Die Europäische Union tritt ins Jahr 2026 mit einer paradoxen technologischen Position: regulatorisch souverän, industriell abhängig. Die EU hält die weltweite Führungsposition in der Lithografie (ASML kontrolliert 100 % des EUV-Gerätemarkts), bei Automobil- und Industriechips (Infineon, NXP, STMicroelectronics) sowie bei Enterprise-Fertigungssoftware (SAP). Gleichzeitig gilt:
- Fortgeschrittene Logikchips: 90 % der weltweiten Chipproduktion bei 2nm und 3nm stammt von TSMC in Taiwan; die EU produziert 0 %. ESMC in Dresden, das Flaggschiff des Chips Act, wird ab Ende 2027 in 28/22 nm- und 16/12 nm-Prozessen fertigen — drei bis vier Generationen hinter der Technologieführerschaft.
- HBM-Speicher für KI-Beschleuniger: 100 % der weltweiten Kapazität entfällt auf drei Hersteller (SK hynix ~57 %, Samsung ~22 %, Micron ~21 %); die Kapazität für 2026 ist ausverkauft. Die EU verfügt über keinen eigenen Produzenten.
- Hyperscale-Cloud: Drei US-Anbieter (AWS, Microsoft Azure, Google Cloud) halten rund 70 % des europäischen IaaS/PaaS-Markts im Wert von 75 Milliarden €. Europäische Anbieter halten auf dem eigenen Kontinent 15 %.
- Frontier-KI-Modelle: Kein europäisches Modell erreicht die Leistung der besten Modelle von OpenAI, Anthropic oder Google. Mistral ist der bedeutendste europäische Akteur, doch seine Marktposition ist um eine Größenordnung kleiner.
- Kritische Mineralrohstoffe: China kontrolliert über 90 % der weltweiten Verarbeitung seltener Erden und verhängte zwischen 2023 und 2025 Exportkontrollen für Gallium, Germanium, Graphit und Seltenerdmagnete.
Das Fazit des Europäischen Rechnungshofs von 2025 ist eindeutig: Das Ziel des Chips Act von 2023 — den EU-Anteil an der weltweiten Chipproduktion bis 2030 von 10 % auf 20 % zu verdoppeln — wird nicht erreicht werden. , Special report 12/2025: The EU's strategy for microchips – Reasonable progress in its implementation but the Chips Act is very unlikely to be sufficient to reach the overly ambitious Digital Decade target , 2025-04-28 · link · archived Nach der Absage von Intel Magdeburg (Juli 2025), STMicro–GlobalFoundries in Crolles und Intel Wrocław verharrt der EU-Anteil bei 10 %.
Diese Website ist nicht dazu da, Panik zu verbreiten oder Isolationismus zu fordern. Sie geht von der Prämisse aus, dass der Unterschied zwischen Abhängigkeit und Partnerschaft nicht in der geografischen Herkunft des Lieferanten liegt, sondern in der Architektur der vertraglichen und technischen Beziehung. Die USA sind ein unverzichtbarer Technologiepartner für die EU; das Risiko liegt in extraterritorialen Rechtsregimen (CLOUD Act, FISA 702), die jederzeit aktiviert werden können, unabhängig vom Willen des europäischen Kunden. China stellt in diesem Rahmen ein qualitativ anderes Risiko dar: Es ist dokumentiert, dass China technologische Infrastruktur — von Solarwechselrichtern bis zu Industriechips — als Instrument geoökonomischen Drucks einsetzt.
Die eigentliche Frage für den europäischen CIO, Beschaffungsverantwortlichen oder Gesetzgeber im Jahr 2026 lautet nicht „auf wen können wir uns verlassen?", sondern „welche Architektur aus rechtlichen, vertraglichen und technischen Schichten müssen wir aufbauen, um im Krisenfall die Option eines Wechsels zu erhalten?" Die Antwort ist das Konzept, das diese Website — in Anlehnung an den Forrester-Analysten Dario Maisto — als Minimum Viable Sovereignty (MVS) bezeichnet: einen pragmatischen Mittelweg zwischen kostspieliger Autarkie und strategisch unhaltbarer totaler Abhängigkeit.
Drei qualitativ unterschiedliche Risiken
Die globale Technologielandschaft des Jahres 2026 wird von dem geprägt, was der Global Risks Report 2026 des Weltwirtschaftsforums als „geoeconomic confrontation" , The Global Risks Report 2026 , 2026-01-14 · link · archived bezeichnet — den Einsatz wirtschaftlicher Instrumente (Exportkontrollen, Zölle, Sanktionslisten, Investitionsbeschränkungen, Datensouveränitätsregeln) als Standardbestandteil staatlicher Macht. Dies ist kein Randphänomen von Krisenjahren mehr; es ist die neue operative Normalität, auf die europäische IT-Verantwortliche ihre Planung im Jahr 2026 aufbauen müssen.
Dieser Wandel hat drei qualitativ unterschiedliche Ebenen, von denen jede eine andere Schutzarchitektur erfordert:
Ebene 1: Feindliche Geoökonomie (China)
Der Fall der chinesischen Solarwechselrichter, der im Mai 2025 von Reuters aufgedeckt wurde, hat aufgehört, ein theoretisches Risiko zu sein. , Rogue communication devices found in Chinese solar power inverters , 2025-05-14 · link · archived US-Experten fanden bei Sicherheitsaudits undokumentierte Kommunikationsmodule — typischerweise 4G/LTE-Funkmodule — in Geräten mehrerer chinesischer Hersteller. Diese Module sind in der Lage, Firewalls von Betreibern zu umgehen und einen verdeckten Kommunikationskanal nach China aufzubauen. Der europäische Branchenverband ESMC schätzt, dass über 200 GW europäischer Solarkapazität von chinesischen Wechselrichtern abhängen — das entspricht mehr als 200 Kernkraftwerken. , Restrict Remote Access of PV Inverters from High-Risk Vendors , 2025-04-30 · link Ein gemeinsamer Bericht von SolarPower Europe und DNV vom April 2025 kommt zu dem Schluss, dass die Kompromittierung von nur 3 GW angeschlossener Kapazität ausreichen würde, um das europäische Stromnetz zu destabilisieren , Solutions for PV Cyber Risks to Grid Stability , 2025-04-29 · link · archived (zum Vergleich: Der Stromausfall in Spanien und Portugal im Jahr 2025 begann mit einem Verlust von rund 2 GW Erzeugungskapazität). Im November 2024 wurden in den USA chinesische Wechselrichter vom chinesischen Hersteller Deye aus der Ferne deaktiviert, was zu einem Handelsstreit mit dem US-Unternehmen Sol-Ark führte. Dieselbe Logik gilt für Industriechips, vernetzte Fahrzeuge, Drohnenkomponenten und Smart-Grid-Ausrüstung.
Ebene 2: Extraterritoriale Rechtsrisiken (USA)
Die Beziehung zu US-Technologieanbietern ist qualitativ anders — die USA sind ein demokratischer Verbündeter und Partner im Rahmen der NATO, des EU-US-Handels- und Technologierats sowie des EU-US-Datenschutzrahmens. Das Risiko liegt hier nicht in einer Absicht, dem europäischen Kunden zu schaden; es liegt in der Rechtsarchitektur. Der CLOUD Act von 2018 erlaubt es US-Behörden, Daten in der Hand US-amerikanischer Anbieter weltweit anzufordern. , H.R.4943 - Clarifying Lawful Overseas Use of Data Act (CLOUD Act) , Public Law 115-141 (Consolidated Appropriations Act, 2018, Division V), 2018-03-23 · link · archived FISA Section 702 erlaubt die Überwachung der Kommunikation von Nicht-US-Personen bei US-amerikanischen Anbietern elektronischer Kommunikation. , FISA Section 702 — Foreign Intelligence Surveillance Act of 1978 Amendments Act of 2008, Title VII Section 702 , Public Law 110-261, 2008-07-10 · link · archived Der EU-US-Datenschutzrahmen, der im Juli 2023 verabschiedet wurde, adressiert das Problem für kommerzielle Datenübermittlungen teilweise, ist jedoch wiederholt Rechtsmitteln vor dem Gerichtshof der Europäischen Union ausgesetzt. Für europäische Unternehmen bedeutet dies eine dauerhafte strukturelle Unsicherheit: Selbst wenn ein US-Anbieter in gutem Glauben handelt, kann sein Rechtsrahmen eine Maßnahme erzwingen, die im Widerspruch zur GDPR oder zu den wirtschaftlichen Interessen des Kunden steht.
Ebene 3: Konzentrationsrisiko ohne geopolitische Absicht
Nicht jedes Lieferkettenrisiko hat einen geopolitischen Ursprung. Der CrowdStrike-Falcon-Ausfall vom Juli 2024 — der schätzungsweise 8,5 Millionen Windows-Geräte weltweit an einem einzigen Tag lahmlegte — hat gezeigt, dass die Konzentration auf einen einzigen Sicherheitsanbieter selbst ein systemisches Risiko darstellt. , The UK Cost of the CrowdStrike Incident , 2024-08 · link · archived Die im April 2024 aufgedeckte Backdoor in der xz-utils-Bibliothek, bei der ein Angreifer zwei Jahre lang als legitimer Maintainer eines Open-Source-Projekts agierte, bewies dasselbe für die Software-Lieferkette. , backdoor in upstream xz/liblzma leading to ssh server compromise , oss-security mailing list, 2024-03-29 · link · archived
Jedes Risiko erfordert eine andere Schutzmaßnahme
Diese drei Ebenen erfordern unterschiedliche Instrumente. Feindlichen Risiken (China) begegnet man durch einen nach Anwendungssensibilität abgestuften Ansatz: In kritischer Infrastruktur (Energie, Telekommunikation, Smart Grid, Verteidigung) vollständiger Ausschluss des Anbieters; in mäßig sensiblen Systemen Isolation oder Air-Gapping, bei dem die chinesische Komponente technisch vom kritischen Netz getrennt ist und dieses nicht beeinflussen kann; in gewöhnlichen Verbraucher- und Niedrigrisikoapplikationen, wo der wirtschaftliche Nutzen das Sicherheitsrisiko überwiegt, wird die Entscheidung dem Kunden mit standardisierten Monitoring-Tools überlassen. Extraterritorialen Risiken (USA) begegnet man durch vertragliche und architektonische Isolation — Datenresidenz, Verschlüsselungsschlüssel unter europäischer Kontrolle, BYOK- (Bring Your Own Key) und HYOK- (Hold Your Own Key) Modelle, Sovereign-Cloud-Partnerschaften. Konzentrationsrisiken begegnet man durch Diversifizierung und Redundanz über Anbieter und Architekturen hinweg.
Die übrigen Kapitel dieser Website entwickeln diese drei Antworten zu konkreten Diagnosen, Alternativen, Partnerschaftsstrukturen und operativen Schritten.
Die 5 größten globalen Risiken laut WEF Global Risks Report 2026 (kurzfristig, 2 Jahre)
| # | Risikokategorie | Auswirkung auf die Technologie-Lieferkette |
|---|---|---|
| 1 | Geoökonomische Konfrontation | Instrumentalisierung von Exportkontrollen, Zöllen, Sanktionslisten, staatlichen Subventionen und unlauteren Handelspraktiken |
| 2 | Staatlich geführte bewaffnete Konflikte | Störung von Produktionszentren (Taiwan) und Logistik |
| 3 | Fehlinformationen und Desinformation | Erosion des Vertrauens in digitale Herkunft und KI-generierte Inhalte |
| 4 | Extreme Wetterereignisse | Ausfälle in wasserintensiven Fertigungsanlagen (Taiwan, Arizona) |
| 5 | Negative Auswirkungen von KI | Systemisches Risiko durch unkontrollierte autonome Agenten |
Zitierte Quellen
- European Court of Auditors, Special report 12/2025: The EU's strategy for microchips – Reasonable progress in its implementation but the Chips Act is very unlikely to be sufficient to reach the overly ambitious Digital Decade target , 2025-04-28 . link · archived
- World Economic Forum, The Global Risks Report 2026 , 2026-01-14 . link · archived
- Reuters, Rogue communication devices found in Chinese solar power inverters , 2025-05-14 . link · archived
- European Solar Manufacturing Council, Restrict Remote Access of PV Inverters from High-Risk Vendors , 2025-04-30 . link
- SolarPower Europe and DNV, Solutions for PV Cyber Risks to Grid Stability , 2025-04-29 . link · archived
- U.S. Congress, H.R.4943 - Clarifying Lawful Overseas Use of Data Act (CLOUD Act) , Public Law 115-141 (Consolidated Appropriations Act, 2018, Division V) , 2018-03-23 . link · archived
- U.S. Congress, FISA Section 702 — Foreign Intelligence Surveillance Act of 1978 Amendments Act of 2008, Title VII Section 702 , Public Law 110-261 , 2008-07-10 . link · archived
- Kovrr, The UK Cost of the CrowdStrike Incident , 2024-08 . link · archived
- Andres Freund, backdoor in upstream xz/liblzma leading to ssh server compromise , oss-security mailing list , 2024-03-29 . link · archived