Digitale Souveränität: Proprietär ist kein Schimpfwort mehr (Roundtable Teil 3/3)

DORA, Cloud und Souveränität – über dieses thematische Dreieck diskutierten in einem Roundtable Christina Krämer, IT-Managerin bei der bei der Deutschen WertpapierService Bank, Nils Wilhelms, Abteilungsleiter IT-Steuerung bei der DekaBank in Frankfurt/M., Ansgar Finken, ehemaliger Chief Risk Officer bei Solaris sowie Peter Bitterlich, bei noris network spezialisiert auf den Finanz- und Versicherungssektor. In Teil drei des Roundtables sprechen die Fachleute über die große Frage nach den Abhängigkeiten.

von Dunja Koelwel

Digitale Souveränität als Ziel – Verständnis, Bedeutung und Herausforderungen. Was bedeutet für Sie Digitale Souveränität?

Bitterlich: Wir haben einen Kundenbeirat, da sind derzeit 14 Firmen vertreten und denen haben wir die Fragen gestellt:  Ist Daten Souveränität an sich ein Wert, in den es sich lohnt so investieren? Die Antwort war unisono ja.

Man hätte ja auch „nein“ sagen können. Beim Thema Security ist das anders, denn dort zu investieren ist ja an sich mal kein Ziel, eher mittelbares. In die Daten-Souveränität hingegen möchte ich investieren, damit ich ausschließlich Herr meiner Daten bin.

Finken: Im Moment passiert viel im Bereich Cyber-Crime – das wird sicher nicht besser mit der aktuellen Gemengelage. Ich glaube nicht, dass viele der aktuellen Vorfälle im Bereich von Versorgern und Infrastruktur unbedingt Zufall sind. Finanzinstitute sind hier natürlich schon weit fortgeschritten in Sachen Schutzmechanismen, aber auch regulatorischer Beobachtung.

Das Thema Abhängigkeit und der Schutz vor externen Bedrohungen sind in meiner Risiko-Matrix sicher weit nach rechts oben gerückt.“

Insbesondere muss ich meine Abhängigkeiten und Verflechtungen kennen und verstehen, um sie zu mitigieren. Das ist dann Risikomanagement. Digitale Souveränität ist für uns ein wachsendes Thema als „cloudnative“ Bank. Dagegen ist die Frage in einer Prüfung jüngst nach unseren Back-ups in der Stromversorgung zwar verständlich bei uns am Standort in Berlin, aber eben keine große Sache. Trotzdem haben wir Dieselaggregate im Gebäude. Ich bin dafür, dass die EU sich insgesamt wappnet und Innovation anschiebt. Es kann nicht sein, dass es nur drei ernsthafte Hyperscaler gibt – alle in einer anderen Jurisdiktion.

Digitale Souveränität ist also für uns ein großes Thema. Bei uns ist alles in der Cloud, wir haben keine Server. Kürzlich hatten wir eine ISO-Prüfung vor Ort und es kam dann die Frage: Was passiert, wenn die Kabel wie in Berlin gekappt werden? Da mussten wir Diesel-Aggregate im Keller zeigen. Ich bin dafür, dass die EU sich insgesamt wappnet. Es kann nicht sein, dass es nur drei ernsthafte Hyperscaler gibt, alle in einer anderen Jurisdiktion.

Wilhelms: Die Frage hier ist aber: Wer hat letztlich die Kontrolle über den Zugang zu kritischen Ressourcen. Es besteht ja auch die Möglichkeit, dass uns der Zugang zu wichtigen digitalen Ressourcen verwehrt wird.

Wir sollten uns also fragen: In welchen Bereichen möchte ich souverän agieren?“

Die Datensouveränität sehe ich nicht zwingend als Hauptproblem, weil ich dies als technologisch beherrschbar sehe. Die ökonomische und operative Abhängigkeit wiegt meiner Meinung nach deutlich schwerer. Es besteht bei den namhaften Serviceanbietern die Gefahr eines Lock-in-Effekts, der den Wechsel von Providern erschwert.

Krämer: Ich möchte zwei Aspekte aus unserem Bereich der Wertpapierabwicklung nennen: Erstens: In der Vergangenheit wurden wir häufig mit der Frage konfrontiert, wieso wir vieles  selbst bauen und nicht mehr Lösungen am Markt einkaufen. Heute ist „Build“ ein Vorteil. In unserer Wertpapierwelt steuern und überwachen  wir unsere bankfachlichen Prozesse und Anwendungen selbst. Wir haben viele Entwickler in Deutschland und sind damit für unser Geschäftsmodell souverän. Proprietär ist kein Schimpfwort mehr. Zweitens: Ich kann nicht verstehen, warum man sich in der Diskussion um den Begriff Souveränität häufig nur auf die Daten in einer Cloud konzentriert  Will jemand erpresserisch vorgehen, könnte man sich vorstellen, dass auch Daten auf einem IBM Großrechner in einer IBM-DB2-Datenbank nicht komplett in Sicherheit sind.

Bitterlich:  Wir haben eine interne Umfrage zum Thema Open Source durchgeführt und hier zeigen sich weitere Anhängigkeiten. Amerikaner sind hier die Ausbilder, haben das Wissen. Wir müssen in Europas Jugend investieren.

Wilhelms: Da kommt eine weitere Herausforderung hinzu: Angenommen wir würden über die Infrastrukturen und die Skills in Europa verfügen, agieren wir dennoch weiterhin innerhalb von globalen Lieferketten, prominentes Stichwort: Seltene Erden. In einem weltweit vernetzten Ökosystem habe ich irgendwo immer Abhängigkeiten.

Finken: Daher ist es jetzt auch so wichtig, dass man sich dieses Umfeld vor Augen führt, gedanklich einmal alles durchspielt und dann ins Handeln kommt. Man muss es tun, nicht nur quatschen. Denn oft sind es nicht die direkten Abhängigkeiten, die problematisch sind, sondern die „dritten hinten“.

Wilhelms: Die Aufsicht hat hier einen Datenschatz, weil sie alle Informationen und Abhängigkeiten kennt – das war ja auch das Hauptziel des DORA-Informationsregisters. Daher wäre es durchaus wünschenswert, wenn die EZB diese Daten noch stärker nutzen würde, um strukturelle oder auch politische Maßnahmen abzuleiten. Die EZB stellt uns zwar Benchmarks zur Verfügung, aber bislang sehen wir keine vollumfängliche Nutzung dieses wertvollen Datenpotenzials.

Gaia-X ist ein 2019 vorgestelltes Projekt zum Aufbau einer leistungs- und wettbewerbsfähigen Dateninfrastruktur für Europa, das von Vertretern aus Wirtschaft, Wissenschaft und Verwaltung aus Deutschland und Frankreich gemeinsam mit weiteren, vorwiegend europäischen Partnern getragen wird. Im Frühjahr 2025 wurden Zweifel laut, ob das Projektziel je erreicht werden könne. Dabei könnte Gaia-X für Banken und Finanzdienstleister als Wegbereiter für digitale Souveränität agieren, indem es eine sichere, europäische Dateninfrastruktur schafft, die Abhängigkeiten von außereuropäischen Cloud-Giganten reduziert. Wie stehen Sie dazu?

Krämer: Mit GAIA-X und Souveränität verbinden sich die Themen. Über Konzepte und Dokumentationen ist der gute Ansatz nicht hinausgekommen – wo bleibt der Anreiz, souverän zu werden? Wir haben tolle Gesetze, die vieles (oft auch sinnvoll) regeln und sind dennoch erpressbar. Das muss aus meiner Sicht umgedreht werden und es müssen Anreize geschaffen werden, damit wir in die Technologie investieren.

Wir würden auf jeden Fall ein europäisches Konkurrenzangebot begrüßen, was mit den amerikanischen Hypberscalern mithalten kann – preislich und technologisch.“

Leider verbleiben wir bisher hier nur bei Konzepten und politische Diskussionen.

Finken: Dabei gibt es ein erfolgreiches Modell, in dem Europa erfolgreich zusammengearbeitet hat und einen schlagkräftigen, erfolgreichen Anbieter geschaffen hat: Airbus.

Bitterlich: GAIA-X als Zielplattform an sich existiert nicht mehr, übrig geblieben ist der Anspruch für europäische Standards, also der souveräne Cloud Stack (SCS). Das hat AWS auch begriffen und will nun mit einem deutschen Management eine deutsche Cloud schaffen.

Allen Teilnehmern des Roundtables vielen Dank für das Gespräch. dk