CSRD-Präsident Hans-Wilhelm Dünn: „Wir müssen weg von der digitalen Naivität“

Die Entscheidung der niedersächsischen Landesregierung, rund 30 Millionen Euro in ein KI-gestütztes Abwehrsystem eines US-Anbieters zu investieren, stößt bei Experten auf ein geteiltes Echo. Die Landesregierung begründete die Auftragsvergabe damit, dass auf dem europäischen Markt zum Zeitpunkt der Beschaffung keine vergleichbare technologische Lösung verfügbar gewesen sei. Hiesige Branchenvertreter und Fachleute sehen darin jedoch eine Fehleinschätzung der technologischen Leistungsfähigkeit deutscher Sicherheitsanbieter, die bereits heute hochautomatisierte Alternativen bereitstellen. Diese unterschiedlichen Bewertungen der Marktlage verdeutlichen die Notwendigkeit einer tieferen Auseinandersetzung mit nationalen Sicherheitskapazitäten. Wie staatliche Akteure und Kommunen ihre Handlungsfähigkeit sichern können, ohne die digitale Souveränität preiszugeben, ist auch Kernthema des Souveränitätshubs zu dem der Cyber-Sicherheitsrat Deutschland e.V. (CSRD) am 5. März 2026 nach Berlin einlädt. Im Vorfeld sprachen wir mit dem CSRD -Präsidenten Hans-Wilhelm Dünn darüber, warum deutsche Sicherheitslösungen oft zu Unrecht unter dem Radar fliegen.

DEKOM: Herr Dünn, in der Debatte um IT-Beschaffungen wird oft von „digitaler Souveränität“ gesprochen. Für viele Praktiker in den Kommunen klingt das nach Abschottung. Wie definieren Sie den Begriff im Kontext staatlicher Handlungsfähigkeit?

Hans-Wilhelm Dünn: Wir müssen weg von der Vorstellung, dass Souveränität bedeutet, alles selbst zu bauen oder sich komplett zu isolieren. Das ist im globalen Markt illusorisch. Digitale Souveränität definieren wir im Cyber-Sicherheitsrat Deutschland e.V. als die Fähigkeit, selbstbestimmt über den Einsatz digitaler Komponenten entscheiden zu können. Es geht um Wahlfreiheit und Kontrolle. Wenn eine Kommune nicht mehr wechseln kann, weil die Datenformate proprietär sind oder die Prozesse komplett auf einen US-Hyperscaler zugeschnitten wurden, dann hat sie ihre Souveränität aufgegeben. Souveränität heißt: Ich verstehe, was in meinen Netzen passiert, und ich habe den Schlüssel zu meinen Daten in der eigenen Tasche, nicht auf einem Server in Übersee.

DEKOM: Die Entscheidung in Niedersachsen für US-Software wurde unter anderem damit begründet, dass vergleichbare KI-gestützte Systeme in Deutschland schlicht nicht verfügbar seien. Wenn wir uns aber den Markt ansehen – nehmen wir beispielsweise Enginsight aus Jena, die hochautomatisierte Analysen und Abwehrsysteme anbieten –, wirkt dieses Argument der „technologischen Lücke“ doch vorgeschoben, oder?

Hans-Wilhelm Dünn: Absolut, da sprechen Sie einen wunden Punkt an. Das Beispiel Enginsight zeigt ja exemplarisch, dass wir diese Technologien im eigenen Land haben. Wir haben in Deutschland, gerade im Bereich Cybersecurity und Datenanalyse, exzellente Anbieter. Unternehmen wie diese, die aus der Praxis heraus entstanden sind und Sicherheitslücken automatisiert schließen, beweisen, dass „Security made in Germany“ technologisch absolut auf Augenhöhe ist. Das Problem ist nicht die fehlende Technologie, sondern die fehlende Sichtbarkeit bei den Entscheidern.

DEKOM: Woran liegt das?

Hans-Wilhelm Dünn: US-Konzerne kommen mit riesigen Marketing-Budgets und fertigen Compliance-Versprechen, die Entscheidern ein trügerisches Gefühl von Sicherheit geben. Deutsche Hidden Champions wie die Kollegen aus Jena sind technologisch oft granularer, präziser und vor allem datenschutzkonformer, fallen aber durch das Raster pauschaler Ausschreibungen, weil man sich nicht die Mühe macht, den Markt wirklich zu sondieren. Wir haben hier keine Innovationslücke, sondern eine massive Wahrnehmungs- und Implementierungslücke.

DEKOM: Wenn öffentliche Stellen diese Lücke nicht schließen und weiter auf außereuropäische Anbieter setzen, entstehen langfristige Pfadabhängigkeiten. Welche Risiken sehen Sie hier?

Hans-Wilhelm Dünn: Das Risiko ist dreigeteilt. Erstens: Preisdiktat. Wenn Sie einmal im Ökosystem drin sind, zahlen Sie jeden Preis für das nächste Update. Zweitens: Geopolitik. Technologie wird zunehmend als politische Waffe eingesetzt. Wenn sich die geopolitische Wetterlage ändert, können Updates verweigert oder Dienste eingeschränkt werden. Drittens: Die Sicherheitsarchitektur selbst. Ein System, dessen Quellcode ich nicht auditieren kann, bleibt eine Blackbox. Gerade für Kritische Infrastrukturen auf kommunaler Ebene ist es fahrlässig, sich blind auf Partner zu verlassen, deren Rechtsrahmen – wie der US CLOUD Act – im Widerspruch zu unseren Interessen stehen kann.

DEKOM: Viele Kommunalverwaltungen stehen mit dem Rücken zur Wand: Personalmangel trifft auf Modernisierungsdruck. Was raten Sie einem Bürgermeister konkret, der seine IT sicher aufstellen muss, ohne in diese Abhängigkeitsfalle zu tappen?

Hans-Wilhelm Dünn: Mein Rat ist Pragmatismus gepaart mit Prinzipientreue. Erstens: Automatisierung ist der Schlüssel gegen Fachkräftemangel, nicht das Outsourcing der Datenhoheit. Nutzen Sie Lösungen, die Prozesse wie Schwachstellenscans und Monitoring automatisieren – das entlastet das Personal massiv. Zweitens: Schauen Sie sich den heimischen Markt genau an. Deutsche Anbieter sind oft bereit, Lösungen viel flexibler an kommunale Bedürfnisse anzupassen als ein US-Konzern, der nur „Friss oder stirb“ anbietet. Investieren Sie in Systeme, die in unseren Rechtsraum gehören. Das ist am Ende die günstigste Versicherung gegen politische und digitale Krisen. (DEKOM, 23.02.2026) Mehr zum Cyber-Sicherheitsrat Deutschland e.V. (CSRD) hier…