Rechenzentrum in Europa, DSGVO-konform, betrieben von einem deutschen Unternehmen – das klingt souverän. Doch wenn Software-Stacks geschlossen bleiben und zentrale Dienste von US-Konzernen kontrolliert werden, ist von echter Unabhängigkeit wenig übrig, insbesondere, da viele Anbieter weiterhin dem Zugriff durch ausländische Behörden unterliegen. Der Ort der Datensicherung allein macht also noch keine digitale Souveränität.

Die Illusion digitaler Unabhängigkeit

Wie groß die Abhängigkeit ist, zeigte der Microsoft-Ausfall im Juli 2024. Flughäfen, Banken, Kliniken – binnen Stunden standen zentrale Dienste still, ausgelöst durch ein fehlerhaftes Update. Ebenso bedrohlich sind wirtschaftliche Risiken: Die massiven Preissprünge bei VMware nach der Broadcom-Übernahme trafen viele Organisationen unvorbereitet.

Das zeigt, wie schnell Geschäftsmodelle kippen können – und wie schwer es ist, sich aus der Abhängigkeit zu lösen, wenn proprietäre Plattformen tief in der eigenen Infrastruktur verankert sind. Und die Sperrung des Nutzeraccounts von Karim Khan, Chefankläger des Internationalen Strafgerichtshof, durch Microsoft zeigt die Reichweite politischer Einmischung, auch wenn der Konzern inzwischen zurückgerudert ist.

Gerade in solchen Momenten wird deutlich: Es reicht nicht, Daten in eine europäische Cloud zu verschieben. Digitale Souveränität entsteht nicht allein durch den Speicherort, sondern durch echte Unabhängigkeit auf allen Ebenen – von der Infrastruktur über die eingesetzte Software bis zur Verwaltung von Identitäten und Zugriffsrechten. Denn wer die Identitäten verwaltet, steuert den Zugriff auf alles andere.

Digitale Souveränität technisch gedacht

Das Identitätsmanagement ist der Punkt, an dem sich Kontrolle über Daten, Anwendungen und ganze IT-Ökosysteme verdichtet. Wer hier Abhängigkeiten zulässt, verliert im Zweifel die Handlungsfähigkeit über alle anderen Ebenen.

Doch was bedeutet digitale Souveränität überhaupt – nicht als politischer Begriff, sondern als technische Anforderung? Im Kern geht es darum, dass Organisationen jederzeit eigenständig und nachvollziehbar darüber entscheiden können, wer auf welche Daten und Dienste zugreift, wie diese verarbeitet werden – und mit welchen Mitteln. Dafür braucht es drei Dinge: Kontrolle über die eingesetzten Systeme, Gestaltungsfreiheit bei deren Weiterentwicklung und Unabhängigkeit von einzelnen Herstellern oder Betreibern.

Diese Eigenschaften lassen sich nur dann gewährleisten, wenn man IT nicht als monolithisches Gebilde versteht, sondern als Schichtung aus Infrastruktur, Software und Identitätsverwaltung. Ein souverän betriebenes Rechenzentrum nützt wenig, wenn dort geschlossene Anwendungen laufen, die von außen aktualisiert und gesteuert werden. Ebenso kritisch ist es, wenn Identitäten und Zugriffsrechte in einem proprietären IAM-System liegen, das sich der eigenen Kontrolle entzieht.

Digitale Souveränität erfordert Transparenz und Eingriffsmöglichkeiten auf allen Ebenen. Das ist nur mit quelloffener Software, also mit Open-Source-Tools, möglich. Nur freie Software lässt sich prüfen, anpassen und unabhängig betreiben. Wer echte Wahlfreiheit will, braucht offene Standards – und Systeme, die sich im Zweifel auch ohne Hersteller weiterentwickeln lassen und damit innovationsfähig und zukunftssicher bleiben.

IAM als Schaltzentrale souveräner IT

Das Identity & Access Management (IAM) ist das Herzstück jeder modernen IT-Infrastruktur. Hier wird zentral gesteuert, wer welche Anwendungen nutzen darf, auf welche Daten zugegriffen werden kann – und mit welchen Rechten. Ohne IAM gibt es keine konsistente Zugriffskontrolle, keine sichere Integration neuer Dienste und keine Durchsetzung von Sicherheitsrichtlinien.

In modularen Systemlandschaften übernimmt das IAM eine doppelte Rolle: Es sorgt für Authentifizierung und Autorisierung – und fungiert zugleich als Integrationsschicht zwischen Anwendungen. Rollenmodelle, Gruppenstrukturen, Delegation, Self-Service, Single Sign-on (SSO) und Single Logout (SLO) müssen ebenso unterstützt werden wie offene Standards (LDAP, SAML, OpenID Connect, SCIM). Nur so lassen sich Systeme effizient anbinden und Rechte konsistent verwalten.

Zudem muss ein souveränes IAM flexible Deployment-Modelle und einen vollständigen User Lifecycle abbilden – inklusive sicherer Deprovisionierung. Ein IAM, das diese Anforderungen erfüllt, ermöglicht nicht nur mehr Sicherheit und Effizienz – es schafft vor allem die Grundlage dafür, verschiedene IT-Komponenten unter eigener Kontrolle zu orchestrieren. Ohne ein souveränes IAM bleibt jede Cloudplattform nur Stückwerk.

Einfach rein, sauber raus: SSO und SLO

Ein zentrales IAM soll Benutzern den Zugang zu allen Anwendungen so einfach wie möglich machen – ohne Mehrfach-Logins. Single Sign-on ist dafür der Standard: einmal anmelden, überall arbeiten. Möglich wird das durch etablierte Protokolle wie OpenID Connect oder SAML, die von den meisten Anwendungen unterstützt werden.

Was in der Praxis oft fehlt, ist das Gegenstück: Single Logout. Dabei geht es darum, dass ein Logout auch wirklich überall greift – und nicht einzelne Sessions im Hintergrund aktiv bleiben. Genau hier entstehen häufig Sicherheitsrisiken: Wenn die Abmeldung nur an einer Stelle passiert, bleiben andere Systeme offen – unbemerkt und angreifbar.

Gute IAM-Systeme unterstützen sowohl Frontend-SLO als auch Backchannel-SLO, je nach Fähigkeiten der angebundenen Anwendungen. In der Praxis zeigt sich aber: Viele Systeme unterstützen das nicht vollständig oder sind nicht korrekt konfiguriert. Das führt zu Usability-Problemen und Sicherheitslücken, die vermeidbar wären. Wer SSO umsetzt, sollte SLO daher von Anfang an mitdenken – auch wenn es die technisch anspruchsvollere Disziplin ist.

IAM bedeutet: Lebenszyklen verwalten

Ein weiterer Kernbereich eines souveränen IAM ist der User Lifecycle: Von der ersten Anmeldung bis zur vollständigen Löschung müssen Benutzerkonten durchgängig konsistent und sicher verwaltet werden. Das betrifft nicht nur Anlegen, sondern auch Rollenwechsel, Gruppenmitgliedschaften und vor allem die Deprovisionierung.

Viele setzen dabei auf Events wie den Login im SSO-System. Doch das reicht nicht. Ein Login erzeugt keinen "Lösch-Impuls", wenn ein Konto nicht mehr gebraucht wird. Genau hier setzen standardisierte Provisionierungs-Schnittstellen wie SCIM an: Sie übertragen Veränderungen aus dem führenden System zuverlässig an alle anderen Dienste.

In der Praxis sieht das so aus: Das IAM stellt nach außen eine SCIM-API bereit (SCIM-Server), die Quellsystemen ansteuern können. Gleichzeitig sorgt ein interner SCIM-Client dafür, dass Änderungen aus der eigenen Benutzerverwaltung automatisiert weitergegeben werden – etwa an Fachverfahren, Kollaboration-Tools oder andere Zielsysteme. So entsteht echte Konsistenz, auch in großen Umgebungen.

IAM in der Praxis: Open Source funktioniert

Open-Source-Werkzeuge wie Nubus von Univention zeigen, wie sich ein zentrales IAM effizient in bestehende IT-Landschaften integrieren lässt. Nubus vereint Standardschnittstellen für Identitäts- und Zugriffsverwaltung, Anwendungsintegration und Benutzerportal – und vereinfacht so Implementierung, Betrieb und Administration modularer Softwareumgebungen erheblich.

Dank offener Schnittstellen lassen sich verschiedenste Dienste anbinden: E-Mail, Cloudspeicher, Kollaborationsplattformen, Lernmanagement-Systeme, Fachanwendungen und mehr. Die Nachfrage nach solchen Ansätzen wächst – nicht nur seit der letzten US-Wahl. Ein zentrales IAM sorgt dabei für konsistente Zugriffsregeln – unabhängig vom Anbieter.

Technisch gilt: Ein Zweck, eine Schnittstelle. Besonders für Identitäten und Berechtigungen sollten IT-Verantwortliche ein zentrales IAM-Modul etablieren, das alle weiteren Anwendungsmodule versorgt – anstatt jede Integration einzeln umzusetzen. Das reduziert Aufwand, Fehleranfälligkeit und Pflegekosten – und macht die Gesamtarchitektur robust und erweiterbar.

Migration realistisch planen

Wer bestehende IT-Strukturen souverän weiterentwickeln will, beginnt idealerweise beim IAM. Es bildet die Grundlage für den sicheren Zugriff auf alle weiteren Dienste – und lässt sich oft parallel zu bestehenden Systemen einführen.

Ein schrittweiser Umstieg ist möglich: Ein offenes IAM kann zunächst einzelne Anwendungen übernehmen, während Alt-Systeme weiterlaufen. Wichtig sind dabei eine saubere Pilotierung, begleitende Schulungen und gegebenenfalls ein erfahrener Dienstleister, der Betrieb und Integration absichert, sollte die eigenen IT-Abteilung nicht ausreichende Kapazitäten oder das Know-how dafür haben. So entsteht ein tragfähiger Migrationspfad – ohne Betriebsunterbrechung.

Fazit

Digitale Souveränität beginnt beim IAM – technisch, organisatorisch und strategisch. Wer Identitäten und Zugriffe offen, nachvollziehbar und unter eigener Kontrolle verwaltet, legt das Fundament für sichere, zukunftsfähige IT-Strukturen, in denen genau die Werkzeuge zum Einsatz kommen können, die auf die Bedarfe der eigenen Organisations-IT zugeschnitten sind – und zwar unter eigener Kontrolle und auch unabhängig von den Angeboten großer Hyperscaler. (ln)

Über die Autorin:

Daniela Grebe verantwortet seit Ende 2024 das Produktmanagement-Team bei Univention. Mit einem starken Hintergrund in datengetriebener Produktstrategie, B2B-Software und Machine Learning fokussiert sie sich auf Strategien und Produkte, die Organisationen dabei unterstützen, ihre digitale Souveränität zu wahren.