Im Rahmen unser CYBERsicher Zukunftstag 2026 hatten wir die Möglichkeit mit dem Cybersicherheitsexperten und Speaker Manuel ‚HonkHase‘ Atug zu dem Thema Digitale Souveränität zu sprechen. In dem Gespräch erläutert er, welche Aspekte die Souveränität eines Betriebs beeinflussen, wie KMU selbstbestimmt agieren können und wie Cybersicherheit mitgedacht werden muss.
Digitale Souveränität ist ein Buzzword mit vielen Facetten. Was versteht man konkret unter diesem Begriff?
Digitale Souveränität ist als Begriff nicht definiert. Dadurch entstehen unterschiedliche Annahmen, was darunter zu verstehen ist und was nicht. Meine Sichtweise wird beispielsweise eine andere sein, als die von Meta, Alphabet, Microsoft oder Palantir.
Um den Begriff greifbarer zu machen, habe ich Digitale Souveränität sechs Kernaspekten zugeordnet. Der erste Aspekt ist die technologische Unabhängigkeit, also die Vermeidung eines Vendor Lock-in. Danach folgt die Datensouveränität, das bedeutet die Kontrolle darüber zu be- oder erhalten, wo die eigenen Daten liegen und wer alles darauf Zugriff hat oder haben könnte. Das ist ein wichtiger Faktor mit Blick auf die großen Big-Tech-Konzerne aus Amerika, die uns einreden, dass unsere Daten in einem Rechenzentrum in Europa liegen und damit alles sicher und geregelt ist. Das ist Mitnichten der Fall!
Durch amerikanische Gesetze haben diese Unternehmen und amerikanische Behörden die Möglichkeit, auch auf Daten in europäischen Rechenzentren zuzugreifen. Das führt zu dem dritten Aspekt der digitalen Souveränität, Verarbeitungssouveränität. Nutzer:innen sollte sich hierbei folgende Fragen stellen: Wer kann meine Daten verarbeiten? Und kann ich meine Daten und Applikationen, also die Software zur Verarbeitung der Daten, wieder raus exportieren? In der Regel können wir das nicht. Das heißt, wenn ich mich dafür entscheide, nativ in die Cloud zu gehen, dann bin ich für immer bei diesem Service oder komme nur sehr teuer und schwierig wieder raus. In vielen Fällen schafft man es die Daten noch zu exportieren, aber zum Beispiel die Funktion der Software nicht. Das Resultat ist dann, dass der gesamte Geschäftsprozess kaputt ist und die gesamte Software dafür vollständig neu entwickelt werden muss, was eben sehr teuer ist.
Der vierte Kernaspekt ist die Kompetenzsouveränität. Dabei handelt es sich um das Know-how, um interne Systeme zu verstehen, zu steuern, strategische Entscheidungen wissentlich zu treffen. Dieses Wissen gebe ich allerdings auch ab, wenn ich sage, ich gehe in die Cloud, ich gehe in die KI und die machen jetzt alles für mich. Der fünfte Kernaspekt fokussiert die Gestaltungsfreiheit. Damit ist die Fähigkeit gemeint, aus verschiedenen Lösungen die richtige auszuwählen, zu kombinieren und an eigene Anforderungen anpassen zu können.
Der sechste und wichtigste Aspekt für die Geschäftsleitungen in der Wirtschaft ist die Kostensouveränität. So hat beispielsweise die Übernahme von VMware durch Broadcom zu einer Preissteigerung von 1500 % geführt. Die Kund:innen hatten sich gigantische Infrastrukturen mit VMware aufgebaut und konnten schlicht nicht wechseln ohne erhebliche Neugestaltung. Das Gleiche passiert für viele Unternehmen bei Cloud- oder KI-Anwendungen. Es zeigt sich, dass sobald man in einem Vendor Lock-in ist und Kompetenzen abgibt, hat man auch keine Gestaltungsfreiheit mehr. Und das wirkt sich massiv auf die Kostensouveränität aus, denn ich bin dadurch bereit, deutlich höhere Preise akzeptieren zu müssen, da eine Umstellung mehr kosten würde, aber ich trotzdem viel zu viel zahle.
Diese sechs genannten Aspekte helfen dabei zu evaluieren, wie digital souverän und wie eigenständig ein Betrieb ist und wie viel Kontrolle man tatsächlich hat oder haben möchte.
Gibt es spezielle Faktoren, die entscheidend für KMU sind, damit sie selbstbestimmt agieren können? Welche Schritte sollte ein mittelständischer Betrieb einleiten?
Erstmal sollte man unaufgeregt nicht diesen ganzen Glitzerhypes zuhören, sondern Abstand suchen, zurücktreten und sagen, was brauche ich eigentlich und was ist für meinen Geschäftsprozess wirklich notwendig? Benötigen meine Mitarbeitenden wirklich alle Lizenzen? Ein Beispiel ist hierfür ein Mitarbeiter oder eine Mitarbeiterin am Empfang, deren Computer u.a. eine Microsoft M365-Lizenz, eine Antivirensoftware und weitere Software mit Abonnements hat. Da sollten sich Geschäftsführer:innen hinterfragen, warum diese Person ein Arsenal an Lizenzen hat, die permanent Gebühren kosten. Warum kann diese Person nicht mit freien, offenen Standards arbeiten, die idealerweise mit Open Source umgesetzt und realisiert werden können. Mit diesem Ansatz können kleine und mittelständische viele Arbeitsplätze optimieren und erheblich an Abo-Gebühren sparen. Natürlich werden dann Personen benötigt, die das Ganze installieren und betreiben. Am Ende ist aber der Einsatz von eigenen IT-Expert:innen oder externen Dienstleistern keine Verteuerung der Personalkosten, sondern unterm Strich eine massive Ersparnis, die zusätzlich Risiken reduziert.
Viele Geschäftsführer sind bei der Umsetzung skeptisch und sagen beispielsweise, dass ihre Mitarbeitende Windows gewöhnt sind und nicht mit Linux arbeiten können. Wie kann diese Skepsis genommen werden?
Unternehmen können u.a. das nächste umfassende Windows- oder Office-Upgrade abwarten. Nach einem wesentlichen Upgrade müssen sich die Mitarbeitenden sowieso an neue Funktionen gewöhnen und geschult werden. Das könnte man gut als Anlass nehmen, um auf eine souveräne Lösung zu wechseln. Dieser Wechsel muss aber vorher vorbereitet sein und kann dann mit entsprechenden Schulungen begleitet werden.
Alternativ kann ein Unternehmen auch sagen, dass die Mitarbeitenden standardmäßig einen souveränen, kostengünstigeren Arbeitsplatz bekommen und wenn proprietäre Lösungen benötigt werden – was mit Mehrkosten für den Betrieb verbunden ist – müssen diese von der direkten Führungskraft freigegeben werden.
Wichtig ist, dass Unternehmen kontinuierlich Dranbleiben und schrittweise ihre digitale Souveränität verbessern.
Zur Person
Manuel ‚HonkHase‘ Atug ist Gründer und Sprecher der unabhängigen AG KRITIS. Er ist seit 2023 als Experte für die European Research Executive Agency (EU REA) tätig und wird regelmäßig für die Bundesregierung und die Bundesländer als Sachverständiger in Fragen der Cybersicherheit und dem Katastrophenschutz berufen.

Sie sprachen von offenen Standards. Können Sie einordnen, was darunter zu verstehen ist?
Wenn ich beispielsweise Microsoft Outlook für E-Mails und Kalender nutze, sind die Daten in einem speziellen Format gespeichert, die nicht von vielen freien Werkzeugen genutzt oder migriert oder portiert werden können. Das bedeutet, die Daten können nicht von einem System, Speicherort oder Format in ein anderes übertragen oder von anderer Software so in der Form weitergenutzt werden. Bei einem Open-Source-Mailprogramm mit freien und offenen Standards kann ich die Daten einfach von einem System oder einer Software zu einem anderen migrieren. Auch ein Backup lässt sich bei Open Source einfacher abbilden – bei Exchange und Outlook ist das recht komplex, da es eine proprietäre Lösung auf dem Server und auf dem Client ist. Das Gleiche gilt für Microsoft Office-Dokumente. Wenn ich diese Dokumente mit einem anderen Werkzeug oder sogar mit einer alten Office-Version öffnen möchte, sind die Dateien oftmals zerschossen. Auch hier gibt es offene Standards, die Software- und Werkzeug-übergreifend funktionieren.
Open Source lässt sich zusätzlich sehr gut automatisieren. Mit der Automatisierung strukturierter Daten lassen sich mittel- und langfristig Personalaufwände reduzieren – mit oder auch ohne Künstlicher Intelligenz.
Durch die Reduzierung der Komplexität und durch die Nutzung von offenen Standards werden zudem Fehler im Betrieb der Systeme minimiert und ein stabiler Betrieb erhöht.
Das bedeutet, dass Digitale Souveränität sich direkt auf die Cybersicherheit in einem Unternehmen auswirkt?
Wenn ein Betrieb komplett abhängig von Dienstleistern und proprietären Standards ist, hängt das Unternehmen da mit drin. Und wenn Schwachstellen vorhanden sind oder erfolgreich angegriffen werden, das haben wir u.a. bei Cloudflare erlebt, wirkt sich das direkt auf den eigenen Betrieb aus. Wenn ein mittelständisches Unternehmen auf freie Standards setzt und zusätzlich ein Backup der Systeme und Funktionsweisen hat, ist die Option da, alles schnell und unkompliziert selbst zu betreiben oder zu einem anderen Dienstleister zu überführen. Lange Produktions- und Umsatzausfälle können dadurch vermieden werden.
Ein weiterer wichtiger Faktor bei Open Source ist, dass es die Möglichkeit gibt, in die Software zu schauen, also den Quellcode zu prüfen. Der Quellcode kann abgesichert oder weiterentwickelt werden. Diese Möglichkeiten bieten proprietäre Lösungen nicht. Bei einem Cybersicherheitsvorfall hat man bei Open Source die Möglichkeit schnell zu klären, was, wo und wie passiert ist. Das zahlt positiv auf die anfangs erwähnte Kontrollsouveränität ein. Durch Open Source behalten Unternehmen die Kontrolle und die Hoheit.
Kontrolle und Hoheit über die eigenen Daten und Systeme wirken sich auch auf die Resilienz eines Unternehmens aus. In Ihrem Vortrag bei unserem CYBERsicher Zukunftstag 2026 sind Sie darauf eingegangen, wie sich Betriebe resilient aufstellen können. Worauf sollten KMU achten?
Resilienz bedeutet Widerstandsfähigkeit gegen alle Arten von Ereignissen. Neben Cyberangriffen zählen auch Naturereignisse, Unfälle oder Vorsatzhandlungen dazu. Ein Betrieb wird nur resilient, wenn er sich durch Gegenmaßnahmen absichert und digital souverän handelt.
Eine wichtige Maßnahme sind Backups. Wenn ein Cyberangriff stattfindet, ist für das Unternehmen erstmal vernachlässigbar, wer dahinter steckt. Es ist wichtiger zu wissen, was angegriffen wurde und was wiederhergestellt werden muss. Um schnell wieder lauf- und einsatzfähig zu sein, benötigen Unternehmen ein gutes Backup-Konzept. Wichtig ist dabei die Frage: Welche Systeme müssen im Problemfall in welcher Reihenfolge durch welches Backup wiederhergestellt werden können? Unternehmen müssen vorab klären, wovon mache ich ein Backup und wie erstelle ich dieses. Und außerdem muss im Vorfeld klar sein, wie ein Backup wieder eingespielt wird. Jeder Betrieb benötigt vollständige und aktuelle Backups, die auch offline verfügbar sind, um im Ernstfall schnell wieder einsatzbereit zu sein. Deshalb mein Aufruf: macht mehr Backups!
Gibt es einen weiteren abschließenden Appell, den Sie kleinen und mittleren Unternehmen gerne mitgeben möchten?
Sicherheit ist kein technisches Thema der IT-Abteilung. Wer Cybersicherheit weiterhin als rein technisches Thema behandelt, handelt nicht nur fahrlässig, sondern auch rechtswidrig im Sinne von NIS2. Cybersicherheit muss bei der Geschäftsleitung als organisatorisches Thema verankert sein. Als Geschäftsleitung müssen u.a. folgende Fragen berücksichtigt werden: Wie steuern wir Dienstleister? Wie schulen wir Mitarbeitende? Wie bewerten wir Risiken? etc. Das hat alles erstmal nichts mit Technik zu tun. Stattdessen zeigt es, wie viel Risikoappetit eine Geschäftsleitung hat und wie proaktiv sie sich diesen Themen widmet. Ein Sicherheitsvorfallsbehandlungsprozess bzw. ein IT-Notfallplan ist dabei entscheidend. Habe ich keinen Plan, habe ich entsprechende Nichtentscheidungen getroffen, die beim Vorfall zu Panik führen, weil die Struktur fehlt. Deshalb ist es wichtig, dass Geschäftsleitungen die Verantwortung wahrnehmen und Aufgaben entsprechend delegieren, aber dann auch aktiv steuern, kontrollieren und überwachen. Nur so kann ein Betrieb sein Risiko, seine Sicherheit und damit auch die eigene Resilienz steuern und kontinuierlich verbessern.

Was ist NIS2?
Das NIS2-Umsetzungsgesetz ist im Dezember 2025 in Kraft getreten. Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes hat sich die IT-Sicherheit für weite Teile des deutschen Mittelstands von einer freiwilligen Präventionsmaßnahme zu einer gesetzlichen Compliance-Pflicht gewandelt. Alle Informationen zu dem Gesetz finden Sie auf unserer Schlaglichtseite.



