"Souveränität bedeutet, Abhängigkeiten gezielt und kontrolliert einzugehen"

Lukas Hebeisen, Head of Cloud, Swisscom. (Source: zVg)

Lukas Hebeisen, Head of Cloud, Swisscom. (Source: zVg)

In einem Beitrag von Ihnen vom Dezember 2025 schreiben Sie von Souveränität als «bewusste Entscheidung». Wie können Unternehmen konkret abwägen, wann der Innovationsgewinn durch Hyperscaler einen Verlust an Souveränität rechtfertigt?

Lukas Hebeisen: Am Ende ist es eine bewusste unternehmerische Entscheidung – keine Glaubensfrage. Hyperscaler ermöglichen eine Innovationsgeschwindigkeit, die viele Unternehmen allein kaum erreichen könnten. Wenn neue KI-Funktionen oder moderne Datenplattformen innerhalb weniger Monate echten Mehrwert schaffen, ist es absolut legitim, diese zu nutzen. Entscheidend ist aber die Gegenfrage: Bleibe ich handlungsfähig, wenn sich die Rahmenbedingungen ändern? Wer Innovation nutzt, sollte seine IT so aufbauen, dass ein Anbieterwechsel grundsätzlich möglich bleibt, ohne den Betrieb zu gefährden. Souveränität bedeutet deshalb nicht, Abhängigkeiten zu vermeiden, sondern sie gezielt und kontrolliert einzugehen. Genau dieses Spannungsfeld zwischen Innovationsdruck und regulatorischen Anforderungen prägt heute viele Entscheidungen in Schweizer Unternehmen.

Womit können lokale Cloud-Anbieter, abgesehen von ­Datenhoheit, technologisch gegen die Hyperscaler ­bestehen?

Nicht mit schierer Grösse, sondern mit Nähe und Verlässlichkeit. Lokale Cloud-Anbieter sind dort stark, wo persönlicher Kontakt, kurze Wege und schnelle Reaktionszeiten zählen. Kunden wissen, wer ihr Ansprechpartner ist, wo ihre Daten liegen und nach welchen Regeln sie betrieben werden. Zudem sind lokale Anbieter oft transparenter bei Preisen, Verträgen und Prüfungen. Es gibt weniger Überraschungen. Ein weiterer Vorteil ist der Standort: Rechenzentren in der Schweiz, klare rechtliche Rahmenbedingungen und eindeutig geregelte Zugriffsrechte. Für regulierte Branchen ist das besonders wichtig. Diese Kombination aus Nähe, Transparenz und Rechtssicherheit erklärt, warum lokale Cloud-Anbieter aktuell wieder an Relevanz gewinnen. Nicht als Ersatz für alles, aber als bewusste Ergänzung zu den globalen Plattformen.

Sollte KI-Bereitschaft Teil einer Strategie für digitale ­Souveränität sein?

KI ist heute unverzichtbar – und damit zentral für digitale Souveränität. KI verändert Datenflüsse und kann neue Abhängigkeiten schaffen. Proprietäre Modelle liefern Tempo, binden Unternehmen aber eng an Anbieter und deren Betriebsmodelle. Parallel entstehen mit offenen KI-Modellen echte Alternativen, die sich souverän betreiben lassen. Deshalb gehört KI-Governance dazu: Wer kontrolliert Trainingsdaten, Modelle und Logs? Und wo laufen die Modelle? Diese Fragen bestimmen, wie souverän Unternehmen im KI-Zeitalter bleiben.

Welche Architekturprinzipien schaffen Souveränität, selbst wenn die Infrastruktur von einem Hyperscaler stammt?

Entscheidend ist, wie man die Cloud nutzt – nicht von wem sie stammt. Unternehmen sollten ihre IT so aufbauen, dass sie nicht fest an einen einzelnen Anbieter gebunden ist. Anwendungen müssen grundsätzlich verschiebbar bleiben, Daten jederzeit mitgenommen werden können. Wichtig ist auch die Kontrolle über sensible Informationen: Verschlüsselung und Zugriffsrechte sollten in der eigenen Verantwortung bleiben und nicht ausschliesslich beim Cloud-Anbieter liegen. Und schliesslich braucht es Transparenz im Betrieb. Wer seine Systeme betreibt, muss auch selbst den Überblick behalten, etwa über Betriebsdaten oder Fehlermeldungen. Mit diesen Grundprinzipien lassen sich die Vorteile von Hyperscalern nutzen, ohne die eigene Handlungsfreiheit aufzugeben.

Wo liegen die grössten praktischen Hürden beim ­Management eines hybriden Cloud-Modells?

Die Herausforderungen liegen im Alltag: Identitäten über mehrere Umgebungen zu verwalten, Netzwerke sauber zu segmentieren oder Zertifikate aktuell zu halten, erfordert Disziplin. Ein weiteres Thema sind die Kosten: Datenabflüsse und Integrationen führen oft zu versteckten Gebühren. Ohne ein zentrales Plattform-Team entsteht rasch ein technischer Flickenteppich. Diese operativen Hürden sind meist anspruchsvoller als die Technologie selbst.

Wie können Unternehmen mit dem Restrisiko des US-Cloud-Act umgehen, ohne Innovationen auszubremsen?

Indem sie es nicht ignorieren, sondern aktiv managen. Besonders schützenswerte Daten gehören in souveräne Umgebungen. Alles, was in die Public Cloud geht, sollte Ende-zu-Ende verschlüsselt sein – idealerweise mit Schlüsseln ausserhalb der US-Jurisdiktion. Verträge müssen klare Regelungen zu Behördenanfragen enthalten. Und: Unternehmen sollten wissen, wie sie Work­loads bei Bedarf verlagern können. Genau diesen pragmatischen Ansatz verfolgen auch Schweizer Behörden und Aufsichtsstellen – nicht als Cloud-Verbot, sondern als realistische Risikobetrachtung.

Sind Verschlüsselungsansätze wie «Bring your own Key» echte Souveränität oder nur ein technisches Feigenblatt?

Das hängt davon ab, wer den Schlüssel kontrolliert. Wenn der Schlüssel dem Kunden gehört, aber vom Provider genutzt wird, bleibt ein Restvertrauen. Echte Souveränität entsteht erst, wenn der Schlüssel das eigene Umfeld nie verlässt – etwa bei «Hold your own Key»-Modellen. «Bring your own Key» löst den Datenschutz-Aspekt, aber nicht die Frage, was passiert, wenn der Zugang zur Cloud eingeschränkt wird. Bei kritischen Work­loads lautet die Frage immer: Kann ich notfalls auch ohne Cloud weiterarbeiten?

Wie testet man eine Exit-Strategie von einem Hyperscaler unter realen Bedingungen, ohne den Betrieb oder das Budget zu gefährden?

Schrittweise. Zuerst klärt man theoretisch, welche Systeme betroffen sind, welche Kosten entstehen und wer Verantwortung trägt. Danach folgt ein technischer Testlauf: Datenexport und Aufbau einer Zweitumgebung – ohne Umschalten. Erst dann testet man live, etwa durch die temporäre Migration einzelner Services. So werden Aufwand, Kosten und Ausfallzeiten realistisch sichtbar. Ideal ist eine Hybrid-Cloud-Strategie, weil sie bereits eine zweite operative Umgebung bereitstellt.

Wer genau sollte Ihrer Meinung nach in einem Unter­nehmen digitale Souveränität verantworten? Und braucht diese Rolle ein klares Vetorecht?

Die Verantwortung liegt beim Verwaltungsrat und bei der Geschäftsleitung. CIO oder CTO führen das Thema, CISO und Rechtsabteilung unterstützen. Es geht um strategische Entscheide, die nicht allein aus der IT getroffen werden können. Viele Unternehmen richten ein Souveränitäts-Board ein, das regelmässig entscheidet. Für irreversible Architekturentscheide braucht dieses ein Vetorecht – nicht um Innovation zu bremsen, sondern um sicherzustellen, dass jede Abhängigkeit bewusst eingegangen wird. Das entspricht dem Weg, den auch der öffentliche Sektor eingeschlagen hat.

Welchen pragmatischen Souveränitäts-Rat würden Sie einem Schweizer KMU mit begrenzten Ressourcen geben?

Nicht zu kompliziert denken. Am Anfang reicht es, Daten grob in drei Kategorien einzuteilen: unkritisch, vertraulich und besonders schützenswert. Nach demselben Prinzip lassen sich auch Anwendungen kategorisieren – von unkritisch bis geschäftsentscheidend. Auf dieser Basis kann man eine IT aufbauen, die einfach, stabil und gut wartbar ist und dabei konsequent auf bewährte Cloud-Dienste statt auf Speziallösungen setzt. Wichtig ist, dass Zugänge zentral verwaltet werden und Mitarbeitende sich sicher anmelden, etwa mit einer zusätz­lichen Bestätigung. Einmal im Monat die Cloud-Rechnung prüfen und einmal pro Jahr durchspielen, wie man die Daten oder Anwendungen zu einem anderen Anbieter verschieben könnte. Das genügt für den Start. Und ganz entscheidend: mit Partnern zusammenarbeiten, die transparent sind, erklären können, was sie tun, und Sicherheit sowie Unabhängigkeit ernst nehmen. So entsteht eine solide Grundlage, ohne dass man sich übernimmt.

Zum Autor

Lukas Hebeisen ist seit ­Anfang Januar 2026 Head of Business Unit Cloud & Data Center Solutions bei Swisscom. Dort arbeitet ­er seit fast sechs Jahren in verschiedenen Führungs­posi­tionen.