Unternehmen wollen genauso wie Staaten ihre digitale und technologische Souveränität steigern und Abhängigkeiten besser managen können. Dafür ist es wichtig, dass Entscheider einschätzen können, wie souverän oder abhängig das eigene Unternehmen ist. Eine Methodik von Sopra Steria Next hilft, Souveränität messbar zu machen.
Geopolitische Spannungen, wirtschaftliche Unsicherheiten und technologische Abhängigkeiten schränken den Handlungsspielraum von Unternehmen zunehmend ein. Wer nicht gezielt in die eigene Souveränität auf verschiedenen Ebenen investiert, riskiert, geschäftskritische Kompetenzen und Kontrollmechanismen aus der Hand zu geben.
Während Staaten primär darauf abzielen, politische, wirtschaftliche und digitale Handlungsfähigkeit auf nationaler Ebene zu sichern, stehen Unternehmen vor ganz anderen Herausforderungen: Sie müssen Wertschöpfung, Innovationskraft und Zukunftsfähigkeit in einem zunehmend komplexen internationalen Technologiemarkt absichern.
Starke digitale und technologische Abhängigkeit
Die Realität zeigt: In vielen Unternehmen bestehen mitunter erhebliche Abhängigkeiten – von einzelnen Cloud-Anbietern, proprietären Softwarelösungen oder externem technologischem Know-how. Entwicklungen wie potenzielle Digitalzölle, regulatorische Unsicherheiten und volatile Lieferketten führen uns eindrücklich vor Augen, wie riskant fehlende Souveränität sein kann.
20x taucht der Begriff „Souveränität“ im Zusammenhang mit digitalen oder technologischen Aspekten im Koalitionsvertrag auf. (Quelle: Koalitionsvertrag der 21. Legislaturperiode, 2025, CDU/CSU/SPD)
Umso wichtiger ist es, den Status quo kritisch zu hinterfragen: Wie souverän ist das eigene Unternehmen wirklich – digital und technologisch? Welche Stellhebel stehen zur Verfügung, um Abhängigkeiten zu reduzieren und die strategische Unabhängigkeit zu stärken? Und wie lässt sich Souveränität überhaupt konkret messen?
Digitale und technologische Souveränität messbar machen – zwei Schlüssel zur unternehmerischen Unabhängigkeit
Es geht somit für Unternehmen darum, Abhängigkeiten systematisch zu identifizieren, kritisch zu bewerten und strategisch zu steuern – ohne dabei an Innovationsfähigkeit und Skalierbarkeit einzubüßen. Bei Sopra Steria Next verstehen wir Souveränität als ein vielschichtiges Konstrukt. Vor diesem Hintergrund haben wir ein Modell mit mehreren Dimensionen von Souveränität entwickelt. Es bildet die Grundlage für die Bewertung und lässt sich sowohl auf Staaten als auch auf Unternehmen anwenden.
Für die Unternehmensperspektive haben sich zwei Dimensionen als erfolgskritisch herauskristallisiert – digitale und technologische Souveränität:
- Digitale Souveränität bezieht sich auf Aspekte wie Datenhoheit, IT-Sicherheit und Plattformökonomie.
- Technologische Souveränität steht für die Fähigkeit, IT-Infrastrukturen, Cloud-Leistungen und Applikationslandschaften störungsfrei zu nutzen und sie zudem selbst zu durchdringen, zu gestalten und weiterzuentwickeln.
Oder konkreter:
Digitale Souveränität bedeutet, die Kontrolle über Daten, IT-Sicherheit und digitale Plattformen im Unternehmen zu behalten – und diese selbstbestimmt zu betreiben. Sie betrifft nicht nur die IT, sondern auch Governance, Compliance und Betriebsmodelle.
Dazu kommen drei Subdimensionen, die sich Unternehmen anschauen sollten:
- Datenstrategie und Datenhoheit: Aufbau klarer Datenverantwortlichkeiten und souveräner Datenflüsse entlang regulatorischer, technischer und geschäftlicher Anforderungen.
- IT-Security und Compliance-Architektur: ganzheitliche Sicherheits- und Governance-Strukturen, die Cyberrisiken minimieren und regulatorische Anforderungen systematisch integrieren.
- Digitale Betriebsführung und Plattformsteuerung: Steuerung und Betrieb digitaler Plattformen mit klarer Kontrolle über Abhängigkeiten, Zugriff und Integration externer Services.
Technologische Souveränität wiederum beschreibt die Fähigkeit eines Unternehmens, Schlüsseltechnologien nicht nur zu nutzen, sondern auch zu verstehen, strategisch weiterzuentwickeln – und bei Bedarf unabhängig zu betreiben.
Auch hier gibt es drei Subdimensionen, die technologische Souveränität ausmachen:
- Infrastruktur- und Betriebssteuerung: selbstbestimmte Gestaltung und Skalierung von IT-Infrastrukturen – von Rechenzentren bis zur Edge.
- Cloud-Architektur und Plattformstrategie: Nutzung der Cloud mit klar definierter Plattformstrategie und Exit-Optionen zur Reduktion von Lock-in-Effekten.
- Applikationslandschaft und Technologieportfolio: bewusster Aufbau eines modularen, strategisch steuerbaren Technologie-Stacks – offen für Wandel, aber nicht beliebig abhängig.
Wichtig: Souveränität bedeutet nicht, jede Form von Abhängigkeit zu eliminieren. Es geht darum, zu wissen, wo und warum man abhängig ist – und was dies im Krisenfall kostet.
Die sechs Dimensionen digitaler und technologischer Souveränität
Risikomanagement ist vorrangig auf Schadensbegrenzung ausgerichtet
Nun könnte der Eindruck entstehen, dass digitale und technologische Souveränität bereits durch das im Unternehmen etablierte Risikomanagement abgedeckt werden. Das trifft nur zum Teil zu. Wir begleiten unsere Kunden zum Beispiel bei der Umsetzung regulatorischer Anforderungen und Branchenstandards – etwa des Digital Operational Resilience Act (DORA) zur Stärkung der digitalen operationellen Resilienz sowie der NIS2-Richtlinie zur Erhöhung der Cybersicherheit in kritischen Infrastrukturen. Diese Vorgaben helfen, Risiken gezielt zu minimieren und Resilienz gegenüber Cyber-Bedrohungen zu stärken.
Wir stellen dabei jedoch fest, dass die Umsetzung klassischer Regulatorik sowie das Risikomanagement Unternehmen nicht automatisch digital und technologisch souveräner machen. Beide Disziplinen decken nicht vollumfänglich alle Dimensionen und Ziele digitaler und technologischer Souveränität ab.
Risikomanagement ist vorrangig auf Schadensbegrenzung ausgerichtet. Digitale und technologische Souveränität gehen weiter und zielen darauf ab, langfristig und nachhaltig die technologische Selbstbestimmung zu sichern. Gerade in regulierten Branchen wie dem Finanz-, Versicherungs- und Gesundheitswesen gewinnt dieser Aspekt an Bedeutung.
Das bedeutet für Unternehmen: Es kommt zusätzlich zur Compliance noch etwas hinzu, was sie aktiv und nicht reaktiv steuern und managen müssen. Statt „nur“ regulatorische Anforderungen zu erfüllen, müssen sie strategische Weichen stellen, um digital und technologisch das Heft des Handelns in der Hand zu behalten.
Souveränität zu messen ist komplex – aber möglich
Souveränität betrifft das Unternehmen als Ganzes – also zum Beispiel neben dem Risikobewusstsein auf der Führungsebene auch die nötigen Kompetenzen, und Souveränität schließt alle Teams ein von der IT bis zum Einkauf. Je größer das Unternehmen, desto versteckter die Abhängigkeiten und desto größer die Herausforderung, relevante Stakeholder zu identifizieren und alle Dimensionen zu erfassen.
Um digitale und technologische Souveränität unternehmensweit zu messen, bedarf es somit einer systematischen Vorgehensweise und einer transparenten Vertrags- und Datengrundlage. Als methodische Leitplanke eignet sich ein Sovereignty Assessment, das Expertinnen und Experten von Sopra Steria Next entwickelt haben. Es bietet einen pragmatischen Ansatz, ungewollte Abhängigkeiten und Handlungsfelder aufzuzeigen, um sich digitaler und technologisch souveräner aufzustellen. Wir unterstützen bei der Analyse der aktuellen Applikations- und Infrastrukturlandschaft, um Handlungsfelder zu identifizieren und Risiken sowohl in Bezug auf die Kritikalität als auch auf die externe Abhängigkeit von außereuropäischen Technologie- und Lösungsanbietern zu minimieren.
Was wir im Sovereignty Assessment konkret messen
Das Assessment beleuchtet anhand von mehr als 100 Fragen entlang von 30 Steuerungsfeldern die sechs genannten Dimensionen digitaler und technologischer Souveränität. Dazu zählen unter anderem technologische Bindungen, Datenhaltung und Governance. Dabei geht es nicht um „gefühlte“ Risiken, sondern um messbare Kriterien.
Zwei Beispielfragen aus dem Assessment geben einen kurzen Einblick:
- Cloud-Abhängigkeit von proprietären Diensten
In welchem Maß sind Ihre Applikationen und Systeme an proprietäre Dienste eines einzelnen Cloud-Anbieters gebunden (z. B. Datenbanken, Funktionen, Authentifizierung)?
Erklärung: Die Nutzung von Azure Cosmos DB, AWS Lambda oder Google BigQuery ohne abstrahierende Zwischenschicht führt oft zu einem hohen Vendor Lock-in.
2. Datenstandorte geschäftskritischer Informationen
Wie hoch ist der Anteil Ihrer geschäftskritischen Daten, die innerhalb der EU gespeichert werden (z. B. in Rechenzentren mit Standortnachweis)?
Erklärung: Produktive Kundendaten werden ausschließlich in zertifizierten Rechenzentren innerhalb Deutschlands oder der EU gespeichert.
Die Antworten werden systematisch ausgewertet und grafisch aufbereitet. So entsteht ein granulares und umfassendes Bild vom Stand der digitalen und technologischen Souveränität von Unternehmen. Aus Bauchgefühl werden fundierte, übersichtliche und nachvollziehbare Fakten.
Oft werden Abhängigkeiten erst durch diesen strukturierten Blick sichtbar – etwa bei tief integrierten Cloud-Diensten, Lizenzmodellen mit eingeschränkten Exit-Optionen oder indirekten Drittlandbeziehungen über Subunternehmer. Auch das sind Faktoren, die wir im Assessment berücksichtigen.
Von der Analyse zur Strategie
Unternehmen können die Ergebnisse des Sovereignty Assessment als datengestützte Grundlage für strategische Entscheidungen nutzen, etwa zur Reduktion von Lieferantenabhängigkeiten, zur Neuausrichtung der Cloud-Strategie oder zur gezielten Förderung interner Kompetenzen. Ziel ist es, die digitale und technologische Souveränität des Unternehmens nachhaltig zu stärken.
Wer einen konkreten Einblick in die Messung von Souveränität erhalten möchte, nutzt diesen Quick Check. Dieser bietet eine einfache Möglichkeit, sich mit nur wenigen Fragen einen ersten Eindruck vom eigenen Stand der digitalen und technologischen Souveränität zu verschaffen.
