| IT-Sicherheit und Souveränität | • Aidex • KI • Impressum • Datenschutz |
IT-Sicherheit und digitale SouveränitätNicht nur im IT-Sektor hat sich die öffentliche Debatte der letzten Jahre mit der Frage beschäftigen müssen, wie sicher und wie unabhängig unsere digitale Infrastruktur in Deutschland bzw. in Europa eigentlich ist. Cyber-Angriffe auf Firmen und Krankenhäuser, zudem die Abhängigkeit europäischer Verwaltungen von US-amerikanischen Cloud-Anbietern, dann der Krieg in der Ukraine mit seinen massiven Cyberangriffs-Begleiterscheinungen, und insgesamt die zunehmende geopolitische Fragmentierung der Weltwirtschaft haben zwei Begriffe in den Mittelpunkt gerückt, die lange Zeit getrennt voneinander diskutiert wurden: IT-Sicherheit und digitale Souveränität. Was bedeutet IT-Sicherheit?IT-Sicherheit, manchmal als Cyber Security bezeichnet, umfasst alle Maßnahmen, die den Schutz von Informationssystemen, Daten und digitaler Infrastruktur vor unbefugtem Zugriff, Manipulation, Zerstörung oder Ausfall gewährleisten sollen. Klassischerweise wird IT-Sicherheit über drei Grundwerte definiert, die als CIA-Triade bekannt sind: Vertraulichkeit (Confidentiality), Integrität (Integrity) und Verfügbarkeit (Availability). Vertraulichkeit bedeutet, dass nur autorisierte Personen Zugriff auf Informationen erhalten. Integrität stellt sicher, dass Daten nicht unbemerkt verändert werden können. Verfügbarkeit garantiert, dass Systeme und Daten dann zugänglich sind, wenn sie gebraucht werden. Während früher die Perimetersicherheit im Vordergrund stand, also der Schutz eines klar abgegrenzten Firmennetzwerks durch Firewalls und Zugangskontrollen, hat sich heute mit der Verbreitung von Cloud-Diensten, mobilen Endgeräten und Homeoffice-Arbeitsplätzen ein grundlegend anderes Sicherheitsdenken durchgesetzt: Das Zero-Trust-Prinzip, das davon ausgeht, dass kein Nutzer und kein Gerät von vornherein als vertrauenswürdig gelten darf, hat die klassische Burgmauer-Metapher weitgehend abgelöst. Hinzu kommen Konzepte wie Defense in Depth, also die Kombination mehrerer, sich ergänzender Schutzschichten. Auf der Seite der Angreifer gibt es eine zunehmende Professionalisierung: Ransomware wird heute oft als Dienstleistung angeboten. Staatlich unterstützte Hackergruppen agieren mit erheblichen Ressourcen. Und die Angriffsfläche wächst durch das Internet der Dinge, vernetzte Produktionsanlagen und die allgegenwärtige Cloud-Nutzung stetig weiter. Wirtschaftlich betrachtet ist IT-Sicherheit längst kein Nischenthema für spezialisierte Abteilungen mehr, sondern eine Frage der Unternehmensexistenz. Ein erfolgreicher Ransomware-Angriff kann die Produktion wochenlang lahmlegen, sensible Kundendaten offenlegen und im schlimmsten Fall zur Insolvenz führen. Entsprechend hat sich IT-Sicherheit von einer rein technischen Disziplin zu einem Thema entwickelt, das Geschäftsführungen und Gesetzgeber intensiv beschäftigt, wie sich an Regulierungen wie der NIS2-Richtlinie der Europäischen Union ablesen lässt. |
| Was bedeutet IT-Souveränität? Digitale Souveränität beschreibt die Fähigkeit einer Firma, eines Staates oder einer Einzelperson, selbstbestimmt über die eigene digitale Infrastruktur, die eigenen Daten und die eingesetzten Technologien zu verfügen, ohne dabei in eine unkontrollierbare Abhängigkeit von externen Akteuren zu geraten. Der Begriff hat mehrere Dimensionen:
Auf rechtlicher Ebene geht es darum, welchem Rechtsraum die eingesetzten Technologien und die dort verarbeiteten Daten unterliegen. Auf wirtschaftlicher Ebene geht es um Marktmacht und die Frage, ob ein einzelner Anbieter durch seine dominante Stellung Preise, Verfügbarkeit und Konditionen einseitig diktieren kann. Und auf geopolitischer Ebene geht es um die strategische Handlungsfähigkeit eines Staates, auch unter Krisenbedingungen digital funktionsfähig zu bleiben. Die Debatte um digitale Souveränität ist in Europa besonders intensiv, weil der Kontinent bei digitalen Schlüsseltechnologien, allen voran Cloud-Computing, Betriebssystemen, Suchmaschinen und sozialen Netzwerken, in hohem Maße von US-amerikanischen und in geringerem Umfang chinesischen Anbietern abhängig ist. Diese Abhängigkeit wird durch Gesetze wie den US CLOUD Act verschärft, der US-Behörden unter bestimmten Voraussetzungen den Zugriff auf Daten erlaubt, die von US-Unternehmen verwaltet werden, selbst wenn diese Daten physisch in Europa gespeichert sind. Für europäische Unternehmen und Behörden, die z.B. Microsoft 365, Amazon Web Services oder Google Cloud nutzen, entsteht dadurch ein Spannungsfeld zwischen praktischer Funktionalität und rechtlicher beziehungsweise politischer Kontrolle über die eigenen Daten. Initiativen wie das europäische Cloud-Projekt GAIA-X, die verstärkte Förderung quelloffener Software in öffentlichen Verwaltungen oder Bestrebungen einzelner Bundesländer und Kommunen, sich von Microsoft-Produkten zu lösen, sind Ausdruck dieses Souveränitätsstrebens. Gleichzeitig zeigt sich in der praktischen Umsetzung, wie schwierig es ist, jahrzehntelang gewachsene technologische Abhängigkeiten kurzfristig aufzulösen, ohne Funktionalität zu opfern. Auch die Mitarbeiter (Anwender) sind beim Umstieg auf andere Oberflächen nicht immer flexibel. |
| Die Verbindung zwischen beiden Konzepten Eigentlich beschäftigen sich IT-Sicherheit und IT-Souveränität mit unterschiedlichen Fragen: Die eine fragt nach dem Schutz vor Angriffen, die andere nach der Kontrolle über die eigene Infrastruktur. Jedoch sind beide Themen miteinander verwoben. Ein Zusammenhang betrifft die Kontrolle über Verschlüsselung und kryptografische Schlüssel. Wer die Schlüssel zur Verschlüsselung von Daten kontrolliert, kontrolliert am Ende auch, wer auf diese Daten zugreifen kann. Wenn ein europäisches Unternehmen seine Daten bei einem US-Cloud-Anbieter verschlüsselt ablegt, der Anbieter jedoch technisch in der Lage ist, auf die Schlüssel zuzugreifen oder US-Behörden im Rahmen gesetzlicher Anordnungen dazu verpflichtet werden kann, Zugriff zu gewähren, dann ist die Verschlüsselung technisch zwar vorhanden, die tatsächliche Datenhoheit aber eingeschränkt. Konzepte wie Bring Your Own Key oder Hold Your Own Key, bei denen Kunden die Kontrolle über die Verschlüsselungsschlüssel behalten, sind ein direkter Versuch, Sicherheitstechnik zur Lösung eines Souveränitätsproblems einzusetzen. Ein weiterer Zusammenhang liegt in der Lieferkette. Ein zentrales Element moderner IT-Sicherheit ist die sogenannte Supply Chain Security, also die Absicherung der gesamten Kette von Hardware- und Softwarelieferanten, deren Produkte in die eigene Infrastruktur einfließen. Wer Chips, Router oder Softwarekomponenten von Herstellern bezieht, deren Quellcode oder Fertigungsprozess nicht überprüfbar ist, geht ein Sicherheitsrisiko ein, das sich kaum vollständig ausschließen lässt. Die politische Debatte um den Einsatz von Huawei-Komponenten in europäischen 5G-Netzen ist hierfür das prominenteste Beispiel: Sie war von Beginn an sowohl eine Sicherheits- als auch eine Souveränitätsfrage, da es um die Sorge ging, ein ausländischer, möglicherweise staatlich beeinflusster Hersteller könnte Hintertüren in kritische Infrastruktur einbauen oder im Krisenfall den Betrieb sabotieren. Der dritte Zusammenhang zeigt sich bei kritischer Infrastruktur. Energieversorgung, Wasserversorgung, Gesundheitswesen, Finanzsystem und öffentliche Verwaltung sind zunehmend digitalisiert und vernetzt. Ein Staat, der im Krisen- oder Konfliktfall nicht mehr auf funktionierende IT-Systeme zurückgreifen kann, weil zentrale Komponenten von einem ausländischen Anbieter kontrolliert werden oder abgeschaltet werden könnten, verliert nicht nur an Sicherheit, sondern auch an staatlicher Handlungsfähigkeit im umfassenden Sinne. Die Diskussion um sogenannte Kill-Switches in Software, mit denen Hersteller ihre Produkte aus der Ferne deaktivieren könnten, verdeutlicht, wie eng technische Sicherheitsarchitektur und politische Souveränität miteinander verzahnt sind. Der vierte Zusammenhang betrifft die wirtschaftliche Marktmacht großer Technologiekonzerne. Eine Marktkonzentration auf wenige Hyperscaler bedeutet nicht nur ein Abhängigkeitsrisiko im Sinne der Souveränität, sondern auch ein Sicherheitsrisiko im Sinne eines Single Point of Failure. Fällt ein zentraler Cloud-Anbieter durch einen technischen Defekt oder einen erfolgreichen Angriff aus, kann dies weltweit tausende Unternehmen gleichzeitig treffen, wie sich bei größeren Cloud-Ausfällen in der Vergangenheit bereits gezeigt hat. Diversifizierung und Souveränität wirken hier als Sicherheitsmaßnahme im eigentlichen Sinne der Resilienz. |
| Das Spannungsfeld zwischen Sicherheit und Souveränität So eng beide Konzepte miteinander verbunden sind, so deutlich zeigen sich auch Zielkonflikte. Reine Souveränität garantiert keineswegs automatisch ein höheres Sicherheitsniveau, möglicherweise im Gegenteil: Der Wechsel zu einem weniger etablierten, aber dafür europäischen Anbieter könnte im Einzelfall sogar zu einer Verschlechterung der tatsächlichen Sicherheitslage führen, wenn dieser Anbieter schlicht nicht über vergleichbare Sicherheitskapazitäten verfügt. Umgekehrt kann übermäßiges Vertrauen in vermeintlich sichere, aber wenig souveräne Strukturen zu einer trügerischen Sicherheit führen, die im Krisenfall, etwa bei politischen Spannungen oder Sanktionsregimen, plötzlich zusammenbricht. Diese Abwägung zwischen kurzfristiger Sicherheit durch etablierte, ressourcenstarke Anbieter und langfristiger strategischer Unabhängigkeit ist einer der zentralen Streitpunkte in der aktuellen europäischen Digitalpolitik. Hinzu kommt ein praktisches Problem: Digitale Souveränität vollständig zu erreichen, würde bedeuten, auf jahrzehntelang gewachsene, hochspezialisierte und globale Wertschöpfungsketten in der Halbleiterproduktion, Softwareentwicklung und Cloud-Infrastruktur weitgehend zu verzichten. Ein solcher vollständiger Rückzug in nationale oder europäische Eigenständigkeit ist wirtschaftlich kaum realistisch und würde selbst enorme Kosten und Effizienzverluste verursachen. Die politische und wirtschaftliche Realität bewegt sich daher meist in Richtung eines pragmatischen Mittelwegs: gezielte Förderung strategisch besonders sensibler Bereiche wie Verschlüsselungstechnologie, kritischer Infrastruktur und öffentlicher Verwaltung, während in weniger sicherheitskritischen Bereichen weiterhin auf globale, aber gut regulierte Anbieter zurückgegriffen wird. Die geopolitischen Verwerfungen der letzten Jahre, von der Corona-Pandemie über den russischen Angriffskrieg gegen die Ukraine bis hin zu wachsenden Handelskonflikten zwischen den USA, China und der Europäischen Union, haben das Thema digitale Souveränität von einer eher akademischen Debatte zu einem zentralen Gegenstand praktischer Politik gemacht. Die Europäische Union hat mit Regelwerken wie der NIS2-Richtlinie, dem Cyber Resilience Act und dem Data Act versucht, sowohl Sicherheitsstandards zu erhöhen als auch die Kontrolle über Daten und digitale Infrastruktur zu stärken. Gleichzeitig zeigen Diskussionen um mögliche Exportbeschränkungen für KI-Modelle oder Halbleiter, wie eng Sicherheits- und Souveränitätsfragen mittlerweile auch im Bereich neuer Technologien wie KI miteinander verknüpft sind. Für Unternehmen bedeutet dies in der Praxis, dass die Wahl von IT-Dienstleistern, Cloud-Anbietern und Softwarelösungen zunehmend nicht mehr nur nach Kosten und Funktionalität, sondern auch nach Kriterien wie Datenstandort, Rechtsraum, Exit-Strategien und langfristiger Verfügbarkeit bewertet werden muss. Für Staaten und öffentliche Institutionen wird die Frage, wie viel technologische Abhängigkeit von einzelnen ausländischen Anbietern tolerierbar ist, zu einer strategischen Grundsatzentscheidung, die weit über technische Erwägungen hinausreicht. Eine kluge digitale Strategie, sei es für Unternehmen oder für Staaten, wird daher beide Dimensionen nicht gegeneinander ausspielen, sondern in einer differenzierten Risikoabwägung zusammenführen müssen, die je nach Sensibilität der betroffenen Daten und Systeme unterschiedlich ausfallen kann. Die kommenden Jahre werden zeigen, ob es gelingt, diesen Balanceakt zwischen praktischer Sicherheit und strategischer Unabhängigkeit erfolgreich zu gestalten. |