digitale Souveränität für den Mittelstand

Sofort umsetzbar

  • Abhängigkeitsinventar erstellen: Alle externen Dienste mit Kritikalität und Wechselkosten erfassen
  • Exit-Strategie für die drei kritischsten Cloud-Dienste dokumentieren
  • Bei der nächsten Softwarebeschaffung Export-Fähigkeit als Pflichtkriterium definieren
  • Prüfen, ob das aktuelle ISMS-System einen vollständigen Datenexport ermöglicht

Kurzfristig (3 Monate)

  • Schutzbedarfsfeststellung um Souveränitätskriterien erweitern
  • Lieferantenbewertung um Fragen zu Datenstandort, Rechtsrahmen und Export-Fähigkeit ergänzen
  • Für Systeme mit hohem Schutzbedarf Self-Hosted-Alternativen evaluieren
  • Europäische Alternativen für aktuelle US-Dienste identifizieren

Mittelfristig (12 Monate)

  • Kritischste Systeme auf eigene Infrastruktur oder europäische Anbieter migrieren
  • Offene Standards als verbindliches Beschaffungskriterium in der IT-Richtlinie verankern
  • Jährlichen Souveränitäts-Review in das Management Review integrieren
  • Mitarbeiter für das Thema sensibilisieren (warum wir bestimmte Tools nutzen und andere nicht)

Souveränität ist kein Projekt, sondern eine Haltung

Digitale Souveränität ist kein Zustand, den du erreichst und dann fertig bist. Es ist eine Haltung, die jede IT-Entscheidung beeinflusst. Jedes Mal, wenn du eine neue Software evaluierst, stellst du die Frage: Kann ich hier wieder raus? Jedes Mal, wenn du einen Vertrag unterschreibst, prüfst du: Unter welchem Recht liegen meine Daten? Jedes Mal, wenn du eine Architekturentscheidung triffst, fragst du: Entsteht hier eine Abhängigkeit, die ich nicht kontrollieren kann?

Das ist kein Misstrauen gegenüber Cloud-Anbietern. Das ist professionelles Risikomanagement. Und genau das ist es, was ein ISMS von dir verlangt: Risiken erkennen, bewerten und behandeln. Abhängigkeit von einem einzelnen Anbieter ist ein Risiko. Fehlende Export-Fähigkeit ist eine Schwachstelle. Unklare Datenverarbeitung in Drittstaaten ist eine Bedrohung. Das ISMS gibt dir das Werkzeug, diese Risiken systematisch zu managen, statt sie zu ignorieren, bis es zu spät ist.

Digitale Souveränität fängt nicht in Brüssel an. Sie fängt in deinem Serverraum an.

Weiterführende Artikel

ISMS Datensouveränität Digitale Souveränität Cloud Self-Hosted Open Source EU-Regulierung

Digitale Souveränität beginnt bei deinen eigenen Sicherheitsdaten

ISMS Lite läuft auf deinem Server, speichert Daten in offenen Formaten und ist jederzeit exportierbar. Keine Cloud-Abhängigkeit, keine Daten bei Dritten, keine Überraschungen.

Jetzt installieren