Digitale Souveränität: 90 Prozent der Mittelständler handeln

Eine aktuelle Studie von valantic und dem Handelsblatt Research Institute zeigt: 90 Prozent von 1.000 befragten Entscheidern haben entweder bereits konkrete Maßnahmen ergriffen oder planen diese derzeit. Der Druck kommt gleich von mehreren Seiten: neue Regularien, wachsende geopolitische Spannungen und eine zunehmend professionelle Bedrohungslage, die gezielt kleinere Unternehmen ins Visier nimmt.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Ratgeber jetzt kostenlos herunterladen

NIS2-Gesetz zwingt Unternehmen zum Handeln

Mit dem Inkrafttreten des deutschen NIS2-Umsetzungsgesetzes am 6. Dezember 2025 begann für rund 30.000 Organisationen in Deutschland eine neue Ära. Seit dem Meldeschluss beim Bundesamt für Sicherheit in der Informationstechnik (BSI) am 6. März 2026 stehen viele Mittelständler unter Zugzwang. Sie müssen strenge Vorgaben zu Risikomanagement und Meldepflichten erfüllen. Der entscheidende Unterschied zu früheren Regelungen: Die persönliche Haftung der Geschäftsführung macht Cybersicherheit zur Chefsache.

Das BSI-Lagebericht 2025, den Bundesinnenminister Alexander Dobrindt und BSI-Präsidentin Claudia Plattner Ende vergangenen Jahres vorstellten, belegt die Verwundbarkeit des deutschen Mittelstands. 80 Prozent aller gemeldeten Cybervorfälle betreffen inzwischen kleine und mittlere Unternehmen. Das BSI registrierte zwischen Juli 2024 und Juni 2025 durchschnittlich 119 neue IT-Sicherheitslücken pro Tag – ein Anstieg um 24 Prozent im Vergleich zum Vorjahreszeitraum.

Zwar verbessert sich die Widerstandsfähigkeit allmählich. Doch die Schere zwischen der Geschwindigkeit professionalisierter Angriffe und den Abwehrmaßnahmen der Unternehmen bleibt besorgniserregend. Besonders Ransomware-as-a-Service-Modelle dominieren die Bedrohungslandschaft. Viele Mittelständler überdenken daher ihre Abhängigkeit von monolithischen, ausländischen Infrastrukturen, die nicht die nötige Transparenz oder rechtliche Absicherung nach europäischem Recht bieten.

Souveräne Cloud-Lösungen boomen

Die Nachfrage nach souveränen Cloud-Angeboten hat einen Wendepunkt erreicht. Branchenanalysten von Gartner prognosticieren für 2026 weltweite Ausgaben für souveräne Cloud-Infrastruktur von rund 80 Milliarden Euro. Europa treibt diesen Trend am stärksten an – mit einer erwarteten Wachstumsrate von 83 Prozent im Jahresvergleich.

Ein Meilenstein: Die AWS European Sovereign Cloud in Brandenburg ging am 15. Januar 2026 in den Regelbetrieb. Die Einrichtung wird ausschließlich von EU-Bürgern betrieben und bietet höchste Datensicherheit innerhalb Europas.

Der strategische Schwenk zu souveränen Anbietern hat auch handfeste Gründe. Eine Studie von Lünendonk aus dem März 2026 zeigt: 83 Prozent der befragten Unternehmen halten es für realistisch, dass ein Cloud-Anbieter einseitig den Zugang zu kritischen Diensten einschränken oder sperren könnte – ein Szenario, das oft als „Kill Switch" bezeichnet wird. Doch die Vorsorge hinkt hinterher: Nur 57 Prozent der Organisationen haben einen formellen Ausstiegsplan, um im Krisenfall den Anbieter wechseln zu können.

Die Abhängigkeit bleibt für viele Mittelständler groß. Daten der Bayerischen Industrie- und Handelskammer (BIHK) vom Anfang des Jahres zeigen: Rund 70 Prozent der Unternehmen sind bei Bürosoftware und Betriebssystemen noch immer von nicht-europäischen Anbietern abhängig. Über 50 Prozent berichten von ähnlichen Abhängigkeiten bei Cloud-Diensten und Hardware.

Digitale Identitätsbrieftasche: Testphase läuft

Die europäische digitale Identitätsbrieftasche (EUDI Wallet) nähert sich ihrem verpflichtenden Einführungstermin Ende 2026. Deutschland befindet sich in einer intensiven Testphase. Im Januar 2026 startete die Bundesagentur für Sprunginnovationen (SPRIND) eine Sandbox-Umgebung, in der Organisationen reale Anwendungsfälle mit Personendaten testen können.

Neben der digitalen Souveränität stellt auch der EU AI Act Unternehmen vor neue Compliance-Herausforderungen. Dieser kostenlose Umsetzungsleitfaden verschafft Ihnen den Überblick über Fristen und Pflichten, den Ihre Rechts- und IT-Abteilung jetzt dringend braucht. E-Book zur EU-KI-Verordnung kostenlos anfordern

Analysen vom Mai 2026 zeigen: Die technische Infrastruktur macht Fortschritte, doch die Umsetzung bleibt komplex. Finanzinstitute und andere regulierte Branchen müssen die EUDI Wallet bis Ende 2027 für die Kundenidentifizierung unterstützen. Das soll Onboarding-Prozesse vereinfachen und die Abhängigkeit von manuellen Dokumentenprüfungen oder Video-Ident-Verfahren reduzieren.

Die Durchführungsverordnung der Europäischen Kommission zur Wallet-Registrierung vom 8. April 2026 präzisierte die Standards für eine sichere und skalierbare Bürgerregistrierung. Für Mittelständler bietet die Wallet die Chance, sich in ein sicheres, grenzüberschreitendes digitales Ökosystem einzugliedern. Das minimiert Datenlecks und sichert die Einhaltung des überarbeiteten eIDAS-Rahmens. Der Erfolg hängt jedoch davon ab, ob die Akzeptanzinfrastruktur in allen 16 Bundesländern einheitlich bleibt – eine Koordinationsaufgabe, die Bund und Länder noch lösen müssen.

Strategien gegen die Abhängigkeit

Um die Risiken digitaler Abhängigkeiten zu mindern, setzen Mittelständler zunehmend auf Hybridstrategien und offene Standards. Branchenbeobachter stellen fest: Unternehmen verabschieden sich von „All-in"-Strategien mit einzelnen Anbietern. Stattdessen priorisieren sie interoperable Technologien und Open-Source-Software, um flexibel zu bleiben.

Eine im Frühjahr veröffentlichte Studie von IONOS und YouGov zeigt: Zwei Drittel der deutschen Mittelständler stehen Künstlicher Intelligenz positiv gegenüber, sind aber tief skeptisch gegenüber Anbietern außerhalb Europas. Mehr als die Hälfte der Befragten befürchtet, dass ihre Daten ohne ausreichende Kontrolle in den USA oder China gespeichert oder verarbeitet werden könnten. Die Folge: ein „Europäischer Präferenz"-Trend bei der Beschaffung. Unternehmen suchen Partner, die Daten innerhalb der Europäischen Union garantieren können.

Die Strategien zur Rückgewinnung der Kontrolle umfassen in der Regel drei Schritte:
- Digitalen Fußabdruck erfassen: Wo liegen die Daten, welche vertraglichen Verpflichtungen gelten?
- Offene Standards nutzen: Lösungen bevorzugen, die Datenportabilität ermöglichen und proprietäre Abhängigkeiten vermeiden.
- Interne Expertise aufbauen: Ressourcen in Mitarbeiterschulung und Cybersicherheit investieren, um die Abhängigkeit von externen Dienstleistern zu reduzieren.

Ausblick: 2026 wird zum Jahr der Konsolidierung

Die zweite Jahreshälfte 2026 dürfte zur Bewährungsprobe werden. Die erste Welle EUDI-konformer Brieftaschen kommt auf den Markt, die Durchsetzung von NIS2 wird konkrete Folgen zeigen. Branchenanalysten erwarten, dass die Bewegung hin zur technologischen Souveränität weiter an Fahrt gewinnt – insbesondere da die souveräne KI-Rechenleistung außerhalb der USA und Chinas bis 2030 voraussichtlich verdoppelt wird.

Für den Mittelstand verschiebt sich der Fokus: weg von rein defensiver Cybersicherheit, hin zu proaktivem Risikomanagement. Digitale Souveränität wird zum Fundament für langfristige Wettbewerbsfähigkeit und Vertrauen in einer fragmentierten Weltwirtschaft. Die kommenden Monate werden zeigen, ob der europäische Mittelstand diese strategischen Ambitionen in eine belastbare, unabhängige operative Realität übersetzen kann.

de | wirtschaft | 69289944 |