Ein Gespenst geht um in Europa – das Gespenst der „digitalen Souveränität“. Zwar kann sich kaum jemand erinnern, sie schon einmal lebend gesehen zu haben, dennoch spukt sie munter mit rostiger Rasselkette durch die Debatten. Denn immer schmerzlicher wird klar: In IT-Belangen hat sich Europa über Jahrzehnte von den USA so abhängig gemacht wie Deutschland vom russischen Erdgas. Und wie die ganze Welt von China bei der Produktion von so ziemlich allem, was „Klonk!“ macht, wenn’s runterfällt.
Seit Donald Trumps Machtergreifung (doch, der Terminus ist korrekt, schaut in den Geschichtsbüchern nach!) ruckeln hiesige IT-Verantwortliche und Geschäftsführer unruhig auf ihren Stühlen hin und her. Man runzelt die Stirn und murrt hinter vorgehaltener Hand über das „erratische“ Handeln des US-Präsidenten. Gemeint ist: Im Weißen Haus herrscht nun jemand mit dem intellektuellen Horizont und der emotionalen Reife eines Achtjährigen, der sich endlich dafür rächen kann, dass ihm als Fünfjährigem die anderen Kinder mal das Sandschäufelchen geklaut haben. Nur dass dieser geistige Grundschul-Bully gestützt wird durch einen wohlorganisierten Apparat reaktionärer, libertärer und religiös-fundamentalistischer Antidemokraten – und dass er direkten Zugriff hat auf die größte Militärmacht der Welt.
Ausmaß und Brisanz der Abhängigkeit von US-amerikanischer Digitaldominanz zeigten sich im Mai. Da berichtete AP News: Das Trump-Regime hatte Druck ausgeübt, um den Internationalen Strafgerichtshof (IStGH) an der Arbeit zu hindern, hatte doch IStGH-Chefankläger Karim Khan unter anderem Trumps Busenfreund Benjamin Netanyahu mit einem Haftbefehl belegt. Daraufhin, so AP, sperrte Microsoft das E-Mail-Konto Khans, sodass dieser nicht mehr weiterarbeiten konnte und auf den Schweizer Provider Proton Mail ausweichen musste.
Auch in Deutschland erregte der Vorfall Aufsehen. So sprach das IT-Portal heise von einem „Weckruf für die digitale Souveränität“.
Wie aber weckt man etwas aus dem Dornröschenschlaf, das über Jahrzehnte sehenden, wenn auch offenbar kurzsichtigen Auges in selbigem gehalten wurde? Zumal sich dieser Schlaf unter der Überschrift „generative KI“ zum Koma auszuwachsen droht?
Darüber habe ich in einem sehr anregenden Telefonat mit Manuel Atug gesprochen. Atug ist Gründer und Sprecher der unabhängigen AG KRITIS sowie ausgewiesener Fachmann für den Schutz kritischer Infrastrukturen. Und er hat eine angenehm klare Vorstellung davon, was es braucht, um unsere gespensterhaft schlaftrunkene digitale Souveränität wachzurütteln. Spoiler Alert: Es braucht weder KI-Gigafactories noch einen Cyberdome.
Manuel Atug, Gründer und Sprecher der unabhängigen AG KRITIS
Bildquelle: Manuel Atug / (c) Katrin Chodor Photography
Hallo Herr Atug, in der aktuellen Diskussion werden digitale Souveränität und digitale Autarkie oft gleichgesetzt. Die Rede ist von Souveränität, aber man merkt: Im Hinterkopf spukt der Wunsch, autark zu sein. Wie ist digitale Souveränität von digitaler Autarkie abzugrenzen – und warum?
Echte Autarkie würde bedeuten, dass wir selber die seltenen Erden aus den Minen schürfen, selber Chips bauen, selber Rechner bauen, selber Clouds betreiben, selber KI betreiben usw. Da will niemand hin, das ist unbezahlbar, abstrus und unrealistisch. Was es ebenfalls nicht braucht, sind nationale Lösungen. Dann hätten wir eine Form von Abgrenzung, die nicht funktioniert. Denn wenn jedes Unternehmen, jede Einrichtung und jede Behörde in allen Ländern so denken würden, hätten wir das Problem, dass wir mit anderen keine Handelswaren mehr tauschen.
Souveränität bedeutet, dass ich selbstbestimmt aus einer Vielfalt im Wettbewerb entscheiden kann, welche Lösungen mit welchen Vorteilen und Nachteilen ich einkaufe. Wenn aber Anbieter eine marktbeherrschende Stellung einnehmen, dann habe ich lediglich Pseudosouveränität. Wichtig ist eine echte Auswahl aus einem vielfältigen Wettbewerb, zudem maschinenlesbare Schnittstellen und offene Standards statt proprietärer Lösungen, um den Wechsel zu ermöglichen.
Wie gut ist die EU heute bezüglich digitaler Souveränität aufgestellt, wo besteht der größte Nachholbedarf?
Die EU hat in vielen Gebieten sehr nachgelassen und vieles vom Ausland aufkaufen lassen. Die Telekom zum Beispiel hat Mobilfunkmasten an Amerikaner verkauft und dann zurückgemietet. Damit gibt man natürlich Souveränität aus der Hand. Hinzu kommt, dass China eine Strategie der Deindustrialisierung anderer Länder verfolgt. Das führt zu einer Desouveränisierung dieser Länder.
Der größte Nachholbedarf in der EU besteht nicht darin, dass wir KI-Gigafactories haben müssten. Vielmehr müsste jede Einrichtung zunächst erfassen: Welche Assets an Hardware und Software haben wir, woher kommen diese Assets, und wie stark ist der Vendor Lock-in? Das ist die Grundlage, um vom Vendor Lock-in wegzukommen.
Was sind die wichtigsten Schritte für mehr digitale Souveränität auf EU-Ebene?
Wichtig ist erstens Rechtsdurchsetzung. Wir haben eine gute Regulatorik – die DSGVO zum Beispiel ist sogar ein Exportschlager. Aber die Rechtsdurchsetzung bestimmt darüber, ob wir die Regulatorik auch einhalten können. Außerdem brauchen wir statt der KI-Gigafactories nachhaltige und sinnvolle Wirtschaftsförderung. Wir können Grundlagenforschung und Produktdesign gut, aber nicht die Vermarktung. Das müssen wir fördern, damit die gesamte Wertschöpfungskette stabil wird. Europäische Produkte zu fördern, bedeutet auch, europäische Werte zu vertreten. Wir müssen aus der Spirale ausbrechen, eine KI zu nutzen, um KI zu nutzen, als Selbstzweck. Zuerst muss das Ziel definiert werden, dann die Mittel, mit denen ich das Ziel erreichen möchte, garniert mit einer Risikoanalyse. Und dann müssen wir die Diskussion ehrlich führen.
… und auf Unternehmensebene?
Unternehmen benötigen als Erstes eine Asset-Analyse mit Blick auf Vendor Lock-in, offene Standards und Schnittstellen. Dann müssen Schritte folgen, um den Vendor Lock-in Stück für Stück abzubauen, das muss ein strategisches Unternehmensziel sein. Der Vendor Lock-in ist der „Elefant im Raum“. Und wie isst man einen Elefanten? Nicht am Stück, sondern scheibchenweise!
Wir haben digitale Souveränität in drei Schritten verloren: Erstens haben wir Hardware in externe Rechenzentren gestellt. Zweitens haben wir mit der Cloud-Nutzung die Verarbeitungslogik und Applikationen aus der Hand gegeben. Und drittens geben wir nun die Daten aus der Hand, indem wir sie der KI in den Rachen werfen.
Für manches gibt es keine direkte praktikable Alternative, etwa für die Marktvorherrschaft von Apple und Android. Aber andere Dinge kann ich ändern, siehe zum Beispiel die Website european-alternatives.eu.
In welchen Fällen kann man den Behörden und Unternehmen eine Hyperscaler-Nutzung (ob aus den USA oder China) heute noch empfehlen?
Man muss eine ehrliche, unaufgeregte Risikoanalyse durchführen, um ein vollständiges Risikobild zu erhalten. Das wird oft schöngerechnet, nach dem Motto: Ich nehme einfach die ‚souveräne‘ Lösung von US-Anbieter XY. Hier hilft die Frage: Was ist bei einem Kontext-Switch? Davon gibt es zwei Arten: Machtmissbrauch und Erlösmaximierung. Was ist zum Beispiel, wenn der Anbieter bösartig Profit machen will, wie Broadcom mit VMware? Was mache ich, wenn der Anbieter – aus welchen Gründen auch immer – meine Umgebung abschaltet oder keine Sicherheitsupdates mehr bereitstellt? Kann ich bei einem Kontextwechsel weiterarbeiten? Wie lange brauche ich für den Anbieterwechsel? Bei dieser Analyse sollte man nicht zu kleinteilig vorgehen. Das Risiko ist niedrig, mittel oder hoch, das bekommt jeder Vorstand und jede KMU-Geschäftsführung hin.
In welchen Fällen sollte Open Source der bevorzugte Ansatz für Behörden und Unternehmen sein?
Zunächst muss man Open Source als Ökosystem verstehen, nicht als: Ich kaufe – wie bei proprietärer Software – alles aus einem Guss von einem Anbieter, inklusive Schulung, Wartung und Support. Ich muss hier die Rahmenbedingungen berücksichtigen. Ich kann nicht nur Open Source einsetzen, sondern ich muss auch den Rahmen dafür schaffen, also von Dienstleistern zukaufen oder das Know-how selber aufbauen. Außerdem muss ich alle Mitarbeitenden abholen und entsprechend fortbilden, denn sie haben dann eine veränderte Umgebung. Wer schon mal ein Windows-Upgrade mitgemacht hat, weiß, dass allein das schon große Veränderungen mit sich bringt. Auch die Schnittstellen nach außen muss ich berücksichtigen, z.B. von LibreOffice zu Microsoft Office. Sonst entsteht Frustration bei den Mitarbeitenden und Partnern.
Open Source heißt nicht gleich offene Standards, aber viel Open Source basiert auf offenen Standards. Diese können einen sehr hohen Automatisierungsgrad an den Tag legen. Aber ich darf nicht einfach 1:1 zu Open Source wechseln, das wird ein Rohrkrepierer. Ich muss richtig in Richtung Open Source transformieren. Dann kann ich den Lock-in beseitigen und gleichzeitig produktiver und nebenbei auch wirklich souveräner werden. Das geht aber nicht „mal eben“ mit allen Prozessen und vorrangig klappt das ganz gut in den Serverlandschaften.
Was wäre der primäre organisatorische oder gar strategische Schritt für Unternehmen, um sich über den – hoffentlich bereits umgesetzten – IT-Grundschutz laut BSI (Bundesamt für Sicherheit in der Informationstechnik) hinaus in Richtung Cyberresilienz zu bewegen?
Dazu muss man wissen, was Resilienz tatsächlich ist. Resilienz heißt: Es gibt ein Ereignis, das eine Störung, eine Katastrophe oder eine Krise bewirken kann, indem es zu einer Bedrohung oder einer konkreten Gefährdung wird. Ich muss dann schauen: Wie kann ich dieses Ereignis so mit Gegenmaßnahmen adressieren, dass es keine Krise oder Katastrophe wird, sondern maximal eine Störung, die bis zu einem gewissen Grad akzeptabel ist. Das heißt, die Auswirkungen des Ereignisses verpuffen wirkungslos. Dann ist man resilient.
Wenn man das verinnerlicht hat, sind all die offensiven Maßnahmen, von denen in der Politik die Rede ist, wirkungslos, zum Beispiel Dobrindts Cyberdome, den ich klar als ein „Maut-2.0-Projekt“ bezeichne. Früher – und das ist lange her – hat man in der IT-Sicherheit so gedacht: Man muss eine super Firewall haben, dann ist alles innerhalb des Netzwerks egal. Inzwischen hat man gemerkt: Das hilft nicht. Das BSI sagt explizit: Wir brauchen Prävention, Detektion und Reaktion. Wir müssen die Ereignisse also auch detektieren und dann angemessen reagieren. Das heißt, ich brauche defensive Resilienzmaßnahmen wie sichere und sorgfältige Softwareentwicklung und sicheren Betrieb von Systemen, keinen dekorativen aber wirkungslosen Cyberdome. Denn damit werden wir keine Resilienzsteigerung erzielen.
Resilienz erziele ich vor allem, indem ich über Backups und getestete Wiederherstellung verfüge. Das ist aber selbst bei staatlichen Stellen immer noch nicht üblich, siehe den inzwischen öffentlichen Bericht des Bundesrechnungshofs zu den 100 Rechenzentren des Bundes. Von diesen Rechenzentren haben längst nicht alle Backups, und keines hat die Wiederherstellung getestet. Und da reden wir nicht von Unternehmensgewinnen, sondern von der Souveränität des Staates! Deshalb sage ich ganz klar: Vergesst dieses Cyberdome-Maut-2.0-Desaster und investiert lieber in Backup, Wiederherstellung und Georedundanz – das haben nämlich auch nicht alle. So bewirkt man echte Resilienz: Indem man tatsächlich erst mal den Grundschutz umsetzt!
Oder noch banaler: Wir würden schon eine hohe Resilienz bewirken, wenn wir alle Fernwartungs- und Fernadministrationszugriffe nach Grundschutz-Baustein „Fernwartung“ oder „Fernwartung für industrielle Umgebungen“ absichern würden. Jede der dort genannten Maßnahmen liest man und denkt sich: Ja, klar, ergibt Sinn, wieso diskutieren wir darüber? Dennoch gibt es ganz viele Umgebungen hierzulande und weltweit, bei denen diese Basismaßnahmen der Fernadministration nicht umgesetzt sind. Das wäre ein Quick Win, mit dem man sehr viel Resilienz aufbauen kann. Das sind alles Basics, also Basismaßnahmen – darum heißt es ja „Grundschutz“ –, aber wir sind noch weit davon entfernt, diese Basis-Schutzmaßnahmen überall umgesetzt zu haben.
Was sind Ihrer Erfahrung nach die hauptsächlichen Hürden für ein hohe Cyberresilienz-Niveau in den Unternehmen?
Wir haben zwei Hürden, um digitale Resilienz aufzubauen. Die eine ist die mangelnde digitale Kompetenz, die zweite ist mangelnde digitale Souveränität. Aber es gibt keinen Shortcut für Jahrzehnte der Versäumnisse. Wer die Abkürzung sucht, hat das Problem nicht verstanden. Was man machen kann ist eine Vielfalt von Maßnahmen, eingeteilt in kurz-, mittel- und langfristige Maßnahmen. Eine langfristige Maßnahme wäre es, digitale Kompetenz in die Ausbildung zu integrieren. Wir brauchen in der Bildungspolitik durch die Bank integrierte digitale Kompetenz – schon im Kindergarten, in der Schule, in der höheren Schule und vor allem auch in den IHK-Ausbildungen. Denn die Digitalisierung hat bereits alle Teile unseres Lebens durchdrungen. Wenn jemand am Straßenverkehr teilnehmen will, macht er den Führerschein, damit alle Verkehrsteilnehmer sicher sind. Im Digitalen hingegen sind die Hürden niedrig, aber die Gefahren sind wie überall auch vorhanden.
Wir müssen das Wissen über IT-Sicherheit und Resilienz in die Breite und in die Masse bringen. Resilienz kann ein Staat nur erreichen, wenn die meisten Menschen in der Lage sind, das abzubilden. Das ist das Gleiche wie beim Katastrophenschutz: Wenn alle einen Notvorrat haben, dann sind wir resilient, denn dann können wir uns alle versorgen. Wenn nur sehr wenige Vorräte haben, funktioniert es nicht.
Kurzfristig könnte man als ein Beispiel für eine Maßnahme – das ist also keine „Silver Bullet“ – umsetzen, was auch NIS 2 [die EU-Richtlinie „Network and Information Security 2“] von allen Unternehmen fordert, die unter die EU-Richtlinie fallen: Alle in der Geschäftsleitung müssen Schulungen zum Informationssicherheits-Risikomanagement bekommen, damit sie verstehen: Was sind die Risiken? Was sind die Maßnahmen, um diesen Risiken zu begegnen? Und wie wirken sie auf das eigene Geschäft?
Ich habe schon mehrere Unternehmen zu NIS 2 geschult, teils den gesamten Vorstand von KRITIS-Betreibern. Meist hört man dann zuerst: Ja, aber der Vorstandsvorsitzende hat doch nicht vier Stunden Zeit! Muss er das denn machen, kann man das nicht an die nächste Führungsebene delegieren? Die Antwort lautet immer: Nein, Verantwortung kann man nicht delegieren. Wenn man echten Know-how-Transfer auf Geschäftsleitungsebene aufbereitet, sagen aber hinterher alle: Das war ein Augenöffner, jetzt habe ich endlich begriffen, wie man Risiken in der Informationssicherheit betrachten muss! Ich habe auch schon erlebt, dass eine Schulung erst von vier auf zweieinhalb Stunden verkürzt werden musste, der Vorstandsvorsitzende aber dann nach diesen zweieinhalb Stunden sagt: „Können wir bitte verlängern und das dritte Szenario auch noch durchspielen?“
Oft wird schon während einer solchen Schulung diskutiert: Haben wir so ein Risikolagebild? Eigentlich müsste jedes Unternehmen eine echte inhaltliche Schulung durchführen, um grundsätzlich die Risiken im Informationsmanagement einschätzen zu können. Es liegt schließlich im ureigensten Interesse jeder Unternehmensleitung, Geschäftsrisiken zu verstehen.
Liest man die NIS-2-Richtlinie durch, dann steht da sehr konkret: Wir hätten gerne defensive Maßnahmen für digitale Resilienz im EU-Wirtschaftsraum – liebe Mitgliedsstaaten, setzt das bei all euren relevanten Unternehmen und Einrichtungen um! Aber 19 Staaten, darunter Deutschland, hatten beim Start des Vertragsverletzungsverfahrens diese Richtlinie immer noch nicht umgesetzt. Das zeigt, wie schleppend die Umsetzung defensiver Maßnahmen in den EU-Nationen erfolgt. Es ist eine Hürde für Cyberresilienz, wenn die Rechtsdurchsetzung ausbleibt. Ein weiteres Problem ist die Verantwortungsdiffusion. Keiner trägt mehr Verantwortung für Versäumnisse. Auch das ist eine Unterwanderung einer Rechtsdurchsetzung.
Sicherheit kostet Geld, und Souveränität auch. Da muss man abwägen: Wie viel bin ich bereit zu tragen? Wie weit will ich das Pendel in welche der beiden Richtungen ausschlagen lassen?
Gibt’s einen abschließenden Punkt zum Thema, der Ihnen besonders wichtig ist?
Man darf nie die Hoffnung verlieren! Reiberei und Kompromiss sind in der Demokratie eine tägliche Aufgabe. Wenn die eine Partei laut schreit, heißt das nicht, dass die andere Partei klein beigeben muss. Positives wird selten kommuniziert, das bringt nicht die Schlagzeilen. Wenn man sich aber in Gruppen organisiert, sieht man, dass vieles gut läuft und viele Menschen viel Gutes tun. Wenn man sich mit Gleichgesinnten austauscht, sieht man: Man ist nicht allein, andere haben das gleiche Problem, aber es gibt gute Lösungen, die umgesetzt wurden. Das wird auch im sozialen Miteinander stark unterschätzt. Der Austausch über Erfolge, und auch kleine Erfolge mal zu genießen, führt dazu, dass man intrinsisch motiviert bleibt, um die Lage weiter zu verbessern. Mit Wissen kommt Verantwortung. Und wer mehr Wissen erlangt, kann dann der Verantwortung gerecht werden.
Hat euch dieser Text gefallen? Dann erzählt doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Titelbild: (c) Wolfgang Traub
IT Info 2 Go 
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.