Gastbeitrag: Digitale Souveränität als Teil moderner Daseinsvorsorge – Warum Europas Betreiber kritischer Infrastruktur jetzt handeln müssen

Digitale Souveränität bedeutet, Systeme und Daten auch dann selbstbestimmt betreiben zu können, wenn externe Anbieter ausfallen oder geopolitischer Druck entsteht. Im Kern geht es darum zu wissen, wo Daten liegen, wer darauf zugreifen kann und ob zentrale Anwendungen auch unter außergewöhnlichen Bedingungen stabil weiterlaufen. Entscheidend ist dabei nicht nur die Technologie selbst, sondern auch die Frage, nach welchen Regeln eine Infrastruktur und Systeme betrieben werden, wie sicher sie aufgebaut sind und ob Unternehmen ihre digitale Infrastruktur bei Bedarf anpassen oder weiterentwickeln können.

 

Im Mittelpunkt stehen vor allem strukturelle Abhängigkeiten, die im Betrieb digitaler Systeme entstehen und sich auf mehreren Ebenen auswirken:

• Starke Marktkonzentration bei wenigen Anbietern
• Begrenzte Transparenz bei Software- und Betriebsprozessen
• Hohe Wechselhürden, etwa durch anbietergebundene Schnittstellen, fehlende Interoperabilität und sogenannte Vendor-Lock-in-Strukturen (also Situationen, in denen Systeme so stark auf einen Anbieter zugeschnitten sind, dass ein Wechsel nur mit großem Aufwand möglich ist)
• Strukturelle Abhängigkeiten durch herstellergetriebene, strategische Entscheidungen, Update-Kontrolle, Lizenzbedingungen oder zentrale Steuerungsfunktionen beim Anbieter

In extremen Fällen könnten Funktionen eingeschränkt oder Dienste deaktiviert werden.

Wie heikel diese Strukturen inzwischen sind, zeigt sich bei Störungen zentraler Cloud-Infrastrukturen. Ein Beispiel dafür ist der Ausfall des AWS-Rechenzentrums in Virgina im Oktober 2025, einem der weltweit wichtigsten Cloud-Knotenpunkte oder der Crowdstrike-Computerausfall im Juli 2024. Die technischen Probleme führten global zu Ausfällen und Betriebsstörungen von Rechnersysteme und digitaler Dienste-auch in Europa, wo Banken, Behördenportale, Telekommunikationsanbieter sowie Kommunikations- und Arbeitsplattformen betroffen waren. Die Vorfälle verdeutlichen: Schon eine Störung an einem einzigen Standort außerhalb Europas kann unmittelbare Auswirkungen auf digitale Dienstleistungen und betriebliche Abläufe im europäischen Raum haben.

Digitale Souveränität reicht dabei weit über den physischen Standort von Daten hinaus. Der europäische Cloud-Markt wird weiterhin stark von US-Hyperscalern dominiert, die trotz europäischer Rechenzentren dem US-Rechtsrahmen unterliegen. Abhängigkeiten von wenigen globalen Plattformen bedeuten, dass Kontrolle über Daten, Software-Updates und Zugriffsrechte teilweise außerhalb Europas liegt. Besonders sichtbar wird dies, wenn technische Plattformarchitekturen und internationale Rechtsnormen ineinandergreifen. So verpflichtet der US CLOUD Act Anbieter zur Datenherausgabe an US-Behörden – unabhängig vom Speicherort. Dadurch kann selbst in Europa gespeicherte Information unter bestimmten Bedingungen außerhalb des europäischen Rechtsraums zugänglich werden und in Konflikt mit europäischen Datenschutzprinzipien wie der DSGVO geraten. Was zunächst wie ein technisches Detail wirkt, wird so zu einer Frage strategischer Handlungsfähigkeit.

Im Kontext wachsender geopolitischer Spannungen wird deutlich, dass technologische Abhängigkeiten nicht nur wirtschaftliche, sondern zunehmend sicherheitspolitische Bedeutung haben. Sowohl die USA als auch China verfolgen eigene industrie- und machtpolitische Interessen, die direkte Auswirkungen auf digitale Technologien, Lieferketten und technische Standards haben. Werden zentrale Cloud-Dienste, KI-Modelle oder Halbleiter außerhalb Europas entwickelt und kontrolliert, geraten europäische Akteure in ein strukturelles Spannungsfeld zwischen Nutzung und Einfluss – mit unmittelbaren Folgen für Europas strategische Sicherheit.

Die Europäische Kommission rückt digitale Souveränität daher in der neuen Legislaturperiode stärker in den Mittelpunkt ihrer Industrie- und Digitalpolitik. Aufbauend auf Initiativen wie dem AI Act, NIS2, dem Chips Act und der europäischen Datenstrategie liegt der Fokus zunehmend auf resilienten Cloud- und KI-Kapazitäten, sicheren Datenräumen und interoperablen digitalen Infrastrukturen. Ziel ist es, technologische Abhängigkeiten zu reduzieren, Verwundbarkeiten zu verringern und gleichzeitig Europas Resilienz und Wettbewerbsfähigkeit zu stärken. Mit der „Declaration for European Digital Sovereignty“ haben die Mitgliedstaaten zudem festgehalten, dass digitale Infrastruktur und sensible Daten Teil kritischer Daseinsvorsorge sind – und damit eine sicherheitsrelevante Rolle einnehmen.

Auch national gewinnt das Thema an Bedeutung. In der österreichischen Industriestrategie wird die enge Verzahnung von digitaler Infrastruktur, Energieversorgung und industrieller Wertschöpfung betont. Digitale Technologien gelten dabei zunehmend als Bestandteil strategischer Infrastruktur – nicht nur als Innovationsfeld, sondern als zentrale Voraussetzung für Versorgungssicherheit, industrielle Resilienz und die langfristige Wettbewerbsfähigkeit des Standorts.

Für Betreiber kritischer Infrastruktur wird digitale Souveränität dort konkret, wo digitale Technologien direkt in physische Betriebsprozesse eingreifen. Cloud-Plattformen bilden zunehmend eine Basis für Leit- und Steuerungssysteme, Datenplattformen oder KI-gestützte Analysen in Energie, Mobilität und Verwaltung. Künstliche Intelligenz unterstützt Prognosen, Wartungszyklen (Predictive Maintenance) und Netzstabilität, während Cybersicherheitslösungen die Integrität sensibler Systeme schützen. Abhängigkeiten von einzelnen Technologieanbietern wirken sich damit nicht nur auf IT-Strukturen aus, sondern können zu unmittelbaren betrieblichen und strategischen Risiken für Versorgungssicherheit und Stabilität werden.

Die Wiener Stadtwerke setzen deshalb auf ein Resilienzmodell, das technologische Abhängigkeiten gezielt steuert. Statt sich auf einen einzigen Cloud-Anbieter zu verlassen, werden mehrere Anbieter mit eigenen Rechenzentren und privaten Cloud-Lösungen kombiniert. So kann verhindert werden, dass ein einzelner Ausfall den Betrieb kritischer Systeme beeinträchtigt, und zentrale Anwendungen bleiben auch im Störungsfall steuerbar.

Ein konzernweites Cloud- und AI-Kompetenzzentrum stellt sicher, dass diese Strategie im Alltag wirksam umgesetzt wird. Neue Cloud-Dienste werden systematisch geprüft, Risiken frühzeitig bewertet und Sicherheitsanforderungen entlang zentraler Betriebsprozesse festgelegt. Regelmäßige Tests – von simulierten Angriffsszenarien bis zu strukturierten Risikoanalysen – helfen, Schwachstellen zu erkennen und die digitale Infrastruktur kontinuierlich zu stärken.

 

Digitale Souveränität entsteht dabei nicht nur durch technische Architekturentscheidungen, sondern auch durch strategische Beschaffung. Als große Auftraggeber am Markt prägen Betreiber kritischer Infrastruktur mit ihren Investitionen maßgeblich die Entwicklung digitaler Lösungen. Auch die Wiener Stadtwerke sehen darin eine besondere Verantwortung: Als eine der größten Auftraggeberinnen Österreichs haben ihre Vergabeentscheidungen unmittelbare Auswirkungen auf Marktstrukturen. Bei den bestehenden Volumina macht es einen Unterschied, ob österreichische oder europäische Anbieter zum Einsatz kommen. So können sie dazu beitragen, vertrauenswürdige und leistungsfähige digitale Lösungen im europäischen Raum zu stärken und die Marktvielfalt zu erhöhen. Digitale Souveränität wird damit auch zu einer Frage verantwortungsvoller Beschaffung im eigenen Wirkungskreis.

Auf technischer Ebene entsteht digitale Souveränität nicht durch Abschottung, sondern durch steuerbare Architekturentscheidungen. Security-by-Design - also die systematische Einbettung von Sicherheitsanforderungen bereits in der Entwicklungsphase digitaler Systeme, offene Schnittstellen und, wo sinnvoll – Open-Source-basierte Komponenten erhöhen Transparenz und Austauschbarkeit. In diesem Kontext gewinnt auch die Debatte um „Sovereign Cloud“-Ansätze und eine europäische Cloud-Zertifizierung (EUCS) an Bedeutung, da sie darauf abzielt, vertrauenswürdige Cloud-Infrastrukturen mit klaren Anforderungen an Sicherheit, Governance und Datenzugriff zu schaffen. Internationale Cloud-Modelle können Teil einer stabilen Infrastruktur sein, sofern Betrieb, Governance und Zertifizierung effektiv im europäischen Rechtsraum verankert bleiben.

Ziel ist eine messbare Handlungsfähigkeit: Diversifizierte Anbieter, klare Verantwortlichkeiten sowie belastbare Exit- und Fallback-Strategien sollen sicherstellen, dass digitale Systeme im Ernstfall ebenso resilient funktionieren wie Energie- oder Verkehrsnetze. Wer kritische Infrastruktur betreibt, muss digitale Abhängigkeiten genauso aktiv steuern wie physische Netze.

Geopolitische Spannungen, technologische Machtverschiebungen und wachsende Abhängigkeiten von globalen Plattformen verdeutlichen, dass digitale Infrastruktur längst Teil europäischer Sicherheitsrealität ist. Digitale Souveränität bedeutet dabei nicht vollständige technologische Unabhängigkeit, sondern die Fähigkeit, Abhängigkeiten aktiv zu gestalten und Risiken kontrollierbar zu halten. Sie wird zur europäischen Handlungsfähigkeit in einem zunehmend fragmentierten Technologieraum– denn begrenzte eigene Gestaltungsspielräume führen zu geringem Einfluss auf Standards, Sicherheitsanforderungen und strategische Entscheidungen.

Für Europa geht es daher nicht um technologische Autarkie, sondern um den Aufbau resilienter Rahmenbedingungen. Digitale Infrastruktur entwickelt sich zum strategischen Rückgrat moderner Daseinsvorsorge. Entscheidend ist, technologische Offenheit mit klarer Governance, interoperablen Systemen und belastbaren europäischen Kapazitäten zu verbinden. Resilienz entsteht nicht durch Einzelmaßnahmen, sondern durch das Zusammenspiel von Industriepolitik, Regulierung und der konsequenten Umsetzung bei den Betreibern selbst. Die politischen Rahmenbedingungen dafür müssen jetzt geschaffen werden - durch klare regulatorische Leitplanken, gezielte Investitionsanreize und einen partnerschaftlichen Dialog zwischen Politik und Betreibern kritischer Infrastruktur.