IT-Architektur auf Souveränität bewerten
Souveränität lässt sich nicht am Anbieterversprechen ablesen, sondern nur an der eigenen Architektur. Diese Seite zeigt, wie Sie Ihre IT strukturiert entlang der sechs Souveränitätsdimensionen prüfen, wo die typischen Schwachstellen liegen, und wie aus der Bewertung ein konkreter Maßnahmenplan wird.
Warum das Label in die Irre führt
Viele Angebote tragen das Wort souverän, erfüllen aber nur einen Teil davon. Für dieses Muster gibt es inzwischen einen Namen, Sovereignty Washing. Eine ehrliche Bewertung beginnt damit, dieses Muster zu erkennen und die eigene Architektur an prüfbaren Kriterien zu messen.
Woran Scheinsouveränität erkennbar wird
- Standort statt Kontrolle. Ein Rechenzentrum in der EU, aber Technologiebasis und Updates kommen von außerhalb.
- Jurisdiktion ignoriert. Der Anbieter unterliegt über den Mutterkonzern weiter dem US CLOUD Act oder FISA 702.
- Abkopplung ungetestet. Es gibt kein dokumentiertes Verfahren, das die Unabhängigkeit im Ernstfall belegt.
- Lieferkette im Dunkeln. Niemand kann sagen, welche Komponenten woher stammen.
Was eine echte Bewertung sichtbar macht
- Kontrolle statt Marketing. Geprüft wird, wer im Ernstfall über Betrieb und Daten entscheidet.
- Rechtslage benannt. Die tatsächliche Jurisdiktion und ihre Risiken werden dokumentiert.
- Abkoppelbarkeit belegt. Ein Disconnect-Test zeigt, ob der Betrieb ohne Nicht-EU-Plattform weiterläuft.
- Transparente Lieferkette. Eine Software Bill of Materials macht Komponenten nachvollziehbar.
Anbieterneutral, ohne Provision. Diese Bewertungslogik folgt öffentlichen BSI-Kriterien und dem EU-Rahmen, nicht den Interessen einzelner Anbieter. Sie hilft, selbst zu entscheiden.
Mehr zur NeutralitätSechs Dimensionen, sechs Leitfragen
Der BSI C3A gliedert Souveränität in sechs Dimensionen. Jede beantwortet eine konkrete Frage an die eigene Architektur. Zusammen ergeben sie ein vollständiges Bild, das weit über den Serverstandort hinausgeht.
Strategische Souveränität
Bleibt die Organisation grundsätzlich handlungsfähig und unabhängig von den Entscheidungen eines einzelnen Anbieters?
Rechtliche Souveränität
Welcher Jurisdiktion unterliegt der Anbieter, und können Gesetze außerhalb der EU den Betrieb oder den Zugriff beeinflussen?
Datensouveränität
Ist nachvollziehbar, wo Daten liegen und verarbeitet werden, und behalten wir die Kontrolle über unsere Schlüssel?
Operative Souveränität
Wer betreibt und administriert den Dienst, und läuft er nach einer Abkopplung von Plattformen außerhalb der EU weiter?
Lieferkettensouveränität
Ist transparent, welche Software- und Hardwarekomponenten im Dienst stecken und aus welchen Ländern sie stammen?
Technologische Souveränität
Kann der Dienst technisch unabhängig weiterentwickelt und betrieben werden, ohne externe Abhängigkeiten?
Nicht jede Dimension wiegt gleich schwer
Der EU-Rahmen gewichtet die Souveränitätsziele unterschiedlich. Diese Gewichtung ist ein guter Kompass für die eigene Bewertung, weil sie zeigt, wo der größte Hebel liegt. Die Lieferkette steht dabei an erster Stelle.
| Souveränitätsziel | Code | Gewicht | Worum es geht |
|---|---|---|---|
| Lieferkette | SOV-5 | 20 % | Transparenz über Komponenten und ihre Herkunft |
| Strategisch | SOV-1 | 15 % | Grundsätzliche Handlungsfähigkeit der Organisation |
| Operativ | SOV-4 | 15 % | Betrieb, administrativer Zugriff und Abkoppelbarkeit |
| Technologisch | SOV-6 | 15 % | Unabhängiger Weiterbetrieb und Weiterentwicklung |
| Rechtlich | SOV-2 | 10 % | Jurisdiktion und Zugriffsrechte außerhalb der EU |
| Daten | SOV-3 | 10 % | Speicherort, Datenflüsse und Schlüsselkontrolle |
| Sicherheit | SOV-7 | 10 % | Bereits über den C5 und den IT-Grundschutz abgedeckt |
| Nachhaltigkeit | SOV-8 | 5 % | Ökologische Nachhaltigkeit des Betriebs |
Wie große Organisationen ihre Architektur ausrichten
Reale Entscheidungen zeigen, wie Konzerne und öffentliche Träger ihre IT-Architektur bewerten und umbauen. Die Learnings lassen sich auf den Mittelstand übertragen, oft in kleinerem Maßstab, aber mit derselben Logik.
BASF, Learnings für CIOs
Was IT-Verantwortliche aus dem Architekturansatz eines Großkonzerns mitnehmen können, von der Governance bis zur Steuerung von Abhängigkeiten.
Beitrag lesenBASF, IT-Architektur im Großkonzern
Wie ein Konzern seine IT-Architektur im Rahmen der digitalen Transformation neu ordnet und welche Rolle Unabhängigkeit dabei spielt.
Beitrag lesenTechniker Krankenkasse, eigene Architektur
Warum eine große Krankenkasse bewusst auf eine eigene IT-Architektur setzt, und was das über Kontrolle und Souveränität aussagt.
Beitrag lesenMcKinsey-Leitfaden zur Architektur
Ein strukturierter Leitfaden für IT-Verantwortliche, wie sich eine Enterprise-Architektur planvoll bewerten und gestalten lässt.
Beitrag lesenDie Abkoppelbarkeit ist der ehrlichste Nachweis
Von allen Kriterien ist eines besonders aussagekräftig, weil es sich nicht mit Marketing beantworten lässt. Läuft der Dienst weiter, wenn er von seiner Betreiberplattform außerhalb der EU getrennt wird? Nach den C3A-Kriterien muss der Betrieb ohne Einbußen fortbestehen, mit einem dokumentierten Prozess, der mindestens einmal jährlich getestet wird.
Wichtig ist die Einordnung. Souveränität bedeutet nicht Abschottung. Fachleute betonen, es gehe um beherrschbare Abhängigkeit, nicht um vollständige Selbstversorgung. Der Disconnect-Test misst genau das, ob die Kontrolle im Ernstfall bei der eigenen Organisation liegt. Der Souveränitäts-Hub ordnet diese Debatte ein.
Ein bloßes Versprechen genügt nicht. Verlangt ist ein beschriebener Abkopplungsprozess mit mindestens jährlichem Test.
Im EU-Rahmen wiegt die Lieferkettensouveränität am schwersten. Wer die Komponenten nicht kennt, kann nichts zusichern.
Auch die Fähigkeit zum Anbieterwechsel gehört geprüft, sonst entsteht trotz Souveränität ein neuer Lock-in.
Sechs Schritte zur Bewertung
So wird aus dem Thema Souveränität ein strukturiertes Projekt. Jeder Schritt ist konkret und liefert ein Ergebnis, auf dem der nächste aufbaut.
Kritisches erfassen
Zuerst die Systeme und Datenklassen bestimmen, deren Souveränität wirklich zählt.
Je Dimension prüfen
Jedes kritische System entlang der sechs Dimensionen bewerten, von Recht bis Lieferkette.
Abhängigkeiten markieren
Alle Abhängigkeiten von Anbietern, Personal und Komponenten außerhalb der EU sichtbar machen.
Abkopplung testen
Prüfen, ob kritische Dienste ohne Nicht-EU-Plattform weiterlaufen, idealerweise dokumentiert.
Reifegrad festlegen
Je System einen Reifegrad bestimmen und mit dem nötigen Schutzbedarf abgleichen.
Maßnahmen priorisieren
Aus den Lücken eine nach Risiko und Aufwand priorisierte Liste ableiten.
Häufige Fragen zur Souveränitätsbewertung
Kompakte, eigenständige Antworten zu Dimensionen, Nachweisen, Werkzeugen und Einordnung.
Was bedeutet es, eine IT-Architektur auf Souveränität zu bewerten?
Eine Souveränitätsbewertung prüft strukturiert, wie unabhängig und selbstbestimmt eine Organisation ihre IT betreiben kann. Bewertet wird nicht nur die Sicherheit, sondern die Kontrolle, also wer im Ernstfall über Betrieb, Daten und Weiterentwicklung entscheidet. Als Raster dienen die sechs Souveränitätsdimensionen des BSI C3A, von der strategischen und rechtlichen über die Daten- und operative bis zur Lieferketten- und technologischen Souveränität.
Welche Dimensionen umfasst die Bewertung nach C3A?
Der C3A strukturiert Souveränität in sechs Dimensionen. Die strategische Souveränität betrifft die grundsätzliche Handlungsfähigkeit. Die rechtliche betrifft die Jurisdiktion. Die Datensouveränität betrifft Speicherort und Schlüsselkontrolle. Die operative betrifft Betrieb und administrativen Zugriff. Die Lieferkettensouveränität betrifft die Transparenz über Komponenten. Die technologische betrifft die Fähigkeit, den Dienst unabhängig weiterzubetreiben. Die reinen Sicherheitsaspekte sind bereits über den C5 abgedeckt.
Was ist Sovereignty Washing?
Sovereignty Washing beschreibt Angebote, die als souverän vermarktet werden, aber nur Teilaspekte erfüllen. Ein Rechenzentrum in Frankfurt oder Amsterdam macht eine Cloud noch nicht souverän, wenn die Technologiebasis und die Updates aus einem Nicht-EU-Land stammen. Der Begriff stammt aus einem Whitepaper des Zentrums für Digitale Souveränität. Er mahnt, Anbieteraussagen an prüfbaren Kriterien zu messen statt am Label.
Reicht ein deutscher Serverstandort für Souveränität?
Nein. Ein Serverstandort in Deutschland ist ein wichtiger Baustein, aber allein kein Beweis für Souveränität. Unterliegt der Anbieter oder sein Mutterkonzern einer Jurisdiktion außerhalb der EU, etwa dem US CLOUD Act oder FISA 702, kann ein Datenzugriff rechtlich möglich bleiben, unabhängig vom physischen Standort. Deshalb bewertet eine seriöse Prüfung die Jurisdiktion, den Betrieb und die Abkoppelbarkeit, nicht nur den Standort.
Was ist der Disconnect-Test?
Der Disconnect-Test prüft, ob ein Cloud-Dienst weiterläuft, wenn er von seiner Betreiberplattform außerhalb der EU abgekoppelt wird. Nach den C3A-Kriterien muss der Betrieb ohne Einbußen bei Verfügbarkeit, Integrität und Vertraulichkeit fortbestehen. Es genügt nicht, das zu behaupten. Der Betreiber muss einen dokumentierten Abkopplungsprozess vorhalten und ihn mindestens einmal jährlich testen. Für die Architekturbewertung ist dieser Test der aussagekräftigste Einzelnachweis.
Wie werden die Souveränitätsziele gewichtet?
Das Cloud Sovereignty Framework der EU-Kommission gewichtet acht Souveränitätsziele unterschiedlich. Die Lieferkettensouveränität trägt mit rund 20 Prozent am stärksten zum Ergebnis bei. Strategische, operative und technologische Souveränität folgen mit je rund 15 Prozent. Rechtliche, Daten- sowie Sicherheitssouveränität fließen mit je rund 10 Prozent ein, die ökologische Nachhaltigkeit mit rund 5 Prozent. Diese Gewichtung hilft, Prioritäten in der eigenen Bewertung zu setzen.
Muss jede Anwendung maximal souverän sein?
Nein. Sinnvoll ist ein risikobasierter Ansatz, bei dem das nötige Souveränitätsniveau je nach Anwendungsfall bestimmt wird. Hochsensible oder regulierte Systeme brauchen ein hohes Niveau, weniger kritische Anwendungen ein geringeres. Dieser abgestufte Zugang entspricht auch dem vergaberechtlichen Grundsatz der Verhältnismäßigkeit und vermeidet unnötige Kosten, ohne den Schutz dort zu senken, wo er wirklich zählt.
Welche Werkzeuge unterstützen eine Souveränitätsbewertung?
Es gibt mehrere Selbstbewertungswerkzeuge, die sich in ihrem Fokus unterscheiden. Einige betonen die technologische Unabhängigkeit und die Vermeidung von Vendor Lock-in über offene Ansätze. Andere richten sich stark an EU-Standards aus und ordnen Organisationen in abgestufte Souveränitätsstufen ein. Wieder andere sind als geführter Beratungsprozess angelegt oder legen den Schwerpunkt auf Datenschutz und Datenverarbeitung. Für den Einstieg helfen sie, ein erstes strukturiertes Bild zu gewinnen.
Was sind typische Schwachstellen bei der Bewertung?
Häufige Schwachstellen sind eine unklare Sicht auf die Lieferkette, also welche Komponenten woher stammen, fehlende Kontrolle über die Verschlüsselungsschlüssel, ein administrativer Zugriff durch Personal außerhalb der EU sowie eine ungetestete oder gar nicht vorhandene Abkoppelbarkeit. Auch fehlende Portabilität ist ein Risiko, weil sie einen späteren Anbieterwechsel erschwert. Genau diese Punkte sollten in einer Bewertung besonders geprüft werden.
Wie hängt die Architekturbewertung mit der Softwareauswahl zusammen?
Die Architekturbewertung liefert die Kriterien, an denen sich eine Auswahl messen lässt. Wer den eigenen Schutzbedarf und die Lücken kennt, kann in der Auswahl gezielt Nachweise verlangen, etwa zu Jurisdiktion, Betrieb und Abkoppelbarkeit. Souveränität wird so zu einem prüfbaren Kriterium neben der fachlichen Passung. Beides gehört in eine strukturierte, anbieterneutrale Bewertung, damit die Entscheidung nachvollziehbar bleibt.
Von der Bewertung zur Entscheidung
Wer die eigene Architektur kennt, kann in der Auswahl gezielt die richtigen Nachweise verlangen. Starten Sie mit einer neutralen Bewertung und übersetzen Sie Souveränität in prüfbare Kriterien für Ihre nächste Entscheidung.