Svenja W: Hallo Stephan, Europas digitale Souveränität ist nicht mehr als ein schönes Konzept. Stefan Fahl beleuchtet in seinem Blog [1] die “Nicht-Souveränität” Europas. Wie bewertest du aktuell diese Lage?
Stephan E: Die Dringlichkeit ist in den letzten Wochen und Monaten durch die geopolitische und wirtschaftliche Lage nochmals massiv gestiegen. Ich hatte schon vor einiger Zeit darauf hingewiesen, dass dieses Thema an Gewicht zunehmen wird. Die jüngsten Entwicklungen haben diese Intensität nur bestätigt. Wir können nicht länger so blind weitermachen, wie wir das in der Vergangenheit getan haben. Es geht um die Eigenständigkeit, die Resilienz und letztlich um die Wettbewerbsfähigkeit Europas. Für mich lautet heute die Frage nicht mehr ob, sondern wie schnell wir eine Neuausrichtung vornehmen können.
Svenja W: Ja, so eine Aussage hatte ich erwartet. Es gibt so viele Bereiche, bei denen wir weltweit sehr eng vernetzt und gekoppelt sind. Ein Bereich, der vor allem auch Unternehmen betrifft, ist die Cloudinfrastruktur. Laut aktuellen Marktanalysen [3] beläuft sich der Anteil amerikanischer Cloudanbieter in Europa auf 60%, gefolgt von asiatischen Anbietern mit 25% und europäischen von 15%. Diese Abhängigkeit zieht sich dann aber weiter über Betriebssysteme, wie MacOS und Windows, Mikrochips bis hin zu Browsern, Social Media Apps und Messengern. Ich selbst nutze ja bereits Signal als Alternative, nur habe ich das Problem, dass die Mehrzahl meiner Kontakte auf WhatsApp zu finden sind. Wie könnte deiner Ansicht nach eine nachhaltige Strategie hin zu mehr digitaler Souveränität im privaten, aber vor allem im unternehmerischen Umfeld aussehen?
Stephan Eberle: Diese Zahlen sprechen eine erschreckend klare Sprache. Und sie zeigen, wie tief diese Abhängigkeit in unserer digitalen Infrastruktur verwurzelt ist. Sie reicht von der Cloud-Infrastruktur über Shopsysteme, Datenbanken, Sicherheitssystemen bis hin zu Bezahlsystemen. Die Auswirkungen können gravierend sein, wie wir im Falle der Sanktionen gegen die Richter des Internationalen Gerichtshofes gesehen haben. Für sie hat der Ausschluss aus diesen Systemen weitreichende Folgen, die weit über das Versenden von E-Mails hinausgehen: bargeldlose Zahlungen können nicht durchgeführt werden, Hotels nicht gebucht werden, Kreditkarten sind von heute auf morgen ungültig. Mein Weg hin zu mehr digitaler Souveränität und weniger Abhängigkeit setzt nicht auf einen “Big Bang”-Komplettumstieg, sondern eine schrittweise Strategie.
Mit dem +1-Migrationspfad hin zum 2-Geschwindigkeiten-Modell der IT-Infrastruktur
Svenja W: Bei dem Wort “schrittweise” denke ich direkt an das japanische Prinzip Kaizen – die Philosophie der kontinuierlichen Verbesserung in kleinen, schrittweisen Etappen. Nachdem Toyota damit so erfolgreich sein Produktionssystem aufgebaut hatte, was schon 40 Jahre her ist, nutzen heute diverse Unternehmen weltweit diesen Ansatz zur kontinuierlichen Verbesserung. Das wird vor allem in Produktions- oder Entwicklungsprozessen eingesetzt. Mit Changemanagement, bspw. in Richtung “digitaler Souveränität”, bringe ich es jetzt direkt nicht in Verbindung. Wie genau würdest du einen derartigen Umstieg beschreiben?
Stephan E: Es ist mir wichtig, nicht einen “entweder-oder”-Ansatz zu propagieren. Ich orientiere mich eher an dem „+1“-Ansatz des DI.Day, des digitalen Unabhängigkeitstages [5]. Diese Initiative ruft jeden ersten Sonntag des Monats dazu auf, zu digitalen Angeboten zu wechseln, die mit unseren demokratischen Werten vereinbar sind. Dabei muss man nicht sofort alles kappen. Stattdessen schaltet man zunächst eine zusätzliche, souveräne Alternative hinzu. Das nimmt den Druck heraus. Genauso können Unternehmen verfahren. So schneidet sich das Unternehmen nicht plötzlich von einer funktionierenden Infrastruktur ab und schafft ein zweites Standbein. Das bedeutet zunächst mehr Redundanz, Wartungsaufwand und Kosten. Es senkt aber das Risiko eines Komplettausfalls und schafft Resilienz. Fällt das eine System aus, hast du ein Backup. Ich würde im geschäftlichen Umfeld in kleinen, vertretbaren Bereichen beginnen. Hier kann man ohne Druck Alternativen erproben und die „Nadel jeden Tag ein Stückchen in Richtung Unabhängigkeit verschieben.“
Svenja W: Wobei der Druck, wie wir ja jeden Tag in den Nachrichten lesen, zunimmt. Von einem +1-Ansatz habe ich kürzlich aus dem Land Schleswig-Holstein gelesen [4]. Hier gibt es ein Projekt „Linux?+1“ der Landesregierung. In der öffentlichen Verwaltung entstehen digital souveräne IT?Arbeitsplätze, die weg von den bisherigen Standards, wie Windows/Office hin zu Linux und Open-Source-Software aufgebaut werden. Hier bedeutet das “+1”, dass neben Linux als Basisbetriebssystem zusätzlich alle nötigen Open?Source-Anwendungen und Dienste bereitgestellt werden, um einen voll funktionsfähigen, modernen IT?Arbeitsplatz zu schaffen. Stellst du dir die Zielarchitektur für Unternehmen ähnlich vor?
Stephan E: Ich würde bei Unternehmen einen hybriden Ansatz vorziehen. Es hat keinen Sinn, sich unnötig aus funktionierenden Systemen auszuschließen, nur um maximal souverän zu sein. Ich sehe hier eher ein 2-Geschwindigkeiten-Modell: Zielarchitekturen mit einer Kombination aus hochperformanten Hyperscale-Cloudkomponenten (meist amerikanisch) und EU-Rechts- und Datenschutzkonformen Cloudkomponenten. Letztere sind zwar weniger performant, bieten aber mehr Schutz für sensible Daten und stellen ein wertvolles Backup-System für den “Fall der Fälle” dar. Aktuell sehe ich derartige Changeprozesse eher weniger. Hier fehlt mir im Allgemeinen etwas der Tatendrang. Ich wünsche mir, dass wir – Unternehmen in Europa – das Bewusstsein entwickeln und die Tendenz hin zu mehr Eigenständigkeit ganz klar favorisieren. Vor allem sollten wir Europas Pflänzchen gießen: Förderung statt nur Lippenbekenntnisse.
Svenja W: Ja, dazu hast du ja deinen Unmut zu den Plänen der bayerischen Landesregierung öffentlich geäußert, milliardenschwere Lizenzverträge mit Microsoft auf den Weg zu bringen [6]. Interessant in diesem Zusammenhang finde ich auch die Initiative von AWS Europa mit seinem neuen Produkt, der so genannten “European Digital Sovereignty Cloud” (ESC) zu unterstützen. Das BSI prüft aktuell, ob die ESC mit den rechtlichen Vorgaben in Europa vereinbar ist [8]. Wie schätzt du diese Initiative ein? Unsere „heimischen Pflänzchen“ werden durch derartige Angebote ja weniger gestärkt, oder?
Stetig und konsequent handeln
Stephan Eberle: Du sagst es. Ich frage mich, ob diese ESC nicht eine Totgeburt ist. Eine Studie der Uni Köln legt dar, dass sogar europäische Unternehmen mit „relevanten Geschäftsbeziehungen in die USA“ von der US-Jurisdiktion erfasst werden können [9]. Meiner Ansicht nach scheint die von der ESC geplante Abkopplung von der globalen AWS?Umgebung alles andere als ausreichend, um die Daten wirklich vor Herausgabepflichten zu schützen. Auch Gipfeltreffen, wie im November 2025 in Berlin [7] sind ein guter Start. Darüber hinaus sollten wir aktiv Alternativen schaffen, finden und verwenden.
Ein Beispiel ist Black Forest Labs [10] in Freiburg, die Open Weight KI-Lösungen für Bildbearbeitung entwickeln und das Potenzial haben, eine Alternative zu Lösungen von Unternehmen wie Open AI zu bieten. Solche Ansätze müssen wir sehen, ihnen eine Chance geben und sie fördern. Die konsequente Haltung von Schleswig-Holstein auf Alternativen zu setzen, zeigt, dass ein anderer Weg möglich und machbar ist. Es ist eine Frage des Willens und der Bereitstellung von Ressourcen. Diese Transformation geschieht nicht von allein und nicht von wenigen.
Der risiko-getriebene Ansatz: Selbst entscheiden statt EU-Diktat
Svenja W: Das haben auch die Regierungen erkannt. Am 6. Mai 2025 wurde in Deutschland, das BMDS, das Bundesministerium für Digitale Souveränität gegründet. Der Fokus liegt hier, wie der Name schon sagt, in der Stärkung der technologischen Unabhängigkeit in den Bereichen KI, Cloud-Infrastrukturen, Zero Trust und Open Source. Erste Schritte waren unter anderem der Europäische Souveränitätsgipfel im November, Investitionspakete und Partnerschaften, sowie die Gründung eines Infrastrukturgremiums zwischen Frankreich, Deutschland, Italien und den Niederlanden [13]. Auf europäischer Ebene gibt es seit 2022 die beiden recht jungen Gesetze Digital Services Act (DSA) und Digital Markets Act (DMA) [14]. Diese zielen darauf ab, sehr große externe Player im europäischen Markt zu beobachten und den Einfluss zu regulieren. Sie sprechen von VLOBs, also Very Large Online Platforms oder Very Large Online Search Engines (VLOSEs). Diese haben unter Umständen einen derart mächtigen Marktanteil im europäischen Binnenraum, dass sie als sogenannte “Gatekeeper” bezeichnet werden. Sie sind in der Lage, durch ihr Handeln einen entscheidenden Einfluss auf diesen Markt auszuüben. Ich sehe ganz klar, dass sich hier etwas bewegt. Meinst du das reicht oder würde deiner Ansicht nach eine verpflichtende Verordnung nach dem Muster des Cyber Resilience Acts (CRA) stärkere Wirkung entfalten?
Stephan E: Eine erzwungene Compliance, eine Art „Digital Sovereignty Act“ nach dem Muster einer weiteren EU-Richtlinie, würde am Ende nur Innovation und Best-Practices bremsen und das Gesamtsystem weiter verkomplizieren. Es gibt Bereiche, in denen die ausländischen Lösungen schlichtweg die weltweit führenden sind – nimm Google Gemini als Beispiel. Ich finde es wäre absurd, Unternehmen per Gesetz zu zwingen, dieses nicht zu nutzen und stattdessen auf eine weniger leistungsfähige Alternative umzusteigen – daher präferiere ich diesen 2-Phasen-Ansatz. Die Verantwortung sollte bei den Unternehmen bleiben. Ich favorisiere einen risiko-getriebenen Ansatz: Jedes Unternehmen erstellt eine grobe Risikobewertung hinsichtlich der digitalen Souveränität. Es geht um die Frage: Kann ich das Risiko vertreten, das ich eingehe, wenn ich dieses oder jenes System exklusiv nutze?
Das Risiko steigt durch die internationalen Entwicklungen ohnehin. Unternehmen werden reagieren müssen, weil sie sehen, dass ihre Geschäftsprozesse gefährdet sind. Eine Risikoanalyse sollte genau solche Bedrohungen enthalten und die Bereiche, oder Assets, identifizieren, die im Falle einer solchen Eskalation am stärksten betroffen wären. Das kann eine Cloudlösung, Microchips, ein Satellitensystem, AI-Modell oder eine unternehmenskritische Software sein. Genau an dieser Stelle kann man dann mit dem „+1“-Ansatz beginnen.
Europäische Alternativen: EuroStack und co.
Svenja W: So eine Risikoanalyse hat ja der Europäischer Rat für Auswärtige Beziehungen (ECFR) für den Markt Europa bereits erstellt. Die vier am meisten risikobehafteten Bereiche AI, Cloud Computing, Space und Chips werden nun beim Aufbau des so genannten EuroStack innereuropäisch gestärkt EuroStack [11]. Wenn ich als Unternehmen nun auf der Suche nach innereuropäischen Alternativen bin, wo starte ich mit meiner Suche?
Stephan E: Es gibt unterschiedliche Verzeichnisse, wie die crowdfinanzierte Seite “alternativeto.net”, die international ist. Für europäische Alternativen gibt es das Verzeichnis “european-alternatives.eu”. Hier kann jeder auch eigene europäische Alternativen einreichen und das Verzeichnis aktiv mitgestalten.
Cloud-agnostic: ein Qualitätskriterium in bezüglich Resilienz
Svenja W: Wenn ich mir die Angebote anschaue, gibt es hier schon einiges. Bei den Cloudapps sehe ich häufig die Alternative, diese selbst zu hosten. Für kleinere und mittelständische Unternehmen ist genau die Möglichkeit, eine App in einer etablierten Cloudumgebung laufen zu lassen, die erste Wahl. Diese haben einfach nicht die Ressourcen, eine eigene Cloudumgebung zu administrieren. Gibt es für diese vertrauenswürdige Alternativen? Gibt es Qualitätsmerkmale, die du hervorheben würdest?
Stephan E: Schauen wir auf die Cloudarchitektur würde ich einen Schritt zurücktreten und strikte Abhängigkeiten meiner Cloudanwendungen von dem jeweiligen Anbieter lösen. Denn es gibt mit Scaleway, IONOS oder STACKIT europäische Cloudanbieter. Bezüglich der Architektur bedeutet dies im ersten Schritt einen konsequenten Einsatz von Containerisierung (bspw. Kubernetes) und Infrastructure-as-Code (Terraform). Das erhöht die Abstraktionsebene und ermöglicht es, Anwendungen „auf Knopfdruck“ auch bei europäischen Hostern (z. B. StackIT, IONOS, oder OVH) deployen oder eben auch selbst, d.h. auf eigener Server-Hardware, hosten zu können. Genau das bringt mich zur Cloud-Agnostizität. Sie ist die zentrale technische Voraussetzung für digitale Souveränität von Cloudanwendungen. Wenn Anwendungen von vornherein so ausgelegt sind, dass sie unabhängig von einer spezifischen Cloud-Umgebung betrieben werden können, schaffen wir maximale Freiheit und minimieren das Risiko einer Vendor-Lock-in-Situation.
itemis Produkte sind cloudagnostisch
Wir haben das für unsere Produkte itemis CREATE (Zustandsautomatenmodellierung), itemis ANALYZE (Traceability, Knowledge-Graph) und itemis SECURE (Risikoanalyse und Compliance) konsequent umgesetzt. Bisher hat das noch kein Kunde verlangt, aber wir arbeiten proaktiv daran, dass wir dazu bereit sind, sobald dies geschieht. Zu itemis ANALYZE möchte ich noch hinzufügen: itemis ANALYZE ist eine souveräne europäische Alternative zu Palantir. Die Lösung vernetzt Daten non-invasiv als Wissensgraph, garantiert volle Datenhoheit ohne Vendor Lock-in und bietet revisionssichere, belegbare Entscheidungsvorlagen. Im Grunde geht es darum, Daten aus unterschiedlichsten Kontexten und Quellen zusammen auszuwerten. Dabei ist es egal, welcher Art diese Daten sind. Das ist die Basisfunktion.
Doch zurück zu dem Thema Cloudagnostizität: Für DevOps gibt es unterschiedliche Open Source-Projekte, welche die cloudagnostische Auslegung erleichtern, wie jclouds [12]. Dies ist eines von mehreren Open Source Projekten, die wir unterstützen. Es ermöglicht den Zugriff mit Java auf Blob Stores, Datenbanken und mehr in AWS, Azure, GCP oder eigener Infrastruktur, ohne dass die Cloudanwendung “wissen muss”, auf welcher dieser Cloudumgebung sie gerade läuft – eine Abstraktionsebene zwischen Service und Cloudumgebung.
Svenja W: Sehr spannend, noch einmal zu hören, wie bedeutsam unsere europäische digitale Souveränität ist. Am besten gefiel mir die Idee des schrittweisen Übergangs und dem +1-Ansatz und die Kombination der US-Performance und EU-Compliance im “2-Geschwindigkeiten-Modell”. Das unterstützt vor allem bei der Frage: „Wo fange ich an?”. Ich schaue auf meine Risiken und bearbeite die Teile meiner IT-Infrastruktur mit den größten Risiken zunächst. Die dabei entstehenden Mehrkosten betrachte ich als sogenannte „Versicherungsprämie“. Und dann gehe ich in kleinen, aber kontinuierlichen Schritten in Richtung technologischer Unabhängigkeit. Es muss kein kalter Komplettumstieg sein. In kleinen Schritten zum Ziel – im Sinne von Kaizen. Spannendes Thema, vielen Dank für das Gespräch.
Literaturverzeichnis
[1] Blog: https://blog.fahl-secure.de/post/digitale-souveraenitaet-illusion/, abgerufen 27.1.2026
[2] Artikel: https://www.derstandard.at/story/3000000284329/, abgerufen 27.1.2026
[3] Artikel: https://www.srgresearch.com/…, abgerufen 27.1.2026
[4] Projektseite: https://www.schleswig-holstein.de/DE/landesregierung/themen/digitalisierung/linux-plus1/Projekt, abgerufen 27.1.2026
[5] Projektseite: https://di.day/ , abgerufen am 27.1.2026
[6] LinkedIN-Beitrag: https://www.linkedin.com/feed/update/urn:li:activity:7406611615996907520/, abgerufen am 27.1.2026
[7] Artikel: https://www.golem.de/news/digitaler-souveraenitaetsgipfel-vorteile-fuer-eu-firmen-bei-it-ausschreibungen-geplant-2511-202282.html, abgerufen am 27.1.2026
[8] https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2026/260115_BSI_AWS_European_Cloud.html, abgerufen am 29.1.2026
[9] https://www.heise.de/news/Gutachten-US-Behoerden-haben-weitreichenden-Zugriff-auf-europaeische-Cloud-Daten-11111043.html, abgerufen am 29.1.2026
[10] https://bfl.ai/about, abgerufen am 29.1.2026
[11] https://ecfr.eu/publication/get-over-your-x-a-european-plan-to-escape-american-technology/, abgerufen am 29.1.2026
[12] stephaneberle9/jclouds: The Java Multi-Cloud Toolkit
[13] https://bmds.bund.de/… , abgerufen am 15.2.2026
[14] https://www.swp-berlin.org/publikation/eu-binnenmarkt-und-online-plattformen, abgerufen am 17.2.2026
Die itemis AG ist ein unabhängiges IT-Unternehmen mit Schwerpunkt auf AI-Agenten-Technologien, sicherheitskritischer Softwareentwicklung, modellbasiertem Engineering und Cybersecurity-Lösungen. Mit Standorten in ganz Deutschland unterstützt itemis Kunden aus Automotive, Defence, Rail und Finance, komplexe Entwicklungsprozesse effizient, nachvollziehbar und zukunftssicher zu gestalten.
Im Zentrum steht die AI-Kompetenz von itemis:
• Vibe-Coding – KI-gestützte Entwicklung mit Fokus auf Geschwindigkeit, Qualität und Team-Produktivität.
• AI Grounding & Datenbereitstellung – sichere, strukturierte und nachvollziehbare Daten für das Training von LLMs und die Integration in agentenfähige Systeme.
• Agent Experience (AXP) & AI User Experience (AI-UX) – Optimierung von Inhalten und Interaktionen für AI-Agenten, damit Botschaften von Menschen und Maschinen gleichermaßen verstanden werden ?.
• itemis CORTEX – Plattform für modellbasierte Prozessautomatisierung und KI-gestützte Entscheidungsfindung.
Darüber hinaus bietet itemis bewährte Lösungen wie Threat & Risk Analysis (TARA), Traceability Management und die itemis Software Defined Defence Suite, die speziell auf mission-kritische Systeme zugeschnitten ist.
itemis steht für AI-getriebene Innovation, technologische Exzellenz und Verlässlichkeit – und ist langjähriger Partner von OEMs, Zulieferern, Behörden und Forschungseinrichtungen.
Weitere Informationen unter: www.itemis.com
Die europäische IT braucht mehr Mut hinzugefügt von Redaktion am
Alle Beiträge von Redaktion →
