Die Debatte wird immer grösser – die Klarheit nicht
Kaum ein Begriff hat in den vergangenen Jahren einen vergleichbaren Aufstieg erlebt wie die «Digitale Souveränität». Auf Strategietagungen, Fachkonferenzen, politischen Veranstaltungen und in unzähligen Studien wird sie als entscheidender Erfolgsfaktor für die digitale Zukunft Europas und der Schweiz bezeichnet. Gleichzeitig scheint kaum jemand genau dasselbe darunter zu verstehen.
Für die einen bedeutet Digitale Souveränität die Kontrolle über Daten. Für andere steht die Unabhängigkeit von internationalen Cloud-Anbietern im Vordergrund. Wieder andere verbinden damit Datenschutz, Cybersecurity, digitale Identitäten, Open Source, künstliche Intelligenz oder gar geopolitische Fragestellungen.
Je länger die Diskussion geführt wird, desto mehr Teilaspekte entstehen:
- Datensouveränität
- KI-Souveränität
- Cloud-Souveränität
- Technologische Souveränität
- Operative Souveränität
- Rechtliche Souveränität
- Identitäts- und Zugriffssouveränität
- Infrastruktursouveränität
Jeder dieser Aspekte ist für sich betrachtet relevant und berechtigt. Das Problem entsteht jedoch dort, wo die Diskussion beginnt, sich in Einzelthemen zu verlieren. Unternehmen sehen sich einer Vielzahl von Anforderungen, Empfehlungen, Initiativen und Lösungsversprechen gegenüber, ohne dass daraus ein konsistentes Steuerungsmodell entsteht.
Die Folge ist eine zunehmende Orientierungslosigkeit.
Verwaltungsräte fragen nach digitaler Souveränität, können aber selten definieren, welches Souveränitätsniveau tatsächlich angestrebt wird. CIOs und Enterprise Architekten versuchen Abhängigkeiten von einzelnen Anbietern zu reduzieren, verfügen jedoch oft über keine klaren Kriterien, welche Abhängigkeiten akzeptabel sind und welche nicht. Datenschutzbeauftragte fokussieren auf regulatorische Anforderungen, während Sicherheitsverantwortliche die Kontrolle über Identitäten, Schlüssel und Zugriffe in den Mittelpunkt stellen.
Alle sprechen über Digitale Souveränität – jedoch häufig aus unterschiedlichen Blickwinkeln, mit unterschiedlichen Zielsetzungen und teilweise widersprüchlichen Erwartungen.
Hinzu kommt, dass der Markt auf die Unsicherheit reagiert. Nahezu jeder Anbieter positioniert seine Lösungen heute als «souverän». Es entstehen souveräne Clouds, souveräne Plattformen, souveräne KI-Modelle und souveräne Datenräume. Doch die zentrale Frage bleibt meist unbeantwortet:
Woran erkennt ein Unternehmen eigentlich, ob es digital souverän ist?
Noch wichtiger ist die Frage:
Wie kann Digitale Souveränität systematisch gesteuert, gemessen und kontinuierlich verbessert werden?
Genau an diesem Punkt endet die Mehrzahl der heutigen Diskussionen. Es werden Risiken beschrieben, Abhängigkeiten aufgezeigt und technologische Lösungsansätze präsentiert. Was jedoch häufig fehlt, ist ein Governance-Modell, das Digitale Souveränität aus der strategischen Diskussion in die operative Steuerung überführt.
Denn letztlich ist Digitale Souveränität nicht primär eine Technologiefrage. Sie ist eine Frage der Governance. Sie betrifft die Fähigkeit eines Unternehmens, bewusst zu entscheiden, welche digitalen Abhängigkeiten akzeptiert werden, welche Kontrolle erforderlich ist und wie die langfristige Handlungsfähigkeit des Unternehmens gesichert bwerden kann.
Die eigentliche Herausforderung besteht daher nicht darin, über Digitale Souveränität zu sprechen. Die eigentliche Herausforderung besteht darin, sie steuerbar zu machen.
Das eigentliche Problem: Fehlende Operationalisierung
Die meisten Unternehmen haben heute erkannt, dass digitale Abhängigkeiten strategische Risiken darstellen können. Die Abhängigkeit von einzelnen Cloud-Anbietern, proprietären Plattformen, ausländischen Rechtsräumen oder kritischen Technologiepartnern wird zunehmend kritisch hinterfragt. Gleichzeitig steigen die Anforderungen aus Regulierung, Datenschutz, Informationssicherheit und Resilienz.
Das Bewusstsein für Digitale Souveränität ist somit vorhanden.
Was jedoch in vielen Organisationen fehlt, ist die Fähigkeit, dieses Bewusstsein in konkrete Steuerungsmechanismen zu übersetzen.
Denn spätestens dann, wenn die Diskussion den Konferenzsaal verlässt und in die Unternehmensrealität überführt werden soll, entstehen zahlreiche Fragen:
- Wer definiert eigentlich, welches Souveränitätsniveau für das Unternehmen angemessen ist?
- Wer entscheidet über akzeptable oder nicht akzeptable Abhängigkeiten?
- Welche digitalen Ressourcen müssen vollständig kontrollierbar bleiben?
- Welche Risiken dürfen bewusst eingegangen werden?
- Wie werden Zielkonflikte zwischen Innovation, Wirtschaftlichkeit und Souveränität bewertet?
- Wie kann der erreichte Grad an Digitaler Souveränität gemessen werden?
Auf diese Fragen existieren in vielen Unternehmen keine klaren Antworten.
Stattdessen entstehen häufig isolierte Einzelinitiativen. Die Enterprise Architektur beschäftigt sich mit Portabilität und Vendor Lock-in. Die Informationssicherheit fokussiert auf Identitäten, Verschlüsselung und Zugriffskontrolle. Das Datenschutzmanagement betrachtet Datenflüsse und Jurisdiktionen. Die Beschaffung verhandelt Vertragsklauseln und Exit-Regelungen. Das Risikomanagement führt Abhängigkeiten in Risikoregistern.
Jede dieser Massnahmen kann sinnvoll sein. Dennoch entsteht daraus nicht automatisch Digitale Souveränität.
Denn Digitale Souveränität ist kein einzelnes Projekt, keine Technologie und auch kein isoliertes Compliance-Thema. Sie entsteht erst dann, wenn alle relevanten Dimensionen in einem gemeinsamen Governance- und Steuerungsmodell zusammengeführt werden.
Genau hier liegt die eigentliche Herausforderung.
Viele Organisationen investieren erhebliche Ressourcen in technische Lösungen, ohne zuvor festgelegt zu haben, welche Souveränitätsziele überhaupt erreicht werden sollen. Andere definieren ambitionierte Zielbilder, verfügen jedoch über keine Mechanismen, um deren Einhaltung zu überwachen. Wieder andere führen umfangreiche Kontrollen ein, ohne deren Beitrag zur tatsächlichen Handlungsfähigkeit des Unternehmens bewerten zu können.
Das Ergebnis ist häufig eine Sammlung gut gemeinter Einzelmassnahmen, jedoch kein konsistentes Steuerungssystem.
Digitale Souveränität bleibt dadurch schwer messbar, nur begrenzt steuerbar und stark von individuellen Entscheidungen einzelner Fachbereiche oder Projekte abhängig.
Genau deshalb benötigen Unternehmen einen Governance-Ansatz, der Digitale Souveränität nicht als abstraktes Zukunftskonzept betrachtet, sondern als steuerbares Unternehmensziel. Ein Ansatz, der klare Prinzipien definiert, Verantwortlichkeiten festlegt, Kontrollmechanismen etabliert und die kontinuierliche Überwachung der Zielerreichung ermöglicht.
Erst wenn Digitale Souveränität auf diese Weise operationalisiert wird, kann sie zu einem integralen Bestandteil der Unternehmenssteuerung werden – vergleichbar mit Informationssicherheit, Risikomanagement oder Compliance.
Die entscheidende Frage lautet daher nicht mehr, ob Digitale Souveränität wichtig ist.
Die entscheidende Frage lautet:
Wie kann Digitale Souveränität so gesteuert werden, dass sie dauerhaft zur Handlungsfähigkeit, Resilienz und Wertschöpfung des Unternehmens beiträgt?
Eine Governance-Definition für Digitale Souveränität
Bevor Digitale Souveränität gesteuert werden kann, muss zunächst Klarheit darüber geschaffen werden, was überhaupt gesteuert werden soll.
Genau hier beginnt bereits die nächste Herausforderung. Während Begriffe wie Informationssicherheit, Datenschutz oder Compliance mittlerweile relativ klar definiert sind, existiert für Digitale Souveränität bis heute keine allgemein anerkannte und einheitliche Definition. Je nach Perspektive stehen Daten, Technologien, Plattformen, Rechtsräume, Lieferketten oder geopolitische Interessen im Vordergrund.
Für Unternehmen entsteht dadurch ein erhebliches Problem: Was nicht eindeutig definiert ist, lässt sich nur schwer messen, steuern oder kontrollieren.
Deshalb sollte die Diskussion zunächst von einzelnen Technologien und Lösungsansätzen gelöst und auf die eigentliche Managementebene zurückgeführt werden.
Aus Governance-Sicht kann Digitale Souveränität wie folgt definiert werden:
Digitale Souveränität bezeichnet die Fähigkeit eines Unternehmens, digitale Ressourcen, Daten, Technologien und Abhängigkeiten so zu gestalten und zu steuern, dass strategische Handlungsfähigkeit, Kontrollierbarkeit, Resilienz und Regelkonformität dauerhaft erhalten bleiben.
Diese Definition verschiebt den Fokus bewusst von der vollständigen Unabhängigkeit hin zur bewussten Steuerung von Abhängigkeiten.
Denn in einer hochgradig vernetzten digitalen Wirtschaft ist vollständige Unabhängigkeit weder realistisch noch wirtschaftlich sinnvoll. Praktisch jedes Unternehmen nutzt heute Cloud-Services, Softwareplattformen, externe Dienstleister, globale Lieferketten und digitale Ökosysteme. Abhängigkeiten lassen sich daher nicht vermeiden – sie müssen vielmehr verstanden, bewertet und kontrolliert werden.
Digitale Souveränität bedeutet deshalb nicht:
- keine Cloud zu nutzen,
- keine externen Partner einzubinden,
- keine internationalen Anbieter zu verwenden,
- jede Technologie selbst zu betreiben.
Digitale Souveränität bedeutet vielmehr:
- Abhängigkeiten bewusst einzugehen,
- deren Risiken zu verstehen,
- Alternativen bewerten zu können,
- Entscheidungsfreiheit zu erhalten,
- kritische Ressourcen kontrollieren zu können,
- und jederzeit handlungsfähig zu bleiben.
Damit rückt ein weiterer wichtiger Aspekt in den Vordergrund:
Digitale Souveränität ist kein technischer Zustand, sondern eine Managementfähigkeit.
Ein Unternehmen ist nicht deshalb souverän, weil seine Daten in einem bestimmten Land gespeichert werden oder weil es eine bestimmte Technologie einsetzt. Ein Unternehmen ist souverän, wenn es jederzeit nachvollziehen kann:
- von wem es abhängig ist,
- welche Risiken daraus entstehen,
- welche Kontrollmöglichkeiten bestehen,
- welche Alternativen verfügbar sind,
- und wie sich die eigene Handlungsfähigkeit langfristig sichern lässt.
Genau diese Sichtweise entspricht dem Governance-Gedanken. Governance beschäftigt sich nicht primär mit technischen Lösungen, sondern mit der Frage, wie Entscheidungen getroffen, Risiken gesteuert, Ressourcen eingesetzt und Unternehmensziele erreicht werden.
Digitale Souveränität ist daher weniger eine Frage der Technologie als vielmehr eine Frage der Unternehmensführung.
Damit stellt sich unmittelbar die nächste Frage:
Welche Prinzipien müssen gelten, damit Digitale Souveränität systematisch und konsistent gesteuert werden kann?
Zur Beantwortung dieser Frage lohnt sich ein Blick auf die bewährten Governance-Prinzipien von COBIT. Sie bilden eine geeignete Grundlage, um aus dem abstrakten Konzept der Digitalen Souveränität ein steuerbares Governance-System zu entwickeln.
Governance-Prinzipien als Fundament der Digitalen Souveränität
Wenn Digitale Souveränität tatsächlich steuerbar werden soll, benötigt sie mehr als technische Richtlinien oder regulatorische Anforderungen. Sie benötigt klare Governance-Prinzipien, die als Leitplanken für Entscheidungen, Prioritäten und Kontrollmechanismen dienen.
Anstatt neue Prinzipien zu erfinden, bietet es sich an, auf bewährte Governance-Grundsätze zurückzugreifen. COBIT gilt seit vielen Jahren als eines der führenden Rahmenwerke für die Governance von Informationen und Technologien und definiert grundlegende Prinzipien für wirksame Governance-Systeme. Diese Prinzipien lassen sich hervorragend auf die Anforderungen der Digitalen Souveränität übertragen.
Die nachfolgende Tabelle zeigt, wie sich die COBIT-Prinzipien in konkrete Souveränitätsprinzipien übersetzen lassen. Sie bilden die Grundlage für die spätere Operationalisierung, die Definition von Kontrollen sowie die Zuordnung von Verantwortlichkeiten innerhalb des Unternehmens und entlang der gesamten digitalen Wertschöpfungskette.
| COBIT Prinzip | Digitales Souveränitätsprinzip | Leitfrage | Mögliche Kontroll-/Nachweisindikatoren |
| Mehrwert für die Anspruchsgruppen bereitstellen | Digitale Souveränität wird nur dort aufgebaut, wo sie messbar Wert schafft. | Trägt die gewählte Souveränitätsmassnahme nachweislich zu Nutzen, Risikooptimierung oder Resilienz bei? | Business Case, Nutzenbewertung, Risikoanalyse, Zielbeitrag zu Unternehmenszielen |
| Ganzheitlicher Ansatz | Digitale Souveränität wird über Prozesse, Organisation, Daten, Technologie, Verträge, Gesetze, Regulatorien und Kultur hinweg betrachtet. | Sind alle relevanten Governance- und Betriebsdimensionen in die Souveränitätsbetrachtung einbezogen? | Zielbild, Architekturprinzipien, RACI, Richtlinien, Schulungsnachweise, Lieferantenanforderungen |
| Dynamisches Governance-System | Digitale Souveränität wird laufend an Bedrohungslage, Regulierung und Strategie angepasst. | Werden Souveränitätsanforderungen regelmässig überprüft und bei Bedarf aktualisiert? | Review-Zyklen, Änderungsprotokolle, Risiko-Updates, Management-Reports |
| Governance getrennt vom Management | Die strategische Steuerung von Souveränität ist von der operativen Umsetzung klar getrennt. | Sind Rollen, Verantwortlichkeiten und Entscheidungsrechte für Souveränität eindeutig definiert? | Governance-Gremien, Entscheidungsrichtlinien, Rollenbeschreibungen, Eskalationspfade |
| Auf die Bedürfnisse des Unternehmens zugeschnitten | Digitale Souveränität wird risikobasiert und kontextabhängig ausgestaltet. | Ist das Souveränitätsniveau passend zu Branche, Risiko, Schutzbedarf und Geschäftsmodell? | Schutzbedarfsanalyse, Risikoprofil, Sourcing-Modell, kritische Abhängigkeiten |
| End-to-End-Governance-System | Digitale Souveränität umfasst die gesamte digitale Wertschöpfungskette von der Idee bis zum Betrieb und Exit. | Sind auch Beschaffung, Betrieb, Datennutzung, Änderungsmanagement und Ausstieg geregelt? | Exit-Pläne, Vertragsklauseln, Lifecycle-Controls, Betriebsmodelle, Datenportabilität |
| Konzeptionelles Modell als Basis | Digitale Souveränität folgt einem klaren Zielbild mit Begriffen, Ebenen und Reifegraden. | Gibt es ein einheitliches Modell für Souveränitätsziele, Prinzipien und Kontrollpunkte? | Zielmodell, Taxonomie, Reifegradmodell, Metrikenset |
| Offen und flexibel | Digitale Souveränität erlaubt unterschiedliche technische Wege, solange Kernanforderungen eingehalten werden. | Können neue Technologien, Anbieter oder Betriebsmodelle integriert werden, ohne die Souveränität zu verlieren? | Architekturstandards, Interoperabilitätsanforderungen, Modularität, Portabilitätsnachweise |
| An Standards und Regeln ausgerichtet | Digitale Souveränität orientiert sich an Gesetzen, Normen und anerkannten Rahmenwerken. | Sind regulatorische, vertragliche und normative Anforderungen vollständig berücksichtigt? | Compliance-Mapping, Kontrollkatalog, Audit-Findings, Vertragsprüfungen |
Diese Prinzipien machen deutlich, dass Digitale Souveränität weit über Fragen des Datenstandortes oder der Wahl eines Cloud-Anbieters hinausgeht. Sie beschreiben vielmehr die grundlegenden Eigenschaften eines Governance-Systems, das Unternehmen befähigt, digitale Abhängigkeiten bewusst zu steuern und ihre langfristige Handlungsfähigkeit zu sichern.
Damit bilden sie den Ausgangspunkt für den nächsten Schritt: die Übersetzung dieser Prinzipien in konkrete Governance-Ziele, Kontrollen und Verantwortlichkeiten.
Von Prinzipien zu Kontrollen – Die Operationalisierung der Digitalen Souveränität
Prinzipien schaffen Orientierung. Sie definieren, was ein Unternehmen unter Digitaler Souveränität versteht und welche Leitplanken bei Entscheidungen berücksichtigt werden müssen.
Prinzipien allein erzeugen jedoch noch keine Steuerungsfähigkeit.
Die eigentliche Herausforderung beginnt dort, wo die definierten Souveränitätsprinzipien in konkrete Governance- und Managementpraktiken übersetzt werden müssen. Erst wenn Verantwortlichkeiten, Kontrollen, Nachweise und Messgrössen definiert sind, entsteht ein wirksames Steuerungssystem.
Genau hier bietet COBIT einen entscheidenden Vorteil.
Anders als viele aktuelle Ansätze zur Digitalen Souveränität liefert COBIT nicht nur Prinzipien, sondern ein vollständiges Governance- und Managementmodell mit klar definierten Governance- und Managementzielen. Diese Ziele können genutzt werden, um Anforderungen der Digitalen Souveränität systematisch in bestehende Governance-, Risiko-, Compliance- und Betriebsprozesse zu integrieren.
Statt ein separates «Souveränitäts-Managementsystem» aufzubauen, kann Digitale Souveränität als zusätzlicher Steuerungs- und Kontrolllayer in die bestehenden COBIT-Strukturen integriert werden.
Governance-Ebene – Die richtigen Entscheidungen treffen
Auf Governance-Ebene steht nicht die technische Umsetzung im Vordergrund, sondern die strategische Steuerung der Digitalen Souveränität.
| COBIT Objective | Standard-Control Level 1 | Implementation-Steps Kunden-organisation | Implementation-Steps Partner-Organisation |
| EDM01 – Einrichtung und Pflege des Governance-Rahmenwerks ist sichergestellt | EDM01.SOV01 Souveränitätsprinzipien sind verbindlich im Governance-Rahmenwerk verankert. | Governance-Prinzipien definieren, Entscheidungsrechte festlegen, Ausnahmeprozess genehmigen. | Governance-Vorgaben in operative Prozesse übersetzen, Abweichungen melden, Nachweise bereitstellen. |
| EDM02 – Bereitstellung von Mehrwert ist sichergestellt | EDM02.SOV01 Business Cases müssen Souveränitätsnutzen und -risiken bewerten. | Bewertungsmodell vorgeben, Freigabekriterien definieren, kritische Vorhaben prüfen. | Business-Case-Daten liefern, Souveränitätsauswirkungen transparent machen, Alternativen aufzeigen. |
| EDM03 – Risikooptimierung ist sichergestellt | EDM03.SOV01 Souveränitätsrisiken sind als eigene Risikokategorie zu führen. | Risikokategorien definieren, Risikoappetit festlegen, Eskalation regeln. | Risiken erfassen, Kontrollen umsetzen, Findings unverzüglich melden. |
| EDM04 – Ressourcenoptimierung ist sichergestellt | EDM04.SOV01 Strategische Abhängigkeiten sind aktiv zu begrenzen. | Abhängigkeitslimits definieren, Konzentrationsrisiken überwachen, Ausnahmen genehmigen. | Abhängigkeitsdaten offenlegen, Redundanzen unterstützen, Exit-Optionen vorbereiten. |
| EDM05 – Einbindung der Stakeholder ist sichergestellt | EDM05.SOV01 Souveränitätsrelevante Stakeholder sind eindeutig benannt und eingebunden. | Stakeholder-Map pflegen, Entscheidungsrollen festlegen, Eskalationswege definieren. | Stakeholder-Informationen bereitstellen, Abstimmungen unterstützen, Änderungen früh melden. |
Damit wird Digitale Souveränität zu einem Bestandteil der Unternehmensführung und nicht zu einer isolierten technischen Initiative.
Management-Ebene – Digitale Souveränität in den Betrieb integrieren
Während die Governance-Ebene die Richtung vorgibt, sorgt die Management-Ebene für die operative Umsetzung.
| APO01 – IT-Management-Rahmenwerk ist gemanagt | APO01.SOV01 Souveränität ist in IT-Governance und ITSM verbindlich integriert. | Richtlinien in ITSM verankern, RACI definieren, Kontrollpunkte festlegen. | Prozesse gemäss Vorgaben betreiben, Tickets und Changes regelkonform bearbeiten, Evidenzen liefern. |
| APO02 – Strategie ist gemanagt | APO02.SOV01 Strategie und Zielarchitektur folgen Sovereignty-by-Design. | Zielbild, Souveränitätsziele und Architekturprinzipien definieren. | Architekturvorgaben umsetzen, technische Restriktionen berücksichtigen, Abweichungen melden. |
| APO03 – Unternehmensarchitektur ist gemanagt | APO03.SOV01 Architektur muss Portabilität, Interoperabilität und Kontrollierbarkeit sicherstellen. | Architekturprinzipien freigeben, Plattformvorgaben machen, Lock-in-Risiken bewerten. | Schnittstellen standardisieren, Portabilität technisch ermöglichen, Migrationsdaten bereitstellen. |
| APO04 – Innovation ist gemanagt | APO04.SOV01 Innovationen werden auf Souveränitätsfolgen geprüft. | Prüfpflicht vor Innovation definieren, Freigabekriterien festlegen. | Proof-of-Concepts regelkonform durchführen, Daten- und Plattformvorgaben einhalten. |
| APO05 – Portfolio ist gemanagt | APO05.SOV01 Portfolioentscheidungen berücksichtigen Souveränitätskriterien und Konzentrationsrisiken. | Portfolio-Scoring definieren, kritische Abhängigkeiten sichtbar machen. | Portfolioinformationen liefern, Alternativen bewerten, technische Optionen darstellen. |
| APO06 – Budget und Kosten sind gemanagt | APO06.SOV01 Budgetierung muss Kosten für Exit, Wechsel und Kontrollierbarkeit enthalten. | TCO-Vorgaben machen, Resilienzbudgets reservieren, Zusatzkosten freigeben. | Kosten transparent machen, Migrations- und Exit-Aufwände schätzen, Optionen bepreisen. |
| APO07 – Personal ist gemanagt | APO07.SOV01 Kritische Souveränitätskompetenzen sind intern vorzuhalten. | Skill-Model definieren, Schlüsselrollen sichern, Outsourcing-Grenzen setzen. | Wissen dokumentieren, Schulungen unterstützen, kritische Rollen nicht monopolisiert halten. |
| APO08 – Beziehungen sind gemanagt | APO08.SOV01 Beziehungen zu Partnern müssen Transparenz- und Eskalationspflichten enthalten. | Beziehungsmodell definieren, Eskalation und Exit vertraglich sichern. | Transparenz über Leistung und Subdienstleister schaffen, Eskalationspfade einhalten. |
| APO09 – Servicevereinbarungen sind gemanagt | APO09.SOV01 Servicevereinbarungen enthalten Residenz-, Audit- und Exit-Anforderungen. | Mindestanforderungen definieren, Services freigeben, SLA kontrollieren. | SLA technisch und organisatorisch erfüllen, Auditdaten liefern, Exit-Support bereitstellen. |
| APO10 – Lieferanten sind gemanagt | APO10.SOV01 Lieferanten werden nach Souveränitätskriterien ausgewählt und überwacht. | Anbieterbewertung, Vertragsklauseln, Audit- und Exit-Rechte festlegen. | Subunternehmer offenlegen, Kontrollen umsetzen, Wechselpfade unterstützen. |
| APO11 – Qualität ist gemanagt | APO11.SOV01 Qualität umfasst Kontrollierbarkeit, Nachvollziehbarkeit und Konformität. | Qualitätskriterien erweitern, Prüfpunkte definieren, Abweichungen eskalieren. | Qualitätsmessung durchführen, Fehler dokumentieren, Korrekturmassnahmen umsetzen. |
| APO12 – Risiko ist gemanagt | APO12.SOV01 Souveränitätsrisiken werden im Risikomanagement systematisch geführt. | Risikomodell erweitern, Kontrollziele definieren, Reporting verlangen. | Risiken melden, Kontrollen betreiben, Massnahmen nachverfolgen. |
| APO13 – Sicherheit ist gemanagt | APO13.SOV01 Identitäten, Schlüssel und Schutzmechanismen bleiben unter kontrollierter Hoheit. | Security-Standards vorgeben, Schlüsselhoheit definieren, Privileged Access freigeben. | Sicherheitskontrollen implementieren, Logs sichern, Zugriffe protokollieren. |
| APO14 – Daten sind gemanagt | APO14.SOV01 Daten werden nach Souveränitätsbedarf klassifiziert und geschützt. | Datenklassen definieren, Speicherorte freigeben, Transferregeln vorgeben. | Daten nur zulässig verarbeiten, Transfers kontrollieren, Löschkonzepte umsetzen. |
| BAI01 – Programme sind gemanagt | BAI01.SOV01 Programme benötigen Souveränitäts-Gates vor Freigabe und Go-Live. | Gate-Modell definieren, Freigaben prüfen, Go-Live-Kriterien festlegen. | Gate-Nachweise liefern, technische Tests durchführen, Defizite beheben. |
| BAI02 – Anforderungen sind gemanagt | BAI02.SOV01 Anforderungen enthalten zwingend Souveränitätsanforderungen. | Sovereignty Requirements in Templates verankern, Muss-Kriterien definieren. | Anforderungen vollständig aufnehmen, technische Machbarkeit bewerten, Lücken melden. |
| BAI03 – Lösungen werden identifiziert und erstellt | BAI03.SOV01 Lösungsauswahl muss Lock-in, Portabilität und Kontrollierbarkeit bewerten. | Bewertungsmethodik definieren, Alternativenvergleich verlangen. | Vergleichsdaten liefern, Lösungsgrenzen offenlegen, Exit-Optionen beschreiben. |
| BAI04 – Verfügbarkeit und Kapazität sind gemanagt | BAI04.SOV01 Verfügbarkeit und Kapazität müssen Ersatzbetrieb und Wiederanlauf ermöglichen. | RTO/RPO-Vorgaben machen, Resilienzanforderungen definieren. | Kapazitäten bereitstellen, Failover testen, Wiederanlauf dokumentieren. |
| BAI05 – Organisationsänderungen sind gemanagt | BAI05.SOV01 Organisatorische Änderungen werden auf Souveränitätsfolgen geprüft. | Change-Impact-Prüfung vorschreiben, Freigabeprozess definieren. | Auswirkungen analysieren, Abhängigkeiten dokumentieren, Änderungen sauber übergeben. |
| BAI06 – IT-Änderungen sind gemanagt | BAI06.SOV01 IT-Änderungen an kritischen Plattformen benötigen Souveränitätsfreigabe. | Change-Klassen festlegen, kritische Systeme kennzeichnen. | Changes kontrolliert umsetzen, Baselines einhalten, Abweichungen melden. |
| BAI07 – Umsetzung und Abnahme von IT-Änderungen sind gemanagt | BAI07.SOV01 Umsetzung und Abnahme verlangen Kontroll- und Exit-Nachweise. | Abnahmekriterien vorgeben, Evidence verpflichtend machen. | Tests durchführen, Dokumentation liefern, offene Punkte schliessen. |
| BAI08 – Wissen ist gemanagt | BAI08.SOV01 Kritisches Wissen ist intern zu dokumentieren und verfügbar zu halten. | Wissensanforderungen definieren, Mindestdokumentation verlangen. | Betriebs- und Architekturwissen pflegen, Übergaben vollständig dokumentieren. |
| BAI09 – Assets sind gemanagt | BAI09.SOV01 Souveränitätskritische Assets sind inventarisiert und nachvollziehbar. | Inventarisierungsregeln definieren, Eigentum und Standort kontrollieren. | Asset-Daten pflegen, Standort und Nutzung offenlegen, Abweichungen melden. |
| BAI10 – Konfiguration ist gemanagt | BAI10.SOV01 Konfigurationen kritischer Systeme folgen freigegebenen Baselines. | Baselines definieren, Konfigurationskontrollen verlangen. | Baselines umsetzen, Drift überwachen, Änderungen genehmigen lassen. |
| BAI11 – Projekte sind gemanagt | BAI11.SOV01 Projekte enthalten Souveränitätsprüfungen in jeder Phase. | Project-Gates definieren, Abnahme- und Übergabekriterien festlegen. | Projektnachweise liefern, Risiken melden, Übergaben vollständig durchführen. |
| DSS01 – Betrieb ist gemanagt | DSS01.SOV01 Der Betrieb kritischer Services bleibt steuerbar, dokumentiert und überprüfbar. | Betriebsanforderungen definieren, Runbooks verlangen, Kontrollrechte sichern. | Betrieb gemäss Runbooks durchführen, Protokolle liefern, Störungen transparent melden. |
| DSS02 – Serviceanfragen und Störungen sind gemanagt | DSS02.SOV01 Service Requests und Incidents werden in freigegebenen Systemen verarbeitet. | Zulässige Tools und Datenflüsse definieren, Eskalation bei Verstössen festlegen. | Tickets regelkonform bearbeiten, Daten schützen, Eskalationen unverzüglich auslösen. |
| DSS03 – Probleme sind gemanagt | DSS03.SOV01 Problemmanagement analysiert auch Abhängigkeits- und Lock-in-Ursachen. | RCA-Anforderungen erweitern, Massnahmenverfolgung verlangen. | Ursachen vollständig analysieren, Korrekturmassnahmen umsetzen, Wiederholungen vermeiden. |
| DSS04 – Kontinuität ist gemanagt | DSS04.SOV01 Continuity-Pläne müssen Exit-, Backup- und Wiederanlaufoptionen enthalten. | BCP/DR-Vorgaben definieren, Tests verpflichtend machen. | Wiederanlauf technisch bereitstellen, Szenarien testen, Resultate dokumentieren. |
| DSS05 – Sicherheitsservices sind gemanagt | DSS05.SOV01 Sicherheitsservices sichern Schlüssel-, Identitäts- und Log-Kontrolle. | Sicherheitsanforderungen definieren, Kontrollrechte festlegen. | Security Services umsetzen, Logs bereitstellen, Schlüsselprozesse absichern. |
| DSS06 – Geschäftskontrollen sind gemanagt | DSS06.SOV01 Geschäftskontrollen schützen sensible Daten und kritische Aktionen. | Kontrollpflichten definieren, Vier-Augen-Prinzip vorgeben. | Prozesskontrollen technisch und organisatorisch umsetzen, Ausnahmen melden. |
| MEA01 – Leistung und Konformität werden überwacht und beurteilt | MEA01.SOV01 Souveränitäts-KPIs sind Teil von Performance- und Compliance-Reporting. | KPI-Set definieren, Reporting verpflichten, Eskalationswerte festlegen. | Messwerte liefern, Abweichungen erklären, Korrekturmassnahmen umsetzen. |
| MEA02 – Internes Kontrollsystem wird überwacht und beurteilt | MEA02.SOV01 Das interne Kontrollsystem enthält Souveränitätskontrollen. | Kontrollen im IKS verankern, Testzyklen definieren. | Kontrollen betreiben, Tests unterstützen, Findings remediieren. |
| MEA03 – Compliance mit externen Anforderungen wird überwacht und beurteilt | MEA03.SOV01 Externe Anforderungen werden auf Jurisdiktion, Datenschutz und Vertragsrecht geprüft. | Prüfpflicht definieren, Compliance-Gate vor Freigabe setzen. | Regulatorische Anforderungen einhalten, Nachweise liefern, Verstösse melden. |
| MEA04 – Assurance wird überwacht und beurteilt | MEA04.SOV01 Assurance umfasst unabhängige Prüfung von Souveränitätskontrollen. | Auditumfang festlegen, Prüfzugang sichern, Massnahmen nachverfolgen. | Auditierbarkeit gewährleisten, Evidence bereitstellen, Findings umsetzen. |
Digitale Souveränität wird dadurch steuerbar
Die meisten aktuellen Diskussionen zur Digitalen Souveränität bleiben auf der Ebene von Anforderungen, Risiken oder politischen Zielbildern stehen. COBIT ermöglicht einen anderen Ansatz. Durch die Verknüpfung von Prinzipien, Governance-Zielen, Managementzielen und Kontrollen entsteht ein vollständiges Steuerungsmodell.
Damit wird Digitale Souveränität nicht länger als abstraktes Zukunftskonzept behandelt, sondern als messbare und kontrollierbare Fähigkeit eines Unternehmens.
Genau an diesem Punkt beginnt die eigentliche Operationalisierung der Digitalen Souveränität.
Shared Responsibility und Trust – Digitale Souveränität entsteht nicht durchKontrolle allein
Ein weit verbreiteter Irrtum in der aktuellen Diskussion zur Digitalen Souveränität besteht in der Annahme, dass Souveränität durch die Wahl des richtigen Providers, der richtigen Cloud oder der richtigen Plattform automatisch entsteht.
Doch Digitale Souveränität lässt sich nicht einkaufen.
Genauso wenig wie Informationssicherheit, Compliance oder Risikomanagement kann sie vollständig an Dritte delegiert werden. Unternehmen können Dienstleistungen beziehen, Betriebsaufgaben auslagern oder spezialisierte Partner beauftragen. Die Verantwortung für die eigene Handlungsfähigkeit verbleibt jedoch immer beim Unternehmen selbst.
Genau deshalb sollte Digitale Souveränität nach dem Prinzip der Shared Responsibility betrachtet werden.
Dieses Prinzip ist aus dem Cloud Computing bekannt. Während Anbieter Verantwortung für bestimmte technische Leistungen übernehmen, verbleiben strategische Steuerungs- und Governance-Aufgaben beim Kunden. Für die Digitale Souveränität gilt derselbe Grundsatz – allerdings deutlich umfassender.
Die zentrale Frage lautet daher nicht:
„Wer ist für Digitale Souveränität verantwortlich?“
Sondern:
„Welche Aspekte der Digitalen Souveränität müssen vom Unternehmen selbst gesteuert werden und welche können an Partner übertragen werden?“
Die Verantwortung des Unternehmens
Bestimmte Entscheidungen können und dürfen nicht delegiert werden.
Dazu gehören insbesondere:
-
- Definition der Souveränitätsstrategie
- Festlegung des gewünschten Souveränitätsniveaus
- Governance und Richtlinien
- Risikoappetit und Risikobewertung
- Datenklassifikation und Schutzbedarfsanalysen
- Architekturprinzipien
- Lieferanten- und Sourcingstrategie
- Compliance-Verantwortung
- Business Continuity und Resilienzanforderungen
Diese Aufgaben bestimmen, welche digitale Handlungsfähigkeit das Unternehmen langfristig erhalten möchte. Sie bilden den Kern der digitalen Selbstbestimmung und müssen deshalb unter eigener Kontrolle bleiben.
Die Verantwortung der Partner
Partner, Cloud-Anbieter und Dienstleister übernehmen dagegen Aufgaben der Umsetzung und Nachweisführung.
Dazu gehören beispielsweise:
- Technische Bereitstellung von Plattformen
- Betrieb von Services
- Sicherheitsmechanismen
- Monitoring und Reporting
- Audit-Unterstützung
- Bereitstellung von Nachweisen
- Datenportabilität
- Exit-Unterstützung
- Wiederanlaufverfahren
- Transparenz über Subdienstleister
Die Aufgabe der Partner besteht darin, die vom Unternehmen definierten Souveränitätsanforderungen nachweisbar umzusetzen.
Shared Responsibility bedeutet nicht Shared Accountability
Hier liegt einer der wichtigsten Unterschiede.
Auch wenn technische Aufgaben an externe Partner übertragen werden, bleibt die Verantwortung gegenüber Kunden, Eigentümern, Aufsichtsbehörden und weiteren Stakeholdern beim Unternehmen selbst.
Ein Cloud-Anbieter kann Infrastruktur bereitstellen.
Ein Service Provider kann Services betreiben.
Ein Technologiepartner kann Sicherheitskontrollen implementieren.
Die Verantwortung für die Steuerung dieser Leistungen und die daraus entstehenden Risiken verbleibt jedoch beim Unternehmen.
Digitale Souveränität beginnt deshalb dort, wo Unternehmen ihre Verantwortung nicht an Lieferanten delegieren, sondern deren Leistungen aktiv steuern und überwachen.
Vertrauen ist notwendig – blindes Vertrauen ist gefährlich
In einer vernetzten digitalen Wirtschaft ist vollständige Kontrolle weder realistisch noch wirtschaftlich sinnvoll. Unternehmen werden auch künftig auf Cloud-Anbieter, Plattformen, Technologiepartner und digitale Ökosysteme angewiesen sein.
Digitale Souveränität bedeutet deshalb nicht, ohne Vertrauen auszukommen.
Digitale Souveränität bedeutet vielmehr, Vertrauen bewusst und nachvollziehbar zu gestalten.
Denn die eigentliche Gefahr liegt nicht in Abhängigkeiten selbst.
Die eigentliche Gefahr entsteht dort, wo Abhängigkeiten bestehen, ohne dass Transparenz, Nachweise oder Kontrollmöglichkeiten vorhanden sind.
Echtes Vertrauen entsteht deshalb nicht durch Marketingversprechen, Zertifizierungen oder vertragliche Zusicherungen allein.
Vertrauen muss überprüfbar sein.
Die drei Säulen vertrauenswürdiger Digitaler Souveränität
Accountability – Klare Verantwortlichkeit
Jede Partei muss eindeutig Verantwortung für ihre Entscheidungen, Leistungen und Kontrollen übernehmen.
Es muss jederzeit nachvollziehbar sein:
- Wer ist verantwortlich?
- Wer trifft Entscheidungen?
- Wer trägt Risiken?
- Wer ist gegenüber wem rechenschaftspflichtig?
Digitale Souveränität setzt voraus, dass Verantwortlichkeiten entlang der gesamten digitalen Wertschöpfungskette eindeutig definiert sind.
Transparenz – Sichtbarkeit statt Black Box
Vertrauen kann nur dort entstehen, wo ausreichend Transparenz vorhanden ist.
Unternehmen müssen verstehen können:
- Wo Daten verarbeitet werden
- Welche Subdienstleister beteiligt sind
- Welche Abhängigkeiten bestehen
- Welche Kontrollen implementiert wurden
- Welche Risiken aktuell bestehen
Je kritischer ein Service für die Geschäftsfähigkeit eines Unternehmens ist, desto höher müssen die Anforderungen an Transparenz und Nachvollziehbarkeit sein.
Demonstrierte Verantwortlichkeit – Vertrauen durch Nachweise
Verantwortung und Transparenz allein genügen nicht.
Digitale Souveränität verlangt den Nachweis, dass definierte Anforderungen tatsächlich erfüllt werden.
Hierzu gehören beispielsweise:
- Audits
- Zertifizierungen
- Compliance-Nachweise
- Kontrollberichte
- Penetrationstests
- Resilienztests
- Exit-Tests
- Service- und Sicherheitsmetriken
Vertrauen wird dadurch von einer subjektiven Einschätzung zu einer objektiv überprüfbaren Eigenschaft.
Trust by Governance statt Trust by Marketing
Viele Anbieter werben heute mit Begriffen wie „Trusted Cloud“, „Trusted Platform“ oder „Trusted AI“.
Für Unternehmen sollte jedoch eine andere Frage im Vordergrund stehen:
Welche Governance-Mechanismen ermöglichen es uns, dieses Vertrauen jederzeit zu überprüfen?
Genau an diesem Punkt treffen sich die Konzepte von Digitaler Souveränität und Governance.
Digitale Souveränität bedeutet nicht, niemandem vertrauen zu müssen.
Digitale Souveränität bedeutet, Vertrauen auf klaren Verantwortlichkeiten, ausreichender Transparenz und überprüfbaren Nachweisen aufzubauen.
Fazit: Digitale Souveränität ist eine Governance-Fähigkeit
Die Diskussion über Digitale Souveränität wird uns in den kommenden Jahren intensiv begleiten. Mit zunehmender Digitalisierung, Cloud-Nutzung, KI-Integration und globalen Plattformökosystemen werden Fragen nach Kontrolle, Abhängigkeit und Resilienz weiter an Bedeutung gewinnen.
Doch die eigentliche Herausforderung besteht nicht darin, immer neue Facetten der Souveränität zu definieren.
Die eigentliche Herausforderung besteht darin, Digitale Souveränität steuerbar zu machen.
Hierfür benötigen Unternehmen klare Prinzipien, eindeutige Verantwortlichkeiten, nachvollziehbare Kontrollen und messbare Ziele. Ebenso benötigen sie Partner, die nicht nur Leistungen erbringen, sondern Transparenz schaffen, Verantwortung übernehmen und Vertrauen durch überprüfbare Nachweise ermöglichen.
Digitale Souveränität ist deshalb weder ein Technologieprojekt noch ein Compliance-Thema.
Sie ist eine Governance-Fähigkeit.
Eine Governance-Fähigkeit, die auf drei Grundpfeilern beruht:
Steuerung. Verantwortung. Vertrauen.
Wer diese drei Elemente konsequent miteinander verbindet, gewinnt weit mehr als regulatorische Sicherheit oder technologische Kontrolle. Er gewinnt die Fähigkeit, auch in einer zunehmend komplexen digitalen Welt langfristig handlungsfähig zu bleiben.