Wir haben das Thema Datenhoheit behandeltbehandelt – dem Grundsatz, dass Daten den Vorschriften des Rechtsraums unterliegen, aus dem sie stammen – sowie die operative Souveränität – das Ausmaß, in dem Organisationen Einblick in die Abläufe ihrer Anbieter nehmen und diese kontrollieren können. Die dritte Säule ist vielleicht die strukturell größte Herausforderung: die technologische Souveränität.
Gartner definiert dies als das Ausmaß, in dem eine Organisation die Kontinuität ihrer technologischen Autonomie gewährleisten und ihre Rechte daran kontrollieren kann. Einfach ausgedrückt: Wenn ein Anbieter vom Markt verschwindet, mit Sanktionen belegt wird, sein Preismodell ändert oder politisch unhaltbar wird, können Sie dann Ihren Betrieb aufrechterhalten? Und können Sie diesen Übergang ohne katastrophale Unterbrechungen bewältigen?
Warum die Bindung an einen Anbieter mittlerweile ein Sicherheitsrisiko darstellt
Technologieabhängigkeitwar schon immer ein Thema für Beschaffungs- und Vertriebsabteilungen. Mittlerweile ist sie auch ein Thema für Sicherheit und Souveränität. Die Prognosen von Gartner sind eindeutig: Bis 2027 werden 35 % der Länder an regionsspezifische KI-Plattformen gebunden sein , die proprietäre Kontextdaten nutzen. Es wird erwartet, dass die Plattformabhängigkeit in diesem Zeitraum von 5 % auf 35 % steigen wird. Die Entwicklung geht in Richtung Fragmentierung, nicht in Richtung Konvergenz.
Für CISOs hat dies konkrete Auswirkungen. Die heute getroffenen Entscheidungen bezüglich des Technologie-Stacks – Entscheidungen darüber, welche Erkennungsplattform, welche cloud-nativen Tools und welche KI-gestützte Analyseebene eingesetzt werden sollen – bergen ein eingebettetes Lock-in-Risiko. Wenn diese Tools auf proprietären Datenformaten, geschlossenen APIs oder nicht migrierbaren Modellen basieren, ist Ihre technologische Souveränität bereits ab dem Zeitpunkt der Anschaffung eingeschränkt.
Gartner empfiehlt modellunabhängige Architekturen: Abstraktionsschichten, offene Standards und standardisierte Orchestrierung, die es Unternehmen ermöglichen, die zugrunde liegenden Komponenten auszutauschen – einschließlich KI-Modellen und Cloud-Plattformen – zu wechseln, ohne die gesamte Umgebung neu zu gestalten. Speziell für Sicherheitstools bedeutet dies, Plattformen den Vorzug zu geben, die Daten über offene Formate bereitstellen, Standardprotokolle unterstützen und keine künstlichen Abhängigkeiten durch proprietäre Telemetrie-Pipelines schaffen.
Die Open-Source-Dimension
Technologische Souveränität kommt am deutlichsten in Architekturen zum Ausdruck , die auf offenen Standards, Portabilität und betrieblicher Unabhängigkeit basieren.
In der „Sovereign Cloud“-Taxonomie von Gartner wird maximale technologische Souveränität am anderen Ende des Einsatzspektrums angesiedelt, das von lokalen oder regionalen Anbietern mit Open-Source- oder selbst entwickelten Technologien besetzt wird – vor allem, weil diese Ansätze die Abhängigkeit von einem einzelnen Anbieter verringern und es Organisationen ermöglichen, die Betriebskontinuität auch dann aufrechtzuerhalten, wenn der ursprüngliche Anbieter nicht mehr beteiligt ist.
Dies ist keine Ablehnung kommerzieller Software. Es ist vielmehr die Erkenntnis, dass die Lizenzbedingungen, Zugangsbedingungen und die Risiken im Zusammenhang mit Exportkontrollen bei proprietären Plattformen Abhängigkeiten mit sich bringen, die die Anbieter proprietärer Software möglicherweise nicht auf unbestimmte Zeit gewährleisten können. Unabhängig davon, ob sie auf Open-Source- oder proprietärer Technologie basieren, bieten Architekturen, bei denen Portabilität, Transparenz und Interoperabilität im Vordergrund stehen, in der Regel eine stärkere technologische Souveränität als solche, die auf geschlossenen Ökosystemen aufbauen.
Die Stellung der Schweiz in der europäischen Technologielandschaft ist in diesem Zusammenhang aufschlussreich. Als Rechtsraum mit einem eigenen robusten Datenschutzrahmen (nFADP), starken rechtsstaatlichen Traditionen und einem langjährigen Ruf für Neutralität in internationalen Angelegenheiten nehmen in der Schweiz ansässige Technologieanbieter eine besondere Stellung ein: Sie unterliegen klaren und stabilen rechtlichen Verpflichtungen und befinden sich nicht im Spannungsfeld widersprüchlicher rechtlicher Anforderungen. Für Organisationen, die ihr geopolitisches Risiko in ihrem Technologie-Stack reduzieren möchten, ist die rechtliche Stabilität an sich bereits eine Form technologischer Souveränität.
Die KI-Souveränitätsschicht
Die Herausforderung im Bereich der Souveränität hat sich durch die zunehmende Verbreitung von KI-gestützten Sicherheitstools erheblich verkompliziert. KI-Modelle bringen neue Abhängigkeiten mit sich: von Trainingsdaten, vom Zugriff auf die Modelle, von der für die Inferenz erforderlichen Infrastruktur sowie von der anhaltenden Bereitschaft und Fähigkeit des Anbieters, diesen Zugriff zu gewähren.
Diese Abhängigkeiten erstrecken sich über mehrere Ebenen des Technologie-Stacks, von der Infrastruktur über die Software bis hin zu Daten, Modellen und Governance. Je mehr Kontrolle ein Unternehmen über diese Ebenen hat, desto größer ist seine technologische Souveränität.
Für Sicherheitsarchitekten ist dieser Ansatz direkt anwendbar. Eine NDR- oder SIEM-Plattform, deren zentrale Erkennungslogik stark auf einem in der Cloud gehosteten KI-Modell basiert, ist möglicherweise stärker von externen Abhängigkeiten betroffen als eine Plattform, die auf einer von Ihnen kontrollierten Infrastruktur betrieben wird und Daten sowie Modelle nutzt, die innerhalb Ihres Governance-Rahmens verbleiben. Die Fähigkeit, zu verstehen, wie Modelle Entscheidungen treffen, die Kontrolle über Trainingsdaten zu behalten und den Betrieb auch bei externen Störungen aufrechtzuerhalten, sind wichtige Indikatoren für technologische Souveränität.
Kontinuierliche Überwachung als technologische Resilienz
Technologische Souveränität ist kein statischer Zustand. Technologien ändern sich, Anbieter entwickeln sich weiter, und das für sie geltende regulatorische Umfeld wandelt sich. Das Modell von Gartner zur Bewertung der KI-Souveränität umfasst ausdrücklich das iterative Änderungsmanagement als erforderliche Komponente, die Erkenntnis, dass der Souveränitätsstatus kontinuierlich überwacht, geprüft und angepasst werden muss.
Für den Sicherheitsbetrieb bedeutet dies, dass die zur Gewährleistung der Transparenz eingesetzten Tools selbst einer kontinuierlichen Souveränitätsprüfung unterzogen werden sollten. Tools, die auch unter sich ändernden regulatorischen, wirtschaftlichen oder geopolitischen Bedingungen weiter funktionieren, bieten eine höhere Widerstandsfähigkeit als solche, die von einem einzigen externen Anbieter oder einer einzigen Rechtsordnung abhängig sind. Technologische Souveränität hängt letztendlich davon ab, kritische Abhängigkeiten zu reduzieren, bevor sie zu Schwachstellen werden.
Dies ist der praktische Ausdruck technologischer Souveränität in der Sicherheitsarchitektur: die Fähigkeit, die eigenen Erkennungs- und Reaktionskapazitäten aufrechtzuerhalten, unabhängig davon, was im externen Umfeld geschieht.
Die drei Säulen zusammenführen
Zusammengenommen bilden Datensouveränität, operative Souveränität und technologische Souveränität einen schlüssigen Rahmen für die organisatorische Resilienz in einer zunehmend fragmentierten digitalen Landschaft. Jede Säule stärkt die anderen:
- Datensouveränität setzt voraus, dass man weiß, welche Daten man besitzt und wohin sie fließen, was eine konsequente Metadatenverwaltung und Netzwerktransparenz erfordert.
- Betriebliche Souveränität erfordert eine unabhängige Überwachbarkeit der eigenen Umgebung, was wiederum Tools erfordert, über die Sie die Kontrolle haben und die von Anbietern betrieben werden, deren rechtliche Rahmenbedingungen Sie kennen.
- Technologische Souveränität erfordert die architektonische Freiheit zur Anpassung, was offene Standards, portierbare Daten und Anbieter erfordert, die keine künstlichen Bindungen schaffen.
Die geopolitischen Dynamiken, die diese Agenda vorantreiben, sind nicht vorübergehender Natur. Gartner geht davon aus, dass Staaten, die eigene KI-Stacks aufbauen, bis 2029 mindestens 1 % ihres BIP für KI-Infrastruktur aufwenden müssen. Die europäischen Regierungen sind von politischen Erklärungen zu konkreten Beschaffungsentscheidungen übergegangen.
Die Organisationen, die für dieses Umfeld am besten gerüstet sind, sind diejenigen, die Souveränität nicht als reine Compliance-Maßnahme betrachten, sondern als Gestaltungsprinzip, das von Grund auf in jede Architekturentscheidung, jede Anbieterbewertung und jede betriebliche Praxis einfließt.
Für CISOs stellt sich nicht mehr die Frage, ob digitale Souveränität von Bedeutung ist. Die Frage ist vielmehr, ob Ihre Sicherheitsarchitektur so ausgelegt ist, dass sie diese Souveränität zum Ausdruck bringt.
Damit ist die dreiteilige Serie über die Kernprinzipien der Datenhoheit abgeschlossen. Teil 1 und 2 sind im Exeon-Blog verfügbar.
