Ich befasse mich seit mehreren Jahren intensiv mit digitaler Souveränität. Das begann lange bevor der Begriff zum Modewort wurde und dabei an Kontur verlor.

Mythos 1: Digitale Souveränität nur mit Open Source?

Open Source wird häufig mit digitaler Souveränität gleichgesetzt. Diese Gleichsetzung greift zu kurz. Open Source kann den Vendor Lock-in verringern, ihn aber nicht vollständig vermeiden. Der öffentliche Diskurs richtet sich oft auf große und vergleichsweise leicht umsetzbare Migrationen. Dazu zählen Groupware wie E-Mail, Kalender und Kontakte, Kommunikationsplattformen oder Office-Lösungen. Solche Wechsel lassen sich politisch gut vermitteln, auch weil es inzwischen ausreichend nutzbare Alternativen gibt. Die zentrale Herausforderung liegt dabei weniger in der Technik als in den finanziellen Rahmenbedingungen.

Deutlich komplizierter ist die Lage bei hochspezialisierten Fachanwendungen. In diesen Bereichen gibt es häufig nur wenige oder gar keine Alternativen. Ein Grund ist, dass Open-Source-Software oft aus privaten Initiativen hervorgeht. Sobald spezielle Hardware erforderlich ist oder das Problem nur einen sehr kleinen Nutzerkreis betrifft, setzen sich meist proprietäre Lösungen durch.

Das führt dazu, dass kleine und spezialisierte Anwendungen nur von wenigen Anbietern entwickelt und betrieben werden. Hinzu kommt spezifisches Domänenwissen über Technik, Prozesse oder auch veraltete Programmiersprachen und Systeme. Unter diesen Bedingungen spielt es praktisch keine Rolle, ob der Quellcode offen oder geschlossen ist. Realistisch können nur wenige Anbieter solche Produkte betreiben und weiterentwickeln.

Häufig wird an dieser Stelle darauf verwiesen, dass Open Source grundsätzlich den Eigenbetrieb von Software ermögliche. Formal ist das richtig. In der Praxis bleibt es jedoch meist theoretisch. Das notwendige Spezialwissen ist selten und entsprechend teuer. Der Markt ist klein, wodurch faktisch erneut ein Vendor Lock-in entsteht, unabhängig vom Lizenzmodell.

Open Source kann Abhängigkeiten reduzieren. Einen vollständigen Schutz vor Vendor Lock-in bietet es jedoch nicht.

Mythos 2: Souveränität mit proprietärer Software ist unmöglich erreichbar

Häufig heißt es, digitale Souveränität lasse sich mit proprietärer Software grundsätzlich nicht erreichen, weil stets eine Abhängigkeit vom Hersteller bestehe. Dass solche Abhängigkeiten auch bei Open-Source-Software auftreten können, ist bereits beschrieben worden. Hilfreich ist es, den sperrigen Begriff der digitalen Souveränität durch „Selbstbestimmtheit“ zu ersetzen. Dann wird deutlicher, worum es geht und dass dieses Ziel unter bestimmten Voraussetzungen auch mit nicht freier Software erreichbar sein kann.

Digitale Souveränität bedeutet nicht zwangsläufig freie Software. Im Kern geht es um die Vermeidung von Lock-in-Effekten, um Möglichkeiten zur Mitgestaltung und um Transparenz.

Denkbar ist etwa ein Produkt, das auf offenen Standards basiert, sodass Daten jederzeit importiert und exportiert werden können. Offene Schnittstellen erlauben die freie Nutzung der eigenen Daten. Der Hersteller ist bereit, gegen ein angemessenes Entgelt individuelle Anforderungen umzusetzen, und gewährt Einblick in den Quellcode, ohne ihn unter eine freie Lizenz zu stellen. Juristisch wie kaufmännisch ist ein solches Modell möglich.

Warum ist es dennoch selten? Unternehmen müssen nicht nur kurzfristig wirtschaftlich arbeiten, sondern auch langfristige Planungssicherheit gewährleisten. Insbesondere börsennotierte Firmen sind verpflichtet, verlässliche Perspektiven für Investoren zu bieten. Daraus entstehen Geschäftsmodelle, die auf wiederkehrende Einnahmen ausgerichtet sind.

Unabhängig von Unternehmensphilosophie oder guten Absichten sind Hersteller darauf angewiesen, Kunden zu binden. Nur so lassen sich Weiterentwicklung, Personal und Betrieb finanzieren. Die beschriebenen offenen Modelle stellen für viele Anbieter daher ein erhebliches wirtschaftliches Risiko dar.

Realistisch bleiben meist nur Geschäftsmodelle, wie sie teilweise im Open-Source-Umfeld zu finden sind, etwa über Dienstleistungen, Support oder individuelle Anpassungen.

Zusammengefasst gilt: In der Theorie können auch proprietäre Produkte digitale Souveränität fördern. In der Praxis scheitert dies am Geschäftsmodell.

Mythos 3: Ist Open Source automatisch und immer sicherer?

Ein weiterer Mythos besagt, Open Source sei grundsätzlich sicherer als proprietäre Software. Auch diese Annahme greift zu kurz. Zwar ist offen einsehbarer Code grundsätzlich überprüfbar. Daraus ergibt sich jedoch nicht automatisch ein höheres Sicherheitsniveau. Sicherheit entsteht erst dann, wenn der Code tatsächlich geprüft wird. Ein Blick auf Plattformen wie GitHub zeigt, dass es Millionen von Projekten gibt, die nie auditiert wurden.

Die Vorstellung, für jede Open-Source-Lösung stünden ausreichend qualifizierte Prüfer bereit, ist unrealistisch. Regelmäßige Sicherheitsprüfungen müssen organisiert oder eingekauft werden. Beides ist aufwendig und teuer.

Bei proprietärer Software übernimmt der Hersteller diese Verantwortung gegen Bezahlung, auch bei Spezial- oder Nischenprodukten. Das setzt Vertrauen voraus, das nur eingeschränkt überprüfbar ist. Externe Audits unterscheiden sich darin jedoch kaum.

Ausschlaggebend ist daher nicht die Lizenzform. Entscheidend ist, ob eine Software genug Verbreitung, Aufmerksamkeit und Ressourcen erhält, um dauerhaft geprüft und gepflegt zu werden.

Mythos 4: Digitale Souveränität lässt sich durch Beschaffung herstellen

Wie bereits beschrieben wird digitale Souveränität oft mit Selbstbestimmtheit im Digitalen gleichgesetzt. Schon daraus ergibt sich, dass reine Beschaffung nicht ausreicht.

Souverän handeln kann nur, wer über Wissen verfügt. Ohne Klarheit über eingesetzte Dienste, Lock-in-Effekte, Architektur und Sicherheitsfragen ist selbstbestimmtes Handeln nicht möglich. Entscheidungen werden dann von äußeren Zwängen bestimmt.

In diesem Zusammenhang stellen sich grundlegende Fragen:

  • Wie funktioniert die eingesetzte Technik?
  • Welche Daten liegen wo?
  • Ist die Lieferkette langfristig abgesichert?
  • Welche Abhängigkeiten bestehen?
  • Wie aufwendig ist ein Technologiewechsel?
  • Kann der Anbieter kurzfristig gewechselt werden, ohne die Organisation wirtschaftlich zu gefährden?
  • Ist das notwendige Know-how vorhanden?
  • Wie angreifbar ist die eingesetzte Software?

Nur Organisationen, die diese Fragen für sich beantworten können, sind in der Lage, eigenständig Entscheidungen zu treffen. Das kann auch bedeuten, sich bewusst für proprietäre Systeme zu entscheiden, mit einem klaren Verständnis der Folgen. Ebenso kann es bedeuten, sich gezielt dagegen zu entscheiden.

Mythos 5: Vollständige Souveränität scheitert auf Chip-Ebene

Häufig wird behauptet, vollständige Souveränität sei unmöglich, weil die Chipproduktion nicht im eigenen Land stattfindet. Das ist nicht falsch, greift aber zu kurz. Die Herstellung von Computerchips ist global organisiert und so groß, dass einzelne Akteure kaum vollständig ausgeschlossen oder dauerhaft vom Markt gedrängt werden können. Das zeigte sich in den vergangenen Monaten, als die USA versuchten, China von der Lieferung von KI-Chips abzuschneiden. Über Zwischenhändler gelangten die benötigten Komponenten dennoch ans Ziel. Und wo das nicht geschieht, entsteht in der Regel ein Markt, der die Lücke füllt. Deutlich schwieriger ist es, souveräne Alternativen dort aufzubauen, wo der Markt keine Lösungen hervorbringt. Das betrifft Bereiche mit geringem Bedarf. Der Fachkräftemangel verschärft diese Situation zusätzlich.

Vollständige digitale Souveränität ist ohnehin nicht erreichbar. Die Computerindustrie befindet sich in ständigem technologischen und wirtschaftlichen Wandel. Dadurch verändert sich auch die Ausgangslage fortlaufend. Ähnlich wie in der IT-Sicherheit geht es weniger um einen festen Endzustand als um kontinuierliche Arbeit, um einen selbst definierten Stand zu halten.

Aktuelle Lage und ein Ausblick

In Deutschland und Europa ist ein Teil der digitalen Souveränität verloren gegangen. Kompetenzen wurden nicht mehr aufgebaut oder gepflegt. Stattdessen kauften öffentliche und private Akteure Dienstleistungen und Produkte großer Tech-Anbieter ein, mit dem Hinweis auf angebliche wirtschaftliche Vorteile. Diese Annahme hat sich als falsch erwiesen. Die Abhängigkeit ist teuer geworden, zugleich ging Know-how verloren oder konnte mit der technischen Entwicklung nicht Schritt halten. Der Rückstand ist real und aufholbar. Alles, was es dafür braucht, ist politischer und privatwirtschaftlicher Wille.