Neu

msg digital mehr

Kontakt
Logo
msg_Gradient_farblos_1 (5)
AdobeStock_824511961

Framework zur Bestimmung der eigenen
digitalen Souveränität

Digitale Souveränität strategisch bewerten und gezielt ausbauen

Dieses Framework unterstützt Unternehmen dabei, den aktuellen Reifegrad digitaler Souveränität systematisch zu erfassen und fundierte Entscheidungen für die Weiterentwicklung zu treffen. Im Mittelpunkt steht die Frage, wie unabhängig, steuerungsfähig und zukunftssicher Ihr Unternehmen in der Cloud agiert.

Die Bewertung erfolgt entlang der drei wesentlichen Dimensionen digitaler Souveränität:

  • Technologische Souveränität – Vermeidung kritischer Abhängigkeiten von Anbietern und Technologien
  • Operative Souveränität – Fähigkeit, digitale Prozesse eigenständig zu steuern
  • Datensouveränität – Kontrolle über Nutzung, Zugriffe und Wertschöpfung mit Daten

Ergänzend fließt ein vierter Bereich ein: die Kompetenzen, die für die Umsetzung digitaler Souveränität im Unternehmen nötig sind.

Der regulatorische Rahmen wird im Assessment bewusst ausgeklammert, da dieser in den meisten Unternehmen bereits durch spezialisierte Funktionen abgedeckt wird.

So funktioniert das Assessment:

Gemeinsam analysieren wir in einem strukturierten Assessment systematisch alle relevanten Dimensionen digitaler Souveränität entlang des Frameworks.

Für jede Dimension beantworten Sie gezielte Fragen zur Selbsteinschätzung. Die Ergebnisse werden auf einer Skala von niedrig bis hoch eingeordnet und zeigen, wo Ihr Unternehmen aktuell steht. Darauf aufbauend erhalten Sie konkrete strategische Empfehlungen, um digitale Souveränität gezielt auszubauen.

Nutzen Sie das Framework auch als laufendes Steuerungsinstrument, um konsequent und dauerhaft digitale Abhängigkeiten zu erkennen, Risiken zu minimieren und damit Ihre Handlungsfähigkeit langfristig zu sichern.

Audi, Manuel

Dr. Manuel Audi

Geschäftsführer BELTIOS GmbH

Lassak, Karl

Karl Lassak

Principal Consultant BELTIOS GmbH

Das Framework ist Bestandteil der Whitepaperreihe zur Digitalen Souveränität, herausgegeben von BELTIOS, einer Marke der msg advisors, in Zusammenarbeit mit dem Gesamtverband der Deutschen Versicherungswirtschaft e.V..

Ausgabe 1: Digitale Souveränität in der Versicherungswirtschaft

Ausgabe 2: Digitale Souveränität – Cloud Computing

Technologische Souveränität

Wie stark kontrolliert Ihr Unternehmen die eingesetzte Cloud-Infrastruktur – technisch und organisatorisch?

  • Niedrig: Bei einem niedrigen Reifegrad besteht eine vollständige Abhängigkeit von externen Dienstleistern oder Cloud-Anbietern. Die Infrastruktur wird ausschließlich durch diese betrieben und verwaltet; eigene Eingriffsmöglichkeiten oder Transparenz über technische Details fehlen.
  • Mittel: Ein mittlerer Reifegrad liegt vor, wenn das Unternehmen über eingeschränkte Steuerungsmöglichkeiten verfügt – bspw. über standardisierte Verwaltungsoberflächen oder im Rahmen hybrider Betriebsmodelle. Zwar existieren gewisse Eingriffsmöglichkeiten, doch die Abhängigkeit vom Anbieter und die technische Tiefe der Kontrolle bleiben begrenzt.
  • Hoch: Ein hoher Reifegrad ist dann erreicht, wenn das Unternehmen wesentliche Teile der Infrastruktur eigenständig betreiben oder über Partner mit klar geregelter Steuerungshoheit verwalten kann. Technische und organisatorische Maßnahmen – wie Infrastructure-as-Code, standardisierte Schnittstellen oder der Einsatz interoperabler Technologien – ermöglichen eine flexible, nachvollziehbare und selbstbestimmte Infrastrukturgestaltung.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Transparenz über Cloud-Infrastrukturen und deren Steuerungsmöglichkeiten herstellen
  • Eigene Kompetenzen im Bereich Infrastructure-as-Code schrittweise aufbauen, um Konfigurationen nachvollziehbar zu machen und automatisiert zu steuern
  • Alternative Technologien prüfen – bspw. Open Source-basierte Cloud-Stacks oder souveräne europäische Angebote, um technologische Abhängigkeiten zu reduzieren

In welchem Maß nutzt Ihr Unternehmen offene Standards und Open Source-Technologien?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn ausschließlich proprietäre Lösungen genutzt werden, ohne dass Interoperabilität oder Standardkonformität geprüft werden. Open Source-Alternativen werden nicht in Betracht gezogen oder grundsätzlich ausgeschlossen.
  • Mittel: Bei einem mittleren Reifegrad werden offene Standards punktuell berücksichtigt, etwa bei der Integration von Systemen oder der Auswahl von Schnittstellen. Open Source-Lösungen werden vereinzelt eingesetzt, spielen aber keine zentrale Rolle in der strategischen Technologiewahl.
  • Hoch: Ein hoher Reifegrad zeichnet sich dadurch aus, dass offene Standards systematisch bevorzugt und Open Source-Lösungen aktiv eingesetzt, mitgestaltet oder weiterentwickelt werden. Das Unternehmen kennt die relevanten Open Source-Communities und bewertet technologische Entscheidungen auch im Hinblick auf Transparenz, Nachhaltigkeit und Unabhängigkeit.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Systematisch analysieren, wo proprietäre Technologien durch offene Standards oder Open Source-Lösungen ersetzt werden können (nicht nur technische Machbarkeit, sondern auch langfristige strategische Bedeutung solcher Entscheidungen berücksichtigen)
  • Kompetenzen zur Bewertung, Auswahl und Integration von Open Source-Technologien und entsprechende Richtlinien in der Architektur- und Beschaffungsstrategie etablieren
  • In Open Source-Communities und Konsortien mitwirken, um Gestaltungsfähigkeit zu erhöhen und frühzeitig Einblick in technologische Entwicklungen zu gewinnen

Wie stark beeinflusst Ihr Unternehmen die Auswahl und Weiterentwicklung der eingesetzten Technologien selbst – unabhängig von externen Vorgaben?

  • Niedrig: Ein niedriger Reifegrad zeigt sich darin, dass technologische Entscheidungen überwiegend durch Anbieter oder externe Partner getroffen werden. Das Unternehmen folgt dabei vorgegebenen Produktpfaden oder Standards (ohne eigene Steuerungsmechanismen).
  • Mittel: Ein mittlerer Reifegrad liegt vor, wenn technologische Entscheidungen auf Basis interner Abstimmungen erfolgen, jedoch oft stark durch externe Roadmaps, bestehende Verträge oder vorhandene technologische Pfadabhängigkeiten beeinflusst sind. Zwar wird intern abgewogen, aber die tatsächlichen Entscheidungsspielräume bleiben begrenzt.
  • Hoch: Ein hoher Reifegrad bedeutet, dass das Unternehmen technologische Entscheidungen eigenständig trifft – auf Basis definierter Prinzipien, strategischer Technologieradare und systematischer Bewertungen. Entscheidungen erfolgen bewusst anbieterneutral und berücksichtigen langfristige technologische, regulatorische und betriebliche Perspektiven.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Strukturiertes Technologiemanagement etablieren, das die Bewertung und Auswahl von Technologien entlang definierter Kriterien systematisiert (bspw. inkl. eines Technologieradars, der relevante Entwicklungen beobachtet und strategisch bewertet)
  • Interne Prozesse zur Technologieauswahl und -freigabe so gestalten, dass sie Anbieterabhängigkeiten frühzeitig erkennen und Alternativen zulassen
  • Technologieübergreifende Kompetenzen aufbauen und technische Fachverantwortliche stärker in strategische Entscheidungen einbinde, um Abhängigkeiten bewusst zu steuern.

In welchem Maß sichern Ihre Cloud-Verträge technologische Unabhängigkeit – z. B. im Hinblick auf Anbieterwechsel, Laufzeiten oder Migrationen?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn Verträge mit Cloud-Anbietern keine oder nur sehr eingeschränkte Möglichkeiten zur Anpassung, Kündigung oder Migration vorsehen. Das Unternehmen ist an langfristige technologische Pfade gebunden, ohne wirksame Absicherungen für den Fall eines Anbieterwechsels.
  • Mittel: Ein mittlerer Reifegrad ist dadurch gekennzeichnet, dass einzelne Verträge verhandelbare Flexibilitätsoptionen enthalten (bspw. Laufzeitverkürzungen, Datenportabilitätsklauseln oder technischen Dokumentationen). Die Flexibilität ist jedoch nicht systematisch gesteuert und unterscheidet sich stark zwischen Anbietern und Vertragskonstellationen.
  • Hoch: Ein hoher Reifegrad bedeutet, dass das Unternehmen in der Lage ist, technologische Abhängigkeiten vertraglich gezielt zu begrenzen. Es existieren standardisierte Anforderungen an Vertragswerke, die etwa Exit-Strategien, Interoperabilität, Datenrückführung und Migrationsunterstützung verbindlich regeln. Vertragsverhandlungen erfolgen auf Augenhöhe und mit dem Ziel langfristiger technologischer Unabhängigkeit.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Zentrale Kriterien für Cloud-Verträge definieren und diese systematisch in Ausschreibungen und Verhandlungen einbringen (bspw. Anforderungen an Datenportabilität, API-Transparenz, Unterstützung bei Systemmigrationen oder klare Kündigungs- und Exit-Regelungen)
  • Technische, rechtliche und betriebliche Expertise in die Vertragsgestaltung einbinden, um die Wirksamkeit solcher Maßnahmen
  • Unternehmensweite Vertragsrichtlinie für technologische Services etablieren, die Souveränitätsziele explizit berücksichtigt

 

 

Operative Souveränität

Wie umfassend und eigenständig überwacht Ihr Unternehmen Cloud-Infrastrukturen und -Dienste?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn das Monitoring ausschließlich durch den Cloud-Anbieter oder externe Partner erfolgt. Das Unternehmen erhält nur standardisierte oder verzögerte Berichte, ohne tiefere Einsicht in Echtzeitdaten oder Logdateien.
  • Mittel: Ein mittlerer Reifegrad ist gegeben, wenn das Unternehmen Zugriff auf Monitoringdaten und -werkzeuge hat und bestimmte Metriken eigenständig überwacht, jedoch Einschränkungen bzgl. Granularität, Integrationstiefe oder Handlungsfähigkeit bei erkannten Problemen bestehen.
  • Hoch: Ein hoher Reifegrad bedeutet, dass das Unternehmen über eine umfassende, konsolidierte Monitoring-Architektur verfügt, die sowohl Infrastruktur- als auch Anwendungsebene abdeckt. Echtzeitdaten sind jederzeit verfügbar, werden aktiv analysiert und dienen als Grundlage für automatisierte oder manuelle Steuerungsmaßnahmen.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Einheitliche Überwachungsstrategie entwickeln, die alle relevanten Cloud-Komponenten abdeckt
  • Cloud-agnostische Monitoring-Tools einsetzen sowie Security-Information- and Event-Management-Systeme integrieren, um eine zentrale Sicht auf Betriebs- und Sicherheitszustände zu ermöglichen
  • Prozesse zur Bewertung und Reaktion auf Monitoringinformationen etablieren (bspw. durch Incident-Response-Pläne oder automatisierte Skalierungsregeln)
  • In Vertragsbeziehungen mit Cloud-Anbietern sicherstellen, dass ausreichender Zugriff auf Metriken, Logs und Audits besteht, um eine eigenständige Betriebssteuerung zu ermöglichen

In welchem Maß kann Ihr Unternehmen den Betrieb cloudbasierter Anwendungen eigenständig steuern und bei Bedarf unabhängig eingreifen?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn der Betrieb cloudbasierter Anwendungen vollständig an externe Anbieter ausgelagert ist. Es bestehen keine internen Fähigkeiten oder Rechte, den laufenden Betrieb zu beeinflussen oder bei Störungen eigenständig zu intervenieren.
  • Mittel: Ein mittlerer Reifegrad zeigt sich, wenn Teilbereiche des Betriebs, etwa Monitoring oder Deployment, durch das Unternehmen selbst übernommen werden, während zentrale Aufgaben weiterhin beim Anbieter oder einem Dienstleister liegen. Die Abhängigkeit bleibt bestehen, ist jedoch technisch und organisatorisch teilweise reduziert.
  • Hoch: Ein hoher Reifegrad bedeutet, dass das Unternehmen den Betrieb cloudbasierter Systeme weitgehend selbst oder über frei wählbare Partner verantwortet. Es existieren etablierte Prozesse, Tools und Kompetenzen, um Anpassungen, Updates oder Migrationen unabhängig und sicher durchzuführen.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Gezielt Kompetenzen in den Bereichen Cloud-Operations, DevOps und Monitoring aufbauen (die Auswahl von Technologien und Betriebsmodellen sollte darauf abzielen, eigenständiges Handeln zu ermöglichen, bspw. durch containerbasierte Deployments, offene Standards oder Self-Service-Strukturen)
  • Im Rahmen von Partnerschaften auf vertraglich geregelte Übergabemöglichkeiten und klare Verantwortungsabgrenzungen achten
  • Perspektivisch eine Governance-Struktur aufbauen, die den Betrieb kritischer Systeme regelmäßig auf Eigenständigkeit prüft

Wie gut ist Ihr Unternehmen in der Lage, Cloud-Lösungen und -Infrastrukturen eigenständig an neue Anforderungen anzupassen?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn Änderungen an Cloud-Diensten ausschließlich durch den Anbieter vorgenommen werden können. Das Unternehmen ist auf dessen Entwicklungszyklen angewiesen und hat keine Möglichkeit, Anpassungen eigenständig durchzuführen oder zu initiieren.
  • Mittel: Ein mittlerer Reifegrad ist erreicht, wenn das Unternehmen bestimmte Konfigurationsänderungen oder Erweiterungen eigenständig umsetzen kann, grundlegende Anpassungen oder strukturelle Änderungen jedoch vom Anbieter oder Dienstleister abhängig bleiben.
  • Hoch: Ein hoher Reifegrad bedeutet, dass das Unternehmen in der Lage ist, relevante Anpassungen eigenständig oder in kontrollierter Partnerschaft durchzuführen – sowohl auf der Infrastruktur- als auch auf der Anwendungsebene. Technologische und organisatorische Strukturen sind so aufgebaut, dass schnelle und sichere Veränderungen möglich sind, ohne dass kritische Abhängigkeiten entstehen.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Auf flexible Architekturprinzipien wie Microservices, API-Zugänglichkeit und modulare Plattformansätze setzen
  • Automatisierungstools gezielt einsetzen (etwa für Deployment und Skalierung), um eine schnelle Umsetzung technischer Änderungen zu ermöglichen
  • Auf organisatorischer Ebene agile Strukturen und Entscheidungskompetenzen schaffen, die technologische Anpassungen nicht verzögern
  • Bei der Auswahl von Cloud-Diensten und -Partnern explizit auf Konfigurierbarkeit, Erweiterbarkeit und Offenheit der Systeme achten, um Anpassungshürden zu vermeiden

Wie gut ist Ihr Unternehmen technisch, organisatorisch und vertraglich darauf vorbereitet, Cloud-Anbieter zu wechseln, ohne die Betriebsfähigkeit zu gefährden?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn keine klaren Ausstiegsszenarien existieren und technische sowie vertragliche Abhängigkeiten einen Wechsel faktisch unmöglich machen. Datenformate, Schnittstellen und Systeme sind eng an proprietäre Technologien gebunden.
  • Mittel: Ein mittlerer Reifegrad besteht, wenn theoretisch eine Exit-Möglichkeit vorhanden ist – etwa durch dokumentierte APIs oder Datenexportfunktionen – in der Praxis jedoch hohe Aufwände, fehlende Migrationspfade oder unklare Verantwortlichkeiten einen Exit erschweren.
  • Hoch: Ein hoher Reifegrad bedeutet, dass das Unternehmen regelmäßig Exit-Szenarien durchdenkt, technische Exit-Pfade vorbereitet und vertraglich abgesicherte Migrationsmöglichkeiten implementiert hat. Technische und organisatorische Maßnahmen ermöglichen einen Wechsel zu alternativen Anbietern ohne tiefgreifende Betriebsunterbrechungen oder Abhängigkeiten.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Systematisch Exit-Strategien entwickeln, dokumentieren und in die IT-Governance integrieren
  • Technologien mit offenen Schnittstellen und standardisierten Datenformaten auswählen und Datenportabilität und Übergabeunterstützung vertraglich sicherstellen
  • Migrationen testen, redundante Betriebsmodelle aufbauen und alternative Anbieter kontinuierlich bewerten, um die faktische Exit-Fähigkeit zu steigern (entscheidend ist, dass Exit-Überlegungen nicht erst im Krisenfall, sondern als strategische Priorität verstanden und vorbereitet werden)

Datensouveränität

Wie systematisch klassifizieren Sie Ihre Unternehmensdaten, und in welchem Maß haben Sie Transparenz und Kontrolle über deren Speicherorte in der Cloud?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn das Unternehmen keine einheitliche Klassifikation von Daten vornimmt und keine Transparenz darüber besteht, an welchen Standorten – national oder international – Daten verarbeitet oder gespeichert werden. Die Speicherung erfolgt pauschal im Cloud-Angebot, ohne lokationsbezogene Steuerung oder Dokumentation.
  • Mittel: Ein mittlerer Reifegrad ist erreicht, wenn das Unternehmen Daten zumindest in groben Kategorien klassifiziert (z. B. personenbezogen bzw. nicht-personenbezogen) und über grundlegende Informationen zu Speicherorten verfügt – etwa über Regionseinstellungen im Cloud-Portal –, jedoch ohne vollständige Kontrolle über alle Datenflüsse.
  • Hoch: Ein hoher Reifegrad bedeutet, dass das Unternehmen über ein fein granuliertes Klassifikationsschema verfügt, das automatisiert angewendet wird (z. B. über Data-Loss-Prevention-Tools), und dass es vollständige Transparenz über Speicherorte aller Daten und Datenkopien hat. Speicherentscheidungen können aktiv gesteuert werden, etwa durch Geofencing oder Datenresidenzrichtlinien.

 

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Unternehmensweit einheitliches Klassifikationsschema entwickeln, das unterschiedliche Schutzklassen klar definiert und praxisnah anwendbar ist (kann in Datenmanagement- oder Cloud-Governance-Systeme integriert und automatisiert werden)
  • Technische Mechanismen wie Tagging, Data-Mapping und Echtzeit-Monitoring etablieren, um Datenflüsse zu analysieren und Speicherorte nachverfolgen zu können und auf dieser Basis Steuerungsmaßnahmen wie geografische Einschränkungen, Replikationskontrollen oder gezielte Speicherung in vertrauenswürdigen Regionen umsetzen

 

Welche Kontrolle hat Ihr Unternehmen über die Verschlüsselung sensibler Cloud-Daten und über die Verwaltung der dafür verwendeten Schlüssel?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn Daten in der Cloud unverschlüsselt gespeichert oder vom Anbieter standardmäßig verschlüsselt werden, ohne dass das Unternehmen Einfluss auf die Schlüsselverwaltung oder Einsicht in die verwendeten Mechanismen hat.
  • Mittel: Ein mittlerer Reifegrad besteht, wenn das Unternehmen Verschlüsselung nutzt und gewisse Konfigurationsmöglichkeiten besitzt, etwa bei der Auswahl von Verschlüsselungsalgorithmen oder dem Umgang mit Zugriffsschlüsseln, jedoch ohne vollständige Kontrolle über die Schlüsselvergabe oder -speicherung.
  • Hoch: Ein hoher Reifegrad liegt vor, wenn das Unternehmen eigene Schlüssel generiert, verwaltet und speichert – bspw. über Customer-Managed Keys (CMK) oder Bring-Your-Own-Key (BYOK)-Modelle – und diese Prozesse vollständig in die eigene Sicherheitsarchitektur integriert sind. Der Cloud-Anbieter kann ohne Zustimmung nicht auf die Daten zugreifen.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Ende-zu-Ende-Verschlüsselungsstrategie definieren, die sowohl ruhende als auch übertragene Daten abdeckt (Data at rest, data in transit; data in use sind in der Regel unverschlüsselt, da sie zur Verarbeitung entschlüsselt werden müssen)
  • Auf anerkannte Verschlüsselungsstandards setzen und Cloud-Dienste bevorzugen, die Customer-managed- oder BYOK-Modelle unterstützen
  • Unternehmensinternes Key Management System (KMS) aufbauen bzw. anbinden, das die Generierung, Verteilung, Rotation und Löschung von Schlüsseln regelt
  • Organisatorische Prozesse zur Erhöhung der Sicherheit einführen, bspw. Prinzip der Funktionstrennung (z. B. keine alleinige Kontrolle über Schlüssel durch Administratoren)
  • Vertraglich sicherstellen, dass der Cloud-Anbieter keine Zugriffsmöglichkeiten auf Schlüssel oder unverschlüsselte Daten erhält

Wie differenziert und automatisiert ist Ihr Zugriffs- und Berechtigungsmanagement in der Cloud gestaltet?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn Berechtigungen pauschal vergeben werden, etwa auf Basis statischer Administratorrollen, ohne granular abgestufte Zugriffsebenen. Es fehlen sowohl einheitliche Regelwerke als auch regelmäßige Prüfungen der vergebenen Rechte. Zugriffsrechte können sich unkontrolliert anhäufen.
  • Mittel: Ein mittlerer Reifegrad ist erreicht, wenn das Unternehmen rollenbasierte Zugriffskonzepte etabliert hat, diese jedoch nur manuell verwaltet oder ohne durchgängige Integration in die Cloud-Plattformen betreibt. Die Rechtemodelle sind grundsätzlich sinnvoll, werden aber nicht systematisch kontrolliert oder dokumentiert.
  • Hoch: Ein hoher Reifegrad besteht, wenn das Unternehmen ein umfassendes Zugriffsmanagement implementiert hat, das kontextabhängige Zugriffskontrollen (z. B. Zeitfenster, Gerätekontext, Standort) berücksichtigt und auf dem Zero-Trust-Prinzip basiert. Zugriffskontrollen werden regelmäßig auditiert, Rechte automatisch angepasst oder entzogen und über zentrale Governance-Systeme gesteuert. Jede Zugriffsentscheidung ist nachvollziehbar, revisionssicher dokumentiert und datenschutzkonform abgesichert.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Zentralisiertes Identity & Access Management (IAM) einführen oder konsequent ausbauen ( IAM sollte rollen- und attributbasiertes Management ermöglichen und mit der Cloud-Infrastruktur tief integriert sein)
  • Bestehende Berechtigungen regelmäßig automatisiert überprüfen und über Rezertifizierungsprozesse anpassen
  • Zugriffskontrolle durch Multi-Faktor-Authentifizierung und kontinuierliche Überwachung stärken
  • Organisatorische Prozesse (bspw. für Onboarding und Offboarding) mit den IAM-Systemen abstimmen

In welchem Maß sichern Ihre Cloud-Verträge die Datenhoheit Ihres Unternehmens ab?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn Standardverträge des Cloud-Anbieters ohne Anpassung übernommen wurden und keine spezifischen Regelungen zur Datenweitergabe oder zur Rolle von Unterauftragnehmern enthalten sind. Die Hoheit über die Daten verbleibt faktisch beim Anbieter, etwa durch weitreichende Nutzungs- oder Zugriffsrechte.
  • Mittel: Ein mittlerer Reifegrad ist gegeben, wenn der Cloud-Vertrag einzelne Regelungen zur Datenverarbeitung, zur Haftung oder zu Drittzugriffen enthält, aber keine durchgängig verhandelte oder durchsetzbare Governance-Struktur aufweist. Die tatsächliche Kontrolle über Datenweitergabe bleibt eingeschränkt, insbesondere bei transnationalen Datenflüssen.
  • Hoch: Ein hoher Reifegrad besteht, wenn das Unternehmen seine Anforderungen an Datenhoheit in Form individuell ausgehandelter, rechtlich belastbarer Regelungen mit dem Anbieter vertraglich abgesichert hat. Dazu zählen u. a. explizite Beschränkungen der Datenweitergabe, Offenlegungspflichten bei Drittanfragen, Mitspracherechte bei Subunternehmern und die Möglichkeit zur Auditierung. Verträge enthalten Exit-Klauseln, Datenrückgaberechte und Mechanismen zur Sicherstellung der Löschung bei Vertragsende.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Bestehende Cloud-Verträge systematisch analysieren und auf Lücken in Bezug auf Datenkontrolle, Weitergabe und Haftung prüfen
  • Bei Bedarf Zusatzvereinbarungen (z. B. Data Processing Agreements, Cloud Addenda) mit spezifischen Klauseln zur Datenverwendung, geografischen Speicherung, Unterauftragnehmern und Auskunftspflichten ergänzen
  • Besondere Aufmerksamkeit auf die Transparenz gegenüber Behördenzugriffen sowie den Möglichkeiten zur aktiven Steuerung von Subprozessoren lenken und prüfen, ob vertraglich abgesicherte Mechanismen für Notfallzugriffe, Datenrückführung oder Auditierungen existieren (idealerweise gestützt durch technische Maßnahmen, die den Vertrag operationalisieren)
  • Interne Vertragskompetenz oder die Zusammenarbeit mit spezialisierten Rechtsberatern aufbauen, um vertragliche Souveränität systematisch zu stärken

Kompetenzen

Wie breit und tief ist das Cloud-spezifische technologische Know-how in Ihrem Unternehmen verankert, und wie systematisch wird dieses Wissen aufgebaut, gepflegt und in Entscheidungen eingebunden?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn im Unternehmen kaum technologisches Know-how im Bereich Cloud vorhanden ist und die Verantwortung für Cloud-Anwendungen vollständig an externe Dienstleister delegiert wird. Mitarbeitende verstehen grundlegende Begriffe oder Zusammenhänge nur unzureichend, und es fehlt an Bewusstsein für die eigenen technologischen Abhängigkeiten.
  • Mittel: Ein mittlerer Reifegrad ist erreicht, wenn einzelne Personen oder Abteilungen über solides Cloud-Wissen verfügen und in der Lage sind, Cloud-Dienste zu konfigurieren, zu steuern und zu bewerten. Es bestehen erste interne Kompetenzen, Cloud-Architekturen zu verstehen und Risiken zu erkennen, allerdings ist das Wissen oft ungleich verteilt und nicht institutionell verankert.
  • Hoch: Ein hoher Reifegrad besteht, wenn das Unternehmen über breit verteiltes, aktuelles Cloud-Know-how verfügt, das systematisch gepflegt und weiterentwickelt wird – etwa durch Schulungen, Zertifizierungen und Nutzer-Communities. Technologische Entscheidungen werden auf Basis fundierten Wissens getroffen, die technologische Abhängigkeit wird bewusst gesteuert und das Unternehmen ist in der Lage, Cloud-Strategien selbst zu formulieren und zu kontrollieren.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Systematisch in den Aufbau von Cloud-Wissen investieren (bspw. Etablierung eines einheitlichen Verständnisses zentraler Cloud-Konzepte auf allen relevanten Ebenen – von der IT bis zur Fachabteilung)
  • Interne Trainingsprogramme, gezielte Weiterbildungen sowie praxisnahe Formate, in denen Mitarbeitende von anderen Mitarbeitenden lernen, fördern
  • Wissen institutionalisieren, etwa durch den Aufbau interner Expertenpools, den Einsatz von Cloud Center of Excellence-Strukturen oder die Einbindung technologischer Expertise in Entscheidungsprozesse (wo externe Partner eingebunden sind, sollte intern die Fähigkeit behalten werden, deren Arbeit technisch zu bewerten und kritisch zu hinterfragen)

Wie systematisch beobachtet, bewertet und steuert Ihr Unternehmen technologische Entwicklungen – und wie stark sind Innovationsprozesse mit der Geschäftsstrategie verzahnt?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn technologische Entwicklungen rein reaktiv betrachtet werden – etwa aus Anlass von Marktveränderungen oder Druck durch Anbieter. Es fehlt eine systematische Technologiebeobachtung, Technologieentscheidungen entstehen häufig ad hoc oder ohne strategische Anbindung.
  • Mittel: Ein mittlerer Reifegrad ist erreicht, wenn Technologien strategisch beobachtet und in regelmäßigen Abständen in Strategieprozessen berücksichtigt werden. Das Unternehmen führt gelegentlich Pilotprojekte durch und verfügt über erste Strukturen, um technologische Neuerungen zu bewerten. Innovationsprozesse sind jedoch oft punktuell und wenig institutionell verankert.
  • Hoch: Ein hoher Reifegrad liegt vor, wenn das Unternehmen ein systematisches Technologieradar betreibt, aktiv Innovationsportfolios managt und eine klare Governance für die Bewertung, Auswahl und Skalierung neuer Technologien besitzt. Technologieentscheidungen sind eng mit der Geschäftsstrategie verzahnt, Innovationsinitiativen werden gezielt gefördert – etwa über Inkubatoren, Lab-Formate oder Partnerschaften mit Startups und Forschungseinrichtungen.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Strukturierte Prozesse zur Technologiebewertung etablieren, etwa in Form eines unternehmensweiten Technologieradars oder regelmäßiger Innovationsreviews
  • Eng zusammenarbeiten zwischen IT, Fachbereichen und Strategieeinheiten, um Technologie nicht isoliert, sondern als geschäftskritischen Hebel zu verstehen
  • Innovationsfähigkeit durch die Einführung geschützter Experimentierräume stärken, bspw. durch Pilotprojekte mit klaren Exit- und Skalierungskriterien
  • Agiles Portfolio-Management für Technologieinitiativen etablieren – ergänzt durch Szenariotechniken oder Trendanalysen –, um technologische Souveränität vorausschauend aufzubauen
  • Gezielte Partnerschaften mit externen Innovationsökosystemen schließen, um neue Impulse aufzunehmen, ohne die Kontrolle über zentrale technologische Kompetenzen zu verlieren

Wie klar definiert, etabliert und wirksam sind Ihre Governance-Strukturen für Cloud-Technologien – einschließlich Verantwortlichkeiten, Entscheidungsprozesse und Steuerungsmechanismen?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn keine definierten Strukturen oder Rollen für Cloud-Governance existieren. Entscheidungen zum Technologieeinsatz erfolgen dezentral, uneinheitlich oder ohne Abstimmung zwischen relevanten Bereichen. Die Steuerung basiert auf informellen oder reaktiven Mechanismen.
  • Mittel: Ein mittlerer Reifegrad ist gegeben, wenn zentrale Prinzipien und Verantwortlichkeiten definiert wurden und grundlegende Governance-Strukturen existieren – etwa in Form von Richtlinien oder Entscheidungsgremien. Die Umsetzung ist jedoch oft lückenhaft, etwa durch fehlende Durchsetzung, mangelnde Integration in bestehende Prozesse oder unklare Eskalationswege.
  • Hoch: Ein hoher Reifegrad besteht, wenn das Unternehmen über ein integriertes, wirksam gelebtes Governance-Modell verfügt. Entscheidungswege sind klar definiert, Verantwortlichkeiten für Technologieeinsatz und Risikomanagement sind transparent geregelt und werden regelmäßig überprüft. Governance-Instrumente – etwa Cloud-Strategien, Policies oder Kontrollmechanismen – sind etabliert, werden kontinuierlich angepasst und konsequent angewendet.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Rollen und Zuständigkeiten rund um Cloud-Themen klar definieren, etwa in Form eines Cloud-Governance-Boards oder eines Cloud Center of Excellence (dieses Gremium sollte verbindliche Standards für Auswahl, Einsatz, Betrieb und Kontrolle von Cloud-Technologien entwickeln und regelmäßig evaluieren)
  • Entscheidungsprozesse dokumentieren und nachvollziehbar sowie mit etablierten Unternehmensprozessen (z. B. Risikomanagement, Einkauf, Compliance) verzahnen
  • KPIs zur Steuerung von Cloud-Nutzung etablieren, etwa in Bezug auf Kosten, Performance, Sicherheit und Lieferantenabhängigkeit
  • Governance durch interne Kommunikations- und Schulungsmaßnahmen etablieren, sodass sie von allen Mitarbeitenden verstanden und mitgetragen wird

In welchem Maß ist technologische Veränderung Teil Ihrer Unternehmenskultur – und wie aktiv werden Mitarbeitende in digitale Transformationsprozesse eingebunden?

  • Niedrig: Ein niedriger Reifegrad liegt vor, wenn Veränderungen als Risiko oder Störung wahrgenommen werden und technologische Neuerungen auf breite Skepsis stoßen. Cloud-Nutzung wird als externes IT-Thema behandelt, nicht aber als Teil der Unternehmensentwicklung. Fehlertoleranz ist gering, experimentelle Ansätze werden nicht unterstützt.
  • Mittel: Ein mittlerer Reifegrad ist gegeben, wenn im Unternehmen grundsätzlich Offenheit gegenüber neuen Technologien besteht und Veränderungsprozesse punktuell akzeptiert werden. Es existieren erste Strukturen zur Einbindung von Mitarbeitenden in Transformationsprojekte, etwa durch Change-Management oder Innovationsformate. Die Haltung gegenüber Wandel bleibt jedoch ambivalent, und Impulse verlaufen häufig ins Leere.
  • Hoch: Ein hoher Reifegrad liegt vor, wenn technologische Veränderung als integraler Bestandteil der Unternehmenskultur verstanden wird. Es herrscht ein gemeinsames Verständnis darüber, warum Wandel notwendig ist, und Mitarbeitende werden aktiv in Veränderungen eingebunden. Fehlerkultur, bereichsübergreifende Zusammenarbeit und kontinuierliches Lernen sind fest verankert – nicht nur in Innovationsprojekten, sondern im Alltag.

Handlungsempfehlungen zur Steigerung der digitalen Souveränität:

  • Gezielt an der Kultur arbeiten, etwa durch sichtbare Führung in Transformationsprozessen, das Vorleben technologieaffiner Haltungen im Management sowie durch transparente Kommunikation über Ziele, Nutzen und Herausforderungen der Cloud-Nutzung
  • Beteiligungsformate, crossfunktionale Teams und Innovationsworkshops nutzen, um Mitarbeitende frühzeitig in technologische Veränderungen einzubinden
  • Den bewussten Umgang mit Fehlern, das Feiern von Lernerfolgen und die Integration von Feedbackmechanismen fördern, um eine offene Haltung gegenüber Wandel zu etablieren
  • Kulturellen Wandel nicht als beiläufiges Nebenprodukt technologischer Transformation, sondern als zentrales Handlungsfeld digitaler Souveränität begreifen

Sichern Sie sich Ihre digitale Handlungsfähigkeit – sprechen Sie jetzt mit unseren erfahrenen Cloud-Experten.

Audi, Manuel

Dr. Manuel Audi

Geschäftsführer BELTIOS GmbH

Lassak, Karl

Karl Lassak

Principal Consultant BELTIOS GmbH

Die hier erhobenen personenbezogenen Daten werden nur für die interne Bearbeitung verwendet und nicht an Dritte weitergegeben. Bitte beachten Sie unsere Datenschutzerklärung.