Datenmanagement Digitale Souveränität: Anspruch und Realität klaffen auseinander

Anbieter zum Thema

d.velop AG

Esker Software Entwicklungs-und Vertrieb

Yorizon GmbH & Co. KG

Digitale Souveränität wird oft gefordert, aber selten zu Ende gedacht. Warum Software und Daten sich nicht einfach europäisieren lassen und wo die wirklichen Herausforderung für Unternehmen liegen.

Digitale Souveränität ist ein vieldiskutiertes Thema in Europa – besonders wenn es um Datenschutz, geopolitische Abhängigkeiten und KI geht. Oft heißt es dann vereinfacht: „Kauft europäische Software“ und „Nutzt europäische Daten“. Beides ist aber in der Realität gar nicht so trivial, da Software praktisch immer aus einem Konglomerat internationaler Komponenten besteht und insbesondere das Training von KI-Modellen nur durch die Nutzung vieler und möglichst diverser Daten zu hoch performanten Modellen führt. Man kann also nur in wenigen Fällen wirklich komplett autark agieren. Dieser Beitrag zeigt auf, warum digitale Souveränität komplexer ist als gedacht, wo die größten Herausforderungen liegen und welche Fragen Verantwortliche in Unternehmen dringend klären müssen.

Digitale Souveränität bei Software – (meist) eine Illusion

Der Wunsch nach souveräner Software klingt plausibel, und der Verzicht auf nicht-europäische Lösungen wie Microsoft Windows ist theoretisch möglich - etwa durch den Einsatz von Open-Source-Alternativen wie Linux. Allerdings besteht Linux aus einer Vielzahl international entwickelter Komponenten, die nicht ausschließlich in der EU entstehen oder gewartet werden. Viele Open-Source-Projekte sind eine Kombination von Code, der von Menschen weltweit geschrieben und gewartet wird – nicht nur in der EU. 

Die nicht-europäischen Teile neu zu schreiben, ist praktisch immer illusorisch; am Ende würde eine (erheblich schlechtere) EU-Version entstehen. Theoretisch könnte man den Code aus anderen Regionen zumindest durchsehen, um sicherzugehen, dass keine unerwünschten Funktionen oder Sicherheitslücken enthalten sind. Aber auch das ist in der Praxis kaum realistisch: Teile des Codes ändern sich kontinuierlich und eine manuelle Durchsicht ist schlicht nicht praktikabel.

Mit KI Sicherheitslücken in Software finden

Abhilfe könnten hier neuere KI-Modelle bieten, die Potenzial für eine automatisierte Analyse von Code-Repositorien versprechen. KI-Systeme wie die von Anthropic sind mittlerweile so gut darin, Sicherheitslücken zu finden, dass das fast schon ein Problem wird – was sich natürlich auch in die andere Richtung ausnutzen lässt. Übrigens betrifft dieses Problem auch jede relevante Nicht-Open- Source-Software, selbst wenn diese ausschließlich in der EU programmiert wurde. Praktisch alle Programme (auch Windows) bauen an irgendeiner Stelle auf Open-Source-Komponenten auf.

Aber selbst, wenn ich mir nun einbilde, die nicht-europäischen Teile der Software im Griff zu haben, bleibt ein anderes Problem: Der Code liegt auf Servern, die weltweit verstreut sind – oder auf GitHub, das bekanntlich Microsoft gehört. Also müsste ich eigentlich eine EU-basierte Kopie aller nicht-europäischen Aktivitäten aufsetzen und kontinuierlich abgleichen. Aber selbst das reicht nicht: Ich könnte nicht einfach nur kopieren (wer weiß, was andere reinschmuggeln), sondern müsste alles ständig kontrollieren. Auch hier bietet KI möglicherweise einen Weg, diese Kontrollen zu automatisieren. Wobei das die etwas ältere Generation an den Wettlauf zwischen Kopierschützern und Kopierprogrammen erinnert.

Wer sagt, dass die KI, die ich verwende, nicht darauf trainiert wurde, bestimmte Manipulationen zu ignorieren?Man kann natürlich noch eine Ebene tiefer einsteigen und sich überlegen, auf welcher Hardware denn meine ach so souveräne Software eigentlich läuft. Haben wir die vollständig unter Kontrolle? Unwahrscheinlich. Es hat nicht nur politische Gründe, dass Chips aus bestimmten Ländern nicht in sicherheitskritischer Infrastruktur eingesetzt werden dürfen.Wirklich souverän bin ich nur, wenn ich in der EU entwickelte und gefertigte Hardware verwende, auf der ein Betriebssystem und Programme laufen, die vollständig in der EU entwickelt wurden und ausschließlich Komponenten verwenden, die ebenfalls aus der EU kommen.

Sicherheit und Compliance

Datensouveränität: Knime und Stackit schließen Partnerschaft