sep piwik

Digitale Souveränität entscheidet sich im Ernstfall
  1. Home
  2. News, Blog, Presse & Videos
  3. Aktuelles, Blog, Presse & Videos
  4. Digitale Souveränität entscheidet sich im Ernstfall
News Details

Digitale Souveränität entscheidet sich im Ernstfall

Wenn der Staat handlungsunfähig wird

Als im Jahr 2021 der Landkreis Anhalt-Bitterfeld nach einem Cyberangriff den Katastrophenfall ausrief, war das ein Novum in Deutschland. Verwaltungsleistungen waren wochenlang nur eingeschränkt verfügbar, Anträge konnten nicht bearbeitet werden, Auszahlungen verzögerten sich. Der Landkreis brauchte Monate, um den Regelbetrieb wiederherzustellen.

Ende 2023 legte ein Ransomware-Angriff auf den kommunalen IT-Dienstleister Südwestfalen-IT die Verwaltungen von über 70 Kommunen in Nordrhein-Westfalen lahm. Bürgerämter, Kfz-Zulassungsstellen und Sozialleistungsstellen waren über Wochen hinweg nur eingeschränkt oder gar nicht arbeitsfähig. Der Vorfall zeigte: Die Abhängigkeit von einem zentralen Dienstleister kann ganze Regionen handlungsunfähig machen.

Diese Fälle sind keine Ausnahmen mehr. Sie sind ein Signal.

Digitale Souveränität ist keine abstrakte politische Forderung. Sie entscheidet ganz konkret darüber, ob eine Organisation im Ernstfall handlungsfähig bleibt.

Die Illusion der Sicherheit

Viele öffentliche Organisationen gehen heute davon aus, dass sie gut aufgestellt sind: Backups sind vorhanden, Systeme sind dokumentiert, Compliance-Anforderungen werden erfüllt.

Und dennoch zeigt die Realität ein anderes Bild.

Im Krisenfall stellt sich oft heraus, dass Wiederherstellungsprozesse nie unter realistischen Bedingungen getestet wurden. Dass Abhängigkeiten von externen Dienstleistern größer sind als gedacht. Dass Daten zwar gespeichert, aber im Ernstfall nicht schnell genug nutzbar sind.

Das Problem ist deshalb nicht allein das Fehlen eines Backups. Das Problem ist die fehlende Fähigkeit zur Wiederherstellung.

Gleichzeitig bleibt eine zweite Dimension häufig unbeachtet: die Frage, wer im Ernstfall tatsächlich die Kontrolle über diese Backup-Daten hat – technisch, organisatorisch und rechtlich.

Was digitale Souveränität heute wirklich bedeutet

Digitale Souveränität wird häufig auf politische oder infrastrukturelle Fragen reduziert. In der Praxis ist sie jedoch deutlich konkreter und anspruchsvoller.

Sie umfasst mindestens zwei untrennbare Dimensionen:

1. Kontrolle über Daten und Systeme

Zentrale Fragen sind:

  • Wo liegen unsere Daten – in welchen Rechenzentren, unter welchem Rechtsraum?
  • Wer kann im Ernstfall auf diese Daten zugreifen – technisch und rechtlich?
  • Wer kontrolliert Verschlüsselungsschlüssel und Identitäten?
  • Wie schnell kann die Organisation zu einer alternativen Lösung wechseln?

Diese Fragen sind nicht theoretisch. Als die USA per Präsidialdekret Sanktionen gegen den Internationalen Strafgerichtshof verhängten, schränkte Microsoft den Zugang zu Cloud-Diensten ein. Dadurch verlor die internationale Institution die Verfügungsgewalt über ihre eigene digitale Infrastruktur, ohne dass ein technischer Angriff stattgefunden hatte.

Für öffentliche Organisationen in Deutschland bedeutet das: Wer Sicherungsdaten bei einem Anbieter speichert, der einer außereuropäischen Jurisdiktion unterliegt, riskiert im Konfliktfall den Zugriff auf die eigenen Daten. Wer die Verschlüsselungsschlüssel nicht selbst kontrolliert, ist darauf angewiesen, dass der Anbieter kooperiert. Und wer auf proprietäre Formate setzt, kann im Ernstfall nicht ohne Weiteres zu einer alternativen Lösung wechseln.

Souveräne Datenkontrolle bedeutet deshalb konkret: Daten im europäischen Rechtsraum, Schlüssel in eigener Hand, Formate und Schnittstellen, die einen Anbieterwechsel jederzeit ermöglichen.

2. Fähigkeit zur Wiederherstellung

Ebenso entscheidend ist die operative Seite:

  • Können Systeme vollständig wiederhergestellt werden und wie lange dauert das?
  • Welche Verfahren und Dienste haben Priorität im Wiederanlauf?
  • Sind Restore-Prozesse realistisch getestet – über Fachbereiche und Zuständigkeiten hinweg?
  • Ist die Wiederherstellung auch dann möglich, wenn ein einzelner Anbieter ausfällt oder nicht verfügbar ist?
  • Sind die Wiederherstellungsprozesse detailliert genug bzw. überhaupt dokumentiert und ist die Dokumentation für alle im Desasterfall auch verfügbar?

In der Praxis scheitert die Wiederherstellung häufig nicht an fehlenden Backups, sondern an fehlender Übung: Wiederanlaufzeiten wurden nie unter realistischen Bedingungen getestet. Abhängigkeiten zwischen Fachverfahren, Basisdiensten und Infrastrukturkomponenten sind nicht dokumentiert. Und die Frage, welche Systeme zuerst wieder verfügbar sein müssen, ist nicht auf Leitungsebene entschieden, sondern wird im Krisenfall ad hoc beantwortet.

Das BSI empfiehlt in seinen Grundschutz-Bausteinen CON.3 und DER.4 regelmäßige, dokumentierte Restore-Tests. Die NIS-2 Richtlinie verpflichtet Betreiber wesentlicher Einrichtungen explizit zu Maßnahmen für Business Continuity, zu denen auch Backup-Management und Disaster Recovery gehören. Die Wiederherstellungsfähigkeit ist damit nicht mehr nur empfohlene Praxis, sondern zunehmend regulatorische Pflicht.

Digitale Souveränität zeigt sich nicht im laufenden Betrieb, sondern in der Fähigkeit, nach einem Ausfall schnell und selbstbestimmt wieder handlungsfähig zu werden.

Warum der blinde Fleck so verbreitet ist

In der Praxis konzentrieren sich viele Organisationen auf einzelne Aspekte: Compliance und Zertifizierungen, Infrastruktur- und Cloud-Entscheidungen, die Auswahl vermeintlich sicherer Anbieter. Was häufig fehlt, ist der ganzheitliche Blick auf Kontrolle und Wiederherstellungsfähigkeit zugleich.

Dafür gibt es strukturelle Gründe.

Datensicherung liegt in der Verantwortung der IT, aber die Entscheidung, welche Systeme im Krisenfall Priorität haben, ist eine Leitungsentscheidung, die selten explizit getroffen wird.

Da Restore-Tests Zeit kosten, Ressourcen binden und kurzfristig keinen sichtbaren Mehrwert erzeugen, werden sie deshalb oft aufgeschoben oder nur für einzelne Systeme durchgeführt.

Die Frage nach Jurisdiktion, Schlüsselgewalt und Anbieterbindung wird häufig als Beschaffungsthema behandelt, nicht als Sicherheitsfrage und gerät so nach Vertragsabschluss aus dem Blick.

So entsteht eine Organisation, die auf dem Papier geschützt wirkt, im Ernstfall aber nicht schnell genug handeln kann.

Warum das Thema jetzt kritisch wird

Die Anforderungen an öffentliche Organisationen steigen: Cyberangriffe auf Verwaltungen, kommunale IT-Dienstleister und KRITIS-nahe Einrichtungen nehmen zu. Regulatorische Anforderungen wachsen, etwa durch NIS-2 und BSI-Vorgaben. Die Abhängigkeit von digitalen Prozessen durchzieht inzwischen nahezu alle Verwaltungsbereiche.

Gleichzeitig sinkt die Toleranz gegenüber Ausfällen, und zwar sowohl bei den Bürgerinnen und Bürgern als auch in der Politik und in der Öffentlichkeit.

Ein IT-Ausfall ist heute kein internes Problem mehr. Er kann sich zu einer öffentlichen Krise mit politischen, rechtlichen und reputativen Folgen entwickeln.

Die entscheidende Frage

Vor diesem Hintergrund stellt sich für öffentliche Organisationen nicht mehr nur die Frage:

„Haben wir ein Backup?“

Sondern: 

Wie Organisationen die richtigen Entscheidungen treffen

Um diese Frage fundiert zu beantworten, reicht es nicht aus, einzelne Systeme oder Verträge zu betrachten. Es braucht eine strukturierte Bewertung:

  • der technischen Basis: Backups, Recovery-Prozesse, Schutz der Sicherungen
  • der organisatorischen Strukturen: Verantwortlichkeiten, Notfallprozesse, Tests
  • und der rechtlichen Rahmenbedingungen: Rechtsraum, Datenkontrolle, Anbieterabhängigkeiten

Nur wenn diese Ebenen zusammengedacht werden, entsteht ein realistisches Bild der eigenen digitalen Souveränität.

Was Sie jetzt tun können

Drei Schritte helfen, das Thema gezielt anzugehen:

Transparenz schaffen. Wo liegen die Daten? Welche Systeme sind für die Handlungsfähigkeit wirklich kritisch? Welche externen Abhängigkeiten bestehen im Ernstfall?

Wiederherstellungsfähigkeit überprüfen. Welche Wiederanlaufzeiten sind definiert und wurden sie getestet? Gibt es eine geübte Reihenfolge für den Wiederanlauf? Wie gut ist die Backup-Infrastruktur selbst geschützt?

Kontrolle und Governance bewerten. Wer trifft im Krisenfall Entscheidungen und auf welcher Basis? Wie ist die Schlüssel- und Zugriffshoheit geregelt? Welche Möglichkeiten für einen Anbieterwechsel sind vorgesehen?

Diese drei Schritte liefern ein erstes Bild. Der Leitfaden "Digitale Souveränität im Backup" bietet konkrete Entscheidungskriterien für eine systematische Bewertung. Diese reichen von der Kontrolle über Rechtsraum und Schlüssel bis zur getesteten Wiederanlauf-Fähigkeit. Sie sind auf die Anforderungen öffentlicher Organisationen zugeschnitten.

 Leitfaden lesen

Wenn Sie Ihre Situation darüber hinaus gemeinsam einordnen und konkrete nächste Schritte ableiten möchten, können Sie diese Analyse auch im direkten Austausch vertiefen. In einem kurzen Gespräch erhalten Sie eine strukturierte Einschätzung Ihrer aktuellen Risiken sowie klare Handlungsempfehlungen für Ihre Organisation.

Gespräch mit Experten vereinbaren

Als europäischer Anbieter begleitet SEP öffentliche Organisationen dabei, Backup- und Recovery-Strategien so zu gestalten, dass sie auch im Ernstfall unabhängig, kontrollierbar und handlungsfähig bleiben.

Zurück
IT Autonomy - European Alternatives | wir sind dabei! 17 Jun 2026 13:00 - 19:30DACH | Event More information Als kalendereintrag speichern
Backup ist Pflicht. Wiederherstellungsfähigkeit entscheidet. 23 Jun 2026 10:00 - 11:00DACH | Online Training More information Als kalendereintrag speichern
SEP Certified Administrator Training | SCA07 Jul 202610:00 - 17:0008 Jul 202609:00 - 16:0009 Jul 202609:00 - 16:00Deutschland | Holzkirchen More information Als kalendereintrag speichern
Verwandte Artikel: