Newsroom

Digitale Souveränität: Warum dein größtes Risiko manchmal nur ein Häkchen ist

Geschrieben von Patrick Ghys | 15.07.26 06:15

Bei „digitaler Souveränität“ dachte ich lange an große politische Debatten, europäische Strategieprogramme und Sitzungen, in denen jemand irgendwann „Zielbild 2030“ sagt. 

Inzwischen sehe ich das praktisch. Digitale Souveränität bedeutet nicht,  Microsoft 365 abzuschaffen, deinen kompletten Arbeitsplatz neu zu bauen oder ab morgen nur noch Software mit EU-Pass zu nutzen.

Digitale Souveränität beginnt mit einer simplen Frage: Weißt du, was in deinem Microsoft 365 Tenant gerade eingestellt ist?

Digitale Souveränität bedeutet Sichtbarkeit, Kontrolle und Handlungsfähigkeit in der Cloud.

Was digitale Souveränität meint

Digitale Souveränität bedeutet im Kern: Du willst Herr deiner Daten, Systeme und Entscheidungen bleiben. Also nicht nur wissen, wo deine Daten liegen, sondern auch verstehen, von wem du abhängig bist, wer theoretisch Einfluss nehmen kann und ob du im Ernstfall noch selbst handlungsfähig bist.

Stichwort: Datenhoheit und reduzierte Abhängigkeit von Software-, SaaS- und Cloud-Diensten.

Das klingt erstmal logisch. So wie „Wir sollten unsere Passwörter nicht auf gelbe Zettel schreiben.“ Und trotzdem wissen wir alle: Irgendwo klebt gerade ein gelber Zettel unter einer Tastatur und fühlt sich völlig unbeobachtet.

Auf europäischer Ebene ist das Thema längst handfest. Die EU-Kommission hat im Juni 2026 ein Paket zur technologischen Souveränität vorgestellt, das Europas Kapazitäten unter anderem bei Halbleitern, KI, Cloud und Open Source stärken soll. Ziel ist mehr digitale Autonomie und eine stärkere europäische Infrastruktur.

Der geplante Cloud and AI Development Act soll zusätzlich Europas Souveränität und Wettbewerbsfähigkeit im Cloud- und KI-Ökosystem stärken; die Kommission nennt eine zu starke Abhängigkeit von Nicht-EU-Cloud-Anbietern als Risiko für digitale Autonomie und Resilienz. 

Das ist die große Bühne. Im Kleinen wird für dich als IT-Entscheider daraus eine bodenständige Frage:

Wie abhängig ist dein Unternehmen von Plattformen, Einstellungen und Dienstleistern, die du nicht vollständig überblickst?

Microsoft 365: Standard, Stärke und Souveränitätsdilemma zugleich

Für viele Unternehmen ist Microsoft 365 der digitale Arbeitsplatz. E-Mail, Teams, SharePoint, OneDrive, Identitäten, Geräteverwaltung, Compliance, Security, Berechtigungen: Da steckt ziemlich viel drin.

Das Problem: Gerade weil Microsoft 365 so viel kann, entsteht Abhängigkeit. Und wenn du digitale Souveränität europäisch denkst, ist ein US-Hyperscaler mindestens diskussionswürdig.

das ist historisch bedingt: Viele Dinge liefen in den letzten Jahrzehnten faktisch nicht ohne US-Software und US-Cloud-Services; Microsoft ist in vielen Bereichen ein De-facto-Standard, was der europäischen Idee digitaler Souveränität zunächst entgegensteht.

Jetzt könnte man sagen: Dann raus da. Alles migrieren. Europäische Alternativen rein.

Klingt auf dem Papier wunderbar. In der Realität kommen dann aber diese kleinen Projektfreunde vorbei: Migration, User Impact, Change Management, Schulungen, Prozesse, Schnittstellen, Excel-Makros und diese eine Access-Datenbank, die niemand anfassen darf, weil sie angeblich „die Produktion steuert“.

Die zentrale Frage: Hat so ein Projekt überhaupt einen echten ROI – oder ist so ein Wechsel nur angstgetrieben?

Das ist kein Argument gegen europäische Alternativen. Ganz im Gegenteil. Es ist ein Argument gegen Panikarchitektur.

Der CLOUD Act ist nicht das einzige Thema, aber ein gutes Beispiel

Ein häufiger Auslöser der Debatte ist die Sorge vor rechtlichem Zugriff auf Daten durch Drittstaaten. Beim US CLOUD Act ist der Grundgedanke: Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste können verpflichtet werden, Daten herauszugeben, die sich in ihrem Besitz, ihrer Verwahrung oder Kontrolle befinden – unabhängig davon, ob diese Daten innerhalb oder außerhalb der USA gespeichert sind.

Solche Zugriffe brauchen natürlich rechtliche Verfahren. Aber es heißt: Datenstandort allein beantwortet nicht die Souveränitätsfrage. Jurisdiktion, Anbieterstruktur und technische Kontrolle spielen ebenfalls eine Rolle.

Microsoft hat mit der EU Data Boundary einen wichtigen Schritt gemacht. Microsoft beschreibt sie als geografische Grenze, innerhalb derer Kundendaten und personenbezogene Daten für Microsoft Enterprise Online Services wie Azure, Dynamics 365, Power Platform und Microsoft 365 gespeichert und verarbeitet werden sollen.

Es kann jedoch bestimmte Umstände geben, in denen Daten weiterhin außerhalb der EU Data Boundary übertragen werden können. Außerdem umfasst „Customer Data“ laut Microsoft nicht Konfiguration von Ressourcen, wie technische Einstellungen und Ressourcennamen. 

Das bedeutet: Digitale Souveränität ist nicht nur Datenablage. Sie ist auch Konfigurationskontrolle.

Willkommen beim Häkchen-Problem

Microsoft 365 ist Evergreen IT. Das ist grundsätzlich großartig. Neue Funktionen kommen laufend dazu, ohne dass du alle paar Jahre ein Mammut-Upgrade planen musst. Früher hat man Software migriert. Heute wacht man auf und irgendwo ist ein neues Feature da. 

Neue Features bringen neue Einstellungsmöglichkeiten. Diese Einstellungen haben Default-Werte. Diese sind nicht automatisch auf maximale Datensouveränität ausgelegt, sondern oft auf maximalen Mehrwert und schnelle Nutzung des Features.

Das ist nicht böse. Das ist Produktlogik.

Ein Anbieter will, dass seine Funktionen genutzt werden. Eine neue KI-Funktion soll Mehrwert bringen. Eine neue Collaboration-Option soll Zusammenarbeit einfacher machen. Eine neue Integration soll Reibung reduzieren. Alles nachvollziehbar.

Aber für dein Unternehmen bedeutet das: Nicht jedes neue Häkchen passt automatisch zu deinem Sicherheits-, Compliance- oder Souveränitätsverständnis.

Beispiel: Eine neue Funktion erlaubt Datenverarbeitung über mehrere Rechenzentrumsregionen hinweg, weil das technisch für Performance oder KI-Berechnung sinnvoll ist. Für den Produktnutzen kann das gut sein. Für deine Datensouveränität nicht.

Ein Konfigurationsschalter kann dazu führen, dass Daten bei bestimmten KI-Modellen technisch bedingt durch verschiedene Microsoft-Rechenzentren laufen. 

Entscheidend ist, ob du diese Einstellung überhaupt siehst und bewerten kannst.

Das Problem: Cloud verändert sich schneller, als man per Hand hinterherklicken kann.

Geteilte Verantwortung: Microsoft macht nicht alles für dich

Hier kommt ein Punkt, der extrem wichtig ist: Cloud bedeutet nicht, dass der Anbieter einfach alles verantwortet.

Microsoft beschreibt das Modell der geteilten Verantwortung sehr klar. In allen Cloud-Modellen bleiben Kundendaten, Konfigurationen und Einstellungen sowie Identitäten und Nutzer in der Verantwortung des Kunden.

Auch Access Management, inklusive rollenbasierter Zugriffskontrolle, Multifaktor-Authentifizierung und Conditional Access, musst du als Kunde implementieren und verwalten.

Oder als Alltagsbild: Microsoft betreibt das Bürogebäude, sorgt für Strom, Aufzüge, Brandschutz und viele Sicherheitssysteme. Aber wer einen Schlüssel bekommt, welche Türen offenstehen, wer nachts rein darf und ob der Praktikant Global Admin wird – das ist deine Hausordnung.

Und ja, der Praktikant ist nett. Aber nein, er braucht nicht den Generalschlüssel für alles.

Digitale Souveränität heißt zuerst: Sichtbarkeit

Im Podcast fällt ein Satz, der für mich der Kern des ganzen Themas ist: Wenn Unternehmen kurzfristig nicht vollständig von Microsoft 365 wegkommen, bleibt als souveränstmöglicher erster Schritt Sichtbarkeit und Handlungsfähigkeit.

Das ist angenehm pragmatisch. Nicht: „Wir reißen morgen alles raus.“
Sondern: „Wir wollen wissen, was wir haben, was sich verändert und wo wir reagieren müssen.“

Denn wie willst du souverän entscheiden, wenn du nicht siehst, was passiert?

Du brauchst Antworten auf Fragen wie:

  • Welche Einstellungen sind aktuell aktiv?

  • Welche Konfigurationen haben sich seit gestern geändert?

  • Welche neuen Features sind hinzugekommen?

  • Welche Default-Werte wurden gesetzt?

  • Welche Dienstleister haben etwas angepasst?

  • Wie weit weicht dein Tenant von deinem gewünschten Standard ab?

  • Welche Einstellung gefährdet eventuell deine Datenhoheit, Compliance oder Sicherheit?

Transparenz über diese Fragen ist digitale Souveränität in praktisch: Was hat sich geändert und warum?

aixpedIT Flow macht Microsoft-365-Konfigurationen sichtbar - im zeitlichen Verlauf.

Konfigurationsstände werden täglich gesichert und verglichen, etwa von „Freitag lief alles“ zu „Montag geht nichts mehr“.

Kontrolle ist mehr als Änderungsverfolgung

Sichtbarkeit ist der Anfang. Kontrolle geht einen Schritt weiter.

Kontrolle ist nicht nur zu verstehen als „Was hat sich seit gestern geändert?“, sondern als Abgleich mit einem definierten Standard. Das kann BSI-Grundschutz sein, CIS Controls, ein eigener Unternehmensstandard oder ein aixpedIT-Standard.

Entscheidend ist: Du definierst, was für dein Unternehmen richtig ist, und erkennst Abweichungen.

Das passt zur aktuellen Sicherheitsrealität. CIS beschreibt den Microsoft 365 Foundations Benchmark als sichere Konfigurationsleitlinie für Microsoft 365, die unter anderem Empfehlungen für Account- und Authentifizierungseinstellungen, Datenmanagement, App-Berechtigungen, Storage und weitere Sicherheitsrichtlinienbereiche abdecken.

Für dich heißt das: Du musst nicht jedes Detail selbst verstehen, aber du brauchst ein System, das dir zeigt:

Sind wir im grünen Bereich – oder hat irgendwo jemand das Fenster offen gelassen?

Und bitte nicht erst, wenn der Wind schon durchs Rechenzentrum pfeift.

NIS 2 macht aus „nice to have“ ein Führungsthema

Auch regulatorisch wird der Druck größer. NIS 2 verlangt von betroffenen Unternehmen angemessene technische, operative und organisatorische Maßnahmen für das Cybersecurity-Risikomanagement.

Dazu gehören unter anderem Incident Handling, Business Continuity, Backup Management, Disaster Recovery, Krisenmanagement, Lieferkettensicherheit, Zugriffskontrolle und Multifaktor-Authentifizierung.

Das holt digitale Souveränität aus der reinen IT-Ecke. Es geht um Unternehmensresilienz, Risikomanagement und Führungsverantwortung.

Oder lockerer gesagt: Wenn der Laden wegen einer falschen Cloud-Konfiguration steht, ist das kein „technisches Detail“, sondern ein Geschäftsführungsdetail mit Zündschnur.

Europäische Alternativen: sinnvoll, aber selten als 1:1-Ersatz

Europäische Alternativen entwickeln sich stark. Es gibt Angebote für Office, Collaboration, Device Management, Rechenzentrumsinfrastruktur, Security und sogar KI-Anwendungen.

„Die eine“ Alternative, die Microsoft 365 komplett und nahtlos ersetzt, gibt es jedoch (noch?) nicht. Stattdessen läuft es oft auf eine Multivendor-Strategie hinaus.

Das kann sinnvoll sein: Eine Multivendor-Strategie reduziert Abhängigkeit von einem einzelnen Anbieter. Du setzt bewusst europäische Alternativen in bestimmten Technologiebereichen ein und behältst Microsoft 365 dort, wo es für dich aktuell unverzichtbar ist.

Aber Multivendor ist kein Zauberstab. Es bringt neue Fragen mit:

  • Wie gut sind die Systeme integriert?

  • Wie läuft der tägliche Betrieb?

  • Wer supportet was?

  • Wie sieht Identity Management aus?

  • Was passiert mit Datenflüssen?

  • Wie komplex wird die Security-Architektur?

Oder weniger höflich formuliert: Du tauschst nicht automatisch ein Problem gegen Freiheit. Manchmal tauschst du ein Problem gegen sieben kleinere, die alle eigene Admin-Oberflächen haben.

Deshalb ist der beste Weg oft nicht die große Sofortmigration, sondern ein gestufter Ansatz: Sichtbarkeit schaffen, kritische Abhängigkeiten identifizieren, Alternativen prüfen, Exit-Szenarien vorbereiten und dort diversifizieren, wo es realistisch Mehrwert bringt.

Der pragmatische Fahrplan für IT-Entscheider

Du musst kein tiefes technisches Fachwissen haben, um das Thema richtig zu steuern. Du musst aber die richtigen Fragen stellen. Und du solltest akzeptieren: „Wird schon passen“ ist keine Cloud-Strategie. Das ist ein Wunsch an das Universum.

Ein realistischer erster Schritt sieht so aus:

1. Verschaffe dir Transparenz über deinen Tenant.

Welche Einstellungen sind aktiv? Welche Admin Center sind relevant? Welche Sicherheits- und Compliance-Regeln greifen wirklich?

Ohne Überblick keine Souveränität.

2. Definiere deinen Soll-Zustand.

Willst du dich an CIS, BSI, internen Policies oder branchenspezifischen Vorgaben orientieren?

Wichtig ist: Es muss einen klaren Standard geben, gegen den du messen kannst.

3. Überwache Veränderungen kontinuierlich.

Neue Features, neue Default-Werte und Konfigurationsänderungen passieren nicht nach deinem Quartalsmeeting-Kalender.

Du brauchst eine laufende Sicht auf Änderungen.

4. Prüfe Dienstleister und Verantwortlichkeiten.

Wer darf was ändern? Wer dokumentiert was? Wer erkennt Abweichungen?

Wenn externe Dienstleister deinen Tenant betreuen, brauchst du auch darüber Kontrolle.

5. Plane Souveränität nicht nur als Migration, sondern als Handlungsfähigkeit.

Vielleicht migrierst du irgendwann Teile deiner IT auf europäische Alternativen. Vielleicht auch nicht.

Aber du solltest wissen, welche Optionen du hast und wie du im Ernstfall reagieren würdest.

6. Nutze Tools, die Sichtbarkeit einfach machen.

Kein IT-Team sollte gezwungen sein, regelmäßig manuell durch acht Admin Center und 5.000+ Einstellungen zu klicken.

aixpedIT Flow ist eine Lösung für diese Herausforderung: Konfigurationen sichtbar machen, Änderungen erkennen, Standards prüfen und damit Souveränität operationalisieren.

Fazit: Du musst nicht sofort raus aus der Cloud. Aber beende den Blindflug.

Digitale Souveränität bedeutet nicht, dass du morgen Microsoft 365 abschalten und deine gesamte IT neu erfinden musst. Das wäre ungefähr so realistisch wie „Wir ersetzen alle Excel-Listen bis Freitag“. Sympathisch: ja. Mutig: auch. Aber auch komplett lebensgefährlich.

Digitale Souveränität bedeutet: Sichtbarkeit. Kontrolle. Handlungsfähigkeit.

  • Du solltest wissen, welche Daten du wo verarbeitest.

  • Du solltest verstehen, welche rechtlichen und technischen Abhängigkeiten bestehen.

  • Du solltest sehen, was in deinem Tenant eingestellt ist.

  • Du solltest erkennen, wenn neue Default-Werte nicht zu deinem Souveränitätsverständnis passen.

  • Und du solltest einen Plan haben, falls du einzelne Dienste ersetzen, auslagern oder parallel betreiben möchtest.

Oder anders gesagt: Dein größtes Risiko ist nicht der große Angriff aus dem dunklen Netz. Manchmal ist es ein kleines Häkchen, das niemand gesehen hat.