Unter dem folgenden Link findet sich eine interaktive Übersicht, die als exemplarischer Auszug die vielschichtigen digitalen Abhängigkeiten von den USA und China verdeutlicht: Link

1. Stille Abhängigkeit: Wie sie entstand und warum sie gefährlich ist

Wer morgens sein Smartphone entsperrt, öffnet in diesem Moment ein Betriebssystem aus Kalifornien oder Shenzhen. Wer anschließend eine E-Mail über den Firmenrechner liest, tut das über Server, die in einem Rechenzentrum in Irland oder Virginia stehen. Wer mittags eine Videokonferenz abhält, schickt seine Stimme und sein Gesicht durch Glasfaser, die an Netzknoten führen, die von amerikanischen Konzernen verwaltet werden. Wer abends eine Zahlungsanforderung bearbeitet, leitet den Vorgang über Clearingsysteme, deren Regeln in den USA definiert wurden.

Das alles ist kein Zufall. Es ist das Ergebnis von drei Jahrzehnten technologischer Expansion, in denen amerikanische und in zunehmendem Maß chinesische Unternehmen konsequent Plattformen, Standards und Infrastrukturen aufgebaut haben, die heute so selbstverständlich wirken wie Strom aus der Steckdose. Und genau darin liegt das Problem: Was selbstverständlich geworden ist, wird nicht mehr hinterfragt. Dieser Beitrag versucht, diese Selbstverständlichkeit zu durchbrechen. Er beschreibt, wie tief die Abhängigkeit reicht, über welche Schichten sie sich erstreckt, welche Risiken damit verbunden sind, und was es bedeuten würde, sie zumindest teilweise zurückzugewinnen.

2. Die Hardware-Schicht: Wer baut die Grundlage?

Jede digitale Infrastruktur beginnt mit Silizium. Chips, Prozessoren, Speicher, Netzwerkkarten – all das ist die physische Grundlage jeder Software, jeder Cloud, jedes KI-Modells. Und diese Grundlage ist in einem Maß konzentriert, das strategischen Risiken Tür und Tor öffnet.

Chips für Rechenzentren und KI

NVIDIA hat sich in den letzten Jahren zur entscheidenden Infrastrukturkomponente für KI-Training entwickelt. Die H100- und H200-Beschleuniger sowie die Blackwell-Architektur sind de facto alternativlos, wenn es um großskalige Modelltraining geht. Entscheidend dabei ist nicht nur die Hardware selbst, sondern das Software-Ökosystem CUDA, das über Jahre so tief in die Entwicklungspraxis eingedrungen ist, dass ein Wechsel zu alternativen Plattformen enormen Aufwand bedeuten würde. Wer NVIDIA-Hardware betreibt, ist damit in aller Regel auch an CUDA gebunden. Ein klassisches Beispiel für technologischen Lock-in, der weit über den eigentlichen Chip hinausgeht.

Intel, AMD und Qualcomm ergänzen dieses Bild: Serverprozessoren der Xeon- und EPYC-Reihen beherrschen Unternehmensrechenzentren weltweit. Qualcomms Snapdragon-Plattform ist in Milliarden mobiler Geräte verbaut. All diese Unternehmen sind amerikanisch, unterliegen amerikanischem Exportrecht und können durch politische Entscheidungen, wie es HUAWEI schmerzhaft erleben musste, von globalen Lieferketten abgeschnitten werden. China reagiert darauf. Huaweis HiSilicon-Tochter entwickelt mit den Ascend-Chips eigene KI-Beschleuniger, Kunpeng-Prozessoren sind für den Servermarkt gedacht. Cambricon, ein Pekinger Unternehmen, produziert eigene MLU-Chipsets für maschinelles Lernen. Diese Entwicklungen sind geopolitisch bedeutsam, technisch aber nach wie vor mit erheblichen Rückständen behaftet, insbesondere weil die Fertigungstechnologie fehlt.

Die Fertigungsabhängigkeit

Chips designen und Chips fertigen sind grundverschiedene Tätigkeiten. Das globale Fertigungsmonopol liegt bei wenigen Akteuren, und das Nadelöhr ist eng. TSMC in Taiwan fertigt einen Großteil der weltweit leistungsfähigsten Chips – von Apples M-Prozessoren über NVIDIAs Grafikprozessoren bis zu den Chips in modernen Fahrzeugen. Die N2- und N3-Fertigungsprozesse von TSMC haben keine vergleichbare Alternative. Samsung in Südkorea konkurriert auf diesem Niveau, aber auch hier sind die geopolitischen Abhängigkeiten erheblich. Das holländische Unternehmen ASML stellt die einzigen Maschinen her, mit denen Chips im Sub-5-Nanometer-Bereich lithografisch hergestellt werden können. Die EUV-Lithografie ist weltweit exklusiv bei ASML. Ohne diese Maschinen ist modernste Halbleiterfertigung schlicht nicht möglich. Dass ASML unter Druck der US-Regierung den Export dieser Maschinen nach China eingeschränkt hat, zeigt deutlich, wie eng Technologie, Handel und Geopolitik verflochten sind.

China versucht, mit SMIC und YMTC eigene Fertigungskapazitäten aufzubauen. SMIC hat mittlerweile 7-Nanometer-ähnliche Prozesse demonstriert, bleibt aber beim Zugang zu EUV-Maschinen blockiert. YMTC produziert 3D-NAND-Speicher nach einem eigenen Stapelverfahren namens Xtacking. Diese Fortschritte sind bemerkenswert, ändern aber nichts daran, dass China beim Aufbau einer vollständig eigenständigen Halbleiterfertigung noch Jahre, möglicherweise Jahrzehnte, entfernt ist. Für europäische Unternehmen bedeutet diese Konstellation: Die Hardware, auf der jede geschäftliche Tätigkeit basiert, ist in einem Maß von ausländischen Akteuren abhängig, das im Ernstfall – Handelskonflikte, Sanktionen, geopolitische Krisen kaum überbrückt werden kann.

3. Die Betriebssystem-Schicht: Wessen Regeln gelten?

Auf der Hardware läuft Software. Und an der Basis aller Software stehen Betriebssysteme. Auch hier ist die Abhängigkeit von amerikanischen Unternehmen strukturell verankert. Microsoft kontrolliert mit Windows und Windows Server einen Großteil der Unternehmensinfrastruktur weltweit. Apple dominiert mit iOS und macOS in Premium-Segmenten für Endgeräte. Google hat mit Android das mobile Betriebssystem für den globalen Massenmarkt gebaut. Diese drei Plattformen bestimmen nicht nur, welche Software läuft, sondern auch, welche Daten wie erhoben werden, welche Telemetriedaten an den Hersteller fließen und welche App-Richtlinien gelten. Das ist keine abstrakte Gefahr. Windows sendet Diagnose- und Telemetriedaten an Microsoft-Server. iOS-Geräte synchronisieren Standort, Nutzungsverhalten und App-Aktivitäten mit Apple-Diensten, sofern die Voreinstellungen nicht aktiv angepasst werden. Android-Geräte ohne Google Play Services, wie viele Huawei-Geräte nach den US-Sanktionen, verlieren Zugang zu einem wesentlichen Teil des App-Ökosystems.

Red Hat und Canonical bieten mit RHEL und Ubuntu Linux-Alternativen, die in Serverinfrastrukturen weitverbreitet sind. Open-Source-Betriebssysteme haben hier echte Verbreitung gefunden, was in der Desktop- und mobilen Welt kaum gelungen ist. Chinas Antwort ist HarmonyOS von Huawei, das mittlerweile in einer Version namens HarmonyOS NEXT existiert, die weitgehend ohne Android-Kompatibilitätsschicht auskommt. OpenHarmony ist die Open-Source-Variante, die zunehmend in chinesischer Behörden- und Industrieinfrastruktur eingesetzt wird. EulerOS und das Community-Projekt openEuler adressieren den Serverbereich. Ob diese Systeme mittelfristig eine ernsthafte Alternative für nicht-chinesische Akteure darstellen, ist offen.

4. Die Cloud-Schicht: Wo die Daten wirklich liegen

Cloud Computing ist das Rückgrat der modernen Unternehmens-IT. Kaum eine Organisation betreibt ihre gesamte Infrastruktur noch vollständig selbst. Die Vorteile sind real: Skalierbarkeit, globale Verfügbarkeit, niedrige Einstiegskosten, rasche Innovationszyklen. Die Risiken werden dagegen systematisch unterschätzt.

Die Hyperscaler und ihre Marktmacht

Amazon Web Services, Microsoft Azure und Google Cloud kontrollieren zusammen einen Großteil des globalen Cloud-Marktes. Diese Konzentration hat Konsequenzen:

  • AWS bietet mit EC2, S3, Lambda, EKS und CloudFormation eine so umfassende Plattform, dass Unternehmen, die einmal begonnen haben, ihre Infrastruktur auf proprietären AWS-Diensten aufzubauen, einen enormen Aufwand betreiben müssen, um wieder herauszukommen. Die Egress-Kosten – Gebühren für den massiven Abzug von Daten aus der Cloud – können bei großen Datenbeständen in Millionenhöhe liegen. Dieser Mechanismus wirkt wie ein finanzielles Schloss auf der eigenen Abhängigkeit.
  • Microsoft Azure hat durch die enge Integration mit Microsoft 365, Entra ID und Active Directory eine besondere Stellung in Unternehmensumgebungen. Wer Teams, SharePoint und OneDrive nutzt, dessen Identitätsmanagement ist bereits in Azure verankert. Wer dann auf Azure-Dienste für KI, Datenanalyse und Kubernetes setzt, hat die vollständige Abhängigkeit von einem einzigen amerikanischen Anbieter vollzogen.
  • Google Cloud, mit Diensten wie Compute Engine, GKE und Vertex AI, ergänzt das Bild. Die Integration von Google-Werbedaten und Cloud-Analysen schafft hier eine eigene Art von Interessenverflechtung.

Die europäische Dimension

Für europäische Unternehmen kommt ein rechtliches Problem hinzu. Der US CLOUD Act erlaubt es amerikanischen Behörden unter bestimmten Umständen, auf Daten zuzugreifen, die von US-amerikanischen Unternehmen verwaltet werden, unabhängig davon, wo diese Daten physisch liegen. Ein Server in Frankfurt, betrieben von Microsoft Azure Deutschland, ist damit potenziell zugänglich für US-Behörden, wenn der Eigentümer dieser Daten ein US-Unternehmen ist. Das steht in direktem Widerspruch zur DSGVO, die den Schutz personenbezogener Daten europäischer Bürger gebietet. Dieses rechtliche Spannungsfeld ist bis heute nicht aufgelöst.

Für Unternehmen mit gesetzlich geschützten Geheimnissen, für Anwaltskanzleien, Banken, Gesundheitsorganisationen oder Rüstungsunternehmen ist dieser Sachverhalt existenziell relevant. Die Frage, ob Daten wirklich dort liegen, wo man glaubt, und ob wirklich nur die Zugriffsberechtigten Zugang haben, ist keine technische Detailfrage sondern eine Frage der Handlungsfähigkeit.

Chinesische Cloud-Alternativen

Alibaba Cloud, Huawei Cloud und Tencent Cloud sind in China und zunehmend in Asien und Afrika relevante Anbieter. Alibaba Cloud bietet mit ECS, OSS und PolarDB eine vollständige Cloud-Suite. Huawei Cloud setzt auf GaussDB als Datenbanklösung und ModelArts für KI-Workloads. Tencent Cloud verbindet Cloud-Dienste mit der WeChat-Infrastruktur.

Für westliche Unternehmen sind diese Anbieter aus dem gleichen Grund problematisch wie amerikanische aus chinesischer Sicht: Ihre Dienste unterliegen chinesischem Recht, das Behörden weitgehende Zugriffsrechte einräumt. Das chinesische Cybersecurity-Gesetz verpflichtet Unternehmen, Daten auf Anfrage weiterzugeben. Die geopolitische Logik ist symmetrisch und die konkreten Risikoprofile unterscheiden sich je nach Standort und Branche.

5. Die Software-Schicht: Unsichtbare Fäden

Über Betriebssysteme und Cloud-Infrastruktur legen sich weitere Abhängigkeiten: in Form von Software-Ökosystemen, Entwicklertools, Marktplätzen und Kommunikationsplattformen.

Entwickler-Ökosysteme

GitHub, seit 2018 im Besitz von Microsoft, ist die weltweit dominierende Plattform für Quellcodeverwaltung. Ein Großteil des relevanten Open-Source-Codes der Welt liegt auf Microsofts Servern. GitHub Actions erlaubt es, automatisierte CI/CD-Pipelines direkt in den Entwicklungsprozess zu integrieren. Wer GitHub nutzt, ist von der Verfügbarkeit eines amerikanischen Unternehmens abhängig.

Docker Hub ist die weltweit am meisten genutzte Container-Registry. npm, Maven Central und PyPI – die Paketregister für JavaScript, Java und Python liegen auf Infrastruktur amerikanischer Unternehmen. Eine Softwareanwendung, die auf modernem Stack aufbaut, zieht beim Build-Prozess in der Regel Dutzende Abhängigkeiten von Servern, die irgendwo in amerikanischen Rechenzentren stehen. GitLab, JFrog Artifactory und Sonatype Nexus bieten Alternativen, die sich selbst hosten lassen – was die Abhängigkeit verringert, aber nicht eliminiert, da die Software selbst oft Komponenten aus eben diesen Registries bezieht.

China hat mit Gitee eine eigene Alternative zu GitHub aufgebaut. Huaweis CodeArts-Plattform adressiert den Enterprise-Markt. Diese Alternativen werden im chinesischen Markt eingesetzt, haben aber bislang keine internationale Relevanz.

Kommunikationsplattformen

Microsoft Teams hat in vielen Unternehmen E-Mail, Telefon und Projektkommunikation auf einer Plattform vereint. Slack, mittlerweile Teil von Salesforce, ist in Technologieunternehmen weit verbreitet. Teams und Zoom dominieren Videokonferenzen. All diese Werkzeuge speichern Kommunikationsdaten auf amerikanischen Servern, unterliegen amerikanischem Recht und können im Extremfall als Datenquelle für Behörden dienen.

Auf chinesischer Seite ist WeChat von Tencent die universelle Kommunikationsplattform, die in China Messaging, Zahlung, Shopping und Identifikation vereint. WeCom ist die Business-Variante. ByteDances Toutiao und andere Plattformen komplettieren das Bild einer chinesischen Infrastruktur, die für ihre Nutzer ebenso totale Abhängigkeit schafft, wie es westliche Plattformen für ihre Nutzer tun.

6. Die KI-Schicht: Die neue Grenze digitaler Abhängigkeit

Künstliche Intelligenz hat in den letzten Jahren eine neue Dimension der Abhängigkeit geschaffen, die in ihrer Tragweite noch nicht vollständig verstanden ist.

Cloudgebundene KI als Souveränitätsproblem

Microsoft hat mit dem “Azure OpenAI Service” die Sprachmodelle von OpenAI in seine Cloud-Infrastruktur eingebettet. Wer GPT-4 oder spätere Modelle über die Microsoft-Schnittstelle nutzt, schickt seine Prompts und damit potenziell Unternehmensgeheimnisse, Produktentwicklungsdaten, Kundendaten auf Server, auf denen amerikanisches Recht gilt.

Amazon Bedrock bietet verschiedene Sprachmodelle als API-Dienst an, darunter Modelle von Anthropic und Meta. Google Vertex AI bündelt eigene und Drittanbieter-Modelle. Der Punkt ist immer derselbe: Wer cloudgebundene KI-Dienste nutzt, gibt Kontrolle ab. Nicht nur über die Infrastruktur, sondern potenziell auch über geistiges Eigentum, das als Eingabe in diese Systeme fließt. Viele Vertragswerke der Hyperscaler schließen zwar explizit aus, dass Nutzerdaten zum Modelltraining verwendet werden, aber ob diese Zusagen tatsächlich durchgesetzt werden, ob sie zukünftige Änderungen ausschließen und ob sie im Fall einer Behördenanfrage Bestand haben, ist ungewiss.

Chinas KI-Ambitionen

Baidu, Tencent und Alibaba investieren massiv in eigene Sprachmodelle. Baidus ERNIE, Tencents Hunyuan und Alibabas Qwen sind vollwertige Konkurrenten zu OpenAI und Anthropic. Huawei investiert in Ascend-Chips, die speziell für KI-Workloads ausgelegt sind.

Die geopolitische Dimension ist bedeutsam: China baut eine vollständige KI-Infrastruktur auf, die nicht von amerikanischen Chips, amerikanischer Software und amerikanischen Trainingsplattformen abhängt. Ob das vollständig gelingt, ist fraglich, aber der Versuch ist ernstzunehmen.

Lokale Modelle als Ausweg

Für Unternehmen, die keine Firmendaten in externe Cloud-Dienste schicken wollen, gibt es eine Alternative: lokal betriebene Sprachmodelle. Llama von Meta, Mistral aus Frankreich und eine wachsende Zahl weiterer Open-Weights-Modelle lassen sich auf eigener Hardware betreiben. Die Qualität dieser Modelle hat sich in den letzten Jahren erheblich verbessert. Lokales Betreiben bedeutet: Die Daten verlassen das eigene Netzwerk nicht. Kein Provider kann den Dienst sperren. Kein Preisanstieg gefährdet die Planung. Der Nachteil: Infrastrukturaufwand, Betriebskompetenz und Hardwareinvestition sind erheblich höher als beim einfachen API-Aufruf in der Cloud.

7. Netzwerkinfrastruktur: Die unsichtbare Ebene

Unter Betriebssystemen, Cloud und Software liegt die Netzwerkinfrastruktur wie Router, Switches und Mobilfunkequipment. Auch hier sind die Abhängigkeiten tief. Cisco dominiert mit Produktlinien wie Catalyst, Nexus und ASR die Unternehmens- und Carrier-Netzwerke weltweit. Juniper Networks, Arista und andere bieten Alternativen, aber die Grundstruktur der Internetinfrastruktur ist stark von amerikanischen Herstellern geprägt.

Huawei war bis vor wenigen Jahren der weltweit führende Anbieter von Mobilfunk-Netzwerkequipment. Der Ausschluss aus vielen westlichen Märkten hat Nokia und Ericsson gestärkt. Dennoch betreibt Huawei in weiten Teilen Asiens, Afrikas und Lateinamerikas weiterhin erhebliche Teile der 5G-Infrastruktur. Das Verfahren, mit dem diese Entscheidungen getroffen wurden, war explizit geopolitisch: Die Befürchtung, dass Netzwerkkomponenten eines chinesischen Herstellers Hintertüren für chinesische Behörden enthalten könnten, war das zentrale Argument. Ob diese Befürchtungen berechtigt sind, ist öffentlich nicht abschließend belegt.

8. Finanzinfrastruktur und digitale Marktplätze

Digitale Abhängigkeit beschränkt sich nicht auf IT-Infrastruktur im engeren Sinne.

Zahlungsnetzwerke

Visa und Mastercard beherrschen den globalen Zahlungsverkehr. Ihr Marktmacht erstreckt sich über die Technologie der Transaktion bis zu den Regeln, wer über diese Netzwerke Geschäfte machen darf. Sanktionen gegen Russland haben 2022 gezeigt, wie schnell ein Land de facto vom globalen Zahlungsverkehr abgekoppelt werden kann, wenn es von Visa und Mastercard ausgeschlossen wird. PayPal, Stripe und Braintree kontrollieren einen Großteil des Online-Payments-Segments. All das sind amerikanische Unternehmen, die amerikanischem Recht und amerikanischen Sanktionsregimen unterliegen.

Ant Group mit Alipay und Tencent mit WeChat Pay haben in China und zunehmend im asiatischen Raum ein alternatives Zahlungsökosystem aufgebaut. Ant Groups internationale Expansionspläne wurden durch regulatorischen Druck aus Peking gestoppt, was zeigt, dass auch der chinesische Staat seine Kontrollmacht über diese Infrastrukturen ausübt.

Digitale Marktplätze

Amazon Marketplace hat sich für viele Händler zur alternativlosen Plattform entwickelt. Die Abhängigkeit ist strukturell: Wer über Amazon verkauft, akzeptiert Amazons Regeln, Amazons Provisionsstruktur und Amazons Fähigkeit, mit eigenen Produkten in direkte Konkurrenz zu treten. Apples App Store und Google Play kontrollieren gemeinsam den globalen Markt für mobile Anwendungen. Beide verlangen Provisionen von bis zu 30 Prozent auf In-App-Käufe. Beide können Apps aus dem Markt entfernen. Beide bestimmen, welche Zahlungssysteme innerhalb von Apps zulässig sind. Für Unternehmen, deren Geschäftsmodell auf Apps basiert, ist diese Abhängigkeit fundamental. Auf chinesischer Seite sind Alibabas Plattformen wie Taobao, Tmall, AliExpress und 1688 die dominierenden Handelsinfrastrukturen. PDD Holdings mit Temu hat begonnen, aggressiv in westliche Märkte zu expandieren. In Europa und den USA wurde über Datenschutz sowie potenzielle staatliche Zugriffe auf Daten dieser Plattformen diskutiert.

9. Standards, Protokolle und die Kontrolle über das Internet

Eine weniger sichtbare, aber fundamentale Ebene der Abhängigkeit liegt in der Kontrolle über Internetstandards.

ICANN, die Internet Corporation for Assigned Names and Numbers, verwaltet das DNS-Root-System und die Vergabe von Top-Level-Domains. ICANN ist eine amerikanische Non-Profit-Organisation, die historisch unter erheblichem Einfluss der US-Regierung stand. Obwohl die Governance-Struktur internationalisiert wurde, bleibt die institutionelle Verankerung in den USA bedeutsam. Die IETF, die Internet Engineering Task Force, entwickelt die technischen Standards des Internets: HTTP, TLS, BGP, DNS, QUIC. Diese Standards sind offen, werden von Freiwilligen aus aller Welt entwickelt und stehen für jeden zur Verfügung. Dennoch sind amerikanische Unternehmen und Universitäten in diesem Prozess strukturell überrepräsentiert. Cloudflare kontrolliert mit seinem DNS-Service, seinem CDN und seinen Sicherheitsdiensten einen erheblichen Anteil des globalen Webverkehrs. Wenn Cloudflare sich entscheidet, bestimmte Inhalte oder Dienste nicht mehr zu schützen, wie es 2022 in einigen Fällen geschehen ist, hat das sofortige globale Auswirkungen.

10. Digitale Identität und öffentliche Infrastruktur

Die Abhängigkeit reicht bis in öffentliche Infrastrukturen hinein. Microsoft Government Cloud, AWS GovCloud und Google Public Sector sind spezielle Angebote für Behörden. Sie sind zertifiziert für staatliche Sicherheitsanforderungen und werden von vielen Regierungen weltweit eingesetzt. Das bedeutet: Teile kritischer staatlicher Infrastruktur laufen auf Servern amerikanischer Unternehmen. Palantir, ein amerikanisches Datananalyseunternehmen mit engen Verbindungen zu Geheimdiensten, ist tief in Behörden- und Verteidigungsinfrastrukturen verschiedener Länder eingebettet. Die Plattformen Gotham, Foundry und AIP werden für Entscheidungsunterstützung in Bereichen eingesetzt, die traditionell als staatliche Kernaufgabe gelten. Microsoft Entra ID (früher Azure Active Directory) ist für viele Organisationen das zentrale Identitätssystem. Wenn dieser Dienst ausfällt, funktioniert die Authentifizierung nicht mehr und damit der Zugang zu fast allen IT-Systemen. Die Abhängigkeit von einem einzigen amerikanischen Anbieter für die Grundfunktion der digitalen Identität ist ein erhebliches Klumpenrisiko.

11. Die sieben Dimensionen des Risikos

Aus den beschriebenen Abhängigkeiten ergeben sich konkrete Risikodimensionen, die für Entscheider in Unternehmen und Behörden relevant sind.

  1. Rechtliche Zugriffe und Stille Behördenanfragen: Der US CLOUD Act und vergleichbare Gesetze in China ermöglichen es staatlichen Behörden, unter bestimmten Umständen auf Daten zuzugreifen, die von Unternehmen aus diesen Ländern verwaltet werden. Gag Orders (geheime Herausgabeverlangen) können dazu führen, dass der betroffene Cloud-Provider das Unternehmen nicht einmal darüber informieren darf, dass Daten herausgegeben wurden. Der Dateninhaber erfährt davon möglicherweise nie.

  2. Politisch motivierte Abschaltungen: Ein Unternehmen, das vollständig in einer amerikanischen Cloud betrieben wird, kann in einem geopolitischen Spannungsfall unter Druck geraten, bestimmte Dienste einzustellen oder bestimmten Kunden keine Dienste mehr zu erbringen. Das ist kein theoretisches Szenario: Im Zuge des Kriegs in der Ukraine haben viele westliche Technologieunternehmen Dienste in Russland teils freiwillig und teils unter politischem Druck eingestellt.

  3. Wirtschaftlicher Lock-in und Wechselkosten: Die sogenannten “goldenen Handschellen” beschreiben den Mechanismus, durch den Unternehmen in Abhängigkeiten gelockt werden: kostenlose Credits am Anfang, günstige Reserved Instances, proprietäre SDKs und Dienste, die sich im Nachhinein schwer ersetzen lassen. Die Kosten eines Exit aus einem Hyperscaler wie Datentransfer, Migration, Neuentwicklung können die Kosten der Abhängigkeit weit übersteigen.

  4. Datenlokation und Metadatenabfluss: Nicht nur Dateiinhalte, sondern auch Metadaten wie Dateinamen, Autorennamen, Zeitstempel, Kommunikationspartner und IP-Adressen fließen in globale Rechenzentren. Diese Metadaten können für Wirtschaftsspionage, Wettbewerbsanalyse und geheimdienstliche Auswertung genutzt werden, auch wenn die eigentlichen Inhalte verschlüsselt sind.

  5. Versorgungsunterbrechungen durch Sanktionen: Die Geschichte der letzten Jahre hat gezeigt, dass Sanktionen als wirtschaftspolitisches Instrument eingesetzt werden. Huawei wurde 2019 vom Zugang zu amerikanischer Technologie abgeschnitten. Russische Banken wurden vom SWIFT-System abgekoppelt. Für Unternehmen, die auf Technologie aus einem politisch exponierten Land angewiesen sind, ist dieses Risiko real.

  6. Industriespionage durch Lieferkettenintegration: Die Abläufe innerhalb der Lieferkette sind oft nicht vollständig nachvollziehbar. Nachgelagerte Dienstleister, unterstützende Werkzeuge und Softwarekomponenten externer Anbieter können potenzielle Angriffswege enthalten. Hardware-Manipulationen auf dem Lieferweg, sogenannte Supply-Chain-Attacks, sind dokumentiert. Die Komplexität moderner IT-Lieferketten macht eine vollständige Kontrolle praktisch unmöglich.

  7. KI und geistiges Eigentum: Wer KI-Dienste nutzt, um Quellcode zu generieren, Texte zu verfassen oder Produktdaten zu analysieren, riskiert den Abfluss von geistigem Eigentum. Selbst wenn der Provider keine Daten für das Modelltraining nutzt: Die Daten verlassen das Unternehmens-Netzwerk. Sie werden auf fremder Infrastruktur verarbeitet. Das Risiko eines Datenlecks ist strukturell vorhanden, etwa infolge von Sicherheitslücken, Fehlkonfigurationen oder internem Missbrauch.

12. Wege zur digitalen Souveränität

Souveränität bedeutet nicht, dass sämtliche Technologie selbst entwickelt werden muss. Das wäre illusorisch. Es geht vielmehr um strategische Handlungsfähigkeit: die Fähigkeit, im Ernstfall wechseln zu können, kritische Prozesse aufrechtzuerhalten und die Kontrolle über sensible Daten zu behalten.

Architektonische Unabhängigkeit

Der erste Schritt zur Souveränität ist architektonischer Natur. Anwendungen, die herstellerneutrale Standards nutzen, lassen sich einfacher verlagern. Kubernetes ohne proprietäre Erweiterungen, Terraform statt anbieterspezifischer Infrastructure-as-Code-Tools, S3-kompatible Speicher-APIs statt proprietärer Dienste. All das schafft eine Abstraktionsschicht, die Wechsel ermöglicht, ohne Systeme komplett neu zu entwickeln. Software Bills of Materials (SBOMs) schaffen Transparenz über die tatsächlich verwendeten Komponenten und ihre Herkunft. Ohne diese Transparenz ist Risikobewertung nicht möglich.

Datensouveränität

Nicht alle Daten sind gleich schutzbedürftig. Eine klare Datenklassifizierung ist Voraussetzung für einen differenzierten Ansatz. Hochsensible Daten wie Patente, Kundengeheimnisse, Forschungsdaten und Finanzdaten gehören in strikt kontrollierte Umgebungen, idealerweise mit eigener Schlüsselgewalt. Confidential Computing, bei dem Daten auch im verarbeitenden Speicher verschlüsselt bleiben, bietet eine technische Möglichkeit, Daten auch auf fremder Infrastruktur zu schützen.

Finanzielle Vorbereitung Ein Ausstieg aus einem Hyperscaler verursacht Kosten. Wer dafür kein Budget vorgesehen hat, kann nicht wechseln, selbst wenn der Wunsch dazu besteht. Egress-Kosten, Migrationsaufwand, Neuentwicklung von proprietären Integrationen: all das muss in einer realistischen Kalkulation berücksichtigt werden. Der EU Data Act stärkt die Rechte auf Datenportabilität und kann dazu beitragen, die damit verbundenen Kosten zu begrenzen, allerdings nur dann, wenn die technischen Voraussetzungen für einen tatsächlichen Export gegeben sind.

Lokale und europäische Alternativen

Die europäische Cloud-Landschaft ist in den letzten Jahren gewachsen. Hetzner, IONOS, StackIT, Deutsche Telekom und andere Anbieter bieten Infrastruktur unter europäischem Recht an. Die GAIA-X-Initiative versucht, einen gemeinsamen europäischen Datenraum zu etablieren, auch wenn die praktische Umsetzung hinter den Ankündigungen zurückgeblieben ist. Für KI-Anwendungen sind lokal betriebene Modelle eine zunehmend realistische Option. Die Qualität von Open-Weights-Modellen hat sich in kurzer Zeit erheblich verbessert. Für viele Anwendungsfälle bieten sie ausreichende Leistung bei vollständiger Datenkontrolle.

Digitale Resilienz

Souveränität ist auch eine Frage der Widerstandsfähigkeit. Was passiert, wenn ein kritischer Cloud-Dienst ausfällt? Wenn ein Identity-Provider nicht erreichbar ist? Wenn ein Anbieter den Vertrag kündigt oder unter Sanktionen gerät? Offline verfügbare Dokumentation von Notfallprozessen, lokale Authentifizierung für Backups, geografisch verteilte Datenhaltung und regelmäßige Tests von Notfallszenarien sind keine theoretischen Konzepte, sondern praktische Anforderungen aus der NIS2-Richtlinie und dem Digital Operational Resilience Act (DORA).

13. Die politische Dimension: Souveränität als strategische Aufgabe

Was als technisches Problem erscheint, ist in Wahrheit eine politische und strategische Aufgabe. Die digitale Abhängigkeit von den USA und China ist nicht zufällig entstanden, sondern das Ergebnis von Jahrzehnten, in denen Europa es versäumt hat, eigenständige Technologieplattformen in ausreichendem Maß aufzubauen und zu skalieren.

Die EU hat mit DSGVO, Data Act, AI Act und Cybersecurity Act einen regulatorischen Rahmen geschaffen, der Anforderungen definiert. Dieser Rahmen ist notwendig, aber nicht ausreichend. Regulierung allein schafft keine souveräne Infrastruktur. Dafür braucht es Investitionen, Kompetenzaufbau und vor allem die politische Entscheidung, bestimmte Abhängigkeiten als strategisches Risiko zu betrachten und entsprechend zu handeln.

Der European Chips Act soll die Halbleiterfertigung in Europa stärken. Investitionen in den Aufbau von Rechenzentren, Quantencomputing und KI Grundlagenforschung werden auf europäischer Ebene koordiniert. Ob das ausreicht, um strukturelle Abhängigkeiten in relevanten Zeiträumen zu verringern, bleibt offen.

14. Fazit: Bewusste Entscheidungen statt unbewusste Abhängigkeit

Digitale Abhängigkeit von USA und China ist in den meisten Fällen nicht das Ergebnis einer bewussten Entscheidung. Sie ist das Resultat von unzähligen kleinen Entscheidungen, die jeweils vernünftig erschienen, etwa die Wahl des günstigsten Cloud Anbieters, des beliebtesten Tools oder des einfachsten Weges.

Das Problem entsteht, wenn diese Entscheidungen in ihrer Summe eine Infrastruktur hervorbringen, die nicht mehr kontrollierbar ist. Wenn Daten an Orten gespeichert sind, deren rechtliche Folgen nicht vollständig verstanden werden. Wenn Systeme so tief auf proprietären Diensten aufbauen, dass ein Wechsel praktisch unmöglich wird. Wenn KI Modelle mit Firmendaten trainiert werden, ohne dass jemand die Vertragsbedingungen wirklich geprüft hat.

Die Alternative ist weder technologischer Nationalismus noch eine Rückkehr zu Papier und Stift. Die Alternative ist Bewusstsein: zu wissen, wo Daten liegen, welche rechtlichen Rahmenbedingungen gelten, welche Alternativen es gibt und welche Kosten ein Wechsel verursachen würde. Auf dieser Grundlage lassen sich bewusste Entscheidungen treffen, nicht über Nacht, aber mit klarer Richtung.

Digitale Souveränität ist kein Zustand, der einmal erreicht und dann abgehakt werden kann. Sie ist eine kontinuierliche Praxis, die technisches, rechtliches und strategisches Denken verbindet. Wer sie ernst nimmt, tut das nicht trotz der Digitalisierung, sondern um Digitalisierung langfristig tragfähig zu gestalten.