Weekly Backlog KW 3/2026

🧠 Editorial

Digitale Souveränität wird gern beschworen, solange sie abstrakt bleibt. Als Zielbild. Als Vision. Als Strategiepapier. Sobald sie jedoch konkrete Entscheidungen verlangt – andere Anbieter, andere Verträge, andere Verantwortlichkeiten – wird sie unbequem. Genau an diesem Punkt trennt sich diese Woche sehr sauber, wer Souveränität meint und wer sie lediglich verwaltet.

Studien, Gutachten und reale Projekte zeichnen ein konsistentes Bild: Die Abhängigkeiten sind bekannt, die Alternativen existieren, das Wissen ist vorhanden. Was fehlt, ist Konsequenz. Und die Bereitschaft, kurzfristige Bequemlichkeit gegen langfristige Kontrolle einzutauschen.

🚨 Die Tech-News der Woche

Souveränitätsbarometer: Abhängigkeit ist kein Ausnahmezustand

Das Souveränitätsbarometer der öffentlichen IT von next:public liefert belastbare Zahlen zu einem strukturellen Problem. Rund zwei Drittel der befragten Verwaltungen sehen sich stark von außereuropäischen IT-Anbietern abhängig – nicht in Spezialfällen, sondern im täglichen Betrieb. Betriebssysteme, Bürosoftware, Kollaboration: genau dort, wo Verwaltung faktisch stattfindet.

Besonders gravierend ist die fehlende Gestaltungsfähigkeit. Über 40 Prozent der Verwaltungen können ihre Fachverfahren nur in sehr begrenztem Umfang selbst anpassen oder weiterentwickeln. Damit wird Software nicht mehr als gestaltbares Werkzeug genutzt, sondern als fixe Vorgabe akzeptiert. Kontrolle reduziert sich auf Vertragsverwaltung.

Die Ursachen sind seit Jahren bekannt: proprietäre Standards, historisch gewachsene Lock-ins, fehlende personelle und organisatorische Fähigkeiten bei öffentlichen IT-Dienstleistern. Neu ist lediglich die Offenheit, mit der das Barometer zeigt, dass Strategiepapiere daran bislang nichts geändert haben. Souveränität entsteht nicht durch Vielfalt auf dem Papier, sondern durch reale Wechseloptionen im Betrieb.

Die anstehende Cloud-Transformation verschärft diese Lage. Noch laufen rund zwei Drittel der Anwendungen On-Premise. Die Migration ist eine einmalige Chance, Abhängigkeiten gezielt zu reduzieren – oder sie für die nächste Dekade festzuschreiben. Entscheidend ist nicht der Ort der Infrastruktur, sondern wer Standards setzt, Software kontrolliert und im Zweifel unabhängig handeln kann.

🔗 https://nextpublic.de/studie/souveraenitaetsbarometer/

US-Zugriff auf europäische Daten: Der Rechtsraum folgt der Beziehung

Ein bislang zurückgehaltenes Rechtsgutachten im Auftrag des Bundesinnenministeriums bestätigt, was juristisch seit Jahren absehbar ist: Europäische Unternehmensdaten sind nicht allein durch EU-Hosting geschützt.

Maßgeblich ist nicht der Serverstandort, sondern die rechtliche und wirtschaftliche Beziehung zu den USA. Eine Niederlassung genügt, aber auch schwächere Anknüpfungspunkte wie US-Kunden oder ein nicht ausgeschlossener US-Markt können ausreichen, um eine gerichtliche Zuständigkeit zu konstruieren.

Hinzu kommen Zugriffsbefugnisse jenseits klassischer Verfahren. FISA 702 verpflichtet US-Dienstleister zur Herausgabe von Daten über Nicht-US-Personen. Executive Order 12333 erlaubt Datensammlungen im Ausland ohne Transparenz oder Kontrolle – inklusive der gezielten Ausnutzung von Sicherheitslücken.

Die Konsequenz ist eindeutig: Juristische Risiken entstehen aus Abhängigkeiten, nicht aus Geografie. „Unsere Daten liegen in Europa" ist kein Schutzkonzept, sondern ein Beruhigungssatz.

🔗 https://www.golem.de/news/bundesinnenministerium-fuer-us-zugriff-auf-deutsche-firmen-genuegt-us-niederlassung-2512-203104-2.html

BSI-NIS2-Portal auf AWS: Sicherheit ohne Kontrolle

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) startet ein zentrales NIS2-Portal – betrieben auf AWS. Technisch ist das erklärbar. Strategisch ist es problematisch.

Gerade bei einem Portal, auf dem sicherheitsrelevante Meldungen aus kritischen Infrastrukturen zusammenlaufen, sind Abhängigkeiten kein Detail. AWS unterliegt einem fremden Rechtsraum, erzeugt strukturellen Vendor-Lock-inund verstärkt Marktkonzentration – Risiken, die das BSI sonst selbst benennt.

Dabei existieren seit Jahren europäische, zertifizierte Alternativen. Dass sie hier offenbar keine tragende Rolle gespielt haben, ist ein Signal – auch an andere Behörden.

NIS2 will Resilienz und Verantwortung. Beides entsteht nicht durch Funktionalität allein, sondern durch Kontrolle über die eigene Infrastruktur.

🔗 https://www.heise.de/news/Cybersicherheit-BSI-Portal-geht-online-und-nutzt-dafuer-AWS-11130478.html

Aleph Alpha ohne Andrulis: Wenn das Narrativ früher geht als die Struktur

Der vollständige Rückzug von Jonas Andrulis aus Aleph Alpha ist mehr als ein Führungswechsel. Er verlässt jede formale Rolle, parallel werden rund 50 Stellen gestrichen. Das ist kein Übergang, das ist ein Einschnitt.

Aleph Alpha war ein politisches Versprechen: europäische KI, souverän, unabhängig. Dieses Versprechen war eng mit Andrulis verbunden. Er war Gründer, Gesicht und Erzähler der Mission.

Sein Abgang legt offen, wie fragil dieses Konstrukt war. Wenn der zentrale Architekt geht, bevor tragfähige Strukturen stehen, ist das kein Skalierungsproblem, sondern ein Governance-Problem.

Der Gesellschafterkreis – Schwarz-Gruppe, SAP, Bosch, Deutsche Bank – steht für Stabilität, aber kaum für offene Ökosysteme oder technologische Eigenständigkeit. Das verändert den Charakter des Projekts grundlegend.

Der Fall Aleph Alpha zeigt nicht das Scheitern der Idee europäischer KI, sondern das Scheitern ihrer Umsetzung unter realen Machtverhältnissen.

🔗 https://www.manager-magazin.de/unternehmen/tech/aleph-alpha-gruender-andrulis-zieht-sich-offenbar-aus-dem-unternehmen-zurueck-a-6707380e-0b8f-430a-a9d4-8d03940cc29c

WERBUNG

🔍 Open Source & Verwaltung

Schleswig-Holstein. Der echte Norden. : Souveränität im Alltag

Schleswig-Holstein setzt digitale Souveränität im laufenden Betrieb um. LibreOffice, Nextcloud , Open-Xchange, perspektivisch Linux – kein Pilot, kein Feigenblatt.

Der entscheidende Punkt ist nicht das Tool, sondern die Einstellung. Proprietäre Abhängigkeiten werden nicht akzeptiert, sondern aktiv zurückgebaut. Lizenzkosten sinken, entscheidender ist jedoch die Rückgewinnung von Gestaltungsfähigkeit.

Widerstände zeigen, wie tief proprietäre Standards verankert sind. Genau deshalb ist dieser Weg relevant.

🔗 https://www.heise.de/news/Schleswig-Holstein-Open-Source-ist-praxistauglich-trotz-Umstellungsproblemen-11131005.html

💥 Security

Owncloud, Nextcloud, ShareFile: Betrieb ist Sicherheit

Die jüngsten Datenabflüsse wurden schnell als Open-Source-Problem gelesen. Tatsächlich wurde keine Software kompromittiert. Keine Zero-Days. Keine Exploits.

Die Angreifer nutzten gültige Zugangsdaten. MFA war nicht erzwungen, Sessions nicht invalidiert. Souveränität endet nicht bei der Lizenz. Sie beginnt im Betrieb.

🔗 https://www.golem.de/news/dringend-mfa-aktivieren-massenhaft-daten-aus-cloud-instanzen-abgeflossen-2601-203932.html

👍 Good News:

Europas Autoindustrie setzt auf offene Software

Mehr als 30 Unternehmen der automobilen Wertschöpfungskette – darunter Volkswagen, BMW, Mercedes-Benz, Stellantis, Schaeffler, Infineon und Qualcomm – haben sich auf eine offene Software-Zusammenarbeit verständigt.

Der Schritt ist das Ergebnis jahrelanger Erfahrung mit teurer, proprietärer Software und strukturellen Abhängigkeiten. Gemeinsame Open-Source-Baselines senken Entwicklungsaufwand, beschleunigen Innovation und verschieben Kontrolle zurück zu den Akteuren.

Entscheidend wird die Governance sein. Offene Software wirkt nur, wenn Verantwortung und Steuerung geklärt sind.

🔗 https://www.reuters.com/business/auto-industry-expands-open-source-pact-boost-development-cut-costs-2026-01-07/

🎧 Empfehlung

INNOQ Podcast: Digitale Souveränität als Unternehmensrisiko

Im aktuellen INNOQ Podcast ordnen Anja Kammer und Gil Breth digitale Souveränität jenseits von Cloud-Kosten und Datenschutz ein. Im Mittelpunkt steht die Frage, wie handlungsfähig Unternehmen bleiben, wenn geopolitische, rechtliche oder wirtschaftliche Rahmenbedingungen kippen.

Abhängigkeiten sind nicht per se problematisch – kritisch werden sie, wenn sie nicht mehr steuerbar sind.

🔗 https://www.innoq.com/de/podcast/179-digitale-souveraenitaet/

😄 Meme der Woche