IT-Sicherheit und Souveränität • Aidex  • KI  • Impressum  • Datenschutz

IT-Sicherheit und digitale Souveränität

Nicht nur im IT-Sektor hat sich die öffent­liche Debatte der letz­ten Jahre mit der Frage be­schäfti­gen müssen, wie sicher und wie unabhän­gig unsere digi­tale Infra­struk­tur in Deutsch­land bzw. in Europa eigent­lich ist.

Cyber-Angriffe auf Firmen und Krankenhäuser, zudem die Abhängig­keit europäischer Verwal­tun­gen von US-amerikani­schen Cloud-Anbietern, dann der Krieg in der Ukraine mit seinen massiven Cyber­angriffs-Begleit­erscheinun­gen, und insge­samt die zu­nehmende geo­politi­sche Fragmen­tie­rung der Weltwirt­schaft haben zwei Begriffe in den Mittel­punkt gerückt, die lange Zeit ge­trennt von­einander disku­tiert wurden: IT-Sicher­heit und digitale Souverä­ni­tät.

Was bedeutet IT-Sicherheit?

IT-Sicherheit, manchmal als Cyber Security be­zeich­net, umfasst alle Maß­nahmen, die den Schutz von Informa­tions­systemen, Daten und digita­ler Infra­struk­tur vor unbefug­tem Zugriff, Manipu­la­tion, Zerstö­rung oder Ausfall ge­währleis­ten sollen.

Klassischerweise wird IT-Sicherheit über drei Grund­werte definiert, die als CIA-Triade bekannt sind: Vertraulich­keit (Confidentia­lity), Integrität (Integrity) und Verfügbar­keit (Availabi­lity). Vertraulich­keit bedeutet, dass nur autori­sierte Personen Zugriff auf Informa­tio­nen erhalten. Integrität stellt sicher, dass Daten nicht unbemerkt ver­ändert werden können. Verfügbar­keit garantiert, dass Systeme und Daten dann zugäng­lich sind, wenn sie ge­braucht werden.

Während früher die Perimeter­sicher­heit im Vorder­grund stand, also der Schutz eines klar ab­gegrenz­ten Firmen­netzwerks durch Fire­walls und Zugangs­kontrollen, hat sich heute mit der Verbrei­tung von Cloud-Diensten, mobilen End­geräten und Homeoffice-Arbeits­plätzen ein grund­legend anderes Sicher­heits­denken durch­gesetzt:

Das Zero-Trust-Prinzip, das davon ausgeht, dass kein Nutzer und kein Gerät von vorn­herein als vertrauens­würdig gelten darf, hat die klassische Burg­mauer-Metapher weit­gehend ab­gelöst. Hinzu kommen Konzepte wie Defense in Depth, also die Kombina­tion mehre­rer, sich ergänzen­der Schutz­schichten.

Auf der Seite der Angreifer gibt es eine zu­nehmende Professio­na­lisie­rung: Ransomware wird heute oft als Dienst­leistung an­geboten. Staat­lich unter­stützte Hacker­gruppen agieren mit erheb­li­chen Res­sour­cen. Und die Angriffs­fläche wächst durch das Internet der Dinge, vernetzte Produktions­anlagen und die all­gegen­wärtige Cloud-Nut­zung stetig weiter.

Wirtschaftlich betrachtet ist IT-Sicher­heit längst kein Nischen­thema für speziali­sierte Abtei­lun­gen mehr, sondern eine Frage der Unter­nehmens­existenz. Ein erfolg­reicher Ransomware-Angriff kann die Produk­tion wochen­lang lahm­legen, sensible Kunden­daten offen­legen und im schlimms­ten Fall zur Insolvenz führen. Entsprechend hat sich IT-Sicher­heit von einer rein tech­nischen Disziplin zu einem Thema ent­wickelt, das Geschäfts­führungen und Gesetz­geber intensiv be­schäftigt, wie sich an Regulie­run­gen wie der NIS2-Richt­linie der Europäi­schen Union ablesen lässt.

Was bedeutet IT-Souveränität?

Digitale Souveränität beschreibt die Fähig­keit einer Firma, eines Staates oder einer Einzel­person, selbst­bestimmt über die eigene digitale Infra­struk­tur, die eigenen Daten und die ein­gesetz­ten Tech­nologien zu verfügen, ohne dabei in eine unkontrol­lier­bare Ab­hängig­keit von exter­nen Akteuren zu ge­raten.

Der Begriff hat mehrere Dimensionen:
Auf tech­nischer Ebene geht es um die Frage, ob Hard­ware, Soft­ware und Netz­werk­infrastruk­tur aus eigener Kraft be­trieben, gewartet und im Zweifel er­setzt werden können.

Auf rechtlicher Ebene geht es darum, welchem Rechts­raum die ein­gesetz­ten Tech­nolo­gien und die dort ver­arbeite­ten Daten unter­liegen.

Auf wirtschaftlicher Ebene geht es um Markt­macht und die Frage, ob ein einzel­ner Anbieter durch seine dominante Stel­lung Preise, Verfüg­bar­keit und Kondi­tio­nen ein­seitig diktie­ren kann.

Und auf geopolitischer Ebene geht es um die strategi­sche Handlungs­fähig­keit eines Staates, auch unter Krisen­bedin­gun­gen digital funktions­fähig zu bleiben.

Die Debatte um digitale Souveränität ist in Europa beson­ders intensiv, weil der Kontinent bei digita­len Schlüssel­technolo­gien, allen voran Cloud-Computing, Betriebs­systemen, Such­maschinen und sozialen Netz­werken, in hohem Maße von US-amerikani­schen und in geringe­rem Umfang chinesi­schen Anbietern ab­hängig ist.

Diese Abhängigkeit wird durch Gesetze wie den US CLOUD Act verschärft, der US-Behörden unter be­stimm­ten Voraus­set­zun­gen den Zugriff auf Daten erlaubt, die von US-Unter­neh­men verwaltet werden, selbst wenn diese Daten physisch in Europa ge­speichert sind.

Für europäische Unternehmen und Behörden, die z.B. Microsoft 365, Amazon Web Services oder Google Cloud nutzen, ent­steht dadurch ein Spannungs­feld zwi­schen prak­ti­scher Funktionali­tät und recht­li­cher beziehungs­weise poli­ti­scher Kontrolle über die eigenen Daten.

Initiativen wie das europäische Cloud-Projekt GAIA-X, die verstärkte Förde­rung quell­offener Software in öffent­li­chen Verwal­tun­gen oder Bestrebun­gen einzel­ner Bundes­länder und Kommunen, sich von Microsoft-Produkten zu lösen, sind Ausdruck dieses Souveräni­täts­strebens.

Gleichzeitig zeigt sich in der prak­ti­schen Umsetzung, wie schwierig es ist, jahr­zehnte­lang ge­wachsene tech­nologi­sche Ab­hängig­kei­ten kurz­fristig auf­zulösen, ohne Funktiona­lität zu opfern. Auch die Mitarbeiter (Anwender) sind beim Umstieg auf andere Ober­flächen nicht immer flexibel.

Die Verbindung zwischen beiden Konzepten

Eigentlich beschäftigen sich IT-Sicherheit und IT-Souveräni­tät mit unter­schied­lichen Fragen: Die eine fragt nach dem Schutz vor Angriffen, die andere nach der Kontrolle über die eigene Infrastruk­tur. Jedoch sind beide Themen mit­einander verwoben.

Ein Zusammenhang betrifft die Kontrolle über Verschlüsse­lung und kryptogra­fische Schlüssel. Wer die Schlüssel zur Verschlüsse­lung von Daten kontrol­liert, kontrolliert am Ende auch, wer auf diese Daten zugreifen kann. Wenn ein europäi­sches Unter­neh­men seine Daten bei einem US-Cloud-Anbieter ver­schlüsselt ablegt, der Anbieter jedoch technisch in der Lage ist, auf die Schlüssel zu­zugreifen oder US-Behörden im Rahmen gesetz­li­cher Anordnun­gen dazu ver­pflich­tet werden kann, Zugriff zu ge­währen, dann ist die Ver­schlüsse­lung tech­nisch zwar vorhanden, die tatsäch­liche Datenho­heit aber ein­geschränkt. Konzepte wie Bring Your Own Key oder Hold Your Own Key, bei denen Kunden die Kontrolle über die Ver­schlüsselungs­schlüssel behalten, sind ein direk­ter Versuch, Sicherheits­technik zur Lösung eines Souveräni­täts­problems ein­zusetzen.

Ein weiterer Zusammenhang liegt in der Liefer­kette. Ein zentrales Element moder­ner IT-Sicher­heit ist die so­genannte Supply Chain Security, also die Absiche­rung der gesamten Kette von Hardware- und Software­lieferan­ten, deren Produkte in die eigene Infrastruk­tur ein­fließen. Wer Chips, Router oder Software­komponenten von Herstellern bezieht, deren Quellcode oder Fertigungs­prozess nicht über­prüfbar ist, geht ein Sicher­heits­risiko ein, das sich kaum voll­ständig aus­schließen lässt. Die poli­tische Debatte um den Einsatz von Huawei-Komponenten in europäi­schen 5G-Netzen ist hierfür das prominen­teste Beispiel: Sie war von Beginn an sowohl eine Sicherheits- als auch eine Souveränitäts­frage, da es um die Sorge ging, ein ausländi­scher, möglicher­weise staat­lich be­einfluss­ter Her­steller könnte Hinter­türen in kri­tische Infrastruk­tur einbauen oder im Krisen­fall den Betrieb sabotieren.

Der dritte Zusammenhang zeigt sich bei kri­ti­scher Infrastruk­tur. Energie­versorgung, Wasser­versorgung, Gesundheits­wesen, Finanz­system und öffent­liche Verwal­tung sind zunehmend digitali­siert und vernetzt. Ein Staat, der im Krisen- oder Konflikt­fall nicht mehr auf funktionie­rende IT-Systeme zurück­greifen kann, weil zentrale Komponenten von einem ausländi­schen Anbieter kontrolliert werden oder ab­geschal­tet werden könn­ten, verliert nicht nur an Sicher­heit, sondern auch an staat­li­cher Handlungs­fähig­keit im um­fassenden Sinne. Die Diskus­sion um so­genannte Kill-Switches in Software, mit denen Her­steller ihre Produkte aus der Ferne deakti­vieren könnten, verdeut­licht, wie eng tech­nische Sicherheits­architektur und poli­tische Souveräni­tät mit­einander ver­zahnt sind.

Der vierte Zusammenhang betrifft die wirt­schaft­liche Markt­macht großer Tech­nologie­konzerne. Eine Markt­konzentra­tion auf wenige Hyper­scaler bedeutet nicht nur ein Abhängig­keits­risiko im Sinne der Souveräni­tät, sondern auch ein Sicherheits­risiko im Sinne eines Single Point of Failure. Fällt ein zentraler Cloud-Anbieter durch einen tech­nischen Defekt oder einen erfolg­reichen Angriff aus, kann dies welt­weit tausende Unter­neh­men gleich­zeitig treffen, wie sich bei größeren Cloud-Ausfällen in der Ver­gangen­heit bereits gezeigt hat. Diversifi­zie­rung und Souveräni­tät wirken hier als Sicherheits­maßnahme im eigent­li­chen Sinne der Resilienz.

Das Spannungsfeld zwischen Sicherheit und Souveränität

So eng beide Konzepte miteinander verbunden sind, so deut­lich zeigen sich auch Ziel­konflikte. Reine Souveräni­tät garantiert keines­wegs automa­tisch ein höheres Sicher­heits­niveau, möglicher­weise im Gegen­teil: Der Wechsel zu einem weniger etablier­ten, aber dafür europäi­schen Anbieter könnte im Einzel­fall sogar zu einer Ver­schlechte­rung der tatsäch­li­chen Sicher­heits­lage führen, wenn dieser Anbieter schlicht nicht über ver­gleich­bare Sicher­heits­kapazi­täten verfügt.

Umgekehrt kann übermäßiges Vertrauen in vermeint­lich sichere, aber wenig souveräne Struktu­ren zu einer trügeri­schen Sicher­heit führen, die im Krisen­fall, etwa bei poli­ti­schen Spannungen oder Sanktions­regimen, plötz­lich zusammen­bricht. Diese Abwä­gung zwi­schen kurz­fristiger Sicher­heit durch etablierte, ressourcen­starke Anbieter und lang­fristiger strategi­scher Unabhängig­keit ist einer der zentralen Streit­punkte in der aktuellen europäi­schen Digital­politik.

Hinzu kommt ein praktisches Problem: Digitale Souveräni­tät voll­ständig zu er­reichen, würde bedeuten, auf jahr­zehnte­lang gewachsene, hoch­speziali­sierte und globale Wert­schöpfungs­ketten in der Halbleiter­produktion, Software­entwick­lung und Cloud-Infrastruk­tur weitgehend zu ver­zichten. Ein solcher voll­ständiger Rückzug in nationale oder europäi­sche Eigen­ständig­keit ist wirt­schaft­lich kaum realis­tisch und würde selbst enorme Kosten und Effizienz­verluste ver­ursachen.

Die politische und wirtschaftliche Realität bewegt sich daher meist in Rich­tung eines pragma­ti­schen Mittel­wegs: gezielte Förde­rung strategisch beson­ders sensibler Bereiche wie Ver­schlüsselungs­technolo­gie, kri­ti­scher Infrastruk­tur und öffent­li­cher Verwaltung, während in weniger sicher­heits­kriti­schen Bereichen weiterhin auf globale, aber gut regulierte Anbieter zurück­gegriffen wird.

Die geopolitischen Verwerfungen der letzten Jahre, von der Corona-Pandemie über den russischen Angriffs­krieg gegen die Ukraine bis hin zu wachsen­den Handels­konflikten zwi­schen den USA, China und der Europäi­schen Union, haben das Thema digitale Souveräni­tät von einer eher akademischen Debatte zu einem zentralen Gegen­stand prak­ti­scher Poli­tik gemacht.

Die Europäische Union hat mit Regel­werken wie der NIS2-Richtlinie, dem Cyber Resilience Act und dem Data Act versucht, sowohl Sicher­heits­standards zu erhöhen als auch die Kontrolle über Daten und digitale Infrastruk­tur zu stärken. Gleich­zeitig zeigen Diskussio­nen um mög­liche Export­beschränkun­gen für KI-Modelle oder Halb­leiter, wie eng Sicherheits- und Souveräni­täts­fragen mittler­weile auch im Bereich neuer Tech­nologien wie KI mit­einander ver­knüpft sind.

Für Unternehmen bedeutet dies in der Praxis, dass die Wahl von IT-Dienst­leistern, Cloud-Anbietern und Software­lösungen zunehmend nicht mehr nur nach Kosten und Funktiona­lität, sondern auch nach Kriterien wie Daten­standort, Rechts­raum, Exit-Strategien und lang­fristiger Ver­fügbar­keit bewertet werden muss. Für Staaten und öffent­liche Institu­tio­nen wird die Frage, wie viel tech­nologi­sche Ab­hängig­keit von einzel­nen ausländi­schen Anbietern tolerier­bar ist, zu einer strategi­schen Grund­satz­entschei­dung, die weit über tech­nische Erwä­gun­gen hinaus­reicht.

Eine kluge digitale Strategie, sei es für Unter­neh­men oder für Staaten, wird daher beide Dimensio­nen nicht gegen­einander aus­spielen, sondern in einer differen­zier­ten Risiko­abwägung zusammen­führen müssen, die je nach Sensibi­li­tät der be­troffenen Daten und Systeme unter­schied­lich aus­fallen kann. Die kommen­den Jahre werden zeigen, ob es gelingt, diesen Balance­akt zwi­schen prak­ti­scher Sicher­heit und strate­gischer Unabhängig­keit erfolg­reich zu ge­stalten.