Das Wissensportal für IT-Professionals. Entdecke die Tiefe und Breite unseres IT-Contents in exklusiven Themenchannels und Magazinmarken.

side banner

heise conferences gmbh

(vormals SIGS DATACOM GmbH)

Lindlaustraße 2c, 53842 Troisdorf

Tel: +49 (0)511/5352-100

service-sigs@heise.de
logo logo
adv
AI IT-Sicherheit

Digitale Souveränität im Zeitalter von Künstlicher Intelligenz

Künstliche Intelligenz ist der prägendste Technologietrend unserer Zeit. Kaum ein Unternehmensbereich bleibt davon unberührt, doch mit der rasanten Verbreitung wachsen nicht nur Effizienzgewinne, sondern auch neue Abhängigkeiten: bei Modellen, Daten und Infrastrukturen. Wer kontrolliert die zugrunde liegenden Modelle? Wo liegen die Daten? Welche regulatorischen, ökonomischen und geopolitischen Risiken entstehen daraus? Das Beispiel Generative AI zeigt, dass es sich bei der digitalen Souveränität europäischer Unternehmen nicht um ein Standort-, sondern um ein Kontrollproblem handelt.
Author Image
Stefan Rotsch

Softwarearchitekt

  • 08.05.2026
  • Lesezeit: 15 Minuten
  • 28 Views

Megatrend KI: Schlüsselfaktor unternehmerischer Leistungsfähigkeit

Künstliche Intelligenz ist nicht nur eine weitere Stufe der Digitalisierung, sondern ein fundamentaler Technologiesprung. KI-Agenten, automatisierte Workflows und autonome Systeme verändern Arbeit und Geschäftsmodelle dauerhaft. Im Zentrum stehen dabei sogenannte Foundation-Modelle – große, vortrainierte KI-Modelle, die als Basis für vielfältige Anwendungen dienen und typischerweise von wenigen Technologiekonzernen bereitgestellt werden. Wettbewerbsfähigkeit entscheidet sich heute in der systematischen Integration von KI in Geschäftsprozesse – und im gezielten Aufbau von Kompetenz bei den Mitarbeitenden, die diese Systeme verantworten.

Gleichzeitig verschärft GenAI bestehende Abhängigkeiten: Die Kontrolle über Modelle, Daten und Wertschöpfung konzentriert sich bei wenigen globalen Anbietern. Was zunächst als technische Infrastrukturentscheidung erscheint, wird damit zur strategischen Kernfrage.

Europas digitale Abhängigkeit – ein unterschätztes Geschäftsrisiko

Aktuell beziehen rund 96 Prozent der deutschen Unternehmen ihre digitale Kerntechnologie aus dem Ausland – allen voran Endgeräte zu 90 Prozent, Software zu 75 Prozent und IT-Sicherheitslösungen zu 72 Prozent (siehe Abb. 1). Zu den wichtigsten Herkunftsregionen zählen neben Europa die USA, gefolgt von China [1].

Auch die Entwicklung führender Foundation-Modelle wird heute insbesondere von diesen Ländern vorangetrieben; europäische Modelle spielen bislang nur eine Nebenrolle. Gleichzeitig fließt ein Vielfaches der privaten Investitionen in KI-Startups in die USA im Vergleich zur EU [2].

Hohe Abhängigkeit, geringes Vertrauen: Bei USA und China klaffen beide Werte deutlich auseinander

Abb. 1: Hohe Abhängigkeit, geringes Vertrauen: Bei USA und China klaffen beide Werte deutlich auseinander

Diese Machtasymmetrie ist kein abstraktes geopolitisches Problem, sondern ein ganz konkretes unternehmerisches Risiko. Vendor-Lock-ins, Preissprünge, regulatorische Konflikte und plötzliche Zugriffsrestriktionen können Geschäftsmodelle unmittelbar gefährden. Der viel zitierte US Cloud Act zeigt exemplarisch, dass selbst in Europa betriebene Infrastrukturen unter bestimmten Voraussetzungen dem Zugriff ausländischer Behörden unterliegen können. Dabei kontrollieren die großen Hyperscaler aus den USA über 70 Prozent des europäischen Public-Cloud-Markts.

Definition digitaler Souveränität im Kontext GenAI

In diesem Zusammenhang prägt ein zentrales Missverständnis die Debatte: Digitale Souveränität wird häufig mit dem physischen Standort von Rechenzentren gleichgesetzt. Entscheidend ist jedoch nicht, wo Daten geografisch liegen, sondern wer die Kontrolle über Schlüssel, Betriebsmodelle und Zugriffsrechte besitzt.

Konkret lässt sich digitale Souveränität entlang folgender fünf Dimensionen strukturieren:

  • Daten- & Key-Management: Hoheit über Datenresidenz, Verschlüsselung und kryptografische Schlüssel
  • Modelle & KI-Stack: Kontrolle über Foundation-Modelle (Open- vs. Closed-Weight) und Deployment-Optionen
  • Plattform & Portabilität: Vendor-Neutralität, Multi-Cloud-Fähigkeit und Exit-Szenarien
  • Identity & Access: Föderierte Identitäten als zentraler Kontrollpunkt über alle Systeme
  • Nachweisfähigkeit: Compliance, Auditierbarkeit und Transparenz

Die Quintessenz: Souveränität entsteht durch bewusst gestaltete technische, organisatorische und rechtliche Rahmenbedingungen – nicht durch die Nationalität des Rechenzentrums.

Zentrale Risikodimensionen fehlender digitaler Souveränität

Aus unternehmerischer Perspektive lassen sich die wesentlichen Risiken fehlender digitaler Souveränität in drei Bereiche gliedern: Business-, Compliance- sowie ESG- und Nachhaltigkeitsrisiken

Business-Risiken

Kommerzielle KI-Plattformen bergen erhebliche wirtschaftliche Risiken: Preismodelle können jederzeit einseitig angepasst werden, was bei zunehmender Skalierung zu schwer kalkulierbaren Kostensteigerungen führen kann. Gleichzeitig erzeugt die Integration proprietärer APIs Lock-in-Effekte, die im Falle eines Anbieterwechsels mit hohen Exit-Kosten verbunden sind. Langfristig drohen Wettbewerbsnachteile durch eingeschränkte Innovationsfreiheit und geringere strategische Steuerbarkeit.

Compliance-Risiken

Proprietäre Infrastrukturen sind zudem mit regulatorischen Risiken verbunden:

stellen hohe Anforderungen an Transparenz, Erklärbarkeit und Risikoklassifizierung von IT-Systemen. Kommerziellen KI-Angeboten fehlt jedoch häufig eine vollständige Auditierbarkeit von Modellen und Datenflüssen, was die Nachweisführung gegenüber Aufsichtsbehörden erschwert. Die Abhängigkeit von Rechtsordnungen in Drittstaaten erhöht die rechtliche Unsicherheit zusätzlich – insbesondere bei sensiblen oder personenbezogenen Daten.

ESG- und Nachhaltigkeitsrisiken

Der hohe Energieverbrauch von KI-Workloads belastet die ESG-Bilanz (Environment, Social, Governance) von Unternehmen zunehmend. Dabei dominiert nicht das Training der Modelle, sondern die milliardenfache laufende Inferenz: Meta beziffert deren Anteil auf 70 Prozent des KI-induzierten Strombedarfs [3].

Auch AI-assisted Development hat messbare Auswirkungen auf IT-Unternehmen. Eine Vergleichsstudie zeigte, dass KI-Modelle auf identischen Programmieraufgaben 5- bis 19-mal mehr CO₂-Emissionen verursachen als menschliche Programmierer [4].

Zugleich fehlt bei proprietären Cloud-APIs häufig die transparente Nachvollziehbarkeit des tatsächlichen Ressourcenverbrauchs, während die Berichts- und Offenlegungspflichten im Rahmen der CSRD genau diese einfordern.

Lösungsmuster: Souveränität operativ umsetzen

Weder technologische Autarkie noch vollständige Abkopplung von Hyperscalern sind realistisch oder wirtschaftlich sinnvoll. Die Lösung liegt in strategischen Hybridmodellen, die die Stärken beider Welten kombinieren (siehe Abb. 2).

Komplementäre Hebel adressieren unterschiedliche Aspekte der Vendor-Neutralität

Abb. 2: Komplementäre Hebel adressieren unterschiedliche Aspekte der Vendor-Neutralität

Hybridstrategien & Portabilität

Unternehmen setzen verstärkt auf die Nutzung leistungsfähiger Public-Cloud-Services für standardisierte Workloads, um von hoher Skalierbarkeit, globaler Verfügbarkeit und einem breiten Ökosystem an Plattform- und KI-Services zu profitieren. Parallel dazu erfolgt der Betrieb geschäftskritischer Systeme – insbesondere sensibler GenAI-Workloads mit Unternehmensdaten – auf souveränen, europäischen oder eigenen Infrastrukturen, um maximale Kontrolle über Daten, Modelle und regulatorische Anforderungen sicherzustellen.

Ein zentrales architektonisches Prinzip bilden heute Multi-Cloud-Strategien mit aktiv ausgearbeiteten Exit-Szenarien, die es ermöglichen, einzelne Anbieter gezielt zu wechseln oder Lasten flexibel zu verlagern, ohne die Betriebsfähigkeit zu gefährden. Die dafür notwendige technische Grundlage schaffen Konzepte wie Portabilität durch Infrastructure-as-Code und GitOps, mit denen Infrastrukturen reproduzierbar, versionssicher und automatisiert über verschiedene Umgebungen hinweg bereitgestellt und betrieben werden können. So entsteht ein resilienter Technologie-Stack, der Innovation ermöglicht und gleichzeitig Abhängigkeiten reduziert. Fällt ein Anbieter aus – aus technischen, politischen oder wirtschaftlichen Gründen – können Workloads binnen kürzester Zeit migriert werden, ohne das Geschäft zu gefährden.

Open-Weight-Modelle als strategischer Hebel

Auch im Bereich der KI-Modelle gewinnen offene Architekturen massiv an Bedeutung. Open-Weight-Modelle wie Llama, Qwen oder Mistral haben in vielen Anwendungsfällen inzwischen ein Leistungsniveau erreicht, das kommerziellen Modellen kaum nachsteht.

Zur Unterscheidung:

  • Bei Open-Weight-Modellen werden die trainierten Modellgewichte, gegebenenfalls unter Einschränkungen, öffentlich bereitgestellt; dies ist nicht gleichbedeutend mit Open Source, das Modell kann dennoch frei heruntergeladen und selbst betrieben werden.
  • Bei Closed-Weight-Modellen bleiben die Gewichte proprietär; der Zugriff erfolgt ausschließlich über APIs des Anbieters (siehe Abb. 3).
Der Leistungsrückstand von Open-Weight- zu Closed-Weight-Modellen beträgt im Mittel nur noch rund drei Monate (Open-weight models lag state-of-the-art by around 3 months on average: https://epoch.ai/data-insights/open-weights-vs-closed-weights-models)

Abb. 3: Der Leistungsrückstand von Open-Weight- zu Closed-Weight-Modellen beträgt im Mittel nur noch rund drei Monate [5]

Der zentrale Vorteil im Betrieb von Open-Weight-Modellen liegt insbesondere in der vollständigen Kontrolle über die eigenen Daten, da diese jederzeit in der eigenen Hoheit verbleiben und weder technisch noch rechtlich der direkten Zugriffsmacht externer Anbieter unterliegen. Dadurch wird ein hohes Maß an regulatorischer Resilienz erreicht, weil gesetzliche Anforderungen, Prüf- und Nachweispflichten unabhängig von Drittstaaten oder fremden Rechtsordnungen zuverlässig erfüllt werden können.

Darüber hinaus profitieren Unternehmen von planbaren und langfristig kalkulierbaren Betriebskosten, da Lizenzmodelle, Nutzungsentgelte und Preisänderungen externer Hyperscaler keinen direkten Einfluss auf die Kostenstruktur geschäftskritischer Systeme haben. Schließlich ermöglicht die nahtlose Integration in bestehende Sicherheits- und Governance-Modelle, dass unternehmensspezifische Compliance-Vorgaben, Risiko-Management-Prozesse sowie Zugriffs- und Kontrollmechanismen konsistent und ohne funktionale Brüche umgesetzt werden können.

Große General-Purpose-Modelle können fast alles – sind aber nicht immer die wirtschaftlichste Wahl. Für klar umrissene Aufgaben setzen sich spezialisierte, deutlich kleinere Modelle durch. In Kombination entsteht so eine hybride KI-Architektur, die Leistung, Kosten und Flexibilität in Balance bringt.

Datenarchitektur & Governance

Ohne eine sauber konzipierte und konsequent umgesetzte Datenarchitektur ist jede KI-Strategie strukturell zum Scheitern verurteilt. Digitale Souveränität beginnt daher auf der Datenebene – bei klar definierten, konsistenten und skalierbaren strukturierten Datenmodellen, die eine belastbare Grundlage für Analyse, Automatisierung und KI-Anwendungen schaffen.

Ebenso essenziell ist eine eindeutige fachliche und technische Ownership der Daten, die Verantwortlichkeiten transparent regelt und die Qualität, Integrität und Nutzbarkeit der Daten dauerhaft sicherstellt. Ergänzt wird dies durch Zero-Trust-Zugriffskonzepte, bei denen jede Anfrage konsequent geprüft, autorisiert und protokolliert wird – unabhängig davon, ob sie aus internen oder externen Netzen erfolgt.

Ein weiterer zentraler Baustein ist die durchgängige Ende-zu-Ende-Verschlüsselung sensibler Daten über den gesamten Lebenszyklus hinweg – von der Erhebung über die Verarbeitung bis hin zur Speicherung und Nutzung. Damit einher geht ein professionelles Key Management, das kryptografische Schlüssel sicher erzeugt, verwaltet, rotiert und revisionssicher dokumentiert.

Erst wenn Unternehmen ihre Daten technisch wie auch organisatorisch jederzeit beherrschen, können sie das volle Potenzial von KI sicher, compliant und wirtschaftlich sinnvoll nutzen.

Identity als Kontrollpunkt

Für CIOs und CDOs markiert Identity den Übergang von Infrastruktur zu kritischer Unternehmensfunktion. Identity- und Access-Management (IAM) ist heute die Eintrittskarte in die gesamte digitale Arbeitswelt – von E-Mail über Fachanwendungen bis hin zu KI-Assistenten. Störungen wirken sich nicht nur technisch, sondern unmittelbar betriebswirtschaftlich aus.

Bei etablierten, kommerziellen IAM-Plattformen können bereits bei mehreren Zehntausend Nutzern Lizenz- und Nutzungskosten schnell in den siebenstelligen Bereich pro Jahr anwachsen – mit weiter steigender Tendenz. Gleichzeitig erschweren proprietäre Architekturen einen späteren Anbieterwechsel erheblich.

Hier setzt ein hybrider Ansatz wie Bare.ID an, der Open Source und kommerzielle Enterprise-Funktionalitäten gezielt miteinander verbindet. Technologische Grundlage ist dabei Keycloak als Open-Source-Core, der durch Bare.ID insbesondere für den unternehmerischen Dauerbetrieb, den produktiven Skaleneinsatz sowie für hochverfügbare, sichere Betriebsmodelle optimiert und in vielen Fällen erst wirtschaftlich nutzbar gemacht wird.

Digitale Souveränität wird in diesem Kontext konsequent an zwei zentralen Anforderungen ausgerichtet:

  • eine vollständig deutsche Lieferkette – nicht nur „Made in Germany", sondern durchgängig unter deutschem Recht und deutscher operativer Kontrolle,
  • echte Austauschbarkeit der Plattform – Kunden können jederzeit vollständig auf eine reine Open-Source-Lösung wechseln. Ein klassischer Vendor-Lock-in wird bewusst vermieden.

Gerade diese Kombination aus Open Source, gezielter Enterprise-Optimierung und professionellem Betrieb schafft die strategische Balance aus Kostenkontrolle, technischer Freiheit und regulatorischer Sicherheit. Föderierte Identitäts- und Zugriffsmodelle ermöglichen zudem eine einheitliche, sichere und standortübergreifende Steuerung von Identitäten und Zugriffsberechtigungen über unterschiedliche Cloud- und On-Prem-Umgebungen hinweg – einschließlich GenAI-Plattformen.

Empowerment statt Abhängigkeit: companyGPT und souveräne KI-Plattformen

Digitale Souveränität zeigt sich auch in der täglichen Arbeit der Mitarbeitenden. Unternehmensweite, souveräne KI-Plattformen nach dem Prinzip eines „companyGPT“ ermöglichen es Organisationen:

  • aktuelle Modelle auf eigener Infrastruktur zu betreiben,
  • Unternehmensdaten konsistent und sicher verfügbar zu machen,
  • Compliance und Security by Design zu gewährleisten,
  • Identity-basierte Zugriffskontrolle durchzusetzen,
  • Fachbereiche zur eigenständigen Automatisierung zu befähigen.

Low-Code-Plattformen eröffnen Fachbereichen neue Handlungsspielräume. Sie ermöglichen es auch Nicht-Entwicklern, eigene Automations-Workflows zu erstellen und ihre tägliche Arbeit gezielt effizienter zu gestalten. So entsteht eine sinnvolle Arbeitsteilung: Zentrale IT verantwortet stabile Kernprozesse, während Fachabteilungen ihre lokalen, wiederkehrenden Abläufe selbst optimieren.

Referenzarchitektur Souveräner GenAI-Stack

Ein souveräner GenAI-Stack verbindet die fünf Souveränitätsdimensionen in einer durchgängigen Architektur (siehe Abb. 4):

  • Infrastrukturebene: Hybrid-/Multi-Cloud-Setup mit IaC/GitOps-basierter Portabilität und definierten Exit-Szenarien
  • Datenschicht: Zero-Trust-Zugriffskonzept, Ende-zu-Ende-Verschlüsselung, souveränes Key Management
  • Modellebene: Open-Weight-Modelle auf eigener Infrastruktur, ergänzt durch selektive API-Nutzung für General-Purpose-Anfragen
  • Orchestrierung: Retrieval-Augmented Generation (RAG)-Pipelines mit unternehmensspezifischen Datenquellen, Workflows, Prompt-Management
  • Identity-Layer: Föderierte Identitäten über alle Komponenten, integriert mit souveräner IAM-Lösung
  • Compliance & Audit: Logging, Tracing und Reporting für AI Act, DSGVO, ESG/CSRD-Nachweispflichten
  • Frontend/UX: Webbasiertes Interface für Endanwender mit rollenbasiertem Zugriff und Low-Code-Automatisierung
Compliance und IAM ziehen sich als Querschnittsfunktionen durch alle Schichten eines souveränen GenAI-Stacks

Abb. 4: Compliance und IAM ziehen sich als Querschnittsfunktionen durch alle Schichten eines souveränen GenAI-Stacks

Digitale Souveränität als Voraussetzung für Wettbewerbsfähigkeit

Geopolitische, wirtschaftliche und regulatorische Umbrüche der vergangenen Jahre lassen keinen Zweifel: Digitale Souveränität ist längst kein Nice-to-have mehr, sondern eine unternehmerische Kernkompetenz. Sie entscheidet darüber, ob europäische Unternehmen im Zeitalter der KI handlungsfähig, innovationsstark und dauerhaft wettbewerbsfähig bleiben.

Doch es gibt auch gute Nachrichten: Digitale Souveränität ist kein abstraktes Ideal, sondern operativ umsetzbar. Wer die fünf Dimensionen – Daten & Key-Management, Modelle & KI-Stack, Plattform & Portabilität, Identity & Access sowie Nachweisfähigkeit – systematisch adressiert, schafft ein belastbares Fundament für souveräne Innovation.

Hybridarchitekturen, Open-Weight-Modelle, konsequente Multi-Cloud-Strategien mit Exit-Szenarien, eine stringente Daten-Governance sowie souveräne Identity-Lösungen bilden heute das konkrete Instrumentarium dafür.

Die zentrale Botschaft bleibt eindeutig: Digitale Souveränität ist kein ideologisches Schlagwort, sondern eine betriebswirtschaftliche Notwendigkeit im KI-Zeitalter. Wer sie heute nicht systematisch aufbaut, gefährdet morgen seine Innovationsfähigkeit, seine Kostensicherheit – und letztlich seine unternehmerische Unabhängigkeit.

Online-Ressourcen

[1] Bitkom-Studienbericht, Digitale Souveränität, 2025, siehe: https://www.bitkom.org/sites/main/files/2025-02/2025-bitkom-studienbericht-digitale-souveraenitaet.pdf

[2] Artificial Intelligence Index Report 2025, siehe: https://hai.stanford.edu/assets/files/hai_ai_index_report_2025.pdf

[3] F. Jeanquartier et al., Assessing the carbon footprint of language models: Towards sustainability in AI, Elsevier, 2026, siehe: https://www.sciencedirect.com/science/article/pii/S0921344925005476

[4] N. H. Woo, A comparative study of AI and human programming on environmental sustainability, 2025, siehe: https://www.nature.com/articles/s41598-025-24658-5

[5] Open-weight models lag state-of-the-art by around 3 months on average: https://epoch.ai/data-insights/open-weights-vs-closed-weights-models

[6] N. Maslej et al., The AI Index 2025 Annual Report, Institute for Human-Centered AI, Stanford University, 2025, siehe: https://doi.org/10.48550/arXiv.2504.07139


Quelle Aufmacherbild, ©pixabay.com/de/

. . .
Vorheriger Artikel
Videoteaser: KI generierte Testfälle im regulierten Umfeld - Alexander Frenzel

Verwandte Inhalte

ChatGPT-4: Was kann die neue Version und wer sollte sie nutzen?
AI
ChatGPT-4: Was kann die neue Version und wer sollte sie nutzen?
Testen von KI: Qualitätsmerkmale unter der Lupe – ein Erfahrungsbericht
Testing AI
Testen von KI: Qualitätsmerkmale unter der Lupe – ein Erfahrungsbericht
Der EU AI Act: Neue Regeln für die KI-basierte Kreditwürdigkeitsprüfung
AI IT-Sicherheit
Der EU AI Act: Neue Regeln für die KI-basierte Kreditwürdigkeitsprüfung
KI lohnt in der Instandhaltung
BI AI Big Data
KI lohnt in der Instandhaltung
Test- und Testdatengenerierung mit Large Language Models
Testing AI
Test- und Testdatengenerierung mit Large Language Models
API-Design: Mit generativer KI auf dem Weg zu generischen APIs
AI Software-Architektur
API-Design: Mit generativer KI auf dem Weg zu generischen APIs
Co-Pilot oder eher Bruch-Pilot? Wie kann ChatGPT meine Codequalität verbessern?
Development AI
Co-Pilot oder eher Bruch-Pilot? Wie kann ChatGPT meine Codequalität verbessern?
Vom Konzept zur Rente: der umfassende Lebenszyklus einer API
Development AI
Vom Konzept zur Rente: der umfassende Lebenszyklus einer API
DevSecOps mit Jenkins und dem OWASP Dependency Check-Plug-in
Development IT-Sicherheit
DevSecOps mit Jenkins und dem OWASP Dependency Check-Plug-in
KI-basiertes Anforderungsmanagement für KMU
AI Software-Architektur
KI-basiertes Anforderungsmanagement für KMU
Author Image

Stefan Rotsch

Softwarearchitekt
Zu Inhalten

Stefan Rotsch ist Softwarearchitekt mit über zwanzig Jahren Erfahrung in Entwurf und Implementierung komplexer Softwaresysteme. Bei der AOE Solutions GmbH verbindet er technisches Know-how mit strategischem Denken und unterstützt Teams dabei, innovative und nachhaltige Lösungen zu entwickeln. Er engagiert sich in der Open-Source-Community, gibt sein Wissen als Trainer und Autor weiter und teilt auf Konferenzen praxisnahe Einblicke in moderne Softwarearchitektur, immer mit dem Ziel, Technologie und Business wirksam zusammenzubringen.

Artikel teilen