Hürth, eine Carrera-Bahn und Fragen, die wirklich zählen
Letzte Woche waren wir mit weSystems als Sponsor und Aussteller beim TechRiders Festival in Hürth. Zwei Tage, strahlender Sonnenschein, eine aufgebaute Carrera-Bahn, ein Team in Motorsport-Poloshirts und Gespräche, die uns noch lange beschäftigen werden.
Nicht weil wir die schnellsten Autos hatten. Sondern weil die Menschen, die an unserem Stand stehenblieben, genau die richtigen Fragen gestellt haben. Fragen, die man in einem Verkaufsgespräch selten hört, die aber eigentlich jedes Unternehmen beschäftigen sollten, das heute über seine IT-Zukunft nachdenkt.
Eine davon kehrt immer wieder: „Wie souverän sind wir eigentlich wirklich, wenn wir unsere Infrastruktur in die Cloud verlagern?“
Es ist die ehrlichste Frage, die man stellen kann. Und sie verdient eine ehrliche Antwort.
Was "digitale Souveränität" wirklich bedeutet
Der Begriff ist in aller Munde. Digitale Souveränität. Datensouveränität. Technologische Unabhängigkeit. Jeder Anbieter, jede Unternehmensberatung, jede Behörde verwendet ihn und meint dabei etwas leicht anderes.
Im Kern geht es um eine einzige Frage: Wer hat die Kontrolle über meine Daten, meine Prozesse und meine Infrastruktur und wer könnte sie theoretisch an sich reißen?
Digitale Souveränität bedeutet nicht, dass man keine Cloud nutzt. Sie bedeutet, dass man bewusst entscheidet, welche Daten wo liegen, unter welchem Rechtsrahmen, mit welchem Zugriffsschutz und ob man diese Entscheidung jederzeit revidieren kann. Das klingt selbstverständlich. Ist es aber nicht. Denn in der Praxis verlieren viele Unternehmen genau diese Kontrolle, nicht durch einen Angriff, sondern durch unbewusste Entscheidungen bei der Wahl ihrer IT-Partner.
„Unsere Server stehen in Frankfurt."
Ein Satz, der trügt.
Wir hören diesen Satz regelmäßig. Und wir hören ihn besonders oft von Software-Unternehmen, die ihren Kunden gegenüber Souveränität signalisieren wollen. Auf Nachfrage stellt sich heraus, dass die Anwendung auf AWS läuft. Der Standort Frankfurt ist real. Der rechtliche Rahmen dahinter ist es nicht mehr.
Das ist kein Zufall. Es ist eine bewusste Kommunikationsstrategie. Man spricht über den Standort, weil der Standort greifbar ist und Vertrauen schafft. Über den Anbieter darunter spricht man lieber nicht, weil der die eigentlich entscheidende Frage aufwirft.
Denn der Standort eines Rechenzentrums ist für den CLOUD Act vollständig irrelevant. Der Clarifying Lawful Overseas Use of Data Act, ein US-amerikanisches Gesetz aus dem Jahr 2018, erlaubt US-Behörden, von amerikanischen Unternehmen die Herausgabe von Daten zu verlangen, unabhängig davon, wo diese Daten physisch gespeichert sind. AWS ist ein amerikanisches Unternehmen. Microsoft ist ein amerikanisches Unternehmen. Google ist ein amerikanisches Unternehmen. Ihre Rechenzentren können in Frankfurt, Amsterdam oder Dublin stehen, der rechtliche Zugriff folgt nicht der Geografie, sondern der Unternehmenszugehörigkeit.
Das ist keine Verschwörungstheorie. Das ist geltendes Recht. Und wer diesen Unterschied nicht kennt oder nicht kommuniziert, handelt bestenfalls fahrlässig, schlimmstenfalls irreführend.
Vollständige Souveränität ist eine Illusion. Bewusste Souveränität ist ein Ziel.
Viele Anbieter sprechen das nicht aus, aber vollständige digitale Souveränität ist für global aufgestellte Unternehmen schlicht nicht erreichbar. Wer internationale Standorte betreibt, globale SaaS-Lösungen einsetzt oder mit Partnern auf verschiedenen Kontinenten zusammenarbeitet, wird früher oder später auf Infrastruktur treffen, die nicht ausschließlich europäischem Recht unterliegt. Das ist kein Versagen. Das ist die Realität globaler Geschäftsmodelle.
Die sinnvollere Frage lautet also nicht, wie man 100 % digitale Souveränität erreicht. Sinnvoller ist es zu fragen, welche Daten und Prozesse besonders schützenswert sind und wie man sicherstellt, dass genau diese unter maximaler Kontrolle bleiben.
Das erfordert keine Ideologie. Es erfordert Klarheit. Und es beginnt mit einem Schritt, den erschreckend viele Unternehmen überspringen: der konsequenten Klassifizierung der eigenen Daten und Workloads, lange bevor über konkrete Infrastruktur gesprochen wird. Nicht jede Anwendung, nicht jede Datenbank, nicht jedes System hat dasselbe Schutzniveau verdient. Finanzdaten, personenbezogene Informationen und Geschäftsgeheimnisse stellen andere Anforderungen als Marketinginhalte oder öffentliche Dokumentationen. Wer das nicht unterscheidet, trifft keine bewussten Entscheidungen, sondern delegiert sie an seinen Infrastrukturanbieter, ohne es zu merken.
Was jenseits des Serverstandorts wirklich zählt
Wenn der Standort eines Rechenzentrums allein nicht ausreicht, was zählt dann? Die Antwort liegt in drei Fragen, die man jedem Anbieter stellen sollte, bevor man eine Entscheidung trifft.
Erstens sollte man wissen, unter welchem Recht der Anbieter operiert. Nicht das Rechenzentrum, nicht der Vertrieb, nicht die lokale Tochtergesellschaft, sondern das Mutterunternehmen, das am Ende die Infrastruktur kontrolliert. Ist es einem Rechtsrahmen unterworfen, der Zugriffe durch Dritte ermöglicht, die man selbst nicht kontrollieren kann?
Zweitens sollte man verstehen, wer technischen Zugriff auf die eigenen Systeme hat, unter welchen Bedingungen und mit welcher Protokollierung. Zertifizierungen wie BSI IT-Grundschutz, ISO 27001 oder der BSI C5-Katalog sind an dieser Stelle kein Marketingbeiwerk, sondern Belege dafür, dass ein Anbieter Prozesse und Kontrollen etabliert hat, die einer externen Prüfung standhalten.
Drittens lohnt es sich zu fragen, ob man jederzeit aussteigen kann. Vendor Lock-in ist eine der am häufigsten unterschätzten Bedrohungen für digitale Souveränität. Wer sich in proprietäre Formate und tief verwobene Abhängigkeiten manövriert hat, ist nicht mehr wirklich souverän in seiner Entscheidung, auch wenn die Daten technisch gesehen ihm gehören.
Pragmatismus statt Dogma
Es gibt keinen Zwang zur Entscheidung zwischen „alles Public Cloud“ und „alles On-Premise“. Hybride Infrastrukturansätze erlauben es, bewusst zu steuern, was wo liegt. Kritische Kernsysteme können in einer souveränen, zertifizierten deutschen Cloud-Infrastruktur betrieben werden. Skalierbare, weniger sensitive Workloads können auf etablierten Hyperscaler-Plattformen laufen, wenn man die damit verbundenen Konsequenzen kennt und akzeptiert.
Was es dafür braucht, ist kein bestimmtes Produkt. Es braucht einen Partner, der diese Komplexität nicht wegdiskutiert, sondern gemeinsam mit einem durchdenkt und dabei kein Interesse daran hat, alles auf eine einzige Plattform zu drücken.
Was wir bei weSystems täglich erleben
Wir bauen und betreiben IT-Infrastruktur für mittelständische und größere Unternehmen. Wir betreiben eine eigene deutsche Cloud in zertifizierten deutschen Rechenzentren. Wir sind kein Reseller, der Produkte weiterverkauft, und keine Beratung, die Konzepte schreibt und dann geht.
Was uns antreibt, ist die Überzeugung, dass Unternehmen eine IT verdienen, die funktioniert, zuverlässig, sicher und mit echten Ansprechpartnern, die Verantwortung übernehmen. Digitale Souveränität ist für uns kein Verkaufsargument. Es ist eine Haltung. Die Haltung, unseren Kunden keine Versprechen zu machen, die wir nicht halten können, und ihnen stattdessen zu helfen, die richtigen Fragen zu stellen, bevor sie Entscheidungen treffen, die sie später bereuen.
Denn am Ende ist es wie beim Motorsport. Die beste Crew ist nicht die lauteste. Sie ist die, die dafür sorgt, dass der Fahrer sich voll auf die Strecke konzentrieren kann, weil er weiß, dass alles andere in guten Händen ist.
Souveränität ist keine Produkteigenschaft. Sie ist eine Entscheidung.
Digitale Souveränität lässt sich nicht kaufen. Sie entsteht durch bewusste Entscheidungen darüber, welche Daten wo liegen, mit wem man zusammenarbeitet und welchen Rechtsrahmen man akzeptiert. Sie hat Grenzen, besonders dann, wenn Unternehmen global operieren. Diese Grenzen ehrlich zu benennen ist keine Schwäche. Es ist die Voraussetzung für eine Infrastrukturstrategie, die in der Realität funktioniert.
Wer diese Fragen noch nicht strukturiert gestellt hat, sollte damit anfangen. Am besten mit einem Partner, der sie nicht wegmoderiert, sondern gemeinsam mit einem durchdenkt.
Ihr habt Fragen zu eurer Cloud-Strategie oder eurer IT-Infrastruktur oder wollt einfach wissen, was eine eigene deutsche Cloud für euer Unternehmen bedeuten würde? Sprecht uns an. Wir hören zu, ohne Ticketsystem und Warteschleife.
