Step by step und Hand in Hand zur Digitalen Souveränität

„Microsoftserver seit Tagen nicht erreichbar“. Was wäre, wenn diese Schlagzeile wahr werden würde? Dann würden Sie eventuell nicht einmal diesen Text hier lesen können, denn Ihr Betriebssystem würde nicht funktionieren. Aber nicht nur Ihr Betriebssystem, sondern auch das vieler Organisationen. Sie wären arbeitsunfähig, ähnlich würde es den deutschen Verwaltungen und öffentlichen Organisationen ergehen. Auch sie arbeiten überwiegend mit Microsoftanwendungen. Die eintretenden Folgen dieses Totalausfalls sind unvorstellbar. Doch diesem Problem kann vorgebeugt werden, indem Organisationen dem Sprichwort „nicht alles auf eine Karte setzen“ folgen, IT-Experten sagen dazu „Prävention durch Digitale Souveränität und Schutz vor digitalen Abhängigkeiten“.

Digitale Souveränität ist mehr als die Entwicklung eigener Lösungen

Das Thema Digitale Souveränität gewinnt an Aufwind. Denn digitale Souveränität ist weit mehr als die Fähigkeit einer Organisation oder eines Staates, sowohl IT-Anwendungen als auch IT-Infrastruktur selbst bereitzustellen und zu pflegen. Digitale Souveränität bedeutet, sich, sowohl als Individuum als auch als Institution, in der digitalen Welt (1) selbstständig, (2) selbstbestimmt und (3) sicher bewegen zu können (Kompetenzzentrum Öffentliche IT). Es geht darum, mit Lösungen zu arbeiten, die den eigenen Werte- und Rechtsvorstellungen entsprechen.

Deutschland hat das Thema digitale Souveränität während der EU-Ratspräsidentschaft vorangetrieben und baut zusammen mit Frankreich und anderen europäischen Partnern an GAIA-X, einer europäischen Dateninfrastruktur. Die Bundesregierung hat sich außerdem zum Erhalt nationaler verteidigungsindustrieller Schlüsseltechnologien bekannt, ebenfalls in Kooperation mit europäischen Partnern. Doch das wirft neue Fragen auf. Welche Rolle muss der Staat übernehmen? Was bedeutet digitale Souveränität im Bereich der Sicherheits- und Verteidigungsorganisationen?

Digitale Souveränität im Bereich BOS

Aufgrund der hoheitlichen und staatlichen Verpflichtung der Behörden und Organisationen mit Sicherheitsaufgaben (BOS), die Bürger und den Staat zu schützen, kommt der digitalen Souveränität für diese Organisationen eine besondere Bedeutung zu. Diese muss in strategischen als auch operativen Funktionen und Bereichen verankert sein. Dabei spielt zum einen die Überlegung des Schutzes vor gewollter und vorsätzlich herbeigeführter digitaler Abhängigkeit eine Rolle. Und zum anderen auch die durch Marktentwicklungen, politische, demografische und soziale Veränderungen ggf. sogar „schleichend“ eintretende digitale Abhängigkeit.

Ziel muss es daher sein, digitale Souveränität soweit wie erforderlich zu erlangen und zu erhalten.

In vier Schritten ein Mehr an Digitaler Souveränität erreichen

Hierfür sind vier grundlegende Schritte empfehlenswert:

  1. Definition eines Grundverständnisses von Digitaler Souveränität für die eigene Organisation und Ableitung des Zielbildes und prioritärer Handlungsfelder
    Fragestellungen:
    Auf welcher Ebene ist digitale Souveränität gewollt? Souverän sein auf nationaler Ebene oder auf europäischer Ebene oder doch eher auf NATO-Ebene? Reicht die digitale Souveränität oder soll es sogar bis hin zu einer digitalen Autarkie eskalieren? Wo besteht ein erhöhtes Risiko für die Erfüllung meines Geschäftsauftrags durch digitale Abhängigkeiten?
  2. Bezogen auf die Handlungsfelder: Erkennen der potenziellen Quellen für digitale Abhängigkeit und der daraus resultierenden Risiken gemessen am Geschäftsauftrag der jeweiligen Organisation
    Fragestellungen:
    Welche Geschäftsvorfälle sind durch digitale Abhängigkeit gefährdet? Wie muss sich die Arbeitsweise verändern, um das gewünschte Maß an digitaler Souveränität zu erreichen?
  3. Erarbeiten von Maßnahmen zur Abwehr und Vorsorge der erkannten Risiken und Verortung der Maßnahmen und betroffenen Geschäftsvorfälle in den jeweiligen Bereichen der Organisation (z.B. Strategie, Einkauf, Personal, CIO)
    Fragestellungen:
    Wie soll das Thema organisational verankert werden? Wie können Mitarbeiter für das Thema digitale Souveränität sensibilisiert werden?
  4. Implementierung und Verankerung der erarbeiteten Maßnahmen in der Organisation und Monitoring der konkret eingetretenen Risiken / Vorfälle und daraufhin eingeleiteten Maßnahmen
    Fragestellungen:
    Wie können die getroffenen Maßnahmen hinsichtlich ihres Beitrags für mehr digitale Souveränität evaluiert werden? Wie soll digitale Souveränität in der operativen Steuerung verankert werden?

Die kontinuierliche Überprüfung zwischen der Zieldefinition (Anspruch) und den tatsächlich umgesetzten Maßnahmen (Realität) sowie dem Ausbalancieren beider Parameter muss im Vorgehen Berücksichtigung finden. Gegebenenfalls müssen die Maßnahmen und die Zieldefinition nach der Evaluation noch einmal angepasst werden.

Digitale Souveränität als Gesamtaufgabe aller Organisationsabteilungen

Das beschriebene Vorgehen bezieht die gesamte Organisation ein und stellt sicher, dass das Niveau der digitalen Souveränität den aktuellen Anforderungen des Geschäftsauftrags entspricht.

Ausgewählte Beispiele zeigen, wie breit der Einfluss und die Tragweite des Strebens nach digitaler Souveränität sind.

Das Risikomanagement und die internen Kontrollsysteme stellen sicher, dass die aus dem Geschäftsauftrag abgeleiteten Risiken identifiziert und gemanagt werden.

Einkauf und Beschaffung sorgen dafür, dass Aspekte der digitalen Souveränität bei jedem Beschaffungsvorgang beachtet werden. Sie steuern das Portfolio der Lieferanten und stellen sicher, dass Abhängigkeiten von einzelnen Lieferanten vermieden werden. Darüber hinaus werden Anforderungen aus dem Bereich Risiko Management und Legal in Bezug auf Digitale Souveränität erfüllt.

Personal Management und Entwicklung ermöglichen die Bereitstellung der erforderlichen Experten und der damit verbundenen Fähigkeiten zur Sicherstellung der Digitalen Souveränität.

Der CIO-Bereich entwirft, beschafft und implementiert digitale Lösungen und hat damit eine zentrale Rolle bei der Schaffung sowie bei der Aufrechterhaltung der Digitalen Souveränität der Organisation. Hier gilt es entsprechende Leitlinien und Architekturvorgaben zu entwickeln. Diese sind so umzusetzen, dass die Fähigkeit zur Gestaltung der digitalen Lösungen im Sinne der von der Organisation definierten Digitalen Souveränität erhalten bleibt.

Externe Akteure, wie die Wissenschaft und Berater, ermöglichen einen Wissenstransfer aus der Theorie und der Praxis in die eigene Organisation herein. Durch diese neuen Impulse kann der sogenannte „Blick-über-den-Tellerrand“ stattfinden und neue Wege aufgezeigt werden.  

Abbildung 2: Organisationsabteilungen und ihre Tätigkeiten für ein Mehr an Digitaler Souveränität

IT-Bebauungsplanung als entscheidender Erfolgsfaktor

Die genannten Bereiche der Organisation müssen eng kooperieren und die Entscheidungen an den für die Digitale Souveränität relevanten Punkten in einer abgestimmten und auf den Gesamtnutzen für die Organisation ausgerichteten Form treffen.

Um diese koordinierte und konzertierte Entscheidungsfindung zu ermöglichen, kann die (IT)-Bebauungsplanung eine zentrale Rolle spielen. Sie ermöglicht es, durch die integrative und übergreifende Betrachtung der IT-Landschaft der Organisation eine feste sowie dauerhafte Verankerung der digitalen Souveränität in allen Bereichen der Organisation. Hierfür ist es erforderlich, dass sie die unterstützenden Unternehmensfunktionen (siehe oben) einbezieht und in die operative Umsetzung einbindet.

Für öffentliche IT-Service Provider gilt dies umso mehr, da sie eine Doppelaufgabe haben und neben ihrer eigenen digitalen Souveränität auch die ihrer Kunden gewährleisten müssen.

Digitale Souveränität bedeutet Teamarbeit

Die genannten Beispiele zeigen, wie vielfältig die Auswirkungen und die Handlungsfelder im Rahmen des Strebens nach digitaler Souveränität sind. Es ist daher wichtig zu erkennen, dass digitale Souveränität nur durch das Zusammenspiel vieler Funktionen in der Organisation erreicht werden kann. Dafür braucht es eine koordinierte gemeinschaftliche Vorgehensweise.

Neben den internen Teammitglieder der Organisation spielen auch externe Experten eine Rolle. Ein vertrauensvolles Zusammenspiel aller Akteure bildet die Basis, um gemeinsam ein Mehr an Digitaler Souveränität zu erreichen, welches den eigenen und geteilten Organisationswerten und -normen entspricht.

Schlussendlich bedeutet Digitale Souveränität nicht Abgrenzung, sondern selbstbestimmtes Handeln mit selbstausgewählten Partnern und am besten nicht erst morgen, sondern bereits schon gestern.

Quelle:

Kompetenzzentrum Öffentliche IT (2020): Digitale Souveränität als strategische Autonomie Digitale Souveränität als strategische Autonomie (oeffentliche-it.de)