Digitale Resilienz in der Praxis: Sieben Erkenntnisse aus dem Claranet Webinar „Vom Mythos zum Masterplan"
Michaela Jackel
Marketing Specialist
Kaum ein Begriff prägt die IT-Debatte des Jahres 2026 so stark wie der der digitalen Souveränität. Was er in der unternehmerischen Praxis konkret bedeutet, blieb länger unklar als nötig. Das hat Claranet am 11. Juni 2026 zum Anlass eines dreistündigen Webinars unter dem Titel „Vom Mythos zum Masterplan" genommen. Experten vom eco Verband, valantic, KOBIL, INFORM und Claranet beleuchteten das Thema aus sieben Perspektiven.
Der regulatorische Hintergrund verleiht der Frage zusätzliche Dringlichkeit: Das in Umsetzung der NIS-2-Richtlinie abgeänderte Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSI-Gesetz - BSIG) gilt seit Anfang Dezember 2025, das KRITIS-Dachgesetz seit März 2026, DORA seit Anfang 2025. EU AI Act und EU Data Act prägen das laufende Jahr. Eine der zentralen Botschaften des Tages war: Souveränität endet nicht beim Serverstandort. Sie reicht in den gesamten Technologie-Stack hinein, von der Cloud-Architektur über Daten und SAP-Anwendungen bis zum Arbeitsplatz. In der Unternehmenspraxis übersetzt sie sich in einen Begriff, der besser greifbar ist: digitale Resilienz. Im Folgenden finden Sie die sieben Kernerkenntnisse des Tages. Das vollständige Event-Video ist weiter unten eingebettet, frei zugänglich und ohne Anmeldung.
1. Souveränität als Wahlfreiheit, nicht als Protektionismus
Andreas Weiss und Michael Hase vom eco Verband und EuroCloud Deutschland eröffneten das Webinar mit der Frage, ob Cloud-Souveränität Realität oder Fantasie sei. Ihre Antwort liess wenig Raum für Mythen: Souveränität bedeute, Kontrolle zu sichern, Transparenz zu schaffen und Abhängigkeiten zu reduzieren, niemals jedoch Protektionismus. Wer alle Abhängigkeiten ausblende, könne sich „sehr leicht souverän fühlen", so Hase, und nannte das Bild des Königs auf dem kleinen Asteroiden aus dem Kleinen Prinzen. Souveränität ohne Resilienz bleibe ein theoretisches Konstrukt.
Belegt wurde die These mit der EuroCloud-Studie „Digitale Resilienz made in Europe", für die im Sommer 2025 über 250 Unternehmen befragt wurden. 57 Prozent der Befragten gaben an, durch die aktuelle US-Aussenpolitik in ihrer Infrastruktur-Strategie verunsichert zu sein. Der Anteil derjenigen, für die Souveränität und Resilienz „massgeblich entscheidend" sind, stieg in zwölf Monaten von 28 auf 38 Prozent. Bemerkenswert: Eine Abkehr von der Public Cloud zeichnet sich nicht ab. Geplante Multi-Public-Cloud-Setups legten von 14 auf 22 Prozent zu.
Souveränität heisst Kontrolle sichern, Transparenz schaffen und Abhängigkeiten reduzieren. Es heisst nicht, sich vom internationalen Technologieangebot abzuschneiden."
2. Vom Mythos zum Masterplan: ein Fünf-Schritte-Verfahren
Fabian Dörk, Director Cloud Services bei Claranet, lieferte den methodischen Rahmen des Tages. Drei Zahlen markieren seiner Ansicht nach den Ausgangspunkt der Debatte: Fünf Prozent der globalen KI-Rechenkapazität liegen in EU-Hand, 80 Prozent der europäischen Unternehmensausgaben für Software entfallen auf US-Anbieter, und 90 Prozent der weltweiten High-End-Chipproduktion unter fünf Nanometer kommen aus Taiwan. Vor diesem Hintergrund verschiebt Dörk den Begriff der Souveränität von der Standort- zur Handlungsfrage. Souveränität sei keine Frage des Standorts, sondern der Gestaltungsmacht. Sie sei kein Zustand, sondern eine Fähigkeit, die entwickelt werden müsse.
Der vorgestellte Masterplan gliedert sich in fünf Schritte:
- Analyse der Bedrohungslage
- Bestimmung des individuellen Risikoprofils
- Bestandsaufnahme der existierenden IT-Landschaft
- Zieldefinition samt Gap-Analyse, für Cloud-Lösungen beispielsweise anhand des EU Cloud Sovereignty Frameworks und seiner Sovereignty Effectiveness Assurance Levels (SEAL 1 bis SEAL 4) in den Dimensionen Strategische Souveränität, Juristische Souveränität, Daten- und KI-Souveränität, Betriebliche Souveränität, Lieferketten-Souveränität, Technologische Souveränität, Sicherheits- und Compliance-Souveränität
- und am Ende die Ableitung konkreter Massnahmen.
Ein Start-up und ein KRITIS-Betreiber sähen sich dabei mit derselben Liste an Risiken konfrontiert. Ihre Eintrittswahrscheinlichkeiten und ihr Schadenspotenzial fallen aber sehr unterschiedlich aus. Daher rät Dörk zur Betrachtung des individuellen Risikoprofils, um ein wirtschaftlich sinnvolles Souveränitätslevel zu wählen. Cloud-Angebote lassen sich entlang der SEAL-Logik einordnen: vom Public-Cloud-Standardangebot über souveräne Hyperscaler-Optionen wie die AWS European Sovereign Cloud (allgemein verfügbar seit Januar 2026, Region Frankfurt) und die Delos Cloud bis hin zu vollständig EU-eigentümergeführten Anbietern.
Souveränität ist keine Frage des Standorts, sondern der Gestaltungsmacht."
3. Souveräne Identität: deutsche Antwort für Kommunen und regulierte Branchen
Robert Roth von KOBIL führte den Zuschauern am Beispiel der Stadt Worms vor Augen, wie eine souveräne Identity- und Service-Plattform deutscher Herkunft in der Praxis aussieht. Vorbild war die KOBIL-Super-App für die Stadt Istanbul, die heute rund fünf Millionen aktive Nutzerinnen und Nutzer hat und Hunderte städtische Dienste in einer Anwendung bündelt. Die Wormser Variante verknüpft Verwaltung, Mobilität, Ticketing und Bezahldienste in einer einzigen App, mit Banking-Grade-Security, eigener Identity-Lösung, qualifizierter Signatur und integriertem Payment. Betrieben wird die Kubernetes-Infrastruktur auf AWS-Servern in Deutschland, mit offenen API-Schnittstellen und einer Low-Code-Ebene, die neue Services ohne klassischen Release-Zyklus einbinden kann.
Die Pointe des Vortrags für die Souveränitätsdebatte: Es existieren bereits deutsche Anbieter mit Banking-Security-Expertise, die genau die Lücke schliessen, die in vielen kommunalen und behördlichen Digitalisierungsprojekten klafft. Sichere digitale Identität ist machbar, ohne dass personenbezogene Daten in US-Rechenzentren landen. Und US-Hyperscaler können unter bestimmten Voraussetzungen durchaus Teil der Lösung sein. Roth wies darauf hin, dass die Datenfreigabe in der Wormser App stets nutzerseitig erfolgt und dass damit Souveränität dort entsteht, wo sie am Ende greifen muss, nämlich in der Datenverarbeitung selbst.
4. Wenn die Cloud-Region wegfällt: was der Drohnenangriff im Middle East gelehrt hat
Durchaus dramatisch war der Bericht von Dr. Torsten Fahle, Head of Performance Cloud bei INFORM. Das Aachener Unternehmen ist ein Hidden Champion aus dem deutschen Mittelstand, dessen Software Bodenprozesse an rund 200 Flughäfen weltweit organisiert. Fahle liess die Teilnehmenden noch einmal den 1. März 2026 erleben. An diesem Tag schlugen Drohnen in zwei der drei AWS-Rechenzentren einer Region im Nahen Osten ein. Die Standard-Dienste S3, DynamoDB, EC2, Lambda und CloudWatch waren ausgefallen, die SaaS-Lösung eines grossen INFORM-Kunden aus Dubai schlagartig nicht mehr verfügbar. AWS empfahl am zweiten Tag, Disaster-Recovery-Pläne zu aktivieren und den Verkehr aus der Region umzuleiten. Drei Monate später, im Juni, hatte AWS noch immer keinen Freigabetermin für die zerstörten Rechenzentren benannt.
Die unangenehme Erkenntnis aus dem Vorfall: Die beim Setup der INFORM-Lösung vom Kunden geforderte nationale Datensouveränität führte in diesem nicht vorhergesehenen Fall zum absoluten technischen Kontrollverlust. Die Backups lagen in einem der betroffenen Rechenzentren. Die Replikation in das einzige verbliebene, nicht beschädigte Rechenzentrum war ebenfalls ausgefallen. Fahles Bilanz war differenziert: Cloud und Souveränität schlössen sich nicht aus. Der Hyperscaler sei in diesem Setup Teil des Risikos gewesen, zugleich aber auch Teil der Lösung. Schon lange vor dem Vorfall setzte INFORM aus Souveränitätsgründen auf Kubernetes durchgängig als Abstraktionsschicht, Service-Wrapper zur Abschirmung Cloud-nativer Spezialitäten und, wo immer möglich, auf offene Technologien wie PostgreSQL statt auf proprietäre Diensten. Als klare Konsequenzen aus dem Vorfall wird nun das Multi-Region-Disaster-Recovery nicht mehr als zusätzliche Option, sondern als Standard angeboten, die bewusst abgewählt werden muss.
Datensouveränität und technische Resilienz können sich widersprechen. Die Trade-off-Entscheidung muss wohlüberlegt getroffen werden."
5. Resilienz entsteht nicht durch das Zertifikat an der Wand: Ein Plädoyer für NIS-2 und Wirksamkeit
Thomas Lang, Partner und Geschäftsführer der valantic, eröffnete seinen Beitrag mit einer realen Nacht aus seinem Beratungsalltag. Um 03:14 Uhr klingelt das Telefon eines IT-Leiters. Am anderen Ende ein Bereitschaftsdienst mit zittriger Stimme: Alle Systeme verschlüsselt, das SAP-System weg, die Produktion steht still. Das betroffene Unternehmen war mehrfach auditiert und ISO-zertifiziert, hatte alle Audits bestanden. Trotzdem dauerte es elf Tage, bis der Betrieb wieder lief. Im Ernstfall, so Langs nüchterner Befund, frage niemand danach, ob alles konform und abgeheftet sei. Die einzige Frage sei, ob das Unternehmen handlungsfähig war.
In dieser Nacht öffneten sich drei Lücken, die kein Audit zuvor gefunden hatte.
- Erstens fehlte die Entscheidung. Die einzige Person, die die Produktion hätte stoppen dürfen, war auf einer Kreuzfahrt in der Südsee.
- Zweitens fehlte die Priorisierung. Eine Business Impact Analyse, in der 60 von 160 Prozessen als höchste Priorität gelten, ist im Ernstfall keine.
- Drittens fehlte die Übung. Notfallpläne lagen abgeheftet vor, geprobt worden war nie.
NIS-2, in Deutschland seit dem 6. Dezember 2025 mit dem BSIG in Kraft, zielt nach Lang nicht darauf ab, neue Security Controls einzuführen, sondern darauf, vorhandene wirksam zu machen. §30 BSIG verlangt Risikomanagement, Backups, Lieferkettensicherheit und Mehr-Faktor-Authentifizierung. §32 BSIG regelt die Meldepflichten von 24 und 72 Stunden. §38 BSIG schreibt die persönliche Haftung der Geschäftsführung fest. Sein Plädoyer lautete entsprechend: Audit-Ready ist nicht Krisen-Ready. Wer in der ersten Stunde entscheiden darf und ob diese Person geübt hat, ist im Ernstfall wichtiger als jedes Zertifikat an der Wand.
Es ist nicht die Frage, ob ein Vorfall Sie trifft, sondern wann. Üben Sie, damit Sie wissen, dass Sie handlungsfähig sind."
6. SAP-Security: Angreifer bleiben gefährlich lange unentdeckt
Patric Walldorf, Director Cyber Security bei Claranet, knüpfte direkt an. Während die meisten Unternehmen Netzwerk, E-Mail-Verkehr, Endgeräte und Identity-Management mittlerweile sauber überwachen, bleibe das SAP-System vielerorts ein blinder Fleck. Die Gründe dafür sind strukturell. Standard-SIEM-Plattformen können SAP-Logs in der Regel gar nicht empfangen. Wenn sie es doch können, fehlt im Security Operations Center das SAP-Wissen, um sie zu deuten. Und es fehlt die Korrelationslogik, um Einzelereignisse zu Angriffsmustern zusammenzuziehen.
Die Folge: Angriffe bleiben teils monatelang unentdeckt, der potenzielle Schaden wächst täglich. Darüber hinaus ergibt die Security Bestandsaufnahme besonders in gewachsenen SAP-Landschaften ein erschreckendes Bild: zu viele privilegierte technische User, deren Passwörter zum Teil seit Jahren nicht geändert wurden; Schnittstellen aus alten Projekten, die nie abgeschaltet wurden; Konfigurationen, die nie geprüft worden sind. Die aus solchen Situationen entstehenden geschäftlichen Risiken liegen auf der Hand. Walldorf weist zusätzlich auf ein ganz persönliches Risiko hin:
Die BSIG-Geschäftsführerhaftung greift auch dann, wenn die Sicherheitslücke im SAP-System liegt.
Sein Lösungsansatz: eine Threat-Detection-Komponente auf der SAP-Applikationsschicht, angebunden an ein SOC mit dezidierter SAP-Expertise, funktioniert SAP-modul-agnostisch und unabhängig davon, ob das System im eigenen Rechenzentrum, in der Public Cloud oder bei RISE with SAP betrieben wird.
7. Workplace-Souveränität: das Kapitel, in dem der Mythos sichtbar bleibt
Den Abschluss des Tages lieferte Philipp Schlenkermann, Director Workplace Services bei Claranet. Rund 85 Prozent aller Unternehmen nutzen Microsoft 365. Die Abhängigkeiten im Workplace Bereich reichen tief in den Tech Stack hinein: Hardware, Betriebssysteme, die Identity-Plattform Entra ID, Microsoft Teams als Kollaborationswerkzeug, Intune für die Endgeräteverwaltung. Würde Entra ID ausfallen, wären nicht nur Microsoft 365, sondern auch viele daran angebundenen Systeme betroffen, einschliesslich SAP. Was nützt das laufende SAP-System, wenn sich niemand mehr anmelden kann?
Bewegung ist zu beobachten. Schleswig-Holstein migriert 30.000 Arbeitsplätze auf Linux und LibreOffice. Der Bundestag plant einen Microsoft-Befreiungsschlag und bezeichnet Delos dabei ausdrücklich als Brückentechnologie. Die Schwarz-Gruppe um Lidl und Kaufland hat öffentliche Ausstiegssignale gesendet, Bayern hat einen schon sicher geglaubten Microsoft-Deal vorerst abgesagt. Die Delos Cloud, eine SAP-Tochter mit Microsoft-Stack, ist eine souveräne Alternative, hat allerdings zwei Einschränkungen, die für viele relevant sind. Sie steht nur Behörden und öffentlichen Auftraggebern offen. Und sie deckt aktuell nur Office 365 ab, noch nicht das vollständige Microsoft 365. Intune zum Beispiel fehlt und wird erst später kommen. Open-Source-Alternativen wie NextCloud, ownCloud, Mattermost, Open Exchange oder LibreOffice haben in den vergangenen Jahren spürbar aufgeholt. Sie decken aber nicht den gewohnten Funktionsumfang ab, ihr Ökosystem an Drittanbietern und Dienstleistern ist kleiner, und sie führen leicht zu Akzeptanzproblemen bei Endanwendern, die mittelfristig Schatten-IT begünstigen.
Schlenkermanns Empfehlung blieb deshalb pragmatisch. Kein überstürzter Ausstieg, kein Rückfall in eine fragmentierte Best-of-Breed-Welt. Stattdessen drei Bewegungen:
- beobachten, was sich am Markt entwickelt und welche Antworten die Anbieter selbst geben;
- bewerten, in einem laufenden Prozess, nicht als einmaliger Akt;
- und vorbereitet sein.
Letzteres meint konkret ein Notfall-Betriebsmodell, ein Backup, das nicht beim Hyperscaler liegt und alternative Wiederherstellungsziele bietet, und eine Klassifizierung der Dienste nach echter Kritikalität. Es gilt beispielsweise einen Fallback-Plan zu haben, um Szenarien wie einen Entra ID Ausfall abzudecken.
Ein Ausstieg ist aktuell nicht sinnvoll und auch nur in Teilen möglich. Es gibt derzeit keine EU-Alternativen mit vergleichbarem Funktionsumfang. Aber vorbereitet zu sein, ist Pflicht."
Vom Mythos zum Masterplan: Souveränität in der Praxis
Vollständige Webinaraufzeichnung vom 11.06.2026
Inhalte dieser Webinar-Aufzeichnung. Ein Klick auf den Laufzeitlink führt Sie direkt zum jeweiligen Vortrag auf YouTube:
- Cloud Souveränität – Realität oder Fantasie? (EuroCloud Deutschland_eco) ab 00:05:06
- Souveräne Cloud-Strategien in der Praxis (Claranet) ab 00:34:57
- Performance, Resilienz und Sicherheit mit der Public Cloud (Use Case KOBIL) ab 00:51:40
- Aviation in der Cloud - Digitale Handlungsfähigkeit im Krisenfall (Use Case INFORM) ab 01:06:38
- NIS-2 & Co. – Rechtliche Vorgaben & Risikomanagement (valantic) ab 01:38:16
- SAP-Security: Zwischen Blindflug und persönlicher Haftung (Claranet) ab 02:11:00
- Workplace-Strategien für eine zukunftsfähige IT (Claranet) ab 02:34:30
Vom Mythos zum Masterplan: was die sieben Perspektiven verbindet
Wer den roten Faden der sieben Vorträge sucht, findet ihn nicht in einer ultimativen Plattform-Empfehlung. Er liegt in einer gemeinsamen Sichtweise: Digitale Souveränität und digitale Resilienz enden nicht bei der Wahl der richtigen Cloud. Sie umfassen den gesamten Technologie-Stack, von der Workload-Klassifizierung über Daten-Hoheit und SAP-Security bis zu Workplace-Strategie und Disaster-Recovery-Konzept.
Sie stehen und fallen mit Transparenz, bewussten Entscheidungen, wirksamen Prozessen, klaren Verantwortlichkeiten und einer Kultur des kontinuierlichen, workloadbasierten Abwägens.
Eine nationale Datensouveränitäts-Vorgabe kann technische Resilienz einschränken, sodass die Trade-off-Entscheidung bewusst getroffen werden muss. Compliance-Themen wie BSIG (NIS-2), DORA, EU AI Act, EU Data Act und KRITIS-Dachgesetz sind 2026 für Unternehmen aller Grössenklassen Realität, doch Audit-Ready ist nicht Krisen-Ready. SAP-Security bleibt als blinder Fleck das häufigste operative Risiko mit messbaren finanziellen Folgen. Und beim Workplace ist ein souveräner Ausstieg für den Grossteil der Unternehmen nicht realistisch. Die Vorbereitung auf einen möglichen Ausfall ist trotzdem Pflicht.
Die Klammer aus dem Eröffnungsvortrag schliesst das Bild: Souveränität übersetzt sich in der Unternehmenspraxis in Resilienz und Handlungsfähigkeit. Sie ist kein Zustand, sondern eine Fähigkeit, die entwickelt werden muss. Das Event-Video weiter oben liefert die technischen Details aus den jeweils 30-minütigen Vorträgen mit Frage-Antwort-Block.
Digitale Resilienz auf einen Blick Digitale Resilienz beschreibt die Fähigkeit eines Unternehmens, IT-gestützte Geschäftsprozesse auch unter Störungen, Angriffen oder regulatorischen Eingriffen aufrechtzuerhalten oder schnell wiederherzustellen. Anders als digitale Souveränität, die Kontrolle über Daten, Technologie und Betrieb beschreibt, zielt Resilienz auf Funktionsfähigkeit unter Druck ab. Sie ruht auf drei Säulen: Sicherheit, Verfügbarkeit und Wiederanlauf. Regulatorisch verankert ist sie in §30 BSIG (NIS-2 Artikel 21), in DORA Artikel 6 bis 16 sowie im KRITIS-Dachgesetz. Mit dem Inkrafttreten dieser Regelwerke hat sie die Liste der Audit-Themen verlassen und ist zur betrieblichen Pflicht geworden, branchenübergreifend und über nahezu alle Grössenklassen hinweg. |
|---|
Häufig gestellte Fragen
Was unterscheidet digitale Resilienz von digitaler Souveränität?
Souveränität beschreibt die Kontrolle über Daten, Technologie und Betrieb. Resilienz beschreibt die Funktionsfähigkeit unter Druck, also die Fähigkeit, IT-gestützte Geschäftsprozesse auch bei Störungen, Angriffen oder regulatorischen Eingriffen aufrechtzuerhalten oder schnell wiederherzustellen. Beide Begriffe überschneiden sich, sind aber nicht identisch. Souveränität ohne Resilienz bleibt theoretisch.
Wie lässt sich SAP-Security ohne komplettes Re-Platforming nachrüsten?
Über Threat-Detection-Komponenten, die SAP-Logs auf der Applikationsschicht extrahieren und an ein SOC mit SAP-Expertise anbinden. Das funktioniert SAP-modul-agnostisch und unabhängig vom Deployment-Modell, ob im eigenen Rechenzentrum, in der Public Cloud oder bei RISE with SAP.
Wo fängt man mit begrenztem Budget und Personal an?
Mit der Ist-Analyse: individuelles Risikoprofil bestimmen, kritische Anwendungen identifizieren, Abhängigkeiten inventarisieren. Das ist kein Schritt, der viel Personal oder Kapital bindet. Aber er ist die Grundlage für die bewusste Entscheidung zu den für Ihr Unternehmen wirtschaftlich sinnvollen weiteren Schritten.
