Unternehmerische Verantwortung endet nicht bei Lieferketten und CO2-Bilanzen. Wer gegenüber Stakeholdern Rechenschaft ablegt – ob im Rahmen der CSRD, gegenüber Investoren oder der eigenen Belegschaft –, muss auch wissen, wie resilient die eigene digitale Infrastruktur ist. Auf welche Daten müssen Unternehmen jederzeit zugreifen können, selbst wenn Systeme ausfallen, Anbieter nicht erreichbar sind oder politische Rahmenbedingungen plötzlich kippen? Genau diese Frage rückt aktuell stärker in den Fokus. Dabei machen Abhängigkeiten von internationalen Hyperscalern eines deutlich: Datensicherheit endet nicht bei technischen Fragestellungen. Sie sollte Teil des unternehmerischen Risikomanagements werden. Wer nicht weiß, wo Daten liegen, wer Zugriff darauf hat und welche Alternativen sinnvoll sind, verpasst es, in Krisen handlungsfähig zu bleiben.
Abhängig, aber nicht machtlos
Aber wie brisant ist die Lage wirklich? Wie abhängig ist unsere Wirtschaft? Diese Frage hat sich der Bitkom im Paper „Digitale Souveränität“ gestellt. Das Ergebnis: 96 Prozent der deutschen Unternehmen sind auf digitale Technologien und Leistungen aus dem Ausland angewiesen. Das liegt vor allem daran, dass Verantwortliche bei ihrer IT- und Datenstrategie lange auf eine Karte namens „Public Cloud“ gesetzt haben. Für die digitale Souveränität ist dies ein kritisches Unterfangen. Wo zentrale Daten, Anwendungen und Betriebsmodelle von wenigen internationalen Anbietern abhängen, entstehen strukturelle Risiken – technischer, wirtschaftlicher und geopolitischer Natur.
Digitale Souveränität dürfen Unternehmen aber auch nicht zu strikt verstehen. Schließlich geht es nicht um eine hundertprozentige Unabhängigkeit. Zentral ist es hingegen, Abhängigkeiten zu kennen, Alternativen – wo sinnvoll – einzubeziehen und Notfallpläne zu erarbeiten, um kritische Daten jederzeit verfügbar zu halten. Digital souverän ist, wer die Zugriffe auf geschäftskritische Daten kennt, die Kontrolle über Betriebsmodelle behält und Transparenz sicherstellt. Am Ende ist es wichtig, ein resilientes, innovatives und zukunftsfähiges digitales Ökosystem zu haben.
Pragmatismus beim Risikomanagement
Der Weg dorthin führt über ein klares Verständnis davon, was wirklich nötig ist. Dazu sollten sich Unternehmen von der Vorstellung lösen, dass sie vollständig auf eigenen IT-Infrastruktur-Beinen stehen müssen. Das wäre teuer, komplex und organisatorisch eine Mammutaufgabe, die gerade für den Mittelstand kaum umsetzbar wäre. Hier fehlt es meist an IT-Fachkräften oder freien Ressourcen. Außerdem bildet das Budget eine natürliche Grenze. Stattdessen braucht es eine ordentliche Prise Pragmatismus.
Dieser Ansatzpunkt fragt nicht „Können wir alles absichern?“. Er lenkt den Fokus auf das Wesentliche: Was müssen wir absichern, damit das Unternehmen handlungsfähig bleibt? Bevor sich Teams mit einer Strategie auseinandersetzen, sollten sie also den Istzustand in den Mittelpunkt rücken und Risikoklassen bilden: Welche Daten sind unternehmenskritisch? Welche Systeme müssen im Krisenfall weiterlaufen? Der Leitsatz, der hier gelten muss: Eine maximale Spiegelung ist nicht gefragt, sondern ausreichende Handlungsfähigkeit.
Risikosteuerung dank souveräner Anbieter
Das heißt, dass sich Unternehmen nicht vollständig von einer Lösung, beispielsweise der Public Coud, distanzieren müssen. Wichtig ist vielmehr, bei jedem Modell den Anbieter selbst unter die Lupe zu nehmen. Und zwar nicht nur hinsichtlich technischer Gesichtspunkte. Sie müssen Kunden eine souveräne Arbeitsweise ermöglichen. Dazu zählen Transparenz über Betriebsmodelle, Offenheit bei Schnittstellen und Exit-Szenarien, nachvollziehbare Datenflüsse, klare Verantwortlichkeiten, Beratung zu Risikoklassen, Kostenkontrolle, Unterstützung bei hybriden und dezentralen Strukturen sowie die Vermeidung zusätzlicher Lock-ins durch proprietäre Abhängigkeiten.
Ein Anbieter stärkt digitale Souveränität also nicht dadurch, dass er vollständige Unabhängigkeit verspricht. Entscheidend ist, ob er Abhängigkeiten reduziert, Alternativen ermöglicht und Unternehmen bei der Priorisierung ihrer Daten und Systeme begleitet. IT-Dienstleister wie q.beyond, die ein breites Leistungsportfolio anbieten, jederzeit für Transparenz sorgen und nicht nur bei der Implementierung, sondern an erster Stelle auch bei der strategischen Vorarbeit unterstützen können, unterstützen hierbei gezielt. Denn durch diese enge Zusammenarbeit lässt sich das Risikomanagement von Beginn an aktiv steuern.
Dezentrale Struktur als Trumpf
Gerade bei der Vorarbeit zeigt sich, ob digitale Souveränität lediglich Schlagwort bleibt oder fest in einer praktikablen Strategie verankert wurde. Denn entscheidend ist nicht, alle Informationen überall vollständig vorzuhalten. Entscheidend ist, geschäftskritische Daten so zu verteilen, dass Unternehmen auch dann handlungsfähig bleiben, wenn etwas Unerwartetes eintritt.
Dezentrale Strukturen schaffen dafür ein wichtiges Sicherheitsnetz. Sie verhindern, dass Organisationen zu stark an einen Standort, einen Provider oder ein Betriebsmodell gebunden sind. Gleichzeitig ermöglichen sie es, Daten je nach Risikoklasse unterschiedlich zu behandeln. Das kann verschiedene Formen annehmen: zusätzliche Backup-Standorte, alternative Betriebsumgebungen, getrennte Notfallkommunikation, hybride Cloud-Modelle oder Colocation. Dabei ist es weniger relevant, möglichst viele Kopien zu erzeugen, sondern die richtige Verteilung nach Kritikalität. Colocation kann dabei ein sinnvoller Baustein sein, wenn Unternehmen besonders relevante Systeme kontrolliert und professionell betrieben absichern möchten, ohne ein eigenes Rechenzentrum aufzubauen.
Strategischer Fokus: Handlungsfähigkeit
Digitale Souveränität, Resilienz, Business Continuity – welchen Begriff man auch wählt, sie alle verfolgen ein ähnliches Ziel: Unternehmen sollen die Fähigkeit behalten, sich jederzeit flexibel anpassen zu können. Denn nur wer agiert, statt zu reagieren, bleibt wettbewerbsfähig und somit wirtschaftlich erfolgreich – auch in unsicheren Zeiten.
Risikomanagement ist dabei keine Rückversicherung für den Ernstfall, sondern Ausdruck einer Haltung. Unternehmen, die ihre digitalen Abhängigkeiten kennen, bewusst steuern und transparent kommunizieren, handeln nicht nur klug, sondern verantwortungsvoll. In einer Zeit, in der Stakeholder zu Recht fragen, wie belastbar Geschäftsmodelle wirklich sind, wird digitale Souveränität zum Gradmesser unternehmerischer Glaubwürdigkeit.
Fünf (+1) Bausteine für kontrollierte Handlungsfähigkeit
- Transparenz
- Geschäftskritische Daten, Anwendungen und Kommunikationswege sind identifiziert und dokumentiert.
- Abhängigkeiten von Anbietern, Regionen, Betriebsmodellen und Unterauftragnehmer sind bekannt.
- Risikoklassifizierung
- Daten und Systeme sind nach ihrer geschäftlichen Relevanz und Sensibilität klassifiziert.
- Ausfallszenarien und mögliche Auswirkungen auf Betrieb, Kunden, Umsatz und Compliance sind bewertet.
- Pragmatismus
- Schutzmaßnahmen, Backups und Wiederherstellungszeiten orientieren sich am tatsächlichen Risiko.
- Kosten, Komplexität und Nutzen der Maßnahmen stehen in einem sinnvollen Verhältnis.
- Dezentrale Strukturen
- Kritische Daten und Systeme verfügen über alternative Speicher- oder Betriebsorte.
- Cloud, Colocation, Backups und hybride Modelle werden je nach Risikoklasse sinnvoll kombiniert.
- Steuerbares Anbieterbeziehungen
- Anbieter schaffen Transparenz über Betriebsmodelle, Datenflüsse und Verantwortlichkeiten.
- Exit-Szenarien, offene Schnittstellen und neue Abhängigkeiten werden aktiv berücksichtigt.
- Mitgedacht: Nachhaltigkeit
Im Kontext der digitalen Souveränität rücken häufig Adjektive wie „sicher“ und „resilient“ in den Mittelpunkt. „Nachhaltig“ ist jedoch ebenso essenziell. Wer sich Gedanken über die IT-Infrastruktur macht, sollte daher auch Energie, Hardware, Kühlleistung und Fläche mitdenken. Gerade mit Blick auf Colocation-Rechenzentren sind Anbieter zu bevorzugen, die nachhaltig betriebene Rechenzentrumsleistungen zur Verfügung stellen. Nachhaltiges Risikomanagement bedeutet deshalb, Schutzbedarf und Ressourcenverbrauch in Einklang zu bringen.
Über den Autor

Christian Klinkerfuß ist Bereichsleiter Managed Services und seit über 25 Jahren bei der q.beyond AG für unterschiedlichste IT-Infrastruktur-Nutzungsmodelle verantwortlich. Sein Schwerpunkt liegt auf der strategischen Beratung zu souveränen Cloud-Architekturen, Colocation und hybriden IT-Lösungen. Er begleitet Unternehmen dabei, ihre digitale Infrastruktur resilient und zukunftsfähig aufzustellen.




