Digitale Souveränität
Unabhängiger von einzelnen Anbietenden werden und die eigene Resilienz gezielt stärken.
Von: Manuel Atug
Ob Behörde, Krankenhaus oder mittelständisches Unternehmen: Viele Organisationen merken erst dann, wie abhängig sie von einzelnen Softwareanbietenden geworden sind, wenn beispielsweise aufgrund teurer und alternativloser Abo-Modelle Preise massiv steigen, der IT-Support ausläuft oder ein lang genutzter Dienst abgekündigt oder eingestellt wird. Digitale Souveränität ist die Antwort auf genau diese Probleme. Sie beschreibt die Fähigkeit, selbstbestimmt über die eigene digitale Infrastruktur zu entscheiden. Doch wie lässt sich das konkret erreichen? Dieser Blogartikel zeigt die wichtigsten Hebel und warum ihr Zusammenspiel entscheidend ist.
Wettbewerb statt Monopol: Alternativen schaffen und nutzen
Wenn ein oder sehr wenige Anbietende einen Teil des Marktes dominieren, fehlt der Druck zur Innovation und den Nutzenden eine echte Auswahl. Wer aus Bequemlichkeit oder mangels Alternativen alles auf eine Karte setzt, zahlt am Ende deutlich höhere Preise und akzeptiert schlechtere Konditionen. Das ist kein Naturgesetz, sondern eine Folge passiver Beschaffungsentscheidungen.
Die Lösung liegt darin, sich dem bewusst zu werden und aktiv Alternativen aufzubauen. Wer diese nutzt, stärkt damit den erforderlichen und dadurch funktionierenden Wettbewerb. Ausschreibungen sollten daher so gestaltet werden, dass auch kleinere oder europäische Anbietende eine reale Chance haben. Langfristige Vollversorgungsverträge mit einem großen Konzern hingegen zementieren Abhängigkeiten, die sich später nur schwer auflösen lassen.
Freie und offene Standards: Das Fundament technologischer Unabhängigkeit
Proprietäre Datenformate, Verarbeitungslogiken in Geschäftsprozessen und Schnittstellen sind eine häufig unterschätzte Form der technischen Abhängigkeit, die in der mittelbaren Auswirkung zu hohen Kosten führt. Wer Daten nur in einem herstellerspezifischen Format speichert oder verarbeitet, ist gefangen und vollständig abhängig. Der Wechsel zu einem anderen System ist dadurch künstlich erschwert oder schlicht unmöglich, da die Umstellung sehr teuer wäre. Technologische Abhängigkeit entsteht dabei über lange Zeiträume oft still und leise, ohne dass jemand eine bewusste Entscheidung dafür trifft. Sie schleicht sich ein und war rückblickend dann „schon immer da“.
Freie und offene Standards – etwa OpenDocument, PDF/A oder offene API-Standards – stellen sicher, dass Daten und Prozesse für die Verarbeitung nicht an einen einzigen Anbietenden gebunden bleiben. Öffentliche Institutionen sollten offene Standards nicht nur bevorzugen, sondern in ihren Beschaffungsrichtlinien verbindlich verankern. Wer diesen Schritt versäumt, schafft Abhängigkeiten, die Jahre später sehr teuer werden können.
Interoperabilität: Systeme, die miteinander sprechen
Viele Softwareprodukte sind absichtlich so gebaut, dass sie schlecht oder kaum mit Konkurrenzprodukten zusammenarbeiten. Sie bieten zwar oftmals umfassende Importmöglichkeit an, aber kaum vollständige Exportoptionen. Dieses Prinzip wird auch als Lock-in-by-Design bezeichnet: Der Wechsel kostet so viel Aufwand, dass er praktisch nie stattfindet, selbst wenn andere Anbietende besser und günstiger wären. Die Nutzung wird dadurch dann gerne als „alternativlos“ bezeichnet und hingenommen.
Interoperabilität, also die Fähigkeit verschiedener Systeme, nahtlos zusammenzuarbeiten und Austauschfähig zu sein, muss daher als zentrale Anforderung in Beschaffungsentscheidungen einfließen. Diese sollte die Geschäftsleitung und Unternehmensführung als strategisches Ziel vorgeben und dem Einkauf als Aufgabenstellung mitgeben.
Offene APIs, dokumentierte Schnittstellen und standardisierte Datenformate sind die technische Grundlage dafür. In der Praxis lässt sich Interoperabilität am zuverlässigsten durch Open-Source-Software sicherstellen, weil deren Code offen einsehbar, anpassbar und flexibler betreibbar ist.
Open Source: Transparenz und Unabhängigkeit durch offenen Code
Bei proprietärer Software weiß man schlicht nicht, was im Inneren passiert: Welche Daten werden gesammelt? Welche Sicherheitslücken existieren? Wie funktioniert die Verarbeitungslogik genau? Wer den Quellcode nicht einsehen kann, muss blind vertrauen und ist somit abhängig. In sicherheitskritischen Bereichen ist das keine tragfähige Basis.
Open-Source-Software macht den Code öffentlich prüfbar und weiterbetreibbar. Das schafft Transparenz und ermöglicht das schnelle Auffinden sowie Schließen von Sicherheitslücken. Darüber hinaus ermöglicht es Organisationen, Software selbst weiterzuentwickeln oder anpassen zu lassen. Sie können diese sogar selbst betreiben oder von unterschiedlichen Dienstleistern betreiben lassen. Gleichzeitig ist Open Source oft der direkteste Weg, offene Standards in der Praxis umzusetzen: Wer den Code besitzt, ist nicht auf den Goodwill – bzw. die AGBs und das Geschäftsinteresse – eines Konzerns angewiesen. Für viele Organisationen ist Open Source damit kein ideologisches Statement, sondern eine pragmatische Entscheidung für mehr Kontrolle und Kostensouveränität.
Exit-Strategie: Den Ausstieg von Anfang an mitdenken
Die meisten IT-Verträge regeln sehr genau, wie man hineinkommt, aber kaum, wie man wieder herauskommt. Wenn ein Vertrag endet, sind Daten oft in proprietären Formaten gespeichert, Prozesse und Verarbeitungslogiken zu tief in ein System eingebaut und der Wechsel kostet schlicht mehr als der zukünftig teurer werdende Verbleib. So entsteht eine Abhängigkeit, die im initialen Vertrag zunächst unsichtbar war.
Bereits beim Vertragsabschluss sollten deshalb Exit-Klauseln bedacht und verhandelt werden: Verarbeitungslogik- und Datenportabilität in offenen Formaten, klare Übergangsfristen und definierte Leistungen für eine souveräne Migration gehören zum Standard guter IT-Verträge. Nur wer den Ausstieg von Anfang an plant, behält die echte Freiheit, auch tatsächlich wechseln zu können und damit einer potenziellen Kostenfalle durch den Lock-In Effekt zu entgehen.
Modularität: Austauschbarkeit als Designprinzip
Monolithische Systeme und Bundles – also Softwarelösungen, die alles in einem Paket oder Abo abdecken – sind bequem, aber auch gefährlich. Wer eine Komplettlösung einkauft oder mietet, hat kaum Spielraum, einzelne Teile zu ersetzen. Wächst die Abhängigkeit, schrumpft der Spielraum.
Modulare Architekturen setzen dagegen auf klar abgegrenzte Komponenten mit definierten Schnittstellen und Prozessabschnitten. Einzelne Module lassen sich so unabhängig voneinander ersetzen, aktualisieren oder durch bessere Lösungen austauschen; ganz ohne das Gesamtsystem zu gefährden. Das erhöht die Resilienz erheblich: Fällt eine Komponente aus, werden Anbietende unzuverlässig, wird der Preis massiv erhöht, bleibt der Rest stabil und bezahlbar. Modularität ist damit nicht nur eine technische Tugend, sondern eine strategische Notwendigkeit.
Kostensouveränität: Die Budgethoheit behalten
Cloud-Dienste und (Abo-)Lizenzmodelle werden häufig mit attraktiven Einstiegspreisen oder Bundles angeboten. Ist die Migration erfolgreich abgeschlossen und die Abhängigkeit aufgebaut, steigen die Preise kontinuierlich und Alternativen sind durch den Lock-In Effekt teuer oder technisch kaum realisierbar. Dieses Phänomen wird auch als Preiserhöhungsfalle bezeichnet und betrifft Organisationen jeder Größe.
Kostensouveränität bedeutet, die vollständige Kontrolle über die eigenen IT-Ausgaben zu behalten. Das gelingt durch transparente (Abo-)Lizenzmodelle, den Einsatz von freien und offenen Standards – idealerweise durch den Einsatz von Open-Source-Lösungen – ohne laufende Lizenzgebühren und durch regelmäßige Marktvergleiche. Wer mehrere Anbietende parallel nutzt oder zumindest als realistisch einsetzbare Option bereithält, behält die Verhandlungsmacht und damit auch die Budgethoheit. Kostensouveränität bildet somit die finanzielle Seite digitaler Souveränität.
Fazit
Digitale Souveränität ist kein Selbstzweck, sondern eine strategische Voraussetzung für Handlungsfähigkeit. Offene Standards, Interoperabilität, Open Source, modulare Architekturen, vertragliche Exit-Optionen, Wettbewerb und Kostenkontrolle: keiner dieser Hebel wirkt allein. Erst ihr Zusammenspiel schafft die Grundlage für echte Unabhängigkeit.
Die zentrale Erkenntnis ist simpel: Abhängigkeit entsteht nicht durch einen einzelnen großen Fehler, sondern durch viele kleine Entscheidungen über Jahre, die in die falsche Richtung weisen. Wer digitale Souveränität ernst nimmt, baut sie deshalb systematisch und schrittweise auf und gewinnt damit genau das, was in einer digitalisierten Welt entscheidend ist: die Freiheit, selbst zu entscheiden und die Kosten zu kontrollieren.
Quellen und Verweise
BSI – C3A: Souveränitätskriterien für Cloud-Dienste (April 2026): https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260427_C3A.html
Linux Magazin – BSI legt Kriterien für digitale Souveränität bei Cloud-Diensten vor: https://www.linux-magazin.de/news/bsi-legt-kriterien-fuer-digitale-souveraenitaet-bei-cloud-diensten-vor/
EU-Kommission – Open-Source-Strategie 2020–2023 (Originaldokument, PDF): https://commission.europa.eu/document/download/97e59978-42c0-4b4a-9406-8f1a86837530_de?filename=de_ec_open_source_strategy_2020-2023_0.pdf
Bitkom – Kompass IT-Standards & Interoperabilität: https://www.bitkom.org/Kompass-IT-Standards
OSBA – Positionspapier & Publikationen zur digitalen Souveränität: https://osb-alliance.de/news/publikationen
OSBA – 38 Maßnahmen für Open-Source-getriebene Digitalisierung (PDF): https://osb-alliance.de/wp-content/uploads/2024/06/2024-09-27_Forderungen_Bundestagswahl2025_LR.pdf
Bitkom – Leitfaden Cloud-Souveränität praktisch umsetzen (2026, enthält Exit-Szenarien, offene Standards, Modularität): https://www.bitkom.org/Bitkom/Publikationen/Cloud-Souveraenitaet-praktisch-umsetzen
Datensicherheit.de – Bitkom & BMDS: einheitliche Standards für Open-Source-Beschaffung (EVB-IT, März 2026): https://www.datensicherheit.de/open-source-software-vereinbarung-bmds-bitkom-einheitlich-standards-beschaffung
Schweizer Bundesrat – Leitlinien für digitale Souveränität in der Bundesverwaltung (Dezember 2025): https://www.news.admin.ch/de/newnsb/JxuzVHViGShum_f1h_WDu
Digitale Souveränität in der Praxis
Cloud, KI und Security krisensicher gestalten
Lerne, wie du Abhängigkeiten systematisch identifizierst, Risiken bewertest und mit konkreten Strategien deine digitale Souveränität zurückgewinnst. Die Aufzeichnung des Classrooms steht dir im Professional Pass neben vielen weiteren zur Verfügung.
Über den Autor: Manuel „HonkHase“ Atug
Manuel „HonkHase“ Atug befasst sich beruflich und privat seit weit über 23 Jahren mit Themen, wie Digitale Souveränität, Kritische Infrastrukturen, Cyberresilienz, defensive Cybersicherheitsstrategien, digitaler Katastrophenschutz und vielem mehr. Im Netz ist er als @HonkHase aktiv. Er ist Experte der European Research Executive Agency (EU REA) und wird regelmäßig für die Bundesregierung und die Bundesländer als Sachverständiger in Fragen der Cybersicherheit und dem Katastrophenschutz berufen.