Zuletzt aktualisiert am: 11. Juni 2026
Die Diskussion um digitale Souveränität in kritischen Infrastrukturen hat Fahrt aufgenommen. Regulierer, Betreiber und Sicherheitsbehörden stellen die richtigen Fragen: Wo liegen meine Daten? Wer kontrolliert meine Infrastruktur? Bin ich im Krisenfall noch handlungsfähig? Doch eine ebenso grundlegende Frage bleibt dabei häufig im Hintergrund: Was ist mit der Software selbst?
KRITIS-Betreiber aus den Bereichen Energie, Gesundheitswesen oder Verteidigung verwalten heute eine Vielzahl digitaler Fachverfahren und Verwaltungsprozesse. Viele davon laufen auf proprietären Plattformen – mit undurchsichtigen Lizenzmodellen, geschlossenem Quellcode und starken Abhängigkeiten von einzelnen Herstellern. Was passiert, wenn ein solcher Partner wegfällt? Durch geopolitischen Druck, Insolvenz oder der Einstellung eines Produkts? Im schlimmsten Fall kommen kritische Prozesse dann zum Stillstand.
Open Source als strukturelle Antwort
Open Source-basierte Low Code-Plattformen bieten in diesem Kontext einen strukturellen Vorteil für die Softwarearchitektur. Denn Quellcode-Transparenz ist in sicherheitssensiblen Umgebungen Pflicht. Wer den Code einsehen, prüfen und auditieren kann, ist nicht auf das Vertrauen eines Herstellers angewiesen.
Die Vorteile von Open Source Low Code-Plattformen:
- Keine Herstellerbindung durch proprietäre Lizenzen: Wer auf einer Open Source-Basis aufbaut, behält die Kontrolle, unabhängig davon, wie sich Marktbedingungen oder Unternehmensstrategien entwickeln. Mehrere prominente Fälle der letzten Jahre haben gezeigt, wie schnell proprietäre Plattformen ihre Lizenzbedingungen ändern oder den Betrieb einstellen können.
- Nachnutzung und Community: Im öffentlichen Sektor und in KRITIS-Strukturen ermöglichen offene Standards den strukturierten Austausch zwischen Betreibern – analog zum Einer-für-alle-Prinzip (EfA) in der Verwaltungsdigitalisierung. Lösungen, die einmal entwickelt wurden, müssen nicht mehrfach neu erfunden werden.
- On-Premise bleibt vollständig möglich: Wer aus regulatorischen oder sicherheitsbedingten Gründen keine Cloud-Anbindung nutzen kann oder möchte, ist bei Open Source-Plattformen nicht eingeschränkt, weder funktional noch lizenzrechtlich.
Was Gesetzgeber und Aufsichtsbehörden bereits erkannt haben
NIS2 und DORA sind keine abstrakten Compliance-Anforderungen. Sie greifen direkt in die Frage ein, wie KRITIS-Betreiber ihre Softwarearchitektur gestalten sollten. Beide Regelwerke fordern Transparenz über Software-Lieferketten und ein aktives Management von Drittanbieterrisiken. Wer seine Kernprozesse auf einer offenen Plattform betreibt, kann diese Anforderungen strukturell erfüllen. Nicht durch aufwendige Dokumentation im Nachhinein, sondern weil die Architektur selbst die Antwort ist. Das ist kein Zufall. Der Regulierer hat verstanden, was in der Praxis oft übersehen wird: Souveränität ist nicht nur eine Frage des Rechenzentrumstandorts.
Die eigentliche Frage: Enterprise-Reife
Die Frage, ob Open Source in KRITIS-Umgebungen grundsätzlich tragfähig ist, hat sich erledigt. Die relevante Frage lautet heute: Welche Plattformen bringen die nötige Enterprise-Reife mit?
Das bedeutet konkret:
- Nachweisbare Skalierbarkeit in komplexen, regulierten Umgebungen – nicht nur in Pilotprojekten.
- Betrieb in sicherheitskritischen Kontexten mit entsprechenden Zertifizierungen und Audit-Trails.
- Ein belastbares Ökosystem aus Partnern, die langfristigen Support, Weiterentwicklung und Betrieb sicherstellen können.
Plattformen, die diese Kriterien erfüllen, gibt es bereits am Markt. Sie setzen sich zunehmend auch in regulierten Sektoren durch. Digitale Souveränität im KRITIS-Umfeld ist eine kontinuierliche Architekturentscheidung. Wer heute auf proprietäre Plattformen mit geschlossenen Lieferketten setzt, schafft Abhängigkeiten, die sich später nur schwer auflösen lassen. Open Source-basierte Low Code-Plattformen sind daher keine Notlösung. Sie sind, bei entsprechender Enterprise-Reife, ein strukturell überlegener Ansatz für kritische Umgebungen, in denen Transparenz, Kontrolle und Resilienz keine Optionen sind, sondern explizite Anforderungen.
