Echte Wahlfreiheit schlägt digitale Isolation
Gastbeitrag
Digitale Souveränität ist kein wirklich neues Thema für die IT-Welt, die strategische Bedeutung hat sich in den letzten Jahren allerdings drastisch gesteigert. Treiber sind einerseits die zunehmende Konzentration zentraler IT-Services bei wenigen globalen Plattformen, andererseits steigende regulatorische Vorgaben, die stärker auf Datenhoheit und Kontrollierbarkeit abzielen. Doch muss es immer «Pure Swiss» sein? Vor diesem Hintergrund gewinnt auch die Frage an Bedeutung, wie sich Kontrolle in bereits hochgradig vernetzten Architekturen tatsächlich herstellen lässt, ohne Innovationsfähigkeit und Geschwindigkeit zu verlieren. Ein Blick in die Praxis zeigt dabei schnell die grosse Kluft zwischen theoretischen Best Practices und der operativen Realität, schliesslich sind die Lösungen der Hyperscaler nicht ohne Grund über den gesamten Erdball im Einsatz. Besonders die Rolle grosser Cloud-Plattformen verdeutlicht, dass entsprechende Anbieter nicht ohne Weiteres aus modernen IT-Landschaften wegzudenken sind. Ihre Innovationsgeschwindigkeit, Skalierbarkeit und die Breite ihrer Ökosysteme lassen sich nicht einfach ersetzen. Die gute Nachricht dabei ist, dass dieser Schritt in voller Konsequenz auch nicht dringend notwendig ist. In vielen Unternehmen sind entsprechende Systeme, Prozesse und Kompetenzen so tief integriert, dass ein radikaler Schnitt hohe Kosten verursachen und neue operative Risiken schaffen würde. Die Frage lautet, wie sie ihre Abhängigkeit von Hyperscalern gezielt gestalten.
Selektion statt Totalstrategie
Nicht alle Daten und Workflows erfordern das gleiche Mass an Kontrolle. Die Anforderungen an Souveränität konzentrieren sich in vielen Unternehmen auf einen klar abgegrenzten Teil der IT-Landschaft. Dazu zählen sensible Daten, geschäftskritische Prozesse oder Szenarien, in denen Ausfallsicherheit eine zentrale Rolle spielt. Entscheidend ist dabei die Erkenntnis, dass eine pauschale Strategie selten zielführend ist. Nachhaltig souveräne und operativ sinnvolle Ansätze gehen daher andere Wege, indem sie bestehende Cloud-Strategien nicht einfach ersetzen, sondern sie gezielt ergänzen und gegebenenfalls neu justieren. Dabei können Unternehmen die wirklich kritischen Komponenten identifizieren und in Umgebungen betreiben, die strengeren Anforderungen an Datenhoheit, Betrieb und regulatorische Kontrolle genügen – etwa direkt in der Schweiz oder Europa. Für weniger kritische Anwendungen können so die Vorteile globaler Plattformen erhalten bleiben und historisch gewachsene Architekturen müssen nicht unter erheblichem finanziellen und risikobehaftetem Aufwand von Grund auf neu gestaltet werden. Dieser selektive Ansatz reduziert Risiken dort, wo sie tatsächlich entstehen, ohne die Innovationsfähigkeit und Geschwindigkeit insgesamt zu beeinträchtigen.
Souveräne Cloud und KI im praktischen Einsatz
- Daten gezielt klassifizieren: Nicht alle Daten haben denselben Schutzbedarf. Entscheidend ist, welche Informationen kritisch sind und deshalb in klar definierten, kontrollierbaren Umgebungen verarbeitet werden müssen.
- Transparenz über Datenflüsse und Zugriff sicherstellen: Souveränität bedeutet auch Nachvollziehbarkeit. Unternehmen sollten jederzeit sehen können, wer auf welche Systeme zugreift, wo Daten verarbeitet werden und unter welchen regulatorischen Rahmenbedingungen das geschieht.
- KI nach Speicher- und Verarbeitungsort wählen: Bei KI-Anwendungen ist nicht allein die Datenablage entscheidend, sondern vor allem die Verarbeitung. Kritische Work-loads sollten bewusst in Umgebungen betrieben werden, in denen Datenflüsse kontrolliert und geografisch sowie rechtlich eingegrenzt sind.
- Betriebsmodelle und Serviceketten aktiv mitdenken Souveränität endet nicht beim Rechenzentrum, ebenso wichtig sind lokale Betriebsverantwortung, Wartungskonzepte und Serviceverträge, die echte Kontrolle im laufenden Betrieb sicherstellen.
- Souveränität als abgestuftes Modell verstehen, nicht als Absolutheit Moderne Ansätze, etwa staatliche Cloud-Modelle mit Sicherheitsstufen, zeigen: Es geht nicht um vollständige Isolation, sondern um differenzierte Entscheidungen je nach Schutzbedarf und Anwendungskritikalität.
Souveräne Cloud und KI in der praxis
Souveräne Cloud-Ansätze zielen darauf ab, besonders schützenswerte Daten in klar definierten rechtlichen und operativen Rahmen zu verlagern. Dazu gehören lokale Datenhaltung, transparente Software-Stacks und Betriebsmodelle, die eine Kontrolle über Zugriff, Wartung und Weiterentwicklung ermöglichen. Entscheidend ist, dass Unternehmen jederzeit nachvollziehen können, wer Zugriff auf ihre Systeme hat und unter welchen regulatorischen Bedingungen diese betrieben werden. Noch deutlicher wird die Herausforderung bei KI-Anwendungen. Hier entscheidet vor allem der Ort, wo und wie Daten verarbeitet werden. Souveräne KI bedeutet daher auch, Datenflüsse bewusst zu steuern und kritische Anwendungen in Umgebungen zu betreiben, die klare rechtliche und technische Rahmenbedingungen bieten. Konkret: Physisch müssen entsprechende Lösungen in einem Schweizer Rechenzentrum beheimatet, betrieben und gewartet sein. Besonders in kritischen Bereichen kann dies der Unterschied sein zwischen formaler Compliance und tatsächlicher Kontrolle. Auch lokale Serviceverträge sind hier entscheidend. Diesen Ansatz verfolgen auch die Schweizer Bundesbehörden mit ihrer Idee der Swiss Government Cloud. Da geht es darum, unterschiedliche Betriebsmodelle zu wählen – je nach Schutzbedarf. Die Wahlfreiheit und eine möglichst hohe Flexibilität ist für Schweizer Unternehmen essenziell, weil sie sich in einem vernetzten internationalen Umfeld bewegen und einen hohen Anspruch an Eigenständigkeit und Kontrolle beanspruchen. Diese Kombination spricht gegen einfache Antworten und für einen differenzierten Umgang mit dem Thema. Digitale Souveränität entsteht nicht durch Unabhängigkeit oder Isolation, sondern durch bewusste Entscheidungen. Unternehmen, die ihre kritischen Daten und Prozesse identifizieren und absichern, gewinnen Kontrolle, ohne auf den Zugang zu den besten verfügbaren Technologien zu verzichten. Souveränität ist weniger ein Zustand als eine kontinuierliche Managementaufgabe.
Der Autor
Thomas Geiger ist Senior Director Strategic Advisory & Business Development Schweiz bei NTT DATA.