Dieser Artikel ist Teil einer Reihe.

  • Teil 1: Digitale Souveränität – Ein Definitionsversuch
  • Teil 2: CIO-Fragestellungen zur digitalen Souveränität
  • Teil 3: Digitale Souveränität: Warum die Architektur zählt und wie Sie Ihr Unternehmen resilient machen (dieser Artikel)

Es geht darum, die Fähigkeit zur digitalen Handlungsfähigkeit zu bewahren und auszubauen – ein Aspekt, der in Zeiten globaler Unsicherheiten und wachsender Abhängigkeiten von wenigen, oft außereuropäischen Technologieanbietern, von entscheidender Bedeutung ist. Als jemand, der aus der Software-Entwicklung kommt und heute an der Schnittstelle von Technologie, Organisation und Geschäftsstrategie agiert, sehe ich die digitale Souveränität als einen fundamentalen Paradigmenwechsel, der direkt auf die Architekturentscheidungen durchschlägt, die wir tägl

Die «Wolkenwende»: Digitale Abhängigkeiten managen durch Architektur

Die wohl sichtbarste Dimension der digitalen Souveränität im Unternehmenskontext ist die «Wolkenwende» – die bewusste Auseinandersetzung mit der Abhängigkeit von Cloud-Anbietern. Viele Unternehmen haben in den letzten Jahren ihre IT-Infrastrukturen in die großen, globalen Clouds migriert, um von deren Skalierbarkeit und Innovationsgeschwindigkeit zu profitieren. Dieser Schritt war und ist oft richtig, birgt jedoch auch neue Risiken, die direkt die Architektur beeinflussen:

  • Vendor Lock-in: Die starke Bindung an spezifische Services und proprietäre APIs eines Anbieters erschwert einen Wechsel erheblich. Die Kosten und der Aufwand für eine potenzielle Migration können prohibitive Ausmaße annehmen, was die strategische Flexibilität des Unternehmens massiv einschränkt.
  • Lieferketten-Risiken: Eine moderne Software ist ein komplexes Geflecht aus Komponenten, Services und Bibliotheken. Die unzureichende Transparenz über diese Lieferkette kann unerwartete Sicherheitslücken oder Abhängigkeiten von nicht steuerbaren Dritten offenbaren.
  • Regulatorische Unsicherheit: Neue Gesetze wie der Digital Operational Resilience Act (DORA) oder die Network and Information Security Directive 2 (NIS-2) sowie der Data Act der EU schaffen neue Rahmenbedingungen für die Resilienz und den Umgang mit Daten. Diese regulatorischen Entwicklungen erfordern eine präzise Anpassung der Software-Architektur, um Compliance zu gewährleisten und Risiken zu minimieren.

Hier setzen Software-Architekt:innen an: Die Software-Architektur ist der Dreh- und Angelpunkt, um diesen Abhängigkeiten zu begegnen. Es geht darum, bewusste Entscheidungen zu treffen, die nicht nur technische Exzellenz, sondern auch strategische Souveränität ermöglichen:

Architektonische Hebel für mehr digitale Souveränität

1. Transparenz in der Software-Lieferkette schaffen (Software Bill of Materials – SBOMs):

  • Die Herausforderung: Es ist oft unklar, welche externen Bibliotheken, Frameworks und Drittanbieter-Services in unseren Anwendungen zum Einsatz kommen. Diese mangelnde Transparenz ist ein erhebliches Sicherheitsrisiko und eine Schwachstelle für die Souveränität.
  • Der architektonische Ansatz: Etablieren Sie Prozesse zur automatisierten Erstellung und Pflege von Software Bill of Materials (SBOMs). Diese detaillierten Listen aller verwendeten Komponenten ermöglichen es, Risiken in der Lieferkette frühzeitig zu erkennen und zu bewerten. Architekten sollten bewusst auf die Herkunft und Wartung von Komponenten achten und den Einsatz von Lösungen fördern, die eine minimale externe Abhängigkeit aufweisen. Prinzipien wie Self-Contained Systems (SCS), die den Umfang externer Abhängigkeiten pro Baustein minimieren, gewinnen hier an Bedeutung.

2. Datenhoheit durch smarte Datenhaltungskonzepte:

  • Die Herausforderung: Die Kontrolle über die eigenen Daten ist fundamental für die digitale Souveränität. Wo liegen unsere sensiblen Daten? Wer hat Zugriff? Und was passiert, wenn wir den Cloud-Anbieter wechseln möchten oder müssen?
  • Der architektonische Ansatz: Entwickeln Sie Multi-Cloud- oder Hybrid-Cloud-Strategien, die es ermöglichen, Daten dort zu speichern, wo es aus rechtlicher und strategischer Sicht am sinnvollsten ist. Das kann bedeuten, besonders kritische Daten On-Premise zu halten oder auf europäische Rechenzentren zu setzen. Die Implementierung robuster End-to-End-Verschlüsselung, die Anonymisierung von Daten und die Anwendung von Privacy-by-Design-Prinzipien sind essenziell. Domain-Driven Design (DDD) hilft hier, klare Bounded Contexts für sensible Daten zu definieren und deren Fluss sowie Speicherung präzise zu kontrollieren. Es geht darum, die «Crown Jewels» Ihres Unternehmens – Ihre Daten – zu schützen und zu beherrschen.

3. Abstraktion und Plattformunabhängigkeit fördern:

  • Die Herausforderung: Eine starke Verflechtung mit den proprietären Services eines Hyperscalers kann den Wechsel zu einer alternativen Infrastruktur extrem teuer und langwierig machen. Dies reduziert die Verhandlungsfähigkeit und Flexibilität.
  • Der architektonische Ansatz: Setzen Sie auf offene Standards und Schnittstellen sowie Abstraktionsschichten. Nutzen Sie Container-Technologien wie Docker und Kubernetes, die eine höhere Portabilität Ihrer Anwendungen über verschiedene Infrastrukturen hinweg ermöglichen. Architekturen, die auf Microservices oder Self-Contained Systems basieren, unterstützen diese Flexibilität zusätzlich, da einzelne Komponenten leichter ausgetauscht oder migriert werden können. Das Ziel ist nicht, Abhängigkeiten vollständig zu eliminieren, sondern sie auf ein strategisch vertretbares Maß zu reduzieren und bewusst zu managen.

4. Open Source als Innovations- und Souveränitätsmotor:

  • Die Herausforderung: Proprietäre Software ist oft eine «Black Box». Ihre Funktionsweise und potenzielle Schwachstellen sind intransparent, und Sie sind vollständig auf den Anbieter angewiesen.
  • Der architektonische Ansatz: Wo immer es sinnvoll und sicher ist, bevorzugen Sie Open-Source-Lösungen. Open Source bietet Transparenz, Auditierbarkeit und die Möglichkeit zur Eigenentwicklung oder Anpassung. Dies stärkt Ihre technologische Souveränität, fördert den Wissensaufbau im Unternehmen und reduziert die Abhängigkeit von einzelnen Anbietern. Architekten müssen dabei die Herausforderungen von Open Source, wie Wartung und Support, im Blick behalten und aktiv an der Community-Entwicklung teilnehmen, wo dies strategisch sinnvoll ist.

Die Rolle Software-Architekt:in als «Sociotechnical Architect» der digitalen Souveränität

Die Herausforderungen der digitalen Souveränität machen deutlich, dass die Rolle des Software-Architekten sich fundamental weiterentwickelt. Sie ist nicht mehr nur eine technische Designerin, sondern eine Soziotechnische Architektin, die nicht nur technische Machbarkeit, sondern auch organisatorische, rechtliche und geschäftliche Implikationen verstehen und in die Architektur einfließen lassen muss.

  • Verständnis für Kontext: Ein tiefes Verständnis der Geschäftsanforderungen, aber auch der regulatorischen Rahmenbedingungen und geopolitischen Realitäten ist unerlässlich, um architektonische Entscheidungen fundiert treffen zu können.
  • Kommunikation und Kollaboration: Die Notwendigkeit, komplexe technische Entscheidungen verständlich zu machen und mit Stakeholdern aus Recht, Compliance und Management zusammenzuarbeiten, ist entscheidend. Hier helfen Ansätze wie Team Topologies und Fast Flow Principles, die Kommunikationswege in Organisationen zu optimieren und die Ausrichtung auf Geschäftswerte zu stärken.
  • Risikomanagement: Die Fähigkeit, Risiken im Zusammenhang mit Abhängigkeiten, Datenschutz und Lieferketten zu identifizieren, zu bewerten und architektonische Maßnahmen zu deren Minderung vorzuschlagen, ist eine Kernkompetenz.
  • Agilität und Anpassungsfähigkeit: In einer sich schnell ändernden Landschaft müssen Architekturen so gestaltet sein, dass sie anpassungsfähig bleiben und auf neue Anforderungen schnell reagieren können. Das gilt für technische Neuerungen ebenso wie für veränderte regulatorische oder geopolitische Rahmenbedingungen.

Fazit

Ein souveräner Blick in die Zukunft

Die zunehmende Komplexität der digitalen Welt, gepaart mit neuen regulatorischen Anforderungen und geopolitischen Realitäten, macht die digitale Souveränität zu einem zentralen Thema für Technologieentscheider:innen. Es ist mehr als nur ein Buzzword; es ist ein strategischer Imperativ, der Ihr Unternehmen resilienter, handlungsfähiger und zukunftssicher macht. Die Weichen für diese Souveränität werden maßgeblich in der Software-Architektur gestellt. Indem Sie bewusst architektonische Entscheidungen treffen – von der Transparenz in der Lieferkette über smarte Datenhaltung bis hin zur Förderung von Abstraktion und Open Source – schaffen Sie die Basis für eine kontrollierte und flexible digitale Entwicklung. Es geht nicht darum, sich abzuschotten, sondern darum, Abhängigkeiten aktiv zu managen und dort, wo es kritisch ist, eigene Kontrolle zurückzugewinnen.

TAGS