Compliance, NDR
6 Minuten lesen
Veröffentlicht am 08. Juli 2026

Sovereign Security Analytics: Eine Kontrollanforderung, keine politische Stellungnahme

Gregor Erismann

Autor

Diesen Beitrag teilen

Inhaltsübersicht

Heute abonnieren

Erhalten Sie monatlich die neuesten Blogs in Ihren Posteingang - unser Cyber Flash.

Indem Sie auf Anmelden klicken, bestätigen Sie, dass Sie mit unseren Nutzungsbedingungen einverstanden sind.

Die Abhängigkeit, die du nicht nicht durch Audits beseitigen können 

Jeder Sicherheitsverantwortliche im BFSI-Sektor führt bereits ein Risikoregister für Drittanbieter. Das Problem dabei ist, dass sich manche Abhängigkeiten nicht durch einen besseren Vertrag, eine Klausel zur Datenspeicherung oder die Wahl eines Standorts in der EU mindern lassen, da das Risiko rechtlicher Natur ist und nicht technischer Art. 

Gemäß dem US-amerikanischen CLOUD Act kann ein in den USA eingetragener Anbieter dazu verpflichtet werden, Daten offenzulegen oder Maßnahmen in Bezug auf diese Daten zu ergreifen, unabhängig davon, wo sich diese Daten physisch befinden. Verschlüsselung und Rechenzentren in der EU verringern zwar einige Risiken, beseitigen jedoch nicht die Gefahr, dass der Anbieter den Exportkontrollen, Sanktionen und gerichtlichen Anordnungen seines Heimatstaates ausgesetzt ist. Dies ist keine hypothetische Interpretation. Aus diesem Grund hat die Europäische Kommission in ihrem „ Rahmenwerk zur Cloud-Souveränitätdie die Souveränität der Lieferkette – also die Kontrolle darüber, wem der Dienst letztendlich gehört und wer ihn abschalten kann – zum am höchsten gewichteten Bewertungsziel erklärt hat und warum sie Anbieter bei der tatsächlichen Beschaffung nun auf einer fünfstufigen Sicherheitsskala (SEAL-0 bis SEAL-4) einstuft. 

Der Anteil, aus dem dieses Material besteht, ist gut dokumentiert: etwa 70 % des EU-Marktes für Cloud-Infrastruktur wird von drei US-Anbietern (AWS, Microsoft Azure, Google Cloud) beherrscht, während der gemeinsame Anteil der europäischen Anbieter im niedrigen zweistelligen Prozentbereich liegt. Bei einer derart hohen Konzentration ist eine „Anbietervielfalt“ innerhalb dieses Marktes nicht gleichbedeutend mit einer Verringerung der Abhängigkeit von bestimmten Rechtsordnungen. 

Für einen CISO lautet die praktische Frage nicht, ob Abhängigkeiten vom Ausland abstrakt betrachtet schlecht sind. Es ist eine eng gefasste, beantwortbare Frage: Welche Abhängigkeiten sind akzeptabel, und welche unterliegen einer Kontrolle, deren Gewährleistung mir gesetzlich vorgeschrieben ist?

Eine genaue Definition, denn der Begriff missbraucht wird 

Der Begriff „digitale Souveränität“ hat eine definitorische Ausweitung erfahren. Die brauchbarste Arbeitsdefinition ist diejenige, die die EU-Mitgliedstaaten in der Erklärung zur europäischen digitalen Souveränität (Berlin, 18. November 2025): die Fähigkeit, autonom zu handeln und eigene Lösungen zu wählen, während man dennoch, wo sinnvoll, mit globalen Partnern zusammenarbeitet. 

Zwei Auswirkungen sind für den BFSI-Sektor von Bedeutung und werden regelmäßig übersehen: 

  • Volle Autonomie ist weder erreichbar noch das Ziel: Jede Bank, die von externen Lieferanten – seien es US-amerikanische, europäische oder inländische – abhängig ist, ist niemals zu 100 % autonom. Souveränität ist daher eine Disziplin des Risikomanagements – einebewusste Entscheidung darüber, welche Abhängigkeiten akzeptabel sind, und kein Versuch, sie alle zu beseitigen. 
  • Souveränität ist ein Kontinuum und hängt von der jeweiligen Ebene ab: Der Grad an Souveränität, den Sie erreichen können, hängt davon ab, wie viel von der gesamten Infrastruktur Sie kontrollieren. Selbst gehostete Logik auf Ihrer eigenen Infrastruktur befindet sich weit oben auf diesem Kontinuum. Ein entfernter, proprietärer, von einem ausländischen Anbieter betriebener Dienst befindet sich ganz unten. Wo Sie sich einordnen, ist weitgehend eine Entscheidung hinsichtlich Architektur und Beschaffung – was bedeutet, dass Sie diese Entscheidung tatsächlich selbst treffen können.

Ein Modell zur die Verteilung knapper Ressourcen: Kritikalität × Erreichbarkeit 

Eine Bank betreibt Hunderte von Systemen. Man kann nicht alle davon unabhängig machen, und man sollte es auch gar nicht versuchen. Zwei Faktoren entscheiden darüber, wo sich der Aufwand lohnt: 

  • Kritikalität: Wie stark würde sich ein Verlust der Souveränität auf den Betrieb, die Einhaltung von Vorschriften oder den Ruf auswirken? Ein Ausfall des Kernbankensystems ist existenziell; ein Ausfall der Marketing-Website ist lediglich eine Unannehmlichkeit.
  • Realisierbarkeit: Inwieweit ist eine sinnvolle Souveränität angesichts des heutigen Marktes realisierbar? „Realisierbar“ umfasst zwei Aspekte: ob es überhaupt eine glaubwürdige souveräne Alternative gibt und welche Kosten mit einem Wechsel dorthin verbunden sind. On-Prem-NDR schneidet in beiden Punkten gut ab. Eine vollständige Migration weg von einem Hyperscaler schneidet schlechter ab – nicht, weil es keine souveränen Alternativen gäbe, sondern weil die Wechselkosten hoch sind. 

Die Matrix ordnet bewusst unterschiedliche Systeme – ein Erkennungswerkzeug, eine Cloud-Plattform, eine Office-Suite – auf denselben beiden Achsen an. Das ist der Sinn der Sache, kein Mangel: Sie normalisiert ansonsten nicht vergleichbare Systeme, sodass Sie einschätzen können, wo sich der Aufwand lohnt.

Die strategische Frage, die damit beantwortet wird: Wo muss Souveränität nahezu absolut sein, und wo reicht eine gesteuerte Interdependenz aus?

Diese Priorisierung führt zu folgendem Ergebnis:

Priorität 0 – Jetzt sofort umsetzen, da die Technologie ausgereift ist: Network Detection & Response.

NDR und verhaltensbasierte Netzwerkanalysen können vollständig auf kunden- oder EU-eigener Infrastruktur ausgeführt werden, Telemetriedaten lokal verarbeiten und erfordern keine ausgehende Verbindung zu ausländischen Clouds. Die Leistungslücke gegenüber US-Anbietern in dieser spezifischen Kategorie ist gering bis vernachlässigbar. Im Rahmen von DORA ist ein Erkennungsversagen nicht nur ein betriebliches Ereignis – es ist ein meldepflichtiger IKT-Vorfall mit aufsichtsrechtlichen Konsequenzen. Eine Kontrollmaßnahme, deren Gewährleistung von Ihnen verlangt wird, sollte nicht selbst eine Abhängigkeit vom Ausland darstellen. 

Ein ehrliches Vorbehalt: Dies gilt vor allem für NDR. „Souveränes SIEM“ und „souveräne Full-SOC-Tools“ sind weitreichendere Behauptungen. Die meisten europäischen SOCs im Finanzsektor nutzen heute Splunk, Sentinel oder CrowdStrike, und souveräne Alternativen mit vergleichbarem Umfang und gleicher Reife des Ökosystems sind umstrittener. Betrachten Sie NDR als den kurzfristig realisierbaren Schritt und die Migration zu SIEM/SOAR als einen längeren, evidenzbasierten Bewertungsprozess – nicht als bloßen Slogan. 

Priorität 1 – Die bereits weitgehend bestehende Souveränität bewahren. 

Kernbankgeschäfte und die Zahlungsabwicklung (SWIFT/SEPA) sind von existenzieller Bedeutung und finden größtenteils vor Ort oder auf streng regulierten Infrastrukturen statt. Behalten Sie sie dort. 

Hohe Kritikalität, aber mit Einschränkungen – Cloud-Infrastruktur und Produktivitätssuiten. Sowohl die IaaS-Ebene, auf der alles läuft, als auch die M365-/Workspace-Ebene, auf der Ihre E-Mails, Dokumente und Kundendaten gespeichert sind, sind hinsichtlich ihrer Verfügbarkeit von entscheidender Bedeutung sowie hinsichtlich der Offenlegung von Daten gemäß dem CLOUD Act von entscheidender Bedeutung. Bei keinem der beiden Bereiche geht es um Geringes. Was sie zu verwalteten Abhängigkeiten macht, ist die Erreichbarkeit: Es gibt keinen souveränen Ersatz mit gleichwertiger Leistungsfähigkeit, und die Wechselkosten sind hoch. Für die Cloud sind souveräne Optionen bereits so ausgereift, dass eine gezielte Migration möglich ist (im Rahmen des 180-Mio.-Euro-Auftrags der Kommission für eine souveräne Cloud erreichten Anbieter wie STACKIT, OVHcloud und Scaleway das SEAL-3-Zertifikat); bei Produktivitätssuiten ist eine vollständige Migration heute selten realistisch, daher besteht die ehrliche Vorgehensweise darin, die Risiken konsequent zu mindern – Datenminimierung, Verschlüsselung, Datenverbleib im Inland, Ausstiegsklauseln – und die verbleibenden Risiken bewusst zu akzeptieren. In beiden Fällen gilt: Reduzieren Sie die Bindung an Anbieter im Rahmen eines Fahrplans, und verschieben Sie die kostengünstigeren Maßnahmen nicht, während Sie auf diese warten. 

Sicherheitsanalytik: hohe Kritikalität, hohe Erreichbarkeit 

Dies ist der gegenüberliegende Quadrant, und genau hier kann in diesem Quartal eine Entscheidung getroffen werden. 

Die Kritikalität steht außer Frage: Eine Bank, die Eindringversuche, laterale Bewegungen oder Datenexfiltration nicht erkennen kann, ist nur einen Vorfall von Sanktionen und Reputationsschäden entfernt – und im Rahmen der DORA von einem meldepflichtigen Versagen. Was dies von der Cloud-Ebene unterscheidet, sind die Umstellungskosten: Für die Bereitstellung eines souveränen NDR ist es nicht erforderlich, zunächst alles andere zu migrieren. NDR und Verhaltensanalysen sind ausgereift und können vor Ort oder in EU-souveränen Umgebungen betrieben werden – ohne Abhängigkeit von ausländischen APIs und ohne grenzüberschreitende Übertragung von Telemetriedaten. Hohe Kritikalität und – einzigartig unter Ihren kritischen Systemen – hohe Erreichbarkeit bei geringen Umstellungskosten. 

Genau diese Kombination – hohe Kritikalität und hohe Erreichbarkeit – ist das Profil, das ein vorrangiges Handeln rechtfertigt. 

Warum eine vorübergehende Unterbrechung hier immer noch zum Ausschluss führt 

Der stärkste Einwand gegen das Argument der „Auslandsabhängigkeit“ ist, dass die meisten Störungen nur von kurzer Dauer sind und behoben werden. Das trifft oft zu, und genau deshalb unterscheidet sich die Erkennungsebene. 

Ein aktuelles, konkretes Beispiel: Im Juni 2026 verhängte das US-Handelsministerium Exportkontrollen, durch die der Zugang zu bestimmten KI-Modellen von Anthropic für ausländische Staatsangehörige, darunter auch europäische Kunden, ausgesetzt wurde. Der Zugriff wurde etwa drei Wochen später wiederhergestellt, nachdem die Beschränkungen aufgehoben worden waren. Der Punkt ist nicht, dass diese konkrete Unterbrechung katastrophal war. Es geht vielmehr darum, dass dieser Mechanismus – ein Anbieter unter US-Gerichtsbarkeit, der durch eine Maßnahme der US-Regierung und nicht durch einen technischen Fehler unzugänglich gemacht wurde – strukturell auf jeden in den USA gehosteten Dienst zutrifft, einschließlich der Erkennungsschicht eines SOC. 

Für die meisten Systeme ist eine dreiwöchige Unterbrechung ein beherrschbares Ereignis. Für die Steuerung, die eigentlich kontinuierlich erkennen soll, ob ein Sicherheitsverstoß vorliegt, stellt ein ungeplanter, von außen auferlegter Ausfall – unabhängig von seiner Dauer – eine Lücke dar, aus der man sich gemäß DORA nicht durch Berichterstattung herausreden kann. Der Wert einer Kontrollebene liegt in ihrer Kontinuität; alles, was sie von außerhalb Ihres Zuständigkeitsbereichs außer Kraft setzen kann, ist ein Konstruktionsfehler und keine vorübergehende Störung beim Anbieter. 

Der Standpunkt 

Der europäische BFSI-Sektor steht vor zwei Möglichkeiten. 

Man betrachtet Souveränität als ein abstraktes Ziel, das es anzustreben gilt – später – wenn sich europäische KI-Vorreiter herauskristallisieren, wenn Hyperscaler neue Regionen hinzufügen, wenn die Regulierungsbehörden ihre Klärungsbemühungen abgeschlossen haben. Dieser Weg rechtfertigt eine anhaltende Konzentration und schiebt das Risiko auf später auf. 

Die andere betrachtet es als eine Disziplin im Bereich Engineering und Beschaffung, die ,, priorisiert nach Kritikalität und Realisierbarkeit. Dieser Ansatz berücksichtigt vier Aspekte: 

  1. DORA ist in Kraft (gilt seit Januar 2025): Das Risikomanagement bei ICT-Drittanbietern erfordert Transparenz hinsichtlich der Abhängigkeiten von Anbietern, und die Erkennungsebene darf selbst keine unkontrollierte Abhängigkeit darstellen. 
  2. Technonationalismus ist strukturell bedingt und kein vorübergehendes Phänomen: Exportkontrollen und Sanktionen sind mittlerweile feste Instrumente der Staatsführung; die Infrastruktur sollte unter dieser Prämisse konzipiert werden. 
  3. Sovereign NDR ist ab heute verfügbar: Es ist die eine entscheidende Ebene, die sowohl sofort erreichbar ist als auch kostengünstig umgestellt werden kann – daher sollten Sie hier beginnen. Alles andere können Sie nach und nach angehen. 
  4. Die Kosten der Untätigkeit sind messbar: Jedes Quartal, in dem die Erkennungsschicht auf einer Infrastruktur in einer ausländischen Rechtsordnung betrieben wird, stellt ein nicht quantifizierbares operatives und regulatorisches Risiko dar. 

Digitale Souveränität ist ein Kontinuum, keine Festlegung. Für den BFSI-Sektor ist der naheliegendste erste Schritt sowohl entscheidend als auch realisierbar: Verlegen Sie die Netzwerkerkennungsschicht auf eine Infrastruktur, die Sie selbst kontrollieren. Der Rest kann schrittweise erfolgen.

Offenlegung: Exeon Analytics erstellt Exeon.NDR, eine Plattform zur Netzwerkerkennung und -reaktion, die vollständig auf der Infrastruktur des Kunden oder auf EU-eigener Infrastruktur betrieben wird und keine Abhängigkeit von ausländischen Cloud-Diensten aufweist. Ich habe dieses Argument bewusst herstellerneutral gehalten; wenn die Argumentation stichhaltig ist, gilt sie unabhängig davon, welche souveräne NDR-Lösung Sie evaluieren.

References 

  1. Erklärung zur europäischen digitalen Souveränität („Berliner Erklärung“), unterzeichnet von den EU-Mitgliedstaaten am 18. November 2025. 
  2. Europäische Kommission, Rahmenwerk zur Cloud-Souveränität (2025; Version 1.2.1, Oktober 2025) – acht Souveränitätsziele (SOV-1–8), Sicherheitsstufen SEAL-0 bis SEAL-4; erstmals angewendet bei der im April 2026 vergebenen Ausschreibung für eine staatliche Cloud im Wert von 180 Mio. Euro. 
  3. DORA – Gesetz über die digitale Betriebsresilienz (EU 2022/2554), gültig ab dem 17. Januar 2025. 
  4. BaFin: BAIT/VAIT-Anforderungen an IT- und Cloud-Dienste. 
  5. Informationsveranstaltung des Europäischen Parlaments zu den Abhängigkeiten der EU in den Bereichen Software und Cloud (Anteil der US-Hyperscaler am EU-Cloud-Markt ≈70 %). 
  6. US-CLOUD-Gesetz (Clarifying Lawful Overseas Use of Data Act, 2018). 
  7. Capri, A. – Technonationalismus (zur Darstellung von Technologie-Lieferketten als Instrumente der Staatsführung). 

 

Holen Sie sich den Cyber Flash

Bleiben Sie auf dem Laufenden mit unserem monatlichen Newsletter, der Sie über fortschrittliche Netzwerksicherheit, Updates zur Einhaltung von Vorschriften und die neuesten Veranstaltungen und Webinare zum Thema Cybersicherheit informiert.

Zurück zum Hauptmenü
Unsere Produkte

Warum unsere NDR-Lösung auf dem Markt überlegen ist.

KI & Sicherheit
Unsere KI-Cybersecurity-Plattform, Swiss-made.