72 Prozent der Cyberabwehr kommen aus dem Ausland
8 Min. Lesezeit
Rund 72 Prozent der Cybersecurity-Lösungen in deutschen Unternehmen stammen Studien zufolge von ausländischen Anbietern. Ausgerechnet die Disziplin, die digitale Souveränität schützen soll, ist selbst stark importabhängig. Für CISOs ist das kein politisches Thema, sondern eine Frage des Risikos im eigenen Stack.
Das Wichtigste in Kürze
- Die Abwehr ist selbst importabhängig. Studien nennen rund 72 Prozent ausländische Security-Lösungen und eine breite Abhängigkeit von US-Technologie. Souveränität fehlt dort, wo sie am meisten zählen würde.
- Deutschland schreibt jetzt eigene Regeln. Mit dem C3A-Kriterienkatalog von Ende April 2026 hat das BSI ein technisches Regelwerk für souveräne Cloud-Nutzung vorgelegt.
- Souveränität ist eine Stack-Frage, keine Grundsatzentscheidung. In SOC, Detection und Open-Source-Tooling ist eine Reduktion realistisch. Bei Betriebssystemen und Hyperscalern bleibt sie kurzfristig Illusion.
Verwandt:Detection-Engineering ohne Vendor-Lock: Wazuh-Stack 2026 / Wo der Mittelstand bei NIS2 technisch noch hinterherhinkt
Wie abhängig der deutsche Security-Stack wirklich ist
Was ist digitale Souveränität in der IT-Sicherheit? Digitale Souveränität bezeichnet die Fähigkeit, die eigene Technik selbstbestimmt zu kontrollieren: ohne unkontrollierte Steuerung von außen und ohne ungewollten Datenabfluss. Im Security-Kontext heißt das, Erkennungslogik, Schlüssel und Protokolldaten unter eigener Hoheit zu halten, statt sie vollständig fremden Anbietern zu überlassen.
Die Zahlen sind unbequem. Sie stammen aus mehreren Erhebungen, nicht aus einer einzelnen Quelle. Branchenstudien nennen übereinstimmend einen Anteil von rund 72 Prozent ausländischer Anbieter bei den in deutschen Unternehmen eingesetzten Cybersecurity-Lösungen. Die Abhängigkeit von US-Technologie insgesamt, über Betriebssysteme, Cloud und Lieferketten hinweg, wird in derselben Studienlage mit Werten um 87 Prozent angegeben.
Diese Prozentzahlen sind als Größenordnung zu lesen, nicht als amtliche Statistik. Die Richtung ist aber eindeutig. Für ein Sicherheitsteam ist sie besonders heikel. Wer seine Abwehr fast vollständig auf Werkzeuge stützt, deren Hersteller, Update-Strecke und rechtlicher Rahmen außerhalb der eigenen Jurisdiktion liegen, hat ein Klumpenrisiko in genau der Funktion, die Risiken eigentlich reduzieren soll.
Niemand wird daraus ableiten, alle ausländischen Produkte abzulösen. Das wäre weder machbar noch sinnvoll. Die richtige Frage ist eine andere: An welchen Stellen im Stack ist die Abhängigkeit ein echtes, steuerbares Risiko. An welchen ist sie hinnehmbar.
Was der US-Faktor konkret bedeutet
Die Abhängigkeit von US-Anbietern ist nicht per se ein Qualitätsproblem. US-Produkte liefern oft ein hohes technisches Sicherheitsniveau. Das Risiko ist rechtlich und politisch. Der US Cloud Act erlaubt US-Behörden unter bestimmten Bedingungen den Zugriff auf Daten, die ein US-Anbieter verarbeitet, auch wenn sie physisch in Europa liegen. Dieses Restrisiko lässt sich vertraglich abmildern, aber nicht vollständig ausräumen.
Dazu kommt eine neue Variable. Das BSI hat in seiner Lageberichterstattung darauf hingewiesen, dass politische Entwicklungen in den USA die Cybersicherheit auch in Europa schwächen können. Budgetkürzungen bei US-Sicherheitsbehörden im Jahr 2025 sind ein Beispiel: Sie betreffen Strukturen, von denen europäische Verteidiger indirekt mitprofitiert haben. Wer seine Abwehr auf ein Ökosystem stützt, dessen staatlicher Unterbau gerade schrumpft, sollte das zumindest in der Risikobetrachtung führen.
Der C3A-Katalog: Deutschland schreibt eigene Regeln
Der konkreteste Schritt ist regulatorischer Natur. Ende April 2026 hat das BSI den C3A-Kriterienkatalog veröffentlicht, ein technisches Regelwerk, das Standards für eine souveräne Cloud-Nutzung definiert. Statt eine politische Forderung zu formulieren, beschreibt der Katalog prüfbare technische Eigenschaften.
Die dahinterliegende BSI-Strategie ist pragmatisch. Sie verlangt nicht, außereuropäische Produkte zu verbannen. Sie verlangt, sie technisch so einzubetten, dass eine unkontrollierte Steuerung von außerhalb der EU und ein ungewollter Datenabfluss technisch ausgeschlossen sind. Das ist ein anderer Ansatz als ein reines Herkunfts-Verbot. Für CISOs ist er der praktikablere. Souveränität wird damit zu einer Architektur-Eigenschaft, die man messen kann, nicht zu einer Frage des Firmensitzes.
Für die eigene Planung heißt das: Der C3A-Katalog liefert eine Vokabel und eine Prüfliste. Auch wer keine Behörde beliefert, kann die Kriterien als Bewertungsraster für die nächste Beschaffung nutzen.
Wo Souveränität im Security-Stack realistisch ist
Die ehrliche Einordnung trennt die Ebenen. In manchen Bereichen ist eine Reduktion der Abhängigkeit heute machbar, in anderen bleibt sie auf Jahre Theorie.
| Ebene im Stack | Souveränitäts-Spielraum | Einordnung |
|---|---|---|
| SOC und Detection | hoch | Open-Source-Stacks wie Wazuh oder Sigma sind eine reale Alternative. |
| Tooling und Automation | mittel | Viele Bausteine lassen sich offen oder europäisch besetzen, mit Integrationsaufwand. |
| Identity und Endpoint | gering | Marktdominanz weniger Anbieter, ein Wechsel ist teuer. |
| Betriebssysteme und Hyperscaler | sehr gering | Kurzfristig keine vollwertige Ablösung in Sicht. |
Einordnung nach Stack-Ebene, keine Anbieter-Wertung.
Das Muster ist klar. Je näher eine Komponente an Plattform und Betriebssystem liegt, desto geringer der Spielraum. Je näher sie an Analyse, Regeln und Prozessen liegt, desto größer. Genau deshalb ist das Security Operations Center der sinnvollste Ansatzpunkt. Ein Detection-Stack aus offenen Komponenten ist heute belastbar genug für den produktiven Betrieb. Er verlagert die Kontrolle über Erkennungslogik und Daten zurück ins eigene Haus.
Was CISOs jetzt einordnen sollten
Aus der Lage lassen sich drei nüchterne Schritte ableiten, ganz ohne politische Geste.
Erstens gehört die Anbieter-Herkunft in die Risikobetrachtung, nicht als Ausschlusskriterium, sondern als dokumentierter Faktor mit eigener Bewertung. Zweitens lohnt es sich, beim nächsten Detection- oder SOC-Projekt offene und europäische Optionen ernsthaft zu prüfen, weil dort der Spielraum am größten ist. Drittens sollte der C3A-Katalog des BSI als Prüfraster in die Beschaffung einfließen, auch ohne behördlichen Auftrag.
Sicherheits-Souveränität ist kein Zustand, den ein Unternehmen ausruft. Sie entsteht Schicht für Schicht, dort wo eine Abhängigkeit ohne großen Schaden auflösbar ist. Reboot Germany bedeutet in der Security genau das: nicht der große Bruch, sondern die geordnete Rückverlagerung von Kontrolle, an den Stellen, an denen sie machbar ist.
Häufige Fragen
Wie abhängig sind deutsche Unternehmen bei Cybersecurity von ausländischen Anbietern?
Branchenstudien nennen übereinstimmend einen Anteil von rund 72 Prozent ausländischer Anbieter bei den eingesetzten Security-Lösungen, die Abhängigkeit von US-Technologie insgesamt wird mit Werten um 87 Prozent angegeben. Diese Zahlen sind als Größenordnung zu verstehen, nicht als amtliche Statistik.
Was ist der C3A-Kriterienkatalog des BSI?
Der C3A-Kriterienkatalog ist ein technisches Regelwerk, das das BSI Ende April 2026 veröffentlicht hat. Er definiert prüfbare Standards für eine souveräne Cloud-Nutzung. Statt ein Herkunfts-Verbot zu formulieren, beschreibt er technische Eigenschaften, an denen sich Souveränität messen lässt.
Warum ist die Abhängigkeit von US-Anbietern ein Risiko?
Es ist kein Qualitätsproblem, sondern ein rechtliches und politisches. Der US Cloud Act erlaubt US-Behörden unter Bedingungen Zugriff auf Daten, die ein US-Anbieter verarbeitet, auch bei Speicherung in Europa. Dazu kommt, dass politische Entwicklungen in den USA die Cybersicherheit auch in Europa schwächen können.
Wo kann ein Unternehmen die Abhängigkeit realistisch reduzieren?
Am ehesten in SOC und Detection-Engineering, wo offene Stacks wie Wazuh oder Sigma eine belastbare Alternative sind, sowie bei Tooling und Automation. Bei Betriebssystemen, Identity und Hyperscaler-Cloud ist eine kurzfristige Ablösung dagegen kaum realistisch.
Muss ein Unternehmen den C3A-Katalog anwenden, wenn es keine Behörde beliefert?
Eine Pflicht besteht in dem Fall nicht. Sinnvoll ist es trotzdem: Der Katalog liefert ein fertiges, technisch geprüftes Bewertungsraster, das sich ohne behördlichen Auftrag in die eigene Cloud- und Security-Beschaffung übernehmen lässt.
Mehr aus dem MBF Media Netzwerk
Quelle Titelbild: Pexels / Ron Lach (px:9784250)
Titelbild: KI-generiert (Mai 2026)
Titelbild: KI-generiert (Mai 2026)
