Stellen Sie sich vor, es ist Anfang 2020 und Sie arbeiten als CxO in einem europäischen Unternehmen. Der Handelskonflikt zwischen den USA und China spitzt sich immer weiter zu. Ihr wichtigster Cloud-Anbieter – mit Hauptsitz in Kalifornien und Rechenzentren quer über Asien verteilt – sieht sich plötzlich mit Exportbeschränkungen oder neuen Zöllen auf wichtige Technologien und Services konfrontiert. Auf einmal stehen Sie im Kreuzfeuer internationaler Sanktionen. Und da sich Ihre Infrastruktur über mehrere Rechtsräume erstreckt, unterliegt Ihr Unternehmen nun umfassenden Compliance- und Handelsauflagen, die in Ihrer Architektur nie vorgesehen waren.
Ihre Resilienzplanung basiert auf der Annahme, dass Sie jederzeit grenzenfreien Zugang zu Ihrem Anbieter haben. Doch diese Grenzen – von denen Ihr gesamtes Unternehmen ausging, sie würden keine Rolle spielen – sind plötzlich geschlossen.
Das hatten Sie nicht eingeplant. Niemand hatte es eingeplant.
Wir erleben derzeit eine ungewöhnliche Phase in der Cyber-Sicherheit. Während die meisten von uns das letzte Jahrzehnt damit verbracht haben, Geschwindigkeit, Kosten und Cloud-Effizienz zu optimieren, hat sich das politische Umfeld von berechenbaren Mustern in eine Abfolge unvorhersehbarer Stürme verwandelt. Grenzen sind wieder relevant geworden, Anbieterstandorte entwickeln sich zu kritischen Risikofaktoren und jetzt sehen wir uns Bedingungen gegenüber, auf die wir nicht vorbereitet sind, die wir aber dennoch bewältigen müssen.
Ich habe in den vergangenen Jahren Hunderte Gespräche mit CISOs, CIOs, COOs und Vorstandsmitgliedern geführt – und immer wieder taucht dieselbe Frage auf: „Wie viel Souveränität ist strategisch notwendig, wenn geopolitische Spannungen zunehmen?“ Der Markt ist unübersichtlich. Jeder Anbieter positioniert sich mit einer eigenen Souveränitätslösung und im Eifer des Gefechts riskieren viele Unternehmen, übermäßig komplexe Konstrukte zu entwickeln, die eher ein politisches Symbol sind als dass sie operative Resilienz ermöglichen.
Die Frage lautet nicht, ob Ihre Strategie der Datensouveränität an geopolitischen Realitäten scheitern wird, sondern wann.
Deshalb möchte ich das Konzept der Minimum Viable Sovereignty vorstellen – jenes minimale, aber essenzielle Maß an souveräner Kontrolle, das notwendig ist, um den Betrieb aufrechtzuerhalten, wenn geopolitische Rahmenbedingungen kippen.
Es geht nicht um absolute Souveränität für jedes System. Auch nicht darum, Compliance weiter zu verkomplizieren. Es geht einzig um die kritischen Wiederherstellungspfade, die unter Ihrer Kontrolle bleiben müssen, wenn Grenzen geschlossen werden. Nur Unternehmen, die ihre Minimum Viable Sovereignty lange vor diesem Moment identifiziert und ihre Betriebsmodelle entsprechend angepasst haben, werden den kommenden Stürmen standhalten können.
Januar 2026: Als Theorie zur Realität wurde
Zu Beginn dieses Jahres wies China heimische Unternehmen an, keine Cyber-Sicherheitssoftware von US-amerikanischen und israelischen Anbietern mehr zu verwenden. Begründet wurde dies mit nationalen Sicherheitsbedenken. Dies war nicht einfach nur eine politische Richtungsänderung. Es war die Bestätigung dafür, dass wir in ein Zeitalter eingetreten sind, in dem der Standort eines Anbieters zu Ihrem Single Point of Failure werden kann.
Die geopolitische Fragmentierung ist nun eine von drei Kräften, die das globale Risikoumfeld grundlegend umgestalten – gleichberechtigt neben KI und Cyber-Ungleichheit. Der Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums bringt es auf den Punkt: „Die Cyber-Risiken des Jahres 2026 beschleunigen sich, angetrieben durch Fortschritte in der KI, zunehmende geopolitische Fragmentierung und die Komplexität der Lieferketten.“
Dies ist kein theoretisches Szenario mehr, sondern die neue betriebliche Realität.
Warum haben sich gerade diese drei Kräfte als dominante Einflussfaktoren in der Weltwirtschaft erwiesen? Ein Blick zurück ins Jahr 2025 liefert den notwendigen Kontext:
Die mehrjährige Kampagne von Salt Typhoon: Chinesische staatlich gesponserte Akteure kompromittierten mindestens acht US-Telekommunikationsanbieter. Als das FBI im August 2025 Bilanz zog, wurde das Ausmaß klar: 200 betroffene Unternehmen in 80 Ländern. Dabei wurden nicht nur Daten gestohlen – im Visier stand auch die Infrastruktur selbst, die die grenzüberschreitende Kommunikation und Wiederherstellungsmaßnahmen überhaupt erst ermöglicht.
Taiwans digitaler Ausnahmezustand: Laut dem National Security Bureau wurden täglich durchschnittlich 2,63 Millionen Cyber-Angriffe auf Taiwans kritische Infrastruktur registriert – ein Anstieg von 6 % gegenüber dem Vorjahr. Krankenhäuser, Banken, staatliche Systeme und Telekommunikationsnetze waren einem ununterbrochenen Strom von Angriffen ausgesetzt. So sieht anhaltende geopolitische Spannung auf operativer Ebene aus.
Lieferketten unter doppeltem Druck: Cyble berichtete in seiner Analyse für 2025 von 26 Cyber-Angriffen auf Lieferketten pro Monat – doppelt so viele wie Anfang 2024. Laut Palo Alto Networks erfolgte fast ein Drittel aller Sicherheitsverletzungen im Jahr 2023 über Zugriffsrechte von Dritten. Leider sind diese Entwicklungen nicht außergewöhnlich, sondern bilden inzwischen den Normalzustand.
Laut einer Gartner-Umfrage vom November 2025 gaben 61 % der CIOs und IT-Verantwortlichen in Westeuropa an, aufgrund geopolitischer Bedenken künftig stärker auf lokale Cloud-Anbieter setzen zu wollen. Noch ernüchternder: 53 % erwarten, dass „geopolitische Entwicklungen die Nutzung globaler Cloud‑Anbieter einschränken werden“, und 44 % begrenzen ihren Einsatz bereits heute.
Gartner prognostiziert, dass bis 2030 mehr als 75 % der Unternehmen außerhalb der USA eine eigene Strategie für digitale Souveränität entwickelt haben werden. Dieses Phänomen (von Gartner als „Geopatriation“ bezeichnet) markiert ein tiefgreifendes Umdenken in Bezug auf Datenhoheit, betriebliche Kontrolle und die Risiken globaler Anbieterlandschaften.
Doch obwohl sich 88 % der Unternehmen Sorgen über Cyber-Risiken in der Lieferkette machen, prüfen nur 14 % das Cyber-Sicherheitsniveau ihrer unmittelbaren Partner – einen der größten (und am schnellsten wachsenden) Risikofaktoren in der modernen digitalen Geschichte. In der erweiterten Lieferkette sinkt diese Zahl sogar auf 7 %.
Diese Diskrepanz zwischen Besorgnis und Handeln ist gefährlich, erst recht in einer Welt, in der geopolitische Erschütterungen über Nacht den Zugang zu kritischen Anbietern kappen können.
Was Souveränität wirklich bedeutet (und warum reine Compliance nicht ausreicht)
Früher war Datensouveränität vor allem eine Frage der Compliance: „Wo befinden sich die Daten und welche Vorschriften gelten?“
Doch die geopolitischen Verschiebungen der letzten Jahre erzwingen andere Fragen. Sie sollten diese weniger als Checkliste zur Perfektion verstehen (die weder realistisch noch notwendig ist), sondern vielmehr als Rahmen, um zu erkennen, wo Ihre tatsächlichen Souveränitätsrisiken liegen:
Datensouveränität: Wo befinden sich Ihre Daten physisch? Welche Gerichtsbarkeit ist dafür zuständig? Wer kann Zugriffsrechte einfordern – und mit welcher rechtlichen Basis? Welchen Handlungsspielraum haben Sie, falls ein ausländischer Staat Zugang zu Daten in ihrem Hoheitsgebiet verlangt?
Betriebliche Souveränität: Wer betreibt Ihre Wiederherstellungsinfrastruktur wirklich? Sind Sie in der Lage, ein Failover ohne Eingriffe durch Anbieter oder staatliche Stellen durchzuführen? In welchen Ländern sitzen die Supportteams Ihres Anbieters? Sind Wiederherstellungsprozesse möglich, wenn diese Regionen Sanktionen oder Einschränkungen unterliegen? Auch das Schlüsselmanagement spielt eine Rolle. Bewahren Sie Ihre Verschlüsselungsschlüssel selbst auf oder besitzt der Anbieter die Kontrolle darüber? Falls dessen Rechtsraum blockiert wird: Können Sie Ihre Daten weiterhin entschlüsseln und nutzen?
Anbietersouveränität: In welchem Land ist Ihr Anbieter ansässig? Wo befinden sich seine technischen und betrieblichen Kernteams? Könnten diese aufgrund politischer Entwicklungen sanktioniert oder durch ausländische Behörden verpflichtet werden? Könnten geopolitische Entwicklungen im Rechtsraum Ihres Anbieters Ihre Fähigkeit zur Wiederherstellung einschränken?
Leider gibt es keinen Anbieter, der für jedes Unternehmen alle drei Souveränitätsdimensionen vollständig erfüllt. Ein US‑basierter Anbieter ohne europäische Präsenz mag für amerikanische Kunden ideal sein, kann jedoch – je nach Architektur – für europäische oder asiatische Unternehmen ein Souveränitätsrisiko darstellen, etwa durch mögliche Zugriffe unter US‑Gerichtsbarkeit oder im Rahmen von Sanktionen. Ein regionaler Anbieter hingegen kann zwar die Anforderungen an Datenresidenz erfüllen, verfügt jedoch oft nicht über die nötige operative Skalierbarkeit für globale Konzerne, die einen Anbieter mit Präsenz auf allen wichtigen Kontinenten benötigen.
Hier geht es nicht darum, in jeder Hinsicht perfekte Souveränität zu erreichen, sondern die eigene Risikolage zu verstehen und auf der Grundlage Ihres Bedrohungsmodells, der geografischen Situation und dem regulatorischen Umfeld Ihre Architektur bewusst darauf abzustimmen. Echte Resilienz entsteht dann, wenn Sie Souveränität in allen drei Bereichen bewerten, informierte Abwägungen treffen und gemeinsam mit Ihren Anbietern Wiederherstellungsarchitekturen entwickeln, die auch dann funktionieren, wenn sich ursprüngliche Annahmen als falsch erweisen.
Was Ihnen versprochen wird und was tatsächlich zählt
Minimum Viable Sovereignty bezeichnet das Mindestmaß an souveräner Kontrolle, das erforderlich ist, um den Betrieb auch bei geopolitischen Störungen aufrechtzuerhalten. Dieser Begriff steht nicht für Perfektion, sondern für Priorisierung. Im Zentrum steht die Frage, welche kritischen Wiederherstellungspfade – wie Sicherung, Wiederherstellung, Identitätssysteme, Schlüsselverwaltung und Failover‑Infrastruktur – unbedingt erhalten bleiben müssen und wie sichergestellt wird, dass diese auch dann unabhängig funktionieren, wenn Grenzen geschlossen werden oder Sanktionen greifen.
Was in Ihrem Kontext als Mindestmaß gilt, wird durch Ihre Standorte, regulatorische Vorgaben, Bedrohungsszenarien und Ihre Risikobereitschaft bestimmt. Für jede Unternehmensführung stellt sich daher eine zentrale Frage: „Welche Fähigkeiten müssen wir unbedingt selbst kontrollieren, damit wir den Betrieb unter allen Umständen wiederherstellen können?“
Für die meisten Organisationen bedeutet das Ermitteln der Minimum Viable Sovereignty, die folgenden zentralen Bereiche ehrlich zu bewerten:
Sicherungs- und Wiederherstellungsinfrastruktur: Können Sie den Betrieb wiederherstellen, ohne auf Supportteams eines Anbieters angewiesen zu sein, der Sanktionen oder Zugriffsbeschränkungen unterliegt? Haben Sie alternative Wiederherstellungspfade für den Fall, dass Ihr Anbieter aufgrund geopolitischer Ereignisse nicht mehr voll handlungsfähig ist?
Schlüsselverwaltung: Wo werden Ihre Verschlüsselungsschlüssel aufbewahrt und wer kontrolliert den Zugang? Können Sie Ihre Daten weiterhin entschlüsseln und nutzen, selbst wenn der Rechtsraum Ihres Anbieters unter Sanktionen fällt? Benötigen Sie zumindest für besonders kritische Workloads BYOK (Bring Your Own Key)- oder HYOK (Hold Your Own Key)-Funktionen?
Resiliente Identitäts- und Authentifizierungsmechanismen: Ist Ihre Identitätsinfrastruktur weiterhin funktionsfähig, wenn die APIs Ihres Hauptanbieters aufgrund von Geoblocking oder anderen Maßnahmen deaktiviert oder eingeschränkt werden? Können Sie bei Bedarf auf alternative Identitätsanbieter in anderen Rechtsräumen ausweichen?
Unabhängigkeit bei Failovers: Können Sie auf sekundäre Standorte umschalten, ohne dass Ihr Anbieter eingreifen muss oder dass dafür Teams oder Infrastrukturen in einem anderen Land benötigt werden? Sind Ihre sekundären Standorte wirklich unabhängig oder sind sie auf die Betriebs‑ und Supportteams desselben Anbieters angewiesen?
Wenn sich die geopolitischen Verhältnisse zum Nachteil Ihres Unternehmens verändern, zeigen die Antworten auf diese Fragen, ob Ihre Strategie mehr als nur Theorie ist. Viele Unternehmen merken erst dann, dass sie zwar die Leistung und die Kosten optimiert, dabei aber die betriebliche Souveränität an Anbieter ausgelagert haben, deren Rechtsraum sie nie als Geschäftsrisiko bewertet haben. Eine der besorgniserregendsten Aussagen, die ich in Gesprächen mit CxOs gehört habe, lautet: „Wir wissen gar nicht, ob eine Wiederherstellung ohne die Hilfe unseres Anbieters möglich ist.“
Eine solche Souveränitätslücke ist unter den aktuellen geopolitischen Bedingungen ein inakzeptables Risiko.
Wir stehen an einem Wendepunkt
Seien wir ehrlich: Wir steuern auf eine Souveränitätskrise zu und manche Unternehmen stecken bereits mitten drin. Souveränität ist zum wichtigsten Risikofaktor für Cyber-Resilienz geworden. Dennoch haben die meisten Unternehmen weder einen Plan noch eine klare Strategie dafür, was passiert, wenn Grenzen geschlossen oder Sanktionen verhängt werden. Souveränität darf nicht nur eine reine Compliance‑Übung sein, sondern muss Folgendes umfassen:
Kontinuierliche Transparenz in Bezug auf Rechtsräume von Anbietern, Datenstandorte und operative Kontrollpunkte
Resilienzpläne, die davon ausgehen, dass Anbieter während einer geopolitischen Krise nicht erreichbar oder handlungsfähig sind
Wiederherstellungsarchitekturen, die trotz Sanktionen oder Geoblocking funktionieren
Risikobewertungen, die nicht nur das Cyber-Sicherheitsniveau von Anbietern, sondern auch geopolitische Abhängigkeiten berücksichtigen
Die nachgewiesene Fähigkeit, Failover und Wiederherstellung ohne ausländische Eingriffe durchzuführen
Entscheidend ist jedoch, dass Souveränität zum zentralen Bestandteil unserer Cyber-Wiederherstellungsstrategie wird – und zwar gleichrangig mit Sicherung, Disaster Recovery und Incident Response.
Ein Aufruf an den Vorstand
Souveränität duldet keinen Aufschub. Wenn Souveränität versagt, scheitert auch die Wiederherstellung – und oft gibt es keinen zweiten Versuch. Souveränität gehört zwingend auf die Agenda der obersten Führungsebene. Doch wie ich von meinen Kollegen und Kolleginnen gelernt habe, muss man Antworten auf schwierige Fragen bieten können, um echte Vorstandsdiskussionen zu ermöglichen:
Wie schnell könnten wir uns eigenständig erholen, wenn im Rechtsraum unseres Hauptanbieters heute eine Sperrverfügung erlassen würde?
Können wir gegenüber Aufsichtsbehörden und Kunden nachweisen, dass unsere Wiederherstellungsinfrastruktur betrieblich unabhängig ist?
Sind die Cloud-Plattformen und die Wiederherstellungs- und Backup-Systeme für SaaS-Modelle, auf die wir angewiesen sind, in unserer Souveränitätsstrategie abgedeckt oder sind sie anfällig?
Haben wir bewusst entschieden, welche Workloads zwingend unter unserer Kontrolle bleiben müssen und bei welchen wir das Risiko der Anbieterjurisdiktion akzeptieren können?
Die bittere Realität ist, dass viele Unternehmen keine Antworten auf diese Fragen haben. Genau darauf setzen Angreifer.
Der Weg nach vorn: Souveränität als Grundlage echter Resilienz
Wir müssen anerkennen, dass Souveränität in einer von geopolitischen Spannungen geprägten Welt die Basis jeder Resilienzstrategie ist. Souveränität definiert nicht nur, wo die Daten gespeichert werden, sondern auch, wer auf sie zugreifen und ihre Verfügbarkeit unterbinden kann.
Was passiert also, wenn Souveränität kompromittiert wird? Im aktuellen geopolitischen Umfeld beginnt Geschäftskontinuität nicht erst dann, wenn Ihre Identitätsservices, Systeme und kritischen Daten wieder zugänglich sind – oder wenn Ransomware entschlüsselt wurde. Souveränität beginnt damit, nachweisen zu können, dass Ihre Wiederherstellungsinfrastruktur unter Ihrer Kontrolle steht und dass keine ausländische Instanz sie blockieren, manipulieren oder darauf zugreifen kann.
Ohne eine Strategie für souveräne Resilienz steht Ihre gesamte Wiederherstellungsarchitektur auf einem wackligen Fundament. Genau deshalb nehmen staatliche Akteure und hochprofessionelle Bedrohungsgruppen zunehmend Anbieterabhängigkeiten ins Visier – nicht nur, um Schaden anzurichten, sondern auch, um eine schnelle Wiederherstellung zu verhindern. Die Angreifer wissen, dass der Weg zum Wiederaufbau von Souveränität lang, teuer und ungewiss ist. Das verschafft ihnen erhebliche Vorteile bei Erpressung, Lösegeldforderungen und ihren gesamten Angriffskampagnen.
Souveränität ist längst nicht mehr nur ein Thema für Compliance oder Rechtsabteilungen. Sie ist heute ein zentraler Bestandteil operativer Resilienz und entscheidend dafür, dass ein Unternehmen im Ernstfall die Kontrolle wiedererlangen kann.
Unmittelbare strategische Maßnahmen für die Unternehmensleitung
Die Herausforderungen rund um Souveränität erfordern drei sofortige Schritte:
Prüfen Sie Ihre Souveränitätsrisiken:
Ermitteln Sie die Rechtsräume aller kritischen Anbieter, ihre Datenstandorte und operativen Kontrollpunkte.
Identifizieren Sie, wo geopolitische Einschränkungen Ihren Zugang zur Wiederherstellungsinfrastruktur sofort unterbrechen könnten.
Dokumentieren Sie, welche Anbieter Personal in Ländern beschäftigen, die aktuellen oder potenziellen Sanktionen unterliegen. Beginnen Sie mit den Anbietern Ihrer Backup- und Wiederherstellungslösungen, denn sie sichern im Ernstfall das Überleben Ihres Geschäfts.
Verankern Sie Resilienz ohne jurisdiktionsübergreifende Abhängigkeiten als Designprinzip:
Gestalten Sie Wiederherstellungsarchitekturen, die auch dann voll funktionsfähig bleiben, wenn Grenzen geschlossen werden.
Entwickeln Sie Identitäts- und API-Architekturen, die Geoblocking überstehen.
Testen Sie Failover‑Szenarien ohne Zugang zum Anbieter, denn im Ernstfall ist dessen Unterstützung bei der Disaster Recovery nicht garantiert.
Definieren Sie Ihre Minimum Viable Sovereignty:
Identifizieren Sie, welche Fähigkeiten Sie unbedingt selbst kontrollieren müssen, um den Betrieb eigenständig wiederherstellen zu können.
Widerstehen Sie der Versuchung, übertriebene Maßnahmen zu implementieren, die nur politischer Symbolik dienen und nicht der Resilienz.
Konzentrieren Sie sich auf die kritischen Wiederherstellungspfade (Backups, Identitäten, Schlüsselverwaltung, Failover).
Entscheiden Sie bewusst, welche Workloads zwingend unter Ihrer Kontrolle bleiben müssen und bei welchen Sie das Risiko der Anbieterjurisdiktion akzeptieren können. Stellen Sie sicher, dass diese kritischen Pfade operativ unabhängig bleiben.
Resilienz ohne Souveränität hält nur so lange, wie andere es zulassen
Die Kluft zwischen denjenigen, die Souveränität als strategische Priorität begreifen, und denjenigen, die sie immer noch als regulatorische Formalie betrachten, vergrößert sich rapide. Das Weltwirtschaftsforum schließt seinen Ausblick für 2026 mit einer ernüchternden Feststellung ab: Unternehmen und Regierungen stehen „unter wachsendem Druck, sich anhaltenden Souveränitätsherausforderungen und zunehmenden Kompetenzlücken zu stellen“.
Letztendlich muss sich jede Unternehmensleitung folgende Fragen stellen: Können wir die betriebliche Kontinuität garantieren, wenn geopolitische Spannungen zunehmen (und das werden sie)?
Oder baut unsere Wiederherstellungsstrategie auf Annahmen auf, die heute nicht mehr zutreffen?
Die Branche muss aufhören, Souveränität als regionales Anliegen oder als regulatorische Belastung zu betrachten. Souveränität ist das Fundament moderner Cyber‑Resilienz – in einer Ära, in der Geopolitik und Cyber-Sicherheit untrennbar miteinander verwoben sind.
Wenn künftig eine Regierung Lieferbeschränkungen erlässt oder Handelssanktionen verhängt, die den Betrieb wirtschaftlich untragbar machen, wird Ihr Vorstand nicht fragen, ob Sie Vorschriften eingehalten haben, sondern ob Sie vorbereitet waren.
Quellen & vertiefende Ressourcen
World Economic Forum, Global Cybersecurity Outlook 2026
Gartner, "„Survey Reveals Geopolitics Will Drive 61% of CIOs and IT Leaders in Western Europe to Increase Local Cloud Reliance“" (November 2025)
Reuters, „Chinese Cyberattacks on Taiwan Averaged 2.6 Million a Day in 2025“ (Januar 2026)
Reuters, „Beijing Tells Chinese Firms to Stop Using US and Israeli Cybersecurity Software“ (Januar 2026)
Palo Alto Networks, „Lieferkettenchaos im Jahr 2025: Geopolitik diktiert neue Regeln“
Cyble, „Supply Chain Attacks Surge in 2025: Double the Usual Rate“
Cybersecurity Dive, „At Least 8 US Companies Hit in Telecom Attack Spree“
(Dezember 2024)
Rubrik, „Eine neue Lösung von Rubrik: Rubrik Security Cloud Sovereign“ (Januar 2026)