Digitale Souveränität Vergesst nicht die IT-Infrastruktur

Anbieter zum Thema

ATIX AG

Ceyoniq Technology GmbH

NCP engineering GmbH

Tutao GmbH

Digitale Souveränität ist nicht nur eine Frage des Serverstandortes. Vor allem in der Infrastruktur gibt es einige gern übersehene Bausteine, die im Zusammenspiel über eine souveräne Verwaltungs-IT entscheiden.

Die Debatte um digitale Souveränität gehört inzwischen zu den zentralen Themen der deutschen Verwaltungsdigitalisierung. Kaum ein Fachkongress, keine Digitalstrategie und kaum eine politische Diskussion kommt ohne den Begriff aus. Gleichzeitig wird digitale Souveränität häufig auf wenige Aspekte reduziert: Wo befinden sich die Daten? In welchem Land sitzt der Anbieter? Wer betreibt welche Cloud?

Souverän digital verwalten

Was Beschaffung und Betrieb wirklich absichern müssen

Relevante Fragen, zweifellos. Leider greifen sie aber viel zu kurz. Denn wesentliche Abhängigkeiten moderner IT entstehen heute häufig nicht im Rechenzentrum selbst, sondern deutlich tiefer in der technischen Infrastruktur: in Managementplattformen, Automatisierungswerkzeugen, proprietären Schnittstellen, Software-Lieferketten und Betriebsmodellen.

Gerade für die öffentliche Verwaltung ist diese Unterscheidung wichtig. Mit dem Onlinezugangsgesetz (OZG), dem Einer-für-Alle-Prinzip (EfA) und dem wachsenden Bedarf an digitalen Verwaltungsleistungen entstehen neue Plattformen, zentrale Dienste und gemeinsame Betriebsstrukturen. Entscheidend ist deshalb nicht nur, wo diese Systeme betrieben werden. Ebenso wichtig ist die Frage, ob sie langfristig kontrollierbar, weiterentwickelbar und bei Bedarf auch migrierbar bleiben.

Ein deutsches Rechenzentrum macht noch keine souveräne IT

Selbst wenn Daten ausschließlich in einem deutschen oder europäischen Rechenzentrum gespeichert werden, bedeutet das noch keine digitale Unabhängigkeit. Eine Behörde kann ihre Anwendungen vollständig On-Premises betreiben und dennoch in erheblichem Maße von einzelnen Herstellern oder Dienstleistern abhängig sein.

Ein typisches Beispiel sind proprietäre Verwaltungssysteme. Wenn Betrieb, Wartung, Updates und Konfigurationen ausschließlich über herstellerspezifische Werkzeuge erfolgen können, entsteht eine starke Bindung an den Anbieter. Gleiches gilt für geschlossene Schnittstellen oder Datenformate, die einen späteren Wechsel erschweren oder verteuern.

Digitale Souveränität bedeutet deshalb nicht primär, bestimmte Anbieter auszuschließen. Vielmehr geht es darum, technologische Entscheidungen auch unter veränderten Rahmenbedingungen neu treffen zu können. Souverän ist nicht die Organisation, die vollständig unabhängig von Dritten agiert. Souverän ist die Organisation, die handlungsfähig bleibt, wenn sich technische, wirtschaftliche oder regulatorische Anforderungen verändern.

Die eigentliche Abhängigkeit entsteht in der IT-Infrastruktur

Während Anwendungen für Bürgerinnen und Bürger sichtbar sind, bleiben die darunterliegenden Infrastrukturen meist unsichtbar. Genau dort entstehen aber viele der langfristigen Abhängigkeiten.

Rechenzentren und Cloud-Infrastrukturen werden zunehmend automatisiert betrieben. Server, Netzwerke, Speicher und Sicherheitsrichtlinien werden nicht mehr manuell konfiguriert, sondern durch Software definiert, verwaltet und vor allem regelmäßig gepatcht. Infrastruktur wird damit selbst zu Software.

Wer diese Automatisierung in der Hand hat, kontrolliert häufig auch die Betriebsfähigkeit der gesamten Plattform. Wenn beispielsweise sämtliche Betriebsprozesse auf proprietären Lösungen basieren, wird ein Wechsel zu anderen Anbietern oder Betriebsmodellen erheblich erschwert. Selbst dann, wenn die eigentlichen Anwendungen technisch migrationsfähig wären.

Hinzu kommt die wachsende Bedeutung von Software-Lieferketten. Verwaltungsanwendungen bestehen heute aus einer Vielzahl von Komponenten, Bibliotheken und Abhängigkeiten. Die Frage nach digitaler Souveränität betrifft deshalb zunehmend auch die Transparenz dieser Lieferketten. Wer liefert welche Komponenten? Wie werden Sicherheitsupdates eingespielt? Welche Abhängigkeiten bestehen zu externen Plattformen oder Diensten?

Digitale Souveränität entscheidet sich damit nicht allein auf Anwendungsebene, sondern entlang der gesamten technischen Wertschöpfungskette.