IBM Sovereign Core: Was die neue souveräne AI-Softwareplattform für regulierte Branchen bedeutet

IBM hat am 15. Januar 2026 „IBM Sovereign Core“ vorgestellt – eine Softwareplattform, die digitale Souveränität erstmals als Systemeigenschaft und nicht nur als Vertragsklausel verspricht. Die Lösung adressiert explizit AI‑Workloads in sensiblen, stark regulierten Umgebungen.

Für CIOs, CDOs, CISOs und Behördenvertreter stellt sich damit weniger die Frage, ob man souveräne Architekturen braucht, sondern wie schnell bestehende Cloud‑ und Datenstrategien angepasst werden müssen. Dieser Artikel ordnet die Ankündigung ein, analysiert die technischen und regulatorischen Implikationen und skizziert, welche Schritte Unternehmen jetzt vorbereiten sollten.

---

Kontext: Was IBM am 15. Januar 2026 angekündigt hat

Kerndaten zur Ankündigung

• Produktname: IBM Sovereign Core ([newsroom.ibm.com](https://newsroom.ibm.com/2026-01-15-ibm-introduces-new-software-to-address-growing-digital-sovereignty-imperative?utm_source=openai))

• Veröffentlichung: 15. Januar 2026 (IBM-Pressemitteilungen und Blog) ([ibm.com](https://www.ibm.com/new/announcements/introducing-ibm-sovereign-core-a-new-software-foundation-for-sovereignty?utm_source=openai))

• Positionierung: „Industriens erste AI‑fähige, souveränitätsorientierte Softwareplattform“, ausgelegt für Unternehmen, öffentliche Hand und Service Provider ([newsroom.ibm.com](https://newsroom.ibm.com/2026-01-15-ibm-introduces-new-software-to-address-growing-digital-sovereignty-imperative?utm_source=openai))

• Verfügbarkeit: Tech Preview ab Februar 2026, allgemeine Verfügbarkeit (GA) Mitte 2026 ([ibm.com](https://www.ibm.com/new/announcements/introducing-ibm-sovereign-core-a-new-software-foundation-for-sovereignty?utm_source=openai))

• Basis: Red Hat OpenShift und weitere Open‑Source‑Komponenten aus dem IBM/Red‑Hat‑Ökosystem ([ibm.com](https://www.ibm.com/new/announcements/introducing-ibm-sovereign-core-a-new-software-foundation-for-sovereignty?utm_source=openai))

Ziel ist es, AI‑ready, souveräne Umgebungen aufzubauen und zu betreiben – auf On‑Prem‑Infrastruktur, in in‑region Cloud‑Umgebungen oder über IT‑Service‑Provider. Unternehmenskunden sollen die volle operative Hoheit über Infrastruktur, Plattform und AI‑Workloads behalten, inklusive Identitäten, Schlüsseln, Logs und Compliance‑Nachweisen. ([ibm.com](https://www.ibm.com/new/announcements/introducing-ibm-sovereign-core-a-new-software-foundation-for-sovereignty?utm_source=openai))

Zentraler Begriff: Souveränität als Software‑Fundament

IBM argumentiert, dass sich digitale Souveränität im AI‑Zeitalter von einer Frage der Datenresidenz hin zu einer umfassenden Kontrolle von:

• Betrieb und Ownership der Control‑Plane

• Identitäts‑ und Schlüsselverwaltung innerhalb einer Jurisdiktion

• Laufzeitumgebung von Modellen und AI‑Agenten

• Protokollierung, Audit‑Fähigkeit und Nachweisführung in Echtzeit

verschoben hat. ([ibm.com](https://www.ibm.com/new/announcements/introducing-ibm-sovereign-core-a-new-software-foundation-for-sovereignty?utm_source=openai))

Sovereign Core erhebt den Anspruch, diese Anforderungen architektonisch abzubilden – nicht nur über regionale Cloud‑Standorte oder Zusatzvereinbarungen („Sovereign Cloud Regionen“), sondern über eine softwaredefinierte, kundengeführte Plattform.

---

Was technisch neu ist: Architektur und Designprinzipien

Drei Leitprinzipien von IBM Sovereign Core

Laut IBM basiert die Plattform auf drei Kernprinzipien: ([ibm.com](https://www.ibm.com/new/announcements/introducing-ibm-sovereign-core-a-new-software-foundation-for-sovereignty?utm_source=openai))

1. Souveränität ist Plattform‑Capability und muss nachweisbar sein

* Kundengeführte Control‑Plane statt providerbetriebener Steuerungsebene.

* Air‑gapped, aber SaaS‑ähnliches Betriebsmodell: Updates und Operationen funktionieren wie bei Managed Services, ohne dass Kontrollrechte nach außen abgegeben werden.

* Compliance‑Funktionen (Monitoring, Evidenzgenerierung, Policy Enforcement) sind in die Plattform eingebettet, nicht nachträglich aufgesetzt.

1. AI‑Souveränität als First‑Class‑Eigenschaft

AI‑Modelle (offene oder proprietäre) werden innerhalb der souveränen Boundary* betrieben – inklusive GPU‑Cluster und Inferenz. ([ibm.com](https://www.ibm.com/new/announcements/introducing-ibm-sovereign-core-a-new-software-foundation-for-sovereignty?utm_source=openai))

* AI‑Agenten und Inferenzflüsse werden zur Laufzeit überwacht, Identity & Access kontinuierlich geprüft und protokolliert.

* Kein Abfluss von Telemetriedaten oder Model‑Logs an externe Hyperscaler‑Control‑Planes.

1. Operationalisierte Souveränität für Geschwindigkeit und Skalierung

* Einheitliche, kundengeführte Control‑Plane, die tausende Cores und hunderte Nodes mit unterschiedlichen Souveränitätsanforderungen steuern kann. ([ibm.com](https://www.ibm.com/new/announcements/introducing-ibm-sovereign-core-a-new-software-foundation-for-sovereignty?utm_source=openai))

* Self‑Service‑Provisionierung von CPU, GPU, VMs und AI‑Inferenzumgebungen für Fachbereiche innerhalb vorgegebener Guardrails.

* Automatisierte Konfiguration von Identitäten, Sicherheits‑ und Compliance‑Policies ab Erstdeployment.

Architekturbausteine

IBM beschreibt Sovereign Core als Schichtenarchitektur mit folgenden Kernkomponenten: ([ibm.com](https://www.ibm.com/new/announcements/introducing-ibm-sovereign-core-a-new-software-foundation-for-sovereignty?utm_source=openai))

• Portal (Control‑Plane‑UI): Einheitliche Oberfläche für Provisionierung, Monitoring, Policy‑Management und Audit.

• Hardware‑Optionalität: Abstraktion der Infrastruktur über OpenShift & OpenShift Virtualization; damit Unterstützung klassischer Bare‑Metal‑/VM‑Umgebungen und Cloud‑Infrastrukturen.

• Operations & Orchestration Layer: Automatisierte Plattform‑Workflows (Deployment, Patching, Skalierung, Policy‑Rollout).

• Compliance Center: Governance‑, Risk‑ und Compliance‑Funktionen mit kontinuierlicher Evidenzgenerierung.

• Catalog: Kuratierte „Atomic Accelerators“ – also wiederverwendbare Bausteine für traditionelle Applikationen und AI‑Workloads (z. B. standardisierte Pipelines, Inferenz‑Services, Logging‑Stacks).

Damit grenzt sich IBM von rein infrastrukturbasierten „Sovereign Cloud“-Angeboten ab und positioniert Sovereign Core als Software‑Fundament, das auf unterschiedlichen Infrastrukturen laufen kann.

---

Strategische Einordnung: Warum das für regulierte Branchen relevant ist

Vom Standortversprechen zum nachweisbaren Kontrollmodell

Viele bisherige „souveräne“ Cloud‑Angebote setzen vor allem auf:

• regionale Rechenzentrumsstandorte,

• spezielle Vertragsklauseln zur Datenlokalisierung,

• eingeschränkte Administration durch Nicht‑EU‑Personal.

Im Kontext der anstehenden EU‑KI‑Verordnung, strengeren Aufsichtserwartungen (z. B. EBA, BaFin‑Rundschreiben, DORA) und wachsenden geopolitischen Spannungen reicht dies oft nicht mehr aus. Regulatoren fordern zunehmend:

• Transparenz, welche Komponenten von wem betrieben werden,

• Auditability bis auf Laufzeit‑ und Modell‑Ebene,

• Exit‑Strategien und Vendor‑Unabhängigkeit,

• Kontrolle über Schlüssel, Identitäten und Logs im eigenen Hoheitsbereich.

Sovereign Core adressiert diese Punkte explizit, indem es:

• Identität, Schlüsselmaterial und Logs innerhalb der souveränen Boundary hält,

• Control‑Planes in Kundensouveränität verlagert,

• Operational Evidence für Compliance als Dauerzustand erzeugt statt punktueller Audits. ([ibm.com](https://www.ibm.com/new/announcements/introducing-ibm-sovereign-core-a-new-software-foundation-for-sovereignty?utm_source=openai))

Rolle von Service Providern und Partnern

IBM setzt nicht auf ein rein direktes Delivery‑Modell, sondern positioniert Sovereign Core als Baustein für lokale IT‑Dienstleister:

• Erste Partner in Europa: Cegeka (Belgien, Niederlande) und Computacenter (Deutschland). ([newsroom.ibm.com](https://newsroom.ibm.com/2026-01-15-ibm-introduces-new-software-to-address-growing-digital-sovereignty-imperative?utm_source=openai))

• Ziel: In‑Country‑Betrieb mit lokaler Compliance‑Expertise, während IBM das softwareseitige Fundament liefert.

Für den Markt heißt das: Souveränität wird zum Ökosystem‑Thema. Nationale oder sektorale Anbieter können auf einer standardisierten Plattform aufsetzen, statt jede Kontroll‑ und Auditlogik neu zu erfinden.

---

Konkrete Einsatzszenarien in regulierten Branchen

1. Banken und Versicherungen (Finanzmarktregulierung)

Ausgangslage:

Institute stehen unter Druck, KI für Kreditentscheidungen, Fraud Detection, Marktüberwachung oder personalisierte Angebote einzusetzen. Gleichzeitig müssen sie strenge Anforderungen u. a. durch CRR/CRD, MaRisk, BAIT, EBA‑Leitlinien und DORA erfüllen.

Mögliche Umsetzung mit Sovereign Core:

• Aufbau eines souveränen AI‑Clusters im eigenen Rechenzentrum oder über einen europäischen Service Provider auf Basis von Sovereign Core.

• Deployment von LLM‑basierten Modellen für Kreditrisiko‑Scoring, die ausschließlich auf in‑Boundary‑Datenpools zugreifen.

• Nutzung des Compliance Centers zum Nachweis:

* Welche Datenquellen und Features in einem Modell verwendet werden,

* welche Rollen Zugriff auf Modelle und Trainingsdaten hatten,

* wie Entscheidungen und Modellversionen über die Zeit nachvollzogen werden können.

• Integration in bestehende GRC‑Tools (z. B. OpenPages im IBM‑Portfolio) zur konsolidierten Risikoberichterstattung.

Business‑Mehrwert:

Institute können AI‑Use‑Cases schneller umsetzen, ohne für jeden Anwendungsfall eine neue, proprietäre „Spezialplattform“ bauen zu müssen – bei gleichzeitig höherer Akzeptanz bei Aufsicht und Revision.

2. Gesundheitswesen und Life Sciences

Ausgangslage:

Krankenhäuser, Forschungsverbünde und Pharmaunternehmen verarbeiten hochsensible Gesundheitsdaten, oft in grenzüberschreitenden Kooperationen. Datenschutzrecht, sektorale Normen und Ethik‑Anforderungen begrenzen die Nutzung von Public‑Cloud‑AI‑Diensten erheblich.

Beispielszenario:

• Ein Universitätsklinikum betreibt einen Sovereign‑Core‑Cluster gemeinsam mit einem regionalen Service Provider.

• Radiologie‑Bilder, Laborbefunde und elektronische Patientenakten werden lokal aggregiert.

• AI‑Modelle für Bilddiagnostik und Decision Support werden innerhalb der souveränen Umgebung trainiert und betrieben; lediglich anonymisierte Metadaten verlassen – falls überhaupt – die Boundary.

• Änderungen an Modellen (Retraining, Fine‑Tuning) werden automatisch versioniert und mit Auditlogs verknüpft.

Effekt:

Die Einrichtung kann AI‑gestützte Diagnostik rascher in die Versorgung bringen, ohne sich in komplexe, grenzüberschreitende Datentransfers oder unklare Telemetrieströme zu verstricken.

3. Öffentliche Verwaltung und Sicherheitsbehörden

Ausgangslage:

Ministerien, Kommunen und Sicherheitsbehörden sollen digitale Services modernisieren, sind aber besonders sensibel, was Abhängigkeiten von Hyperscalern und ausländischer Jurisdiktion angeht.

Anwendungsfälle mit Sovereign Core:

• Aufbau eines nationalen AI‑Backbones für Behörden, gehostet von einem staatlichen oder staatsnahen Rechenzentrumsbetreiber auf Basis von Sovereign Core.

• Nutzung von generativer KI für:

* Aktenanalyse,

* Bürgerkommunikation (Chatbots),

* Wissensmanagement und Gesetzesfolgenabschätzung.

• Durchgängige Protokollierung, welche Dokumente in welchem Kontext von welchen AI‑Services verarbeitet wurden.

Vorteil:

Die Verwaltung kann moderne AI‑Funktionalitäten bereitstellen, ohne die Hoheit über Logs, Identitäten und Betriebsdaten aufzugeben. Gleichzeitig entsteht eine wiederverwendbare Plattform, auf der unterschiedliche Behörden Use Cases aufsetzen können.

---

Chancen und Risiken aus Unternehmenssicht

Chancen

1. Beschleunigte AI‑Einführung trotz strenger Regulierung

Standardisierte Souveränitätsmechanismen senken den Projektaufwand für Proof‑of‑Concepts und Rollouts erheblich – speziell in Multi‑Cloud‑ und Hybrid‑Umgebungen.

1. Stärkerer Verhandlungshebel gegenüber Hyperscalern

Wer eine souveräne Plattform wie Sovereign Core betreibt, kann Public‑Cloud‑Ressourcen gezielter als austauschbare Infrastruktur nutzen und bleibt weniger abhängig von proprietären AI‑Stacks.

1. Bessere Audit‑Fähigkeit und Compliance‑Nachweise

Kontinuierliche Generierung von Betriebs‑ und Compliance‑Evidenzen erleichtert Prüfungen durch interne Revision, Aufsicht und Zertifizierungsstellen.

1. Neue Geschäftsmodelle für Service Provider

Regionale IT‑Dienstleister können souveräne AI‑Plattformen als Service anbieten, statt jedes Mal individuelle Sicherheits‑ und Compliance‑Architekturen zu entwickeln.

Risiken und offene Punkte

1. Vendor‑Lock‑In auf Plattformsicht

Zwar basiert Sovereign Core auf OpenShift und offenen Technologien, dennoch bindet sich ein Unternehmen an das IBM‑Ökosystem und dessen Weiterentwicklung.

1. Komplexität der Einführung

Der Aufbau einer souveränen AI‑Plattform erfordert ein hohes Maß an Architektur‑, Security‑ und Compliance‑Expertise. Ohne klaren Zielbild‑Blueprint besteht die Gefahr von Parallelwelten (Sovereign‑Core‑Inseln vs. bestehende Cloud‑Landschaft).

1. Kosten‑ und Ressourcenfrage

Souveräne Umgebungen, insbesondere mit GPU‑Ressourcen, sind kapital‑ und personalintensiv. Es braucht belastbare Total‑Cost‑of‑Ownership‑Modelle, um den Business‑Case zu rechtfertigen.

1. Regulatorische Entwicklung bleibt dynamisch

Selbst eine souveräne Plattform ist kein Garant dafür, künftige Regulierungen (z. B. Anpassungen der EU‑KI‑Verordnung oder nationale Souveränitätsgesetze) automatisch abzudecken. Governance‑Modelle müssen kontinuierlich nachjustiert werden.

---

Was Unternehmen und Behörden jetzt konkret tun sollten

1. Souveränitäts‑Zielbild definieren

Führungs‑ und Fachbereiche sollten kurzfristig ein Souveränitäts‑Zielbild entwickeln:

• Welche Systeme und Daten gelten als kritisch‑souverän?

• Welche rechtlichen Vorgaben (EU‑Recht, nationales Recht, sektorale Regulierung) sind relevant?

• Wo bestehen heute Souveränitätslücken (z. B. Telemetrie, Admin‑Zugriffe, Schlüsselhoheit)?

Dieses Zielbild ist Voraussetzung, um zu bewerten, ob und wo Sovereign Core (oder konkurrierende Angebote) sinnvoll einzusetzen ist.

2. Bestehende Cloud‑ und Datenstrategien überprüfen

CIOs und CDOs sollten prüfen:

• In welchen Bereichen sind wir faktisch von nicht‑souveränen Komponenten abhängig (z. B. Control‑Planes außerhalb der EU)?

• Welche AI‑Use‑Cases sind heute blockiert, weil Souveränitäts‑ oder Compliance‑Risiken zu hoch sind?

• Wie lässt sich Sovereign Core in Multi‑Cloud‑Strategien einbetten, ohne neue Silos zu schaffen?

Ein konkreter Schritt kann ein Pilot‑Scope sein, z. B. ein abgegrenzter AI‑Use‑Case in einer kritischen Domäne.

3. Governance‑Modell für souveräne Plattformen aufsetzen

Unternehmen sollten frühzeitig Governance‑Fragen klären:

• Wer verantwortet die Control‑Plane (IT, eine dedizierte „Sovereign Platform Unit“, externer Provider)?

• Wie werden Rollen und Zugriffsrechte (Admin, Data Scientist, Fachbereich) definiert und technisch durchgesetzt?

• Wie fließen Plattform‑Logs und Compliance‑Evidenzen in bestehende GRC‑Prozesse ein?

Ohne klares Governance‑Modell läuft jede souveräne Plattform Gefahr, entweder zu restriktiv (Innovationsbremse) oder zu lax (Compliance‑Risiko) betrieben zu werden.

4. Partner‑ und Betriebsmodell auswählen

Auf Basis der IBM‑Ankündigung zeichnen sich drei Hauptoptionen ab:

1. Eigenbetrieb im eigenen Rechenzentrum – maximale Kontrolle, höchste interne Anforderungen an Expertise.

2. Betrieb auf in‑region‑Cloud‑Infrastruktur – Kombination aus Cloud‑Skalierung und souveräner Control‑Plane.

3. Betrieb über zertifizierten Service Provider (z. B. Computacenter in Deutschland) – Auslagerung eines Teils des Betriebs bei Erhalt der Souveränität über Schlüssel, Identitäten und Policies. ([newsroom.ibm.com](https://newsroom.ibm.com/2026-01-15-ibm-introduces-new-software-to-address-growing-digital-sovereignty-imperative?utm_source=openai))

Unternehmen sollten frühzeitig klären, welches Modell zu ihrer Risk‑Appetite‑ und Sourcing‑Strategie passt.

5. Proof‑of‑Concept planen

Bevor weitreichende Migrationsentscheidungen getroffen werden, empfiehlt sich ein strukturierter Proof‑of‑Concept (PoC):

• Auswahl von 1–2 repräsentativen AI‑Use‑Cases mit klaren Compliance‑Anforderungen.

• Aufbau einer minimalen Sovereign‑Core‑Domäne inklusive Identity, Logging, Compliance Center.

• Gemeinsame Bewertung mit Datenschutz, Compliance, Revision und – falls möglich – im Dialog mit Aufsichtsbehörden.

Ziel ist weniger ein technischer Schnelltest, sondern ein Ende‑zu‑Ende‑Nachweis, dass Governance, Technik und Organisation zusammenspielen.

---

Fazit: Souveränität wird zur Design‑Entscheidung, nicht zur Standortfrage

Mit Sovereign Core verschiebt IBM den Diskurs von „Wo liegen meine Daten?“ hin zu „Wer kontrolliert Plattform, Modelle, Identitäten und Logs – und kann das nachweisen?“. Für regulierte Branchen und den öffentlichen Sektor ist das mehr als ein weiteres Produktrelease: Es markiert den Übergang zu sovereign‑by‑design‑Architekturen, in denen AI‑Fähigkeiten und regulatorische Anforderungen gleichrangig behandelt werden.

Die nächsten Monate – insbesondere die Tech‑Preview‑Phase ab Februar 2026 – werden zeigen, ob IBM das Versprechen einer standardisierten, dennoch flexibel integrierbaren Souveränitätsplattform einlösen kann. Für Entscheider ist jetzt der Zeitpunkt, die eigenen Strategien an dieses neue Angebotssegment anzupassen.

Kernaussagen für Entscheider:

• Digitale Souveränität verschiebt sich vom reinen Datenstandort hin zu kontrollierten, auditierbaren Plattform‑ und AI‑Betriebsmodellen.

• IBM Sovereign Core bietet eine softwarebasierte, AI‑fähige Grundlage, um solche souveränen Umgebungen auf On‑Prem‑, In‑Region‑Cloud‑ oder Service‑Provider‑Infrastruktur zu betreiben.

• Für Banken, Gesundheitswesen und öffentliche Verwaltung eröffnen sich neue AI‑Use‑Cases, die bisher aus Compliance‑Gründen blockiert waren.

• Der Aufbau souveräner Plattformen erfordert ein klares Souveränitäts‑Zielbild, angepasstes Governance‑Modell und sorgfältig gewählte Betriebs‑ und Partnerschaftsmodelle.

• Unternehmen sollten 2026 nutzen, um mit kontrollierten PoCs praktische Erfahrungen zu sammeln und ihre Cloud‑, Daten‑ und AI‑Strategien auf „sovereign‑by‑design“ auszurichten.

Häufig gestellte Fragen (FAQ)

Was ist IBM Sovereign Core und welches Problem löst die Plattform?

IBM Sovereign Core ist eine AI‑fähige, souveränitätsorientierte Softwareplattform, die am 15. Januar 2026 vorgestellt wurde. Sie soll Unternehmen und Behörden ermöglichen, Cloud- und KI‑Workloads unter eigener operativer Hoheit zu betreiben und damit strengere Anforderungen an Datenresidenz, Zugriffe und Compliance zu erfüllen.

Wie funktioniert IBM Sovereign Core technisch?

IBM Sovereign Core basiert auf Red Hat OpenShift und einer mehrschichtigen Architektur mit Portal, Orchestrierungs‑Layer, Compliance Center und einem Katalog wiederverwendbarer Bausteine. Die Control‑Plane verbleibt beim Kunden oder einem lokalen Provider, sodass Identitäten, Schlüssel, Logs und AI‑Modelle innerhalb einer klar definierten souveränen Boundary betrieben werden.

Welche Vorteile bietet IBM Sovereign Core speziell für regulierte Branchen?

Regulierte Branchen wie Banken, Gesundheitswesen und öffentliche Verwaltung können KI‑Use‑Cases umsetzen, ohne Kontrolle über kritische Daten und Betriebsprozesse abzugeben. Die Plattform liefert kontinuierliche Compliance‑Evidenzen und Audit‑Fähigkeit bis auf Modell‑ und Laufzeitebene, was Prüfungen durch Aufsichtsbehörden erleichtert.

Worin unterscheidet sich IBM Sovereign Core von klassischen Sovereign-Cloud-Angeboten?

Klassische Sovereign Clouds konzentrieren sich meist auf Datenstandorte, Vertragsklauseln und eingeschränkte Administration. IBM Sovereign Core geht darüber hinaus, indem es Souveränität als Software‑ und Plattformfunktion versteht und die kundengeführte Control‑Plane, Identitäts- und Schlüsselverwaltung sowie Audit-Mechanismen fest in die Architektur integriert.

Welche Einsatzszenarien für IBM Sovereign Core sind besonders relevant?

Typische Szenarien sind AI‑gestützte Kreditentscheidungen und Fraud Detection im Finanzsektor, Diagnostik- und Decision‑Support‑Systeme im Gesundheitswesen sowie nationale AI‑Backbones für Behörden. In all diesen Fällen bleiben sensible Daten, Modelle und Protokolle innerhalb einer souveränen Umgebung, während moderne KI‑Funktionen genutzt werden können.

Welche Risiken und Herausforderungen sind mit der Einführung von IBM Sovereign Core verbunden?

Unternehmen binden sich trotz offener Technologien an das IBM‑Ökosystem und müssen mit einem gewissen Plattform‑Lock‑In rechnen. Zudem erfordert der Aufbau einer souveränen AI‑Plattform hohe Architektur‑, Security‑ und Compliance‑Kompetenz sowie belastbare Kosten‑ und Governance‑Modelle.

Was sollten Unternehmen und Behörden jetzt konkret tun, wenn sie IBM Sovereign Core in Betracht ziehen?

Sie sollten zunächst ein Souveränitäts‑Zielbild definieren, bestehende Cloud‑ und Datenstrategien auf Souveränitätslücken prüfen und ein Governance‑Modell für eine souveräne Plattform festlegen. Anschließend empfiehlt sich ein begrenzter Proof‑of‑Concept mit 1–2 kritischen AI‑Use‑Cases, um Technik, Compliance und Organisation in der Praxis zu testen.