Thema · Open Source & Souveränität

Open Source & Digitale Souveränität — Kontrolle behalten, auch wenn der Anbieter wechselt.

Digitale Souveränität heißt: Sie behalten die Kontrolle über Ihre Daten, Ihre Lizenzen, Ihre Lieferanten und Ihren Betriebsort — unabhängig davon, was bei einem einzelnen Anbieter passiert. Open Source ist dafür das Fundament: kein Vendor-Lock-in, keine Lizenz-Überraschung, kein verschlossener Quellcode, der eine Migration unmöglich macht.

Warum digitale Souveränität im Mittelstand zur Plattform-Frage wird.

Mittelstandsbetriebe spüren die Souveränitäts-Frage selten als abstrakte Debatte, sondern an konkreten Vorfällen: ein US-Hyperscaler ändert die AGB, eine SaaS-Plattform stellt eine für Sie wichtige Funktion ein, ein Hersteller wird übernommen und Roadmap-Versprechen verfallen. Plus regulatorischer Druck — EU AI Act, NIS-2, neue Vorgaben zur Datenverarbeitung in Drittländern.

Open Source nimmt einer Plattform die Fähigkeit, Sie in Geiselhaft zu nehmen: Quellcode ist offen, Daten bleiben portabel, der Betrieb lässt sich örtlich und vertraglich wechseln. Plus: KI-gestütztes Retrieval funktioniert genauso auf Open-Source-Stacks wie auf proprietären — oft sogar besser, weil Sie kontrollieren, was Modelle indexieren dürfen und was nicht.

Fünf Kernfähigkeiten digitaler Souveränität.

Souveränität ist nicht binär. Diese fünf Fähigkeiten zeigen, an welchen Schrauben sich heute drehen lässt — ohne dass es gleich der große Cloud-Exit sein muss.

Offene Lizenzen & Quellcode-Zugang

Open Source ist nicht lizenzfrei — sondern unter offenen Lizenzen wie MIT, Apache 2.0 oder GPL veröffentlicht, die Nutzung, Änderung und Weiterverteilung ohne Rückfrage erlauben. Sie prüfen den Quellcode selbst, lassen ihn von Dritten auditieren und passen ihn an Ihre Anforderungen an. Kein Anbieter kann Ihnen die Software „aus dem Vertrag“ nehmen, weil der Vertrag in der Lizenz selbst sitzt, nicht in einem bilateralen Anbieter-Abkommen.

Standort-Kontrolle für Daten und Betrieb

Sie entscheiden, wo Ihre Daten verarbeitet werden und wo der Betrieb läuft: deutscher Rechenzentrums-Anbieter, europäische Cloud, eigenes Blech. Open-Source-Software lässt sich an jedem dieser Orte betreiben, ohne dass eine Lizenz „Home-Region“-Bedingungen erzwingt.

Multi-Cloud-Fähigkeit

Container, Kubernetes-Manifests, Helm-Charts und Terraform-Module machen den Stack zwischen Hyperscalern, europäischen Anbietern und Bare-Metal portabel. Wer einmal sauber containerisiert hat, kann den Provider wechseln — oder Notfall-Workloads parallel an einer zweiten Stelle hochfahren.

Datenhoheit & Verschlüsselung

Open Source garantiert weder Datenhoheit noch Verschlüsselung automatisch — sie entstehen erst, wenn Schlüssel, Standort und Verschlüsselungs-Pipeline aktiv gebaut werden. Die offenen Bausteine dafür stehen aber bereit und sind kombinierbar: SOPS und age für Secrets im Repository, KMS-Lifting für Datenbank-Verschlüsselung, mTLS zwischen Services. Damit verwalten Sie die Schlüssel selbst, nicht der Anbieter — selbst wenn ein Cloud-Anbieter unter staatlichen Zugriffsdruck gerät, bleibt der Zugriff ohne Ihre Schlüssel unbrauchbar. Ohne aktive Konfiguration leistet das keine Lizenz — die Lizenz nimmt Ihnen nur die Tür nicht ab.

Exit-Strategie

Ein dokumentierter Pfad, wie Sie im Ernstfall einen Anbieter, eine Plattform oder ein Hosting-Modell verlassen — mit Dauer, Aufwand und Datenformaten. Bei Open-Source-Stacks gehört die Exit-Strategie zum Stack dazu, nicht erst zur Krise. Wer den Exit nie skizziert hat, ist faktisch gefangen.

Verwandte Architekturen rund um Open Source & Souveränität.

Wie sich Souveränität in der Praxis verzahnt — von Cloud-Modellen bis zu konkreten Open-Source-Stacks.

Multi-Cloud

Workloads laufen auf mindestens zwei unabhängigen Anbietern — primär und sekundär. Voraussetzung dafür, dass ein Ausfall, eine AGB-Änderung oder ein geopolitischer Vorfall nicht den ganzen Betrieb stoppt. Wird oft mit Kubernetes als Abstraktionsschicht gebaut.

Sovereign Cloud

Europäische Cloud-Anbieter mit deutscher oder EU-Jurisdiktion: IONOS, OVHcloud, STACKIT, Open Telekom Cloud. Für Workloads mit hoher Sensibilität oft die saubere Antwort, weil weder CLOUD Act noch FISA 702 greifen.

Bare Metal & On-Premises

Eigene Hardware im eigenen Rechenzentrum, häufig kombiniert mit Bare-Metal-Kubernetes. Für Branchen mit hohen Souveränitätsanforderungen (öffentliche Hand, Gesundheit, kritische Infrastruktur) oder dort, wo Datenmengen On-Premises wirtschaftlicher sind als in der Cloud.

Open-Source-Plattform-Stack

TYPO3, Sylius, Mautic, Nextcloud, Mattermost, OnlyOffice — ein Stack, in dem jeder Baustein quelloffen ist und sich gegen Alternativen austauschen lässt. Plus Eigenentwicklungen, die wir parallel offen veröffentlichen, statt sie als Black-Box hinterlegen zu lassen.

Unsere Open-Source-Pakete
Open-Source-Plattform-Stack

DSGVO-konformes CMS

Souveränität und DSGVO-Konformität sind eng verwandt, aber nicht identisch. Wer Souveränität baut, hat die DSGVO-Vorteile fast nebenbei — deutscher Standort, eigenes AVV, dokumentierter Löschpfad.

DSGVO-konformes CMS
DSGVO-konformes CMS

Unsere Open-Source-Pakete als gelebte Souveränität.

Wir publizieren Eigenentwicklungen offen, statt sie als Black Box zu betreiben. Auswahl der Pakete, in denen Souveränität direkt umgesetzt ist.

typo3-config

Fluent Config-API für Caching, Logging, Secrets, TLS/mTLS — Souveränität am konkretesten Punkt: Sie kontrollieren, wer welchen Endpoint mit welchem Zertifikat erreichen darf.

Zum Paket
typo3-config

secret-resolver

Secret-Handling über externe Stores — SOPS, Vault, KMS. Damit liegen Schlüssel und Zertifikate genau dort, wo Sie sie haben wollen, nicht im Cloud-Container.

Zum Paket
secret-resolver

content-distribution-source / -receiver

Content-Syndizierung zwischen TYPO3-Instanzen — Multi-Site- und Multi-Region-Setups, ohne dass eine zentrale proprietäre Plattform zwischen Ihnen sitzt.

Zum Paket
content-distribution-source / -receiver

cluster-file-backend

Storage-Backend, das sich gegen verschiedene Implementierungen austauschen lässt — S3-kompatibel, NFS, Bare-Metal — ohne dass die Applikation sich ändert. Klassische Multi-Cloud-Fähigkeit.

Zum Paket
cluster-file-backend

content-provenance

Ed25519-Signaturen und Audit-Trail belegen, was wann von wem freigegeben wurde — fälschungssicher und unabhängig vom Hosting-Anbieter. Webinhalte sind ohnehin öffentlich; der Wert liegt nicht in Geheimhaltung, sondern im nachvollziehbaren Provenance-Trail (welche Version wann veröffentlicht, mit welcher KI-Beteiligung). Pflicht-Baustein für EU-AI-Act-Artikel-50-konforme Watermarking- und Disclosure-Pfade.

Zum Paket
content-provenance

Alle Pakete im Überblick

Die vollständige Liste aller von uns veröffentlichten Open-Source-Pakete — inklusive Lizenzen und Repository-Links.

Open-Source-Stack ansehen
Alle Pakete im Überblick

Aus dem Blog

Beiträge zu digitaler Souveränität, Open Source und Compliance

4 GB Gemini Nano in Chrome — wie wir mit dem Vertrauensbruch großer Anbieter im Testing umgehen

Weiterlesen →
Zwei papierdünne Rahmen überlappen sich leicht auf Beton, darunter ein kleiner Wasserspiegel; aus der Nahtstelle zieht ein roter Faden ins Wasser; eine Messinglupe und drei Stempel rahmen die Szene im kühlen Nordlicht.

Apache HTTP/2 CVE-2026-23918: Wenn zwei Frames den Webserver-Pool kippen — was 2.4.67 wirklich ändert

Weiterlesen →

Apache HTTP/2 CVE-2026-23918

Weiterlesen →

Häufige Fragen zu Open Source und digitaler Souveränität.

Die Fragen, die im Mittelstand zu diesem Thema fast immer kommen — nuancierter als die Marketing-Antworten der Hyperscaler.

Heißt Souveränität, dass wir keine US-Cloud nutzen dürfen?+

Nein. Souveränität ist eine Frage der Optionen, nicht des Verzichts. Sie dürfen US-Hyperscaler nutzen — aber so, dass Sie im Ernstfall wechseln können. Workloads containerisieren, Daten verschlüsseln, sensible Daten gegebenenfalls separat halten. Wer dagegen alles in proprietäre Managed Services schiebt, hat die Wahl-Option aufgegeben.

Ist Open Source automatisch souverän?+

Nein, aber es ist die Voraussetzung. Eine Open-Source-Software, die in einer proprietären Cloud auf proprietären Managed Services läuft, ist nicht souverän. Souveränität entsteht erst durch das Zusammenspiel von Lizenz, Betrieb, Daten-Standort und Exit-Strategie.

Was kostet ein souveräner Stack im Vergleich zur reinen Cloud?+

Kurzfristig oft mehr Personalaufwand, weil sie weniger Managed Service einkaufen. Mittelfristig oft niedriger, weil keine Pro-Seat- oder Pro-Request-Lizenzen anfallen und Wechselkosten kalkulierbar bleiben. Bei wachsendem Datenvolumen kippt das Verhältnis fast immer zugunsten des souveränen Stacks.

Wir nutzen heute SaaS überall. Wo fangen wir an?+

Mit der Datenverarbeitung, in der Sie das größte Risiko sehen — meist Kundenstammdaten, Personalakten oder vertragliche Korrespondenz. Dafür eine souveräne Alternative finden, parallel betreiben, dann migrieren. Nicht der Big-Bang-Cloud-Exit, sondern schrittweise Verlagerung mit messbarem Wertbeitrag.

Geht KI-Einsatz mit Open Source und Souveränität zusammen?+

Ja. Inferenz lässt sich auf eigener Hardware oder bei souveränen Anbietern betreiben (Llama-, Mistral- und vergleichbare Modelle). Für viele Mittelstand-Use-Cases reichen die offenen Modelle. Wer proprietäre APIs nutzt, kapselt sie hinter einer austauschbaren Abstraktionsschicht — dann lässt sich der Anbieter wechseln, ohne die Anwendung neu zu bauen.

Wie ist Moselwal in dem Thema unterwegs?+

Wir bauen unseren eigenen Stack auf TYPO3, Sylius, Symfony und Kubernetes — alles Open Source, alles betreibbar auf europäischen Anbietern oder On-Prem. Eigenentwicklungen veröffentlichen wir, wo möglich, ebenfalls offen. Beratung erfolgt entlang konkreter Use Cases, nicht entlang einer ideologischen Position.

Nächster Schritt

Wie souverän ist Ihr aktueller Stack wirklich?

Erstgespräch zu Lieferanten, Datenstandorten und konkretem Exit-Risiko — ohne ideologische Schlagseite.

Souveränitäts-Check anfragen

Antwort innerhalb von zwei Werktagen.