Fünf Prinzipien für handlungsfähige Staaten
Digitale Souveränität bleibt ohne operative Umsetzung ein politisches Schlagwort. Erst wenn Staaten ihre Abhängigkeiten verstehen, kritische Funktionen priorisieren und strategische Kontrollpunkte sichern, wird aus Souveränität reale Handlungsfähigkeit.
Die Debatte über digitale Souveränität hat in den vergangenen Monaten deutlich an Intensität gewonnen. Abhängigkeiten von globalen Technologie-Anbietern werden zunehmend als strategisches Risiko wahrgenommen, digitale Eigenständigkeit schnell zum politischen Ziel erklärt. Gleichzeitig bleibt der Begriff in vielen Diskussionen unscharf: Er beschreibt häufig, was wir vermeiden wollen – nämlich Abhängigkeiten –, sagt aber selten präzise, welche Architektur-, Beschaffungs- oder Betriebsentscheidungen morgen tatsächlich anders getroffen werden müssten.
Resilienz ist der operativ klarere Begriff – weil sie politische Ziele in konkrete Entscheidungen übersetzt. Gemeint ist die Fähigkeit von Staaten und Organisationen, sich in einer geopolitisch fragilen Welt handlungsfähig zu behaupten.
Resilienz zwingt zur Priorisierung: Welche digitalen Funktionen sind für staatliche Handlungsfähigkeit wirklich entscheidend? Welche müssen im Störfall weiterlaufen? Welche dürfen temporär eingeschränkt werden? Und welche Abhängigkeiten sind akzeptabel – oder sogar sinnvoll –, solange sie aktiv gesteuert werden können? In einer vernetzten Welt aus Cloud-Diensten, Plattformen und spezialisierten Anwendungen entscheidet sich Handlungsfähigkeit nicht an einem einzelnen System, sondern an der Fähigkeit des Gesamtsystems, auch unter Störung weiter zu funktionieren.
Resilienz bedeutet dabei nicht Abschottung. Internationale Technologiepartnerschaften zeigen das deutlich. Das jüngst geschlossene deutsch-indische Abkommen zur Zusammenarbeit bei Künstlicher Intelligenz setzt bewusst auf gemeinsame Forschung, Talentmobilität und verantwortungsvolle Governance statt auf technologische Isolation. Strategische Kooperation kann Handlungsspielräume erweitern.
Mit den European Resilience Summits haben wir eine Veranstaltungsreihe initiiert, die sich genau mit diesen Fragen beschäftigt. In den Diskussionen – zuletzt in London – wurde deutlich: Viele Organisationen erkennen die Herausforderung, ringen aber mit der Umsetzung. Resilienz wird dabei oft an die Fachabteilungen abgegeben, als Sammlung einzelner Sicherheitsmaßnahmen verstanden oder in zusätzliche Regulierung übersetzt – oder bleibt ein abstraktes Zielbild.
Nötig ist ein operativer Rahmen für die Organisation. Gültig für Entscheider- und Fachebene. Fünf Prinzipien können dabei Orientierung geben.
1. Transparenz über Abhängigkeiten schaffen
Resilienz beginnt mit Wissen. Staatliche Organisationen müssen verstehen, von welchen Plattformen, Betreibern und Lieferketten ihre Kernfunktionen tatsächlich abhängen. Viele dieser Abhängigkeiten werden erst sichtbar, wenn Systeme ausfallen oder Verträge sich ändern. Ohne diese Transparenz bleibt jede Souveränitätsdebatte abstrakt.
2. Kritische Funktionen priorisieren
Nicht alles ist gleich kritisch – und nicht alles muss gleich souverän sein. Entscheidend ist die Wirkung eines Ausfalls auf die staatliche Handlungsfähigkeit. Einige Systeme erfordern hohe Kontrolle, andere lediglich Wahlfreiheit und Exit-Optionen. Resilienz entsteht durch bewusste Priorisierung, nicht durch Gleichbehandlung.
3. Strategische Kontrollpunkte definieren
Resiliente Organisationen konzentrieren sich auf wenige Hebel mit großer Wirkung. Dazu zählen etwa digitale Identitäten, Zahlungsinfrastrukturen, kryptografische Vertrauensanker, IT-Sicherheit oder zentrale Betriebsplattformen. Wer diese Punkte beherrscht, bleibt auch in komplexen Abhängigkeitsstrukturen handlungsfähig.
4. Sicherheit präventiv verankern
Reaktive Sicherheitsmodelle stoßen zunehmend an Grenzen. Angriffe werden automatisierter und schwerer erkennbar. Resilienz erfordert daher präventive Ansätze: minimierte Rechte, kontrollierte Ausführung von Anwendungen und Zero-Trust-Architekturen. Sicherheit wird so Teil des Betriebsmodells – nicht nachgelagerte Kontrolle.
5. Den Endpunkt als operativen Anker begreifen
In der Multiservice-Welt sichern Anbieter ihre Plattformen selbst. Verantwortung bleibt jedoch bei den Organisationen, die sie nutzen – insbesondere für Identitäten, Geräte und Datenzugriffe. Der Endpunkt, also der Ort, an dem Menschen tatsächlich mit Systemen arbeiten, wird damit zum ersten und letzten Punkt, an dem Sicherheit konsistent durchgesetzt werden kann.
Digitale Souveränität bleibt ein wichtiges politisches Ziel. Operativ wirksam wird sie jedoch erst, wenn sie als Resilienz verstanden wird: als Fähigkeit, Abhängigkeiten sichtbar zu machen, bewusst zu gestalten und strategische Kontrollpunkte dauerhaft zu sichern.
Organisationen, die diese Logik verinnerlichen, müssen nicht alles selbst betreiben. Aber sie wissen, welche Funktionen sie im Ernstfall kontrollieren müssen – und wo Kooperation ihre Handlungsspielräume erweitert.
In einer Welt wachsender geopolitischer Spannungen entscheidet sich staatliche Souveränität deshalb weniger an der Frage der Autarkie als an der Fähigkeit, auch unter Störung handlungsfähig zu bleiben.
Resilienz ist damit kein technisches Detail der IT-Architektur – sondern ein zentraler Bestandteil moderner Sicherheitsstrategie für die Gesamtorganisation.
Autoren: Ron de Jonge ist Bereichsvorstand der Sopra Steria SE und leitet die Geschäftsbereiche Public Sector und Defence & Security.
Dr. Philipp Müller ist Vice President Business Development der DriveLock SE.
Russland - Venezuela - Taiwan - Grönland: Diese Stichworte reichen, um deutlich zu machen, dass sich die Entscheidungsgrundlagen für alle Sicherheitsstrategen fundamental ändern. Was sind die Leitlinien für eine künftige Sicherheitsstrategie? Worauf müssen wir uns geopolitisch einstellen? Und welche Rolle spielen Innovation, Industrie, Resilienz und Bündnisse dabei?
