Toms Woche

Souveränität gibt’s nicht zum Nulltarif

Microsoft definiert sie um, SUSE verkauft sie als Studie – und über den eigentlichen Preis redet keiner.

Auf der SUSECON in Prag stand ein einziger Satz auf der Folie, der die ganze Debatte besser zusammenfasst als jede Keynote: „How fast can you get out?“ Wie schnell kommst du wieder raus. Nicht „wie souverän fühlst du dich“, nicht „wo liegen deine Daten“ – sondern: Wenn du raus musst, wie lange dauert das, und was kostet es dich?

Ich fange mit einem Geständnis an, das in dieser Debatte selten kommt: Technisch ist ein Stack aus einer Hand schwer zu schlagen. Ich habe genug Benchmarks gefahren, um das ehrlich zu sagen. Wer Rechte- und Rollenkonzepte bis aufs letzte Bit aus der Business-Welt zu Ende denkt, landet erstmal bei Microsoft. Entra ID mit Conditional Access, Berechtigungen, die sauber bis auf Objektebene vererben, ein Identity-Modell, das nicht an der Tool-Grenze abreißt – das kriegst du mit Keycloak hier, Nextcloud da und LibreOffice ohne echtes Policy-Management erstmal nicht so rund. Der Preis spielt dabei fast eine untergeordnete Rolle, weil das Ding einfach funktioniert.

Das ist die eine Hälfte der Wahrheit. Jetzt die andere.

In der c’t (Ausgabe 11/2026) erklärt Microsofts Public-Sector-Verantwortlicher, was „souverän“ künftig heißen soll. Und das ist clever gemacht: Nicht mehr „deine Daten liegen in Deutschland und niemand von außen kommt ran“ – das wäre überprüfbar –, sondern „distributed resilience“, verteilte Widerstandsfähigkeit. Souveränität wird vom Ort gelöst und zur Architektureigenschaft umdefiniert. Klingt moderner. Ist aber vor allem eins: eine Definition, die zufällig genau das beschreibt, was Microsoft ohnehin liefern kann. Das ist kein Marketing mit dem Holzhammer. Das ist Marketing mit Doktortitel.

Konkret heißt das dann EU Data Boundary, Sovereign Cloud, Confidential Computing – eine ganze Produktfamilie, die suggeriert, das Souveränitätsproblem sei eine Frage der richtigen SKU. Ist es nicht. Verschlüsselung und EU-Rechenzentrum ändern nichts daran, wem die Schlüssel zur Lizenz – und zum Abschalten – gehören.

Wie tragfähig die ganze Umdeutung ist, hat sich 2025 gezeigt, als der Internationale Strafgerichtshof in Den Haag vorübergehend den Zugang zu seinen Microsoft-Diensten verlor – im Zuge US-amerikanischer Sanktionen. Ein internationales Gericht, dem von außen der Schalter umgelegt wird. In der Microsoft-Erzählung kommt dieser Vorfall nicht vor, höchstens als Randnotiz, die man höflich wegmoderiert. Für mich ist er kein Randthema, sondern der ganze Punkt: „distributed resilience“ hilft dir nichts, wenn die Entscheidung, ob du überhaupt einloggen darfst, in einer fremden Jurisdiktion fällt.

Zurück zur Prager Folie. Der Exit-Test ist ehrlicher als jede Souveränitäts-Definition, weil er sich nicht schönreden lässt. Drei harte Punkte entscheiden ihn:

  • der CLOUD Act, der US-Behörden Zugriff auf Daten US-amerikanischer Konzerne erlaubt, egal wo die Server stehen;
  • die Lizenzhoheit – du entscheidest nicht, wann ein Modell, ein Feature oder ein ganzes Produkt abgekündigt wird;
  • der Preis. In einem mir bekannten Fall ging die Rechnung in fünf Jahren von 30 auf 50 Millionen. Ohne dass du als Kunde irgendeinen Hebel gehabt hättest.

Das ist kein „Microsoft doof“. Das ist die Risikoseite der Integrationstiefe. Und genau diese Abwägung – Komfort und Reife gegen Erpressbarkeit – muss man machen, statt sie zu ideologisieren.

Ich kenne das nicht aus der Theorie. Bei einem großen Netz-Launch hatte die Konzernführung einen außereuropäischen Generalunternehmer gesetzt – komplett cloudbasiert, aber ohne jedes Verständnis für europäischen Markt, europäische Regulierung und deutsches Recht, vom Telekommunikationsgesetz bis zum Fernmeldegeheimnis. Die Abhängigkeit zeigt sich nie im Pitch, immer in der Umsetzung – und ist der Lieferant erst drin, tauschst du ihn nicht mehr aus. Solche Risiken gehören in die erste Kalkulation, nicht in die erste Krise.

Womit wir bei der anderen Seite wären, und da bleibe ich genauso direkt. Die Open-Source-Souveränitäts-Fraktion tut gern so, als sei der Wechsel gratis und moralisch eindeutig. Ist er nicht. Die vielzitierte Studie, die belegt, wie teuer die Microsoft-Abhängigkeit ist – von SUSE mitfinanziert, was man in der Berichterstattung selten dazuliest. Und während auf der Bühne in Prag „raus aus den Hyperscalern“ gepredigt wird, betreiben dieselben Häuser hinter den Kulissen ihre eigenen Workloads munter auf Azure. Wer Souveränität verkauft, sollte die eigene Cloud-Rechnung offenlegen.

Trotzdem: Die Alternative ist kein Bastelprojekt mehr. ZenDiS hat nach eigenen Angaben über 45 Millionen Euro in openDesk gesteckt, Schleswig-Holstein zieht 30.000 Arbeitsplätze auf LibreOffice und beendet die Microsoft-Verträge, Thüringen pilotiert openDesk. Das ist langsam, das ist mühsam, und es ersetzt heute noch nicht jedes Rechte-Rollen-Konzept aus der Business-Welt. Aber es existiert, und es wird mit jedem Quartal ernster.

Und ehrlich bleibe ich auch bei meinem eigenen Lieblingsmaßstab. Die Open Source Business Alliance warnt zu Recht, dass man Souveränität nicht auf Standort- und Exit-Fragen verengen darf, sondern am tatsächlichen Abbau von Abhängigkeiten messen muss. Heißt für mich: „How fast can you get out?“ ist ein guter Lackmustest – aber kein vollständiger. Wer rauskommt und sich beim nächsten Anbieter genauso einmauert, hat nichts gewonnen.

Das gehört zur Wahrheit dazu.

Wer mir hier länger folgt, kennt die andere Hälfte der Geschichte schon aus Google klagt. Lidl baut. Europa gewinnt.: Europäische Alternativen entstehen, und manche sind erstaunlich gut. Aber Souveränität ist Arbeit, kein Etikett – und sie kostet.

Was bleibt

Souveränität ist kein Label, das man auf ein Produkt klebt. Sie ist eine Eigenschaft, die man an genau einer Frage misst: Wie schnell komme ich wieder raus, wenn ich raus muss – und was kostet mich das? Bei Microsoft lautet die Antwort: langsam, teuer, innerhalb des Ökosystems. Bei einem echten OSS-Stack: schneller raus, dafür mit Reibungsverlusten im Alltag.

Beide Antworten sind legitim. Was nicht legitim ist, ist so zu tun, als gäbe es keinen Trade-off. Bund und Länder haben sich in ihrer föderalen Modernisierungsagenda festgelegt: Bis Ende März 2027 sollen souveräne Alternativen für die Verwaltungsarbeitsplätze bereitstehen. Spätestens dann wird aus der Grundsatzdebatte eine Rechnung mit echten Zahlen. Und Rechnungen lügen weniger als Keynotes – das weiß jeder, der mal ein Infrastrukturprojekt verantwortet hat.

Souveränität gibt’s nicht zum Nulltarif. Die einzige Frage ist, ob man den Preis vorher kennt – oder erst, wenn der Schalter umgelegt ist.

Wie haltet ihr das in euren Projekten – baut ihr auf Integrationstiefe oder auf Exit-Fähigkeit? Schreibt’s mir.

Kernel-Panic-Meldung „No working init found" auf einem MacBook-Pro-Bildschirm in einer VMware-Fusion-VM – Sinnbild für digitale Abhängigkeit und Kontrollverlust.
So sieht „der Schalter ist umgelegt“ in echt aus – hier war wenigstens ich selbst dran schuld.

Veröffentlicht

in

von

Thomas Obst

Schlagwörter:

Kommentare

Kommentar verfassen

Entdecke mehr von Toms Woche

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen