Methodik

Ein datengestützter, voll automatisierter Rahmen

Der Europäische Digitale Resilienz-Index (EDRIX) misst die greifbaren, realen digitalen Ergebnisse jedes EU27-Mitgliedstaats. Anstatt politische Absichten zu bewerten, beobachtet er, was Bürger, Unternehmen und Regierungen tatsächlich tun: welche Betriebssysteme die Menschen verwenden, welche Browser sie nutzen, wer ihre Domains und E-Mails hostet und wie dicht ihre Entwicklergemeinschaften sind.

Seit der Veröffentlichung im Juni 2026 wird der EDRIX vollständig aus öffentlichen, automatisch aktualisierbaren Datenquellen berechnet. Keine manuelle Kuratierung. Keine geschlossenen Datensätze. Jede vierteljährliche Veröffentlichung wird Ende-zu-Ende aus derselben Pipeline generiert.

Der aktuelle EDRIX (Version 2.0) ruht auf vier Säulen und fünf Rohmetriken.

Die vier Säulen

Säule Metrik(en)
Entwickler-Ökosystem GitHub-Entwickler pro Kopf
Adoption an der Basis Linux-Anteil auf Desktop- und Laptop-Computern + Anteil souveräner Browser
Resilienz des privaten Sektors Souveränitätsbewertung der Domains der nationalen TLDs
Resilienz des öffentlichen Sektors Souveränitätsbewertung offizieller / staatlicher Domains

1. Entwickler-Ökosystem

Digitale Resilienz erfordert die Fähigkeit, Technologie zu bauen und zu pflegen, nicht nur zu konsumieren. Wir messen die Dichte der Entwicklergemeinschaft jedes Landes.

  • Quelle: GitHubs Innovation Graph, GitHubs offizieller offener Datensatz zur Entwickleraktivität, vierteljährlich aktualisiert.
  • Metrik: Anteil des Landes an der weltweiten GitHub-Entwicklerpopulation, normalisiert auf die Bevölkerung des Landes in Millionen. Die Pro-Kopf-Normalisierung verhindert, dass große Länder ein Ranking auf Basis der reinen Entwicklerzahl mechanisch dominieren.
  • Zeitraum: das jüngste zum Veröffentlichungszeitpunkt verfügbare Quartal.

2. Adoption an der Basis

Die konkreten digitalen Entscheidungen, die Bürger und Unternehmen auf ihren Desktop- und Laptop-Computern treffen. Zwei Untermetriken, gemittelt:

  • Linux-Anteil auf Desktop- und Laptop-Computern — der Anteil des menschlichen Web-Verkehrs von Desktop- und Laptop-Computern im Land, der von einem Linux-Rechner stammt.
  • Anteil souveräner Browser — die kombinierten Anteile von Firefox und Opera unter menschlichen Besuchen von Desktop- und Laptop-Computern. Brave wird durch Cloudflares User-Agent-Klassifizierung Chrome zugeschlagen und lässt sich auf Browser-Familien-Ebene nicht trennen; wir benennen diese Einschränkung explizit.

Beide stammen aus Cloudflare Radar, gefiltert auf menschlichen Verkehr von Desktop- und Laptop-Computern, aggregiert über ein 90-Tage-Gleitfenster, das der Standardansicht des Radar-Dashboards entspricht. Die Aggregation ist volumengewichtet über den gesamten Zeitraum — dieselbe Berechnung, die Cloudflare Radar selbst für sein Dashboard durchführt.

3. Resilienz des privaten Sektors

Ein Proxy für die digitale Souveränität der privatwirtschaftlichen Technologie-Entscheidungen eines Landes.

  • Methode: Ein Algorithmus zur Souveränitätsbewertung wird auf die 500 wichtigsten Domains in jeder nationalen TLD angewandt, geordnet nach dem Ranking von Cloudflare Radar. Der Web- und Mail-Server jeder Domain wird nach dem Unternehmen klassifiziert, dem die ASN gehört, unabhängig davon, wo sich die IP geografisch befindet. Eine Tochtergesellschaft eines US-Unternehmens (z. B. Equinix (Germany) GmbH, Cloudflare London, LLC, Liquid Web B.V.) wird als US klassifiziert; gleiches gilt für Tochtergesellschaften britischer Unternehmen (z. B. M247 Europe SRL, im Besitz der britischen M247 Ltd). Nicht-EU-kontrollierte Anbieter (USA, Post-Brexit-UK) erhalten 0,0; EU-Anbieter erhalten 1,0; Server, die außerhalb der EU geolokalisiert werden, ohne einem Keyword zu entsprechen, erhalten ebenfalls 0,0 (Sicherheitsnetz).

  • Nicht-EU27-eigene Marken auf nationalen TLDs werden ausgeschlossen. amazon.fr, google.sk, tiktok.fr, wise.fr, bbc.fr, yandex.fr, sony.fr, airbnb.fr und ähnliche nutzen eine nationale TLD zur Lokalisierung, aber das zugrunde liegende Unternehmen liegt außerhalb der EU27 — Amazon-hostet-Amazon als „französische privatwirtschaftliche Souveränität" zu zählen, wäre irreführend. Die Ausschlussliste deckt rund 140 Markenstämme ab in:

    • Vereinigte Staaten (Google, Amazon, Microsoft, Meta, Apple, X, eBay, Airbnb, Tripadvisor, Netflix, Adobe, Salesforce, Cloudflare, Akamai, Fastly, OpenAI usw.)
    • China (TikTok, Alibaba, Tencent, Baidu, JD, Xiaomi, Huawei, Temu, Shein, ByteDance usw.)
    • Russland (Yandex, VK, Mail.ru, Ozon, Kaspersky)
    • Vereinigtes Königreich (BBC, Sky, Wise, Vodafone, Arm, Dyson, seit dem Brexit)
    • Japan / Südkorea (Sony, Samsung, LG, Naver, Kakao, Line, Rakuten)
    • Israel, Schweiz, Indien, Singapur, Australien (Wix, Fiverr, Nestlé, Logitech, Atlassian, Canva, Tata usw.)

    Eine Marke wird auf der Second-Level-Domain abgeglichen, sodass Subdomains ebenfalls abgedeckt sind. Spotify, Klarna, Booking.com (niederländisch) und andere EU27-eigene digitale Unternehmen werden ausdrücklich beibehalten. Die Liste ist kuratierbar und wird zu jeder Veröffentlichung überprüft. Auf Anfrage verfügbar.

  • Stichprobe: gedeckelt auf 500 Domains pro nationaler TLD, nach Ausschluss der US-eigenen Marken. Einige der kleinsten TLDs haben weniger als 500 Einträge in Cloudflares Top-1M-Liste und beitragen alles, was sie haben — Malta ist der extremste Fall mit insgesamt 93 .mt-Domains. Zypern (238) und Luxemburg (247) sind die nächsten Engpässe.
  • Aggregation: Durchschnittsbewertung über die Stichprobe jedes Landes. Domains, die nicht messbar sind (nicht auflösbar, kein MX, kein SOA), werden ausgeschlossen.

Die Top-N-Stichprobe ist ein bewusster Kompromiss. Größere TLDs (.de, .fr) haben Zehntausende Domains in Cloudflares Top-1M; eine Mittelung über alle würde die deutsche Bewertung in den langen Schwanz kleiner deutscher Websites bei Hetzner / Strato verlagern, statt dorthin, wo die meistbesuchte Infrastruktur der Deutschen tatsächlich liegt. Die Beschränkung auf die Top-500 misst die stark frequentierte Oberfläche ehrlich und hält das statistische Rauschen niedrig (~2 Prozentpunkte Standardfehler bei einer 50-%-Rate). Länder mit kleinen TLDs nutzen ihren vollen verfügbaren Satz, statt aus dem Vergleich gestrichen zu werden.

4. Resilienz des öffentlichen Sektors

Die technologische Souveränität des Staates selbst: wo die Websites des Staatsoberhaupts, der Regierung und der Hauptstadt gehostet werden.

  • Methode: derselbe Algorithmus zur Souveränitätsbewertung, angewandt auf eine kuratierte Liste offizieller / öffentlicher Domains (~3 pro Land: Staatsoberhaupt, Regierungsportal, Hauptstadt).
  • Aggregation: Durchschnittsbewertung pro Land.

Detaillierte Index-Berechnung

Dieselbe dreistufige Normalisierung gilt für jede vierteljährliche Veröffentlichung.

Schritt 1 — Jede Metrik auf 0–10 normalisieren.
Jede der fünf Rohmetriken wird min-max-normalisiert über die 27 EU-Mitgliedstaaten: Der niedrigste Wert erreicht 0, der höchste 10, die anderen liegen linear dazwischen.

Schritt 2 — Säulen-Wert.
Säulen, die aus mehreren Metriken zusammengesetzt sind — heute nur die Adoption an der Basis — bilden den ungewichteten Mittelwert ihrer normalisierten Untermetrik-Werte. Säulen mit nur einer Metrik verwenden den normalisierten Wert direkt. Die resultierenden Säulen-Werte werden dann über die 27 Mitgliedstaaten erneut normalisiert auf 0–10, sodass jede Säule ihre volle Spannweite erreichen kann und gleich zum endgültigen Index beiträgt.

Schritt 3 — EDRIX.
Der endgültige EDRIX-Wert ist der arithmetische Mittelwert der vier normalisierten Säulen-Werte, im Bereich von 0 (am Ende in jeder Säule) bis 10 (an der Spitze in jeder Säule).

Archiv und Nachvollziehbarkeit

Jede vierteljährliche Veröffentlichung wird von einer einzigen automatisierten Pipeline generiert, die alle fünf Metriken aktualisiert, die Eingaben zusammenstellt und den Index neu berechnet — ein Prozess, der gegen die Live-Datenquellen in weniger als zwei Minuten läuft.

Für jede Veröffentlichung archivieren wir in datierter Form die zusammengestellten Eingaben, einen Snapshot pro Metrik und den berechneten Index. Da die Säulen-Normalisierung min-max über die 27 Mitgliedstaaten erfolgt, kann jede vergangene Ausgabe exakt aus ihren archivierten Eingaben neu berechnet werden. Das vollständige Archiv — aktuelle und frühere Ausgaben, einschließlich Methodik-Versionen — ist auf Anfrage für akademische oder journalistische Verifikation verfügbar.

Methodologie-Historie

EDRIX 1.0 (September 2025) — fünf Säulen

Die ursprüngliche Veröffentlichung verwendete einen Fünf-Säulen-Rahmen mit zwei zusätzlichen Eingaben, die seither eingestellt wurden:

  1. Öffentliche Politik — basierend auf dem Bericht des Open Source Observatory (OSOR) von 2024. Bewertete die Open-Source-Strategie jedes Landes im öffentlichen Sektor, die Präsenz eines OSPO und den rechtlichen Rahmen.
  2. Entwickler-Ökosystem — GitHub-Entwickler pro Kopf plus Pro-Kopf-Zahl geprüfter Lösungen im EuroStack Directory.
  3. Adoption an der Basis — Linux-Desktop-Anteil + Anteil souveräner Browser + eine separate Untermetrik „Open-Source-Browser-Anteil" (nur Firefox + Brave), die ausschließlich für EOTRIX verwendet wurde.
  4. Digitale Resilienz des privaten Sektors — Domain-Souveränitätsbewertungen plus Pro-Kopf-Zahl der Unterstützer der EuroStack Industry Initiative.
  5. Digitale Resilienz des öffentlichen Sektors — identisch zur heutigen Säule Resilienz des öffentlichen Sektors.

Die Veröffentlichung vom September 2025 berechnete außerdem einen begleitenden Index, EOTRIX (European Open Technology Readiness Index) — einen 3-Säulen-Wert, beschränkt auf OSOR + GitHub-Entwickler + Linux / Open-Source-Browser-Anteil. EOTRIX wurde bis zu einer Neugestaltung eingestellt.

Warum die Methodik geändert wurde (Mai 2026)

Um eine automatisierte, regelmäßige Veröffentlichung möglich zu machen, musste jede Eingabe automatisch aktualisierbar sein. Drei Eingaben waren mit diesem Ziel unvereinbar:

  • OSOR-2024-Bewertungen — manuell kuratiert, seltener als jährlich aktualisiert, aus PDF-Berichten gespeist. Eingestellt. Die Säule öffentliche Politik wurde in die Resilienz des öffentlichen Sektors integriert — beide messen staatlich getragene digitale Entscheidungen, und das Signal der Domain-Bewertung ist das direktere, häufiger aktualisierbare Maß für die Praxis des öffentlichen Sektors.
  • EuroStack-Lösungen pro Kopf — manuelle Kuratierung durch das EuroStack-Projekt, seltene Aktualisierungen. Eingestellt.
  • EuroStack-Unterstützer pro Kopf — dasselbe. Eingestellt.

Das vier-Säulen-EDRIX 2.0 ist das Ergebnis. Jede verbleibende Metrik wird in deutlich unter zwei Minuten aus automatisierten, öffentlichen Quellen aktualisiert.

Bekannte Datenqualitäts-Korrekturen

September 2025: Spalte Resilienz des öffentlichen Sektors. Die ursprünglichen Eingaben vom September 2025 verwendeten versehentlich denselben Wert sowohl für Resilienz des privaten Sektors (alle Domains der nationalen TLD) als auch für Resilienz des öffentlichen Sektors (nur offizielle / staatliche Domains) — die Spalte des öffentlichen Sektors wurde nie separat gemessen. Die rückwirkende Korrektur (Juni 2026), die dieselbe Domain-Datenbank vom August 2025 gegen die aktuelle Logik der Souveränitätsbewertung anwendet, ergibt ein deutlich anderes Bild des öffentlichen Sektors für diesen historischen Schnappschuss. Der sichtbarste Effekt war der Fall der Tschechischen Republik von Platz 3 auf Platz 6 im korrigierten Ranking vom September 2025 (ihr Wert für den öffentlichen Sektor war durch den Duplikationsfehler überhöht), und sieben Länder (Österreich, Deutschland, Kroatien, Luxemburg, Rumänien, Slowenien, Ungarn) erreichten in diesem korrigierten September-2025-Schnappschuss ein echtes 10/10 in der Resilienz des öffentlichen Sektors. Die Veröffentlichung vom Juni 2026 zeigt andere Zahlen — nur vier Länder (Österreich, Kroatien, Rumänien, Slowenien) erreichen 10/10 — weil sich das zugrunde liegende Hosting in den dazwischenliegenden neun Monaten verschoben hat und weil die EDRIX-2.0-Methodik nun zwischen EU- und nicht-EU-Anbietern unterscheidet (US und Post-Brexit-UK), statt nur die geografische Lage der IP zu prüfen.

Juni 2026: Cloudflare-Aggregationsmethode. Der erste Lauf vom Juni 2026 berechnete den Linux-Anteil auf Desktop- und Laptop-Computern und den Anteil souveräner Browser, indem er stündliche Verkehrs-Snapshots mittelte, was das Ergebnis pro Land um etwa 0,5–1,0 Prozentpunkte nach oben verzerrte (die Linux-Nutzung ist während verkehrsarmer Nachtstunden überrepräsentiert, und ein einfacher stündlicher Mittelwert übergewichtet diese Stunden). Die aktuelle Methodik verwendet volumengewichtete Aggregate über denselben Zeitraum — dieselbe Berechnung, die Cloudflare Radar für sein eigenes Dashboard durchführt. Die ursprünglichen Zahlen vom Juni 2026 sollten, falls sie irgendwo zitiert werden, als ersetzt betrachtet werden.

Einschränkungen und antizipierte Kritik

Warum nur Web und E-Mail messen?

Web und E-Mail sind die einzigen Infrastrukturschichten, die öffentlich beobachtbar und systematisch messbar sind im Maßstab von 13.500 Domains (Top-500 × 27 TLDs). Jeder mit einem DNS-Resolver und einem HTTP-Client kann die Messung reproduzieren; kein privilegierter Zugang ist erforderlich. Die „verborgenen" Schichten (interne Workloads, Zahlungssysteme, IoT, mobile Anwendungen) sind oft stärker von US-Hyperscalern abhängig als das, was der EDRIX offenlegt — doch sie sind nicht von außen messbar, ohne ein organisatorisches Audit durchzuführen. Diese Schichten einzubeziehen würde den EDRIX von einem öffentlichen, reproduzierbaren Index in ein proprietäres Audit verwandeln.

Web und E-Mail sind nicht erschöpfend; sie sind repräsentativ. Eine Präsidentenwebsite auf Cloudflare ist eine bewusste, öffentliche Entscheidung; sie sagt etwas über die Souveränitätshaltung des Staates aus. Und das Umgekehrte — ein souveräner Web- und E-Mail-Stack, aber Workloads vollständig auf AWS — ist statistisch selten.

Warum den Linux-Anteil auf Desktop- und Laptop-Computern messen?

Es ist das konkreteste Signal grundständiger Adoption einer Alternative zu den von den Vereinigten Staaten dominierten Windows-/macOS-Ökosystemen. Es erfasst sowohl das technische Engagement (Linux erfordert Know-how) ALS AUCH die bewusste Entscheidung für eine nicht-US-Option.

Seine Grenzen sind explizit: Es misst nicht Linux auf Servern (wo es ohnehin überall dominiert), erfasst nicht ChromeOS, unterscheidet nicht zwischen Distributionen. Mit 4,0 % EU27 ist es ein Trendindikator, kein Produktionsmaß. Aber der Trend zählt: Eine Bewegung von 3,7 % auf 4,0 % in neun Monaten ist messbar, zwischen Ländern vergleichbar und über Cloudflare Radar reproduzierbar.

Eine alternative Metrik (Käufe von Linux-zertifizierter Hardware, Bereitstellungen in Gebietskörperschaften, Engagement-Raten für europäische Distributionen) wäre entweder öffentlich nicht messbar oder zwischen den 27 Mitgliedstaaten nicht vergleichbar.

Warum Entwickler über GitHub messen, obwohl GitHub Microsoft gehört?

Entwickler über GitHub zu messen stellt ein Paradox dar — GitHub gehört Microsoft, einem US-Unternehmen, und der EDRIX misst die europäische digitale Resilienz. Mangels besserer Alternative wird dies in Kauf genommen.

Die Daten des Innovation Graph sind der beste öffentlich verfügbare Proxy für die Dichte der Entwicklergemeinschaft eines Landes — ein offener Datensatz, pro Land, vierteljährlich, reproduzierbar. Die Alternativen sind auf Länderebene nicht nutzbar: GitLab veröffentlicht keine extern zugänglichen Aktivitätsstatistiken pro Land; Codeberg hat auf unsere Anfragen nicht geantwortet. Die Metrik wird durch weitere Quellen ergänzt, sobald vergleichbare Daten verfügbar werden.