Infrastruktursouveränität: Warum physische Kontrolle nach wie vor wichtig ist

Im ersten Teil dieser Serie haben wir IT-Souveränität als die Fähigkeit definiert, Ihre digitalen Ressourcen unter den von Ihnen gewählten Rechtsordnungen und Schutzmassnahmen zu kontrollieren. Im zweiten Teil gehen wir auf die Grundlagen ein: die Infrastruktur. Rechenzentren, Server und Betriebsprozesse mögen wie standardisierte Versorgungsleistungen erscheinen, aber in der Debatte um Souveränität sind sie alles andere als das.

Wenn Ihre kritische Infrastruktur unter ausländischer Rechtshoheit betrieben wird, liegen die Geschäftskontinuität und die Einhaltung von Vorschriften nicht mehr allein in Ihren Händen. Die Souveränität der Infrastruktur wird daher für internationale Unternehmen zu einem Thema auf Vorstandsebene.

Was Infrastruktursouveränität wirklich bedeutet

Im Kern geht es bei der Infrastruktursouveränität darum, die ultimative Kontrolle über die physischen Standorte und den Betrieb von Rechen- und Speichersystemen zu behalten. Es geht nicht nur darum, zu wissen, wo sich Ihre Daten befinden, sondern auch darum, wer das Rechenzentrum betreten darf, wer Administratorrechte hat und welchen Gesetzen diese Betreiber unterliegen.

In der Praxis bedeutet dies oft, dass lokale Rechenzentren oder inländische Colocation-Einrichtungen bevorzugt werden oder zumindest sichergestellt wird, dass die Betriebsprozesse vor ausländischen Einflüssen geschützt bleiben. Souveränität bedeutet hier nicht Isolation, sondern die Fähigkeit zu entscheiden, wann ausländische Partnerschaften akzeptabel sind und wann lokale Kontrolle nicht verhandelbar ist.

Die Risiken der Abhängigkeit

Die Nutzung von Infrastruktur, die sich im Besitz oder unter der Verwaltung ausländischer Unternehmen befindet, birgt konkrete Risiken. Ein in den USA ansässiger Cloud- oder Colocation-Anbieter, der Server in Europa betreibt, unterliegt weiterhin US-amerikanischem Recht, was bedeutet, dass Behörden gemäss dem CLOUD Act Zugriff verlangen können.

Die operative Abhängigkeit ist ein weiteres Problem. Wenn zentrale IT-Abläufe an einen Anbieter in einem Land ausgelagert werden, das Sanktionen oder geopolitischen Spannungen ausgesetzt ist, kann die Kontinuität der Dienstleistungen ohne Vorwarnung gefährdet sein. Die jüngste Debatte darüber, ob Satellitennetzwerke einseitig abgeschaltet werden könnten, zeigt, wie fragil diese Abhängigkeit sein kann.

Strategien für souveräne Infrastruktur

Unternehmen verfügen über mehrere Hebel, um ihre Souveränität zu stärken:

• Inländische Rechenzentren: Das Hosting kritischer Systeme in unternehmenseigenen oder lokal betriebenen Einrichtungen maximiert die Kontrolle. Einige nationale Initiativen, wie beispielsweise die französische Cloud de Confiance, zertifizieren ausdrücklich, dass die Infrastruktur vor der Rechtshoheit von Nicht-EU-Ländern geschützt ist.
• Rechtliche und betriebliche Sicherheitsvorkehrungen: Selbst bei der Nutzung internationaler Anbieter können vertragliche Garantien hinsichtlich Datenlokalisierung, Mitarbeiterüberprüfung und Administratorzugriff das Risiko verringern.
• Verschlüsselung und Schlüsselverwaltung: Durch die lokale Kontrolle über die Verschlüsselungsschlüssel können Unternehmen sicherstellen, dass selbst ausländische Infrastrukturbetreiber keinen Zugriff auf ihre Daten haben.
• Diversifizierung und Redundanz: Die Vermeidung der Abhängigkeit von einem einzigen Anbieter oder einer einzigen Gerichtsbarkeit gewährleistet Ausfallsicherheit. Kritische Workloads sollten immer über eine inländische Ausweichlösung verfügen.

Wenn Souveränität entscheidend ist vs. optional

Nicht alle Workloads erfordern das gleiche Mass an Schutz. Für hochsensible Umgebungen – Regierungssysteme, Verteidigung, kritische Infrastruktur – ist vollständige Souveränität oft gesetzlich vorgeschrieben. Im Gegensatz dazu kann für weniger sensible Workloads oder öffentlich zugängliche Dienste eine strenge Souveränität optional sein, wenn die geschäftlichen Vorteile einer im Ausland gehosteten Cloud die Risiken überwiegen.

Das praktische Ergebnis ist in der Regel hybrid: Geistiges Eigentum und regulierte personenbezogene Daten verbleiben in souveränen Umgebungen, während weniger kritische IT auf globalen Plattformen mit Sicherheitsvorkehrungen läuft.

Akzeptable ausländische Abhängigkeiten

Wahre Souveränität bedeutet nicht, dass alle ausländischen Technologien ausgeschlossen werden müssen. Die meisten Unternehmen akzeptieren die Verwendung von im Ausland hergestellter Hardware oder Standardsoftware wie VMware oder Windows, solange das Unternehmen die operative Kontrolle behält. Selbst Partnerschaften mit globalen Hyperscalern können mit Souveränitätszielen in Einklang gebracht werden, wenn sie mit clientseitiger Verschlüsselung, vertraulichem Computing oder unabhängiger Schlüsselverwaltung kombiniert werden.

Kurz gesagt: Ausländische Komponenten sind akzeptabel, wenn sie nach Ihren Bedingungen betrieben werden. Bei Souveränität geht es nicht um Isolation, sondern um Wahlmöglichkeiten und die Gewissheit, dass Ihnen Ihre kritischsten Systeme nicht aus den Händen genommen werden können.

Die entscheidende Frage

Die Infrastruktur mag als die technischste Ebene der Souveränität erscheinen, aber sie ist auch die greifbarste. Wenn Sie in einer Krise den Zugriff auf Ihre eigenen Server nicht garantieren können, haben Sie dann wirklich die Kontrolle über Ihre IT?

Während die Debatte weitergeht, müssen Unternehmen entscheiden, wo sie die Grenze zwischen Ausfallsicherheit, Compliance und Effizienz ziehen. Die Antwort darauf wird nicht nur ihre Infrastrukturstrategie prägen, sondern auch ihre langfristige Unabhängigkeit in einer zunehmend politisierten digitalen Wirtschaft.

Was kommt als Nächstes?

Im nächsten Teil dieser Reihe werden wir uns mit Cloud-Souveränität befassen – wo rechtliche Kontrolle auf Skalierbarkeit und Innovation trifft.