Digitale Souveränität: Europäischer Datenspeicher zur Resilienzstärkung

Datensicherheit im geopolitischen Spannungsfeld – Digitale Souveränität keine theoretische Debatte, sondern strategische Notwendigkeit

[datensicherheit.de, 21.07.2025] Im Kontext Digitaler Souveränität habe sich die europaweite Debatte in den vergangenen Wochen überwiegend auf das Thema „Künstliche Intelligenz“ (KI) fokussiert („AI-Gigafactory“ etc.) – dabei sei aber ein anderer Aspekt gerade etwas in den Hintergrund geraten: Cyberresilienz und die Kontrolle über kritische Daten innerhalb Europas. Roland Stritt, CRO bei FAST LTA, erläutert in seiner aktuellen Stellungnahme, wie und warum hybride Infrastrukturen die Kontrolle über kritische Daten sichern könnten:

Foto: FAST LTA

Roland Stritt: Digitale Souveränität wird zur Investition in die Handlungsfähigkeit von morgen!

Datensicherheit erfordert heutzutage auch digitale Unabhängigkeit

Er führt aus: „In einer zunehmend geopolitisch angespannten Welt rückt digitale Unabhängigkeit in den Vordergrund. Daten sind längst ein Machtfaktor und ihr Schutz entscheidet über Innovationskraft, Sicherheit und Vertrauen.“

• Wie verletzlich diese digitale Abhängigkeit sein könne, zeige ein Vorfall im Mai 2025: „Ein US-amerikanischer ,Cloud’-Anbieter sperrte auf Anweisung der US-Regierung das Postfach des Chefanklägers des Internationalen Strafgerichtshofs.“

Die internationale Justiz sei damit handlungsunfähig gewesen. Dieser Vorfall verdeutlicht laut Stritt, wie politischer Druck von außen den Zugang zu digitalen Ressourcen in Europa gefährden kann.

Daten in US-basierten „Clouds“ unterliegen „CLOUD Act“ oder „FISA 702“

„Immer mehr Unternehmen und öffentliche Einrichtungen erkennen deshalb: Digitale Souveränität ist keine theoretische Debatte mehr, sondern eine strategische Notwendigkeit!“

• „Cloud“-Dienste brächten Skalierbarkeit und Flexibilität. Zugleich wachse jedoch das Risiko des Kontrollverlusts. „Daten in US-basierten ,Clouds’ unterliegen dem ,CLOUD Act’ oder ,FISA 702‘.“

Diese Regelungen erlaubten US-amerikanischen Behörden den Zugriff, „auch wenn die Daten physisch in Europa gespeichert sind“. Dies stehe indes im Widerspruch zur DSGVO und gefährde die Rechtskonformität.

Krankenhaus-Verwaltung und -Datensicherung vollständig in der „Cloud“ – bei Internetausfall droht Verfügbarkeitsproblem

Auch das neue „Data Privacy Framework“ bleibe politisch angreifbar. „Nach Regierungswechseln könnte es erneut ausgesetzt oder verändert werden.“ Unternehmen dürften deshalb nicht allein auf internationale Abkommen vertrauen, um dauerhaft Datenschutz und Betriebsfähigkeit zu gewährleisten.

• Neben juristischen Risiken träten operative Schwächen zutage. Stritt berichtet: „Nach der Flutkatastrophe im Ahrtal 2021 verlor ein Krankenhaus tagelang den Zugriff auf Patientendaten. Die Verwaltung und Datensicherung waren vollständig in die ,Cloud’ ausgelagert.“

Als das Internet ausfiel, hätten keine lokalen Kopien zur Verfügung gestanden – die Versorgung sei zum Stillstand gekommen. „Solche Szenarien belegen, dass Organisationen im Ernstfall keine Handlungsfähigkeit haben, wenn kritische Systeme nur aus der Ferne erreichbar sind“, so Stritt.

Unternehmen müssen belegen, wo ihre Daten gespeichert sind, wer darauf zugreift…

Technisch blieben viele Abläufe in der „Cloud“ intransparent. Unternehmen könnten oft nicht überprüfen, „wie Backups gesichert werden oder ob zusätzlich physisch getrennte Notfallkopien existieren“. Auch Angriffe durch Ransomware oder menschliche Fehler bedrohten Systeme, „wenn keine unveränderbaren und lokal geschützten Kopien verfügbar sind“.

• Mit Vorgaben wie NIS-2 und DORA stiegen die Anforderungen an Unternehmen: Sie müssten belegen, „wo ihre Daten gespeichert sind, wer darauf zugreift und wie schnell Systeme nach einem Vorfall wiederhergestellt werden können“. Es sei schwierig, solche Nachweise gegenüber Aufsichtsbehörden zu erbringen, „wenn zentrale IT-Prozesse vollständig ausgelagert sind“.

Auch geopolitische Konflikte oder Sanktionen könnten dazu führen, dass Anbieter ihre Dienste kurzfristig einstellen oder ändern müssten. Preissteigerungen und Vertragskündigungen könnten Organisationen zusätzlich belasten, „wenn sie zu stark von einzelnen Anbietern abhängig sind“. Stritt warnt: „Diese Risiken betreffen nicht nur große ,Cloud’-Anbieter, sondern wirken sich direkt auf alle Branchen aus, die auf deren Infrastruktur angewiesen sind!“

Europäischer On-Premises-Speicher als stabile Basis für Datensicherheit

Hybride Konzepte mit europäischem „On-Premises“-Speicher böten hierzu einen Ausweg. Organisationen könnten ihre kritischsten Daten lokal verwalten und zugleich „Cloud“-Dienste ergänzend einsetzen. „Daten, die in europäischen Speicherlösungen abgelegt werden, unterliegen ausschließlich dem EU-Recht. Das erleichtert die Einhaltung der DSGVO und schafft Vertrauen bei Prüfern und Aufsichtsbehörden.“

• Darüber hinaus stärkten „On-Premises“-Lösungen die operative Autonomie. Air-gapped-Backups und hardwarebasierte WORM-Technologien (Write Once Read Many) sicherten Daten unveränderbar. Bei einem Ausfall des Netzwerks oder der „Cloud“ blieben sie lokal verfügbar. „So sind Organisationen selbst bei Cyberangriffen wie Ransomware oder Naturkatastrophen schnell wieder handlungsfähig“, unterstreicht Stritt.

Zudem ermöglichten europäische Speicherplattformen kürzere Lieferwege und direkten Support über lokale Partner. Dies erleichtere die Wartung und erhöhe die Planungssicherheit. Auch ein „Vendor-Lock-in“ lasse sich vermeiden, „wenn Daten lokal in einem standardisierten Format abgelegt werden“. Unternehmen würden damit nicht nur juristische Sicherheit gewinnen – sondern auch Unabhängigkeit von Lieferketten und internationalen Machtinteressen.

Schritte zur Digitalen Souveränität sind bewusst und strukturiert zu gehen

Digitale Souveränität entstehe nicht automatisch – Unternehmen müssten diese bewusst und strukturiert aufbauen:

1. Datenflüsse und Risiken analysieren!
   Organisationen sollten systematisch prüfen, welche Daten aktuell in ausländischen, insbesondere US-basierten „Cloud“- und SaaS-Diensten verarbeitet werden. Sensible oder besonders geschäftskritische Daten gelte es zu identifizieren. „Das bildet die Grundlage, um die größten Risiken für die Souveränität zu erkennen.“
2. „Cloud2-Strategie überprüfen!
   Stritt empfiehlt, besonders kritische Daten gezielt in die eigene Infrastruktur zurückzuführen. „Falls eine Speicherung in der ,Cloud’ unvermeidbar ist, sollten diese Daten ,Ende-zu-Ende’ verschlüsselt werden, idealerweise mit eigenen Schlüsseln.“
3. Hybride Infrastruktur etablieren!
   Der parallele Betrieb von „Cloud“-Diensten und On-Premises-Lösungen verbinde Skalierbarkeit mit maximaler Kontrolle. „So bleiben Unternehmen flexibel und gleichzeitig in Krisenfällen eigenständig handlungsfähig.“
4. Unveränderbare und Air-gapped-Backups umsetzen!
   Backups sollten nicht nur unveränderbar gespeichert werden, sondern zusätzlich physisch getrennt (Air Gap). Diese Kombination schütze vor Cyberangriffen, menschlichen Fehlern oder Manipulation. „Sie bildet die letzte Verteidigungslinie.“
5. Transparenz und „Compliance“ sicherstellen
   Eine lückenlose Dokumentation der Speicherorte, Zugriffe und Schutzmaßnahmen sei Pflicht. Nur so könnten Unternehmen gegenüber Regulierungsbehörden nachweisen, „dass sie NIS-2, DORA und andere Vorgaben erfüllen“.
6. Europäische Technologien und Partner bevorzugen!
   Wo möglich, sollten Unternehmen auf Lösungen setzen, welche in Europa entwickelt und gehostet werden. „Das reduziert Abhängigkeiten von ausländischen Gesetzen und intransparenten Black-Box-Technologien.“ Gleichzeitig profitierten Unternehmen von kürzeren Liefer- und Support-Wegen. Europäische Speicherlösungen böten zudem eine zusätzliche Absicherung, „damit Daten nicht ungewollt in geopolitische Konflikte geraten“. Immer mehr Organisationen aus dem öffentlichen und regulierten Sektor entschieden sich daher bewusst für heimische IT.

Digitale Eigenverantwortung: Daten- und Systemarchitektur konsequent unter eigener Kontrolle

Digitale Souveränität verlange mehr als gute Verträge. „Sie schützt Organisationen vor politischem Druck, technischen Ausfällen und regulatorischen Konflikten.“

• Nur wer seine Daten- und Systemarchitektur konsequent unter eigener Kontrolle behält, könne im Krisenfall verlässlich reagieren.

Abschließend gibt Stritt zu bedenken: „Digitale Souveränität bedeutet aber mehr als Schutz. Sie schafft die Grundlage für nachhaltige Innovationen, stabile Geschäftsmodelle und Vertrauen bei Kunden und Partnern. Damit wird sie zu einer Investition in die Handlungsfähigkeit von morgen!“

Weitere Informationen zum Thema:

FAST LTA, Blog, Marek Birkenhauer, 11.07.2025
Europa im Cybersicherheits-Wandel / Der HarfangLab State of Cybersecurity Report 2025 zeigt: 40% der europäischen Unternehmen bewerten ihr Cyber-Bedrohungsniveau als extrem schwerwiegend. Der strategische Fokus verschiebt sich von reiner Abwehr zu ganzheitlicher Resilienz und digitaler Souveränität. Geopolitische Spannungen und KI als Angriffs- und Verteidigungsinstrument treiben diesen Wandel zu lokalen, kontrollierbaren Infrastrukturen voran.

datensicherheit.de, 11.07.2025
Cybersicherheit: Deutsche Unternehmen setzen zunehmend auf Digitale Souveränität / Laut einer neuen Studie von HarfangLab messen 81 Prozent der Führungsetagen in deutschen Unternehmen Digitaler Souveränität heute mehr Bedeutung zu als noch vor einem Jahr

datensicherheit.de, 21.05.2025
Hybrid-Cloud: KI zwingt deutsche Unternehmen Abstriche bei der Sicherheit zu machen / Laut einer Gigamon-Studie verursacht KI größeres Netzwerkdatenvolumen und -komplexität und folglich auch das Risiko. Zudem gefährden Kompromisse die Sicherheit bei einer Hybrid-Cloud-Infrastruktur, weshalb deutsche Sicherheits- und IT-Entscheider ihre Strategie überdenken und sich zunehmend von der Public Cloud entfernen. Gleichzeitig gewinnt die Netzwerksichtbarkeit weiter an Bedeutung.

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa / Unternehmen und Organisationen speichern und verarbeiten sensible Daten bei US-basierten „Cloud“-Anbietern – mangels europäischer Alternativen