Bewertung · Digitale Souveränität

IT-Architektur auf Souveränität bewerten

Souveränität lässt sich nicht am Anbieterversprechen ablesen, sondern nur an der eigenen Architektur. Diese Seite zeigt, wie Sie Ihre IT strukturiert entlang der sechs Souveränitätsdimensionen prüfen, wo die typischen Schwachstellen liegen, und wie aus der Bewertung ein konkreter Maßnahmenplan wird.

8 Ziele
gewichtete Souveränitätsziele im EU-Rahmen, von der Lieferkette bis zur Strategie
EU CSF 2026
6
prüfbare Dimensionen, in die der BSI C3A Souveränität gliedert
BSI C3A
jährlich
muss die Abkoppelbarkeit dokumentiert getestet werden
C3A, SOV-4
Standort
allein genügt nicht, es zählen Jurisdiktion, Betrieb und Kontrolle
ZenDiS 2026
SOV-Dimensionen Disconnect-Test Lieferkette Reifegrad
Die Diagnose

Warum das Label in die Irre führt

Viele Angebote tragen das Wort souverän, erfüllen aber nur einen Teil davon. Für dieses Muster gibt es inzwischen einen Namen, Sovereignty Washing. Eine ehrliche Bewertung beginnt damit, dieses Muster zu erkennen und die eigene Architektur an prüfbaren Kriterien zu messen.

Woran Scheinsouveränität erkennbar wird

  • Standort statt Kontrolle. Ein Rechenzentrum in der EU, aber Technologiebasis und Updates kommen von außerhalb.
  • Jurisdiktion ignoriert. Der Anbieter unterliegt über den Mutterkonzern weiter dem US CLOUD Act oder FISA 702.
  • Abkopplung ungetestet. Es gibt kein dokumentiertes Verfahren, das die Unabhängigkeit im Ernstfall belegt.
  • Lieferkette im Dunkeln. Niemand kann sagen, welche Komponenten woher stammen.

Was eine echte Bewertung sichtbar macht

  • Kontrolle statt Marketing. Geprüft wird, wer im Ernstfall über Betrieb und Daten entscheidet.
  • Rechtslage benannt. Die tatsächliche Jurisdiktion und ihre Risiken werden dokumentiert.
  • Abkoppelbarkeit belegt. Ein Disconnect-Test zeigt, ob der Betrieb ohne Nicht-EU-Plattform weiterläuft.
  • Transparente Lieferkette. Eine Software Bill of Materials macht Komponenten nachvollziehbar.

Anbieterneutral, ohne Provision. Diese Bewertungslogik folgt öffentlichen BSI-Kriterien und dem EU-Rahmen, nicht den Interessen einzelner Anbieter. Sie hilft, selbst zu entscheiden.

Mehr zur Neutralität
Das Bewertungsraster

Sechs Dimensionen, sechs Leitfragen

Der BSI C3A gliedert Souveränität in sechs Dimensionen. Jede beantwortet eine konkrete Frage an die eigene Architektur. Zusammen ergeben sie ein vollständiges Bild, das weit über den Serverstandort hinausgeht.

SOV-1 · strategisch

Strategische Souveränität

Bleibt die Organisation grundsätzlich handlungsfähig und unabhängig von den Entscheidungen eines einzelnen Anbieters?

LeitfrageWie stark hängt unsere Strategie an einem einzelnen Anbieter?
SOV-2 · rechtlich

Rechtliche Souveränität

Welcher Jurisdiktion unterliegt der Anbieter, und können Gesetze außerhalb der EU den Betrieb oder den Zugriff beeinflussen?

LeitfrageWessen Recht greift auf unsere Daten zu?
SOV-3 · Daten

Datensouveränität

Ist nachvollziehbar, wo Daten liegen und verarbeitet werden, und behalten wir die Kontrolle über unsere Schlüssel?

LeitfrageWer kontrolliert Speicherort und Verschlüsselung?
SOV-4 · operativ

Operative Souveränität

Wer betreibt und administriert den Dienst, und läuft er nach einer Abkopplung von Plattformen außerhalb der EU weiter?

LeitfrageLäuft der Betrieb im Ernstfall ohne Nicht-EU-Zugriff weiter?
SOV-5 · Lieferkette

Lieferkettensouveränität

Ist transparent, welche Software- und Hardwarekomponenten im Dienst stecken und aus welchen Ländern sie stammen?

LeitfrageWissen wir, was in unserer Cloud steckt?
SOV-6 · technologisch

Technologische Souveränität

Kann der Dienst technisch unabhängig weiterentwickelt und betrieben werden, ohne externe Abhängigkeiten?

LeitfrageKönnten wir den Betrieb notfalls selbst fortführen?
Prioritäten setzen

Nicht jede Dimension wiegt gleich schwer

Der EU-Rahmen gewichtet die Souveränitätsziele unterschiedlich. Diese Gewichtung ist ein guter Kompass für die eigene Bewertung, weil sie zeigt, wo der größte Hebel liegt. Die Lieferkette steht dabei an erster Stelle.

Souveränitätsziel Code Gewicht Worum es geht
Lieferkette SOV-5 20 % Transparenz über Komponenten und ihre Herkunft
Strategisch SOV-1 15 % Grundsätzliche Handlungsfähigkeit der Organisation
Operativ SOV-4 15 % Betrieb, administrativer Zugriff und Abkoppelbarkeit
Technologisch SOV-6 15 % Unabhängiger Weiterbetrieb und Weiterentwicklung
Rechtlich SOV-2 10 % Jurisdiktion und Zugriffsrechte außerhalb der EU
Daten SOV-3 10 % Speicherort, Datenflüsse und Schlüsselkontrolle
Sicherheit SOV-7 10 % Bereits über den C5 und den IT-Grundschutz abgedeckt
Nachhaltigkeit SOV-8 5 % Ökologische Nachhaltigkeit des Betriebs
Aus der Praxis

Wie große Organisationen ihre Architektur ausrichten

Reale Entscheidungen zeigen, wie Konzerne und öffentliche Träger ihre IT-Architektur bewerten und umbauen. Die Learnings lassen sich auf den Mittelstand übertragen, oft in kleinerem Maßstab, aber mit derselben Logik.

Großkonzern

BASF, Learnings für CIOs

Was IT-Verantwortliche aus dem Architekturansatz eines Großkonzerns mitnehmen können, von der Governance bis zur Steuerung von Abhängigkeiten.

Beitrag lesen
Transformation

BASF, IT-Architektur im Großkonzern

Wie ein Konzern seine IT-Architektur im Rahmen der digitalen Transformation neu ordnet und welche Rolle Unabhängigkeit dabei spielt.

Beitrag lesen
Öffentlicher Träger

Techniker Krankenkasse, eigene Architektur

Warum eine große Krankenkasse bewusst auf eine eigene IT-Architektur setzt, und was das über Kontrolle und Souveränität aussagt.

Beitrag lesen
Methodik

McKinsey-Leitfaden zur Architektur

Ein strukturierter Leitfaden für IT-Verantwortliche, wie sich eine Enterprise-Architektur planvoll bewerten und gestalten lässt.

Beitrag lesen
Der Lackmustest

Die Abkoppelbarkeit ist der ehrlichste Nachweis

Von allen Kriterien ist eines besonders aussagekräftig, weil es sich nicht mit Marketing beantworten lässt. Läuft der Dienst weiter, wenn er von seiner Betreiberplattform außerhalb der EU getrennt wird? Nach den C3A-Kriterien muss der Betrieb ohne Einbußen fortbestehen, mit einem dokumentierten Prozess, der mindestens einmal jährlich getestet wird.

Wichtig ist die Einordnung. Souveränität bedeutet nicht Abschottung. Fachleute betonen, es gehe um beherrschbare Abhängigkeit, nicht um vollständige Selbstversorgung. Der Disconnect-Test misst genau das, ob die Kontrolle im Ernstfall bei der eigenen Organisation liegt. Der Souveränitäts-Hub ordnet diese Debatte ein.

Dokumentiert und getestet

Ein bloßes Versprechen genügt nicht. Verlangt ist ein beschriebener Abkopplungsprozess mit mindestens jährlichem Test.

Lieferkette zuerst

Im EU-Rahmen wiegt die Lieferkettensouveränität am schwersten. Wer die Komponenten nicht kennt, kann nichts zusichern.

Portabilität mitdenken

Auch die Fähigkeit zum Anbieterwechsel gehört geprüft, sonst entsteht trotz Souveränität ein neuer Lock-in.

Das Vorgehen

Sechs Schritte zur Bewertung

So wird aus dem Thema Souveränität ein strukturiertes Projekt. Jeder Schritt ist konkret und liefert ein Ergebnis, auf dem der nächste aufbaut.

1

Kritisches erfassen

Zuerst die Systeme und Datenklassen bestimmen, deren Souveränität wirklich zählt.

2

Je Dimension prüfen

Jedes kritische System entlang der sechs Dimensionen bewerten, von Recht bis Lieferkette.

3

Abhängigkeiten markieren

Alle Abhängigkeiten von Anbietern, Personal und Komponenten außerhalb der EU sichtbar machen.

4

Abkopplung testen

Prüfen, ob kritische Dienste ohne Nicht-EU-Plattform weiterlaufen, idealerweise dokumentiert.

5

Reifegrad festlegen

Je System einen Reifegrad bestimmen und mit dem nötigen Schutzbedarf abgleichen.

6

Maßnahmen priorisieren

Aus den Lücken eine nach Risiko und Aufwand priorisierte Liste ableiten.

FAQ

Häufige Fragen zur Souveränitätsbewertung

Kompakte, eigenständige Antworten zu Dimensionen, Nachweisen, Werkzeugen und Einordnung.

Was bedeutet es, eine IT-Architektur auf Souveränität zu bewerten?

Eine Souveränitätsbewertung prüft strukturiert, wie unabhängig und selbstbestimmt eine Organisation ihre IT betreiben kann. Bewertet wird nicht nur die Sicherheit, sondern die Kontrolle, also wer im Ernstfall über Betrieb, Daten und Weiterentwicklung entscheidet. Als Raster dienen die sechs Souveränitätsdimensionen des BSI C3A, von der strategischen und rechtlichen über die Daten- und operative bis zur Lieferketten- und technologischen Souveränität.

Welche Dimensionen umfasst die Bewertung nach C3A?

Der C3A strukturiert Souveränität in sechs Dimensionen. Die strategische Souveränität betrifft die grundsätzliche Handlungsfähigkeit. Die rechtliche betrifft die Jurisdiktion. Die Datensouveränität betrifft Speicherort und Schlüsselkontrolle. Die operative betrifft Betrieb und administrativen Zugriff. Die Lieferkettensouveränität betrifft die Transparenz über Komponenten. Die technologische betrifft die Fähigkeit, den Dienst unabhängig weiterzubetreiben. Die reinen Sicherheitsaspekte sind bereits über den C5 abgedeckt.

Was ist Sovereignty Washing?

Sovereignty Washing beschreibt Angebote, die als souverän vermarktet werden, aber nur Teilaspekte erfüllen. Ein Rechenzentrum in Frankfurt oder Amsterdam macht eine Cloud noch nicht souverän, wenn die Technologiebasis und die Updates aus einem Nicht-EU-Land stammen. Der Begriff stammt aus einem Whitepaper des Zentrums für Digitale Souveränität. Er mahnt, Anbieteraussagen an prüfbaren Kriterien zu messen statt am Label.

Reicht ein deutscher Serverstandort für Souveränität?

Nein. Ein Serverstandort in Deutschland ist ein wichtiger Baustein, aber allein kein Beweis für Souveränität. Unterliegt der Anbieter oder sein Mutterkonzern einer Jurisdiktion außerhalb der EU, etwa dem US CLOUD Act oder FISA 702, kann ein Datenzugriff rechtlich möglich bleiben, unabhängig vom physischen Standort. Deshalb bewertet eine seriöse Prüfung die Jurisdiktion, den Betrieb und die Abkoppelbarkeit, nicht nur den Standort.

Was ist der Disconnect-Test?

Der Disconnect-Test prüft, ob ein Cloud-Dienst weiterläuft, wenn er von seiner Betreiberplattform außerhalb der EU abgekoppelt wird. Nach den C3A-Kriterien muss der Betrieb ohne Einbußen bei Verfügbarkeit, Integrität und Vertraulichkeit fortbestehen. Es genügt nicht, das zu behaupten. Der Betreiber muss einen dokumentierten Abkopplungsprozess vorhalten und ihn mindestens einmal jährlich testen. Für die Architekturbewertung ist dieser Test der aussagekräftigste Einzelnachweis.

Wie werden die Souveränitätsziele gewichtet?

Das Cloud Sovereignty Framework der EU-Kommission gewichtet acht Souveränitätsziele unterschiedlich. Die Lieferkettensouveränität trägt mit rund 20 Prozent am stärksten zum Ergebnis bei. Strategische, operative und technologische Souveränität folgen mit je rund 15 Prozent. Rechtliche, Daten- sowie Sicherheitssouveränität fließen mit je rund 10 Prozent ein, die ökologische Nachhaltigkeit mit rund 5 Prozent. Diese Gewichtung hilft, Prioritäten in der eigenen Bewertung zu setzen.

Muss jede Anwendung maximal souverän sein?

Nein. Sinnvoll ist ein risikobasierter Ansatz, bei dem das nötige Souveränitätsniveau je nach Anwendungsfall bestimmt wird. Hochsensible oder regulierte Systeme brauchen ein hohes Niveau, weniger kritische Anwendungen ein geringeres. Dieser abgestufte Zugang entspricht auch dem vergaberechtlichen Grundsatz der Verhältnismäßigkeit und vermeidet unnötige Kosten, ohne den Schutz dort zu senken, wo er wirklich zählt.

Welche Werkzeuge unterstützen eine Souveränitätsbewertung?

Es gibt mehrere Selbstbewertungswerkzeuge, die sich in ihrem Fokus unterscheiden. Einige betonen die technologische Unabhängigkeit und die Vermeidung von Vendor Lock-in über offene Ansätze. Andere richten sich stark an EU-Standards aus und ordnen Organisationen in abgestufte Souveränitätsstufen ein. Wieder andere sind als geführter Beratungsprozess angelegt oder legen den Schwerpunkt auf Datenschutz und Datenverarbeitung. Für den Einstieg helfen sie, ein erstes strukturiertes Bild zu gewinnen.

Was sind typische Schwachstellen bei der Bewertung?

Häufige Schwachstellen sind eine unklare Sicht auf die Lieferkette, also welche Komponenten woher stammen, fehlende Kontrolle über die Verschlüsselungsschlüssel, ein administrativer Zugriff durch Personal außerhalb der EU sowie eine ungetestete oder gar nicht vorhandene Abkoppelbarkeit. Auch fehlende Portabilität ist ein Risiko, weil sie einen späteren Anbieterwechsel erschwert. Genau diese Punkte sollten in einer Bewertung besonders geprüft werden.

Wie hängt die Architekturbewertung mit der Softwareauswahl zusammen?

Die Architekturbewertung liefert die Kriterien, an denen sich eine Auswahl messen lässt. Wer den eigenen Schutzbedarf und die Lücken kennt, kann in der Auswahl gezielt Nachweise verlangen, etwa zu Jurisdiktion, Betrieb und Abkoppelbarkeit. Souveränität wird so zu einem prüfbaren Kriterium neben der fachlichen Passung. Beides gehört in eine strukturierte, anbieterneutrale Bewertung, damit die Entscheidung nachvollziehbar bleibt.

Von der Bewertung zur Entscheidung

Wer die eigene Architektur kennt, kann in der Auswahl gezielt die richtigen Nachweise verlangen. Starten Sie mit einer neutralen Bewertung und übersetzen Sie Souveränität in prüfbare Kriterien für Ihre nächste Entscheidung.