Digitale Souveränität beginnt am Endgerät – nicht in der Cloud

Der Begriff „digitale Souveränität“ wird in der öffentlichen Diskussion meist mit der Cloud gleichgesetzt. Tatsächlich aber beginnt sie viel grundlegender: bei der Kontrolle über das eigene System – von der Software bis zur Hardware. Wer glaubt, durch europäische Cloud-Infrastruktur bereits unabhängig zu sein, übersieht ein entscheidendes Detail: Ohne autonome Kontrolle über Betriebssysteme, Geräte, Softwaredistributionen und Kommunikationskanäle bleibt jede Infrastruktur eine Fassade.

Technische Selbstbestimmung braucht kontrollierbare Systeme

Viele Unternehmen arbeiten derzeit an der Ablösung von Plattformen wie Microsoft 365 oder Google Workspace, um regulatorische Anforderungen zu erfüllen oder strategische Abhängigkeiten zu reduzieren. Doch selbst nach erfolgreicher Migration bleibt ein kritischer Bereich oft aussen vor: das Endgerät.

macOS erfordert eine Apple-ID für vollen Funktionsumfang, Windows 11 lässt sich kaum ohne Microsoft-Konto nutzen. Über ein Update lassen sich gezielt Funktionen sperren – etwa für bestimmte Regionen oder Nutzer:innengruppen. Auch mobile Betriebssysteme wie iOS oder Android sind eng mit den Cloud-Diensten ihrer Anbieter verknüpft.

Diese potenziellen „Kill-Switches“ bleiben meist unsichtbar – aber sie existieren. Und sie machen jede übergeordnete IT-Infrastruktur abhängig, wenn das zugrunde liegende Gerät extern steuerbar ist.

Kommunikations- und Netzwerktechnik: unterschätzte Abhängigkeiten

Doch digitale Souveränität endet nicht am Gerät. Auch die Kommunikations- und Netzwerkschicht ist oft fremdgesteuert. Der kurzfristige Ausfall von Microsoft Teams oder Zoom hätte für viele Organisationen direkte operative Folgen. Nur wenige Unternehmen verfügen über selbst gehostete, unabhängige Kommunikationskanäle.

Ebenso kritisch: Netzwerkkomponenten vieler Hersteller wie Ubiquiti oder TP-Link lassen sich ausschliesslich über Cloud-Portale konfigurieren. Wird dieser Zugang blockiert – durch geopolitische Spannungen oder Anbieterentscheidungen – sind diese Systeme nicht mehr administrierbar. Auch Enterprise-Komponenten wie Cisco Meraki oder Fortinet arbeiten zunehmend cloudzentriert, oft ohne lokalen Fallback. Die Hardware ist vorhanden – aber funktionslos ohne externen Zugriff.

Was echte digitale Souveränität ausmacht

Digitale Souveränität erfordert mehr als regionales Hosting. Entscheidend ist die vollständige Kontrolle über alle technischen Ebenen – von der Hardware bis zur Anwendung. Drei Komponenten sind dabei besonders relevant:

• Betriebssysteme, die sich nicht aus der Ferne einschränken oder abschalten lassen
• Geräte, die ohne verpflichtende Cloud-Registrierung vollständig administrierbar bleiben
• Kommunikationssysteme, die unabhängig von externen Plattformen betrieben werden können

Technisch ist das umsetzbar – mit Linux-basierten Systemen, alternativen Android-Distributionen, Open-Source-Kommunikationslösungen wie Matrix oder Jitsi sowie Netzwerktechnik mit lokalem Konfigurationszugriff. Entscheidend ist dabei nicht der vollständige Verzicht auf etablierte Lösungen, sondern eine Architektur, die im Fall externer Ausfälle oder Einschränkungen funktionsfähig bleibt – inklusive Firmware, Boot-Mechanismen und Plattformdiensten.

Technische Handlungsfähigkeit ist der zentrale Massstab – und die Voraussetzung dafür, dass formale Compliance überhaupt wirksam greifen kann. Genau hier liegt das Problem vieler aktueller Regulierungsansätze.

Formale Compliance vs. reale Kontrolle

Verordnungen wie die Datenschutz-Grundverordnung (DSGVO), die NIS2-Richtlinie oder der Digital Operational Resilience Act (DORA) fordern klare Standards: Transparenz, Zugriffsschutz, Nachvollziehbarkeit. Auch das revidierte Datenschutzgesetz (revDSG) in der Schweiz und das spanische LOPDGDD zielen in dieselbe Richtung.

Doch in der Praxis bleiben diese Anforderungen fragil, solange zentrale Komponenten – etwa Clients, Betriebssysteme oder Kommunikationskanäle – technisch durch Anbieter ausserhalb Europas kontrollierbar sind.

Ein Bericht des AI Now Institute („EuroStack“) zeigt: Über 80 % der digitalen Infrastruktur in Europa basiert auf nicht-europäischen Technologien – mit massiven Abhängigkeiten gegenüber US-amerikanischen Systemen. Bitkom ergänzt: 76 % der deutschen Unternehmen setzen auf nicht-europäische IT-Kernkomponenten – trotz lokaler Rechenzentren.

Rein geografische Hostinglösungen reichen nicht aus. Souverän ist nur, wer auch technisch unabhängig agieren kann.

Architekturberatung für resiliente IT-Strukturen

CONVOTIS unterstützt Unternehmen dabei, digitale Souveränität als strategische Architekturfrage zu begreifen – und konsequent umzusetzen. Mit modularen Plattformen, offenen Schnittstellen, plattformunabhängigen Kommunikationssystemen und technischer Eigenverantwortung schaffen wir IT-Umgebungen, die auch bei geopolitischen Spannungen, Sanktionen oder Lieferengpässen funktionsfähig bleiben.

Unsere Expert:innen verbinden regulatorisches Know-how mit technischer Umsetzungserfahrung – in Projekten für Behörden, Industrie, Gesundheitswesen und kritische Infrastrukturen.

Sie möchten Abhängigkeiten systematisch reduzieren? Wir zeigen Ihnen, wie Sie Betriebssysteme, Geräte, Netzwerktechnik und Kommunikationskanäle wieder unter eigene Kontrolle bringen – für eine zukunftssichere, souveräne IT-Infrastruktur.