In IT-Sicherheitsfragen agierten die USA jahrzehntelang als der große Bruder Europas: Aus Amerika stammt viel IT-Security-Hardware und -Software, zudem ein Großteil des Security-Unterbaus, von den Cloud-Plattformen über die Schwachstellen-Klassifizierung bis zu Informationen über Bedrohungen. Diese Vormachtstellung der USA brockt Europa in Zeiten eines egomanisch-imperialistischen US-Präsidenten große Probleme ein. Schnelles Handeln ist gefragt.
Die sonnige Rolle der USA als „Big Brother“ der globalen IT-Infrastruktur hat auch Schattenseiten. Das wissen wir spätestens seit den Enthüllungen des Whistleblowers Edward Snowden. 2013 sorgten diese für Wirbel im digitalen Wasserglas, bevor man schnell wieder zur Tagesordnung überging.
Letzthin aber droht diese Familienaufstellung für Europa richtig unangenehm zu werden. Denn der aktuelle US-Präsident benimmt sich nicht wie ein wachsamer großer Bruder, sondern wie ein Grundschul-Bully, der auf dem Pausenhof den anderen Kindern das Taschengeld abknöpft und das dann „The Art of the Deal“ nennt.
Der – offenbar zunehmend demente – Bully und sein Umfeld sind auf Europa nicht gut zu sprechen. Schließlich steht die EU für eine konkurrierende Wirtschaftsmacht, USA-kritische Stimmen und eine EU-Kommission, die versucht, das Oligopol der libertären Bully-Buddies aus dem Silicon Valley einzudämmen.
Der Bruch der USA mit den Werten des Partners Europa, der sich mit der Rede von US-Vize J.D. Vance bei der Münchner Sicherheitskonferenz abzeichnete, ist mit der im Dezember vorgestellten nationalen US-Sicherheitsstrategie nun amtlich: Europa wurde – mit Ausnahme der diversen rechtsradikalen Parteien in der EU – aus dem Schoß der reaktionären Trump-Sippschaft verstoßen.
Neben politischen Herausforderungen bringt diese Entwicklung mehr IT-Risiken für europäische Unternehmen und Verbraucher – und das in eh schon denkbar unrosiger IT-Sicherheitslage. Denn, wie die Stiftung Wissenschaft und Politik (SWP) kürzlich warnte: „Europas Cybersicherheit hängt an den USA“.
Wie die SWP-Analystin Alexandra Paulus darlegt, „dominieren US-amerikanische Unternehmen den weltweiten Markt für Cybersicherheits-Anwendungen ebenso wie für Informationen über entsprechende Bedrohungen“ – Letzteres auch dank des landeseigenen Geheimdienst- und Militärapparats. Zudem unterstütze die US-Regierung das für Security-Belange wichtige Open-Source-Ökosystem wie auch die systematische Schwachstellenerfassung finanziell, so Paulus mit Blick etwa auf die CVE-Datenbank (Common Vulnerabilities and Exposures). Auf die CVE-Systematik stützen sich Security-Anbieter international. Das bedeutet laut SWP, „dass Europas Handlungsfähigkeit in diesem Bereich begrenzt ist und es auch mit einem eigenen ,EuroStack’ noch bliebe.“
Drei Ventilatorszenarien
„The shit hits the fan“ („die Kacke schlägt auf dem Ventilator auf“), sagt der Ami, wenn selbige für den Deutschen am Dampfen ist. Als ventilatorverdächtig können sich die Abhängigkeiten Europas in drei Szenarien erweisen, die Paulus diskutiert:
- Szenario: Die US-Regierung kappt ihre finanzielle Unterstützung für Cybersicherheit. Das drohte bereits: MITRE, eine mit US-Regierungsmitteln finanzierte Organisation, warnte vergangenen April, sie werde den Betrieb der CVE-Datenbank einstellen müssen. Erst in letzter Minute wurde diese Entscheidung korrigiert.
- Szenario: Die US-Regierung ändert ihre politischen Prioritäten. Laut Medienberichten gab US-Verteidigungsminister Pete Hegseth dem United States Cyber Command vor, Cyberoperationen gegen Russland auszusetzen; auch habe die US-Behörde CISA ihre Mitarbeiter angewiesen, Informationen über russische Bedrohungen nicht mehr weiterzuverfolgen. Beide Behörden dementierten die Berichte. Aber dass sich die politischen Prioritäten der USA unter Trump verschoben haben, ist offensichtlich.
- Szenario: Die US-Regierung setzt die Abhängigkeit Europas in IT-Fragen gezielt als Waffe ein. Eben dies droht nun angesichts der neuen US-Sicherheitsstrategie. Zumal Trump ein Auge auf Grönland geworfen hat.
Der Rat der SWP-Analystin: „Deutsche und europäische Entscheidungsträger:innen sollten jetzt gezielt Maßnahmen ergreifen, um die Abhängigkeiten zu reduzieren und so die Cybersicherheit in Europa langfristig zu schützen.“ Sie schlägt vor, europäische CTI-Anbieter (Computer Threat Intelligence, Bedrohungsinformationen) zu bevorzugen, die Rechtslage für Security-Forschende zu verbessern (ein Plan, der mit dem Ende der Ampel-Koalition aufs Abstellgleis geriet), auf eine EU-eigene Schwachstellen-Datenbank zu setzen (die es inzwischen gibt) und bei der Security-Ausstattung die Abhängigkeit von den USA zu reduzieren. Hierfür kommen laut Paulus neben Security-Anbietern aus der EU auch solche aus Drittstaaten wie etwa Israel in Frage.
Security-Schwergewichte USA und Israel
Neben US-Anbietern nehmen insbesondere israelische Firmen in der IT-Security häufig eine Spitzenposition ein – gerne als binationales Konglomerat, also mit Firmensitz (auch) in den USA, aber Entwicklung in Israel. Deshalb stellt sich die Frage: Warum liegen die USA und Israel hier vorn – und nicht das Land der Dichter, Denker, Ingenieure und Alles-zu-100-Prozent-sicher-machen-Woller?
„Israel ist aufgrund seiner geopolitischen Situation ein Land, in dem Security sozusagen mit der Muttermilch aufgesogen wird“, kommentiert Stefan Strobel, als Mitgründer und Geschäftsführer des Heilbronner Security-Hauses Cirosec ein Kenner der Szene. „Hinzu kommt, dass sich das israelische Militär intensiv mit Security-Themen beschäftigt, sodass Fachleute, wenn sie den Militärdienst verlassen, mit ihrem Wissen Startups gründen können.“
Eine wichtige Rolle spiele – in den USA wie in Israel – die Verfügbarkeit großer Mengen an Risikokapital: „In Israel und den USA sind sehr starke Venture-Capital-Strukturen etabliert“, sagt Strobel. „Wer es schafft, mit fünf Leuten einen Prototypen zu produzieren, erhält ein Seed Funding, dann ein Series A Funding und so weiter. Viele Gründer bringen Unternehmen in Serie an den Start.“
In Deutschland hingegen fehle diese Kultur. „Startups in Deutschland ticken anders“, so Strobel. „Sie suchen das Venture Capital nicht, würden es hier aber auch nicht so schnell finden.“ Zudem herrsche in Deutschland eine andere Mentalität: „Man will alles richtig machen – und nicht nur genug machen, um die nächste Venture-Capital-Runde zu erreichen.“
Deshalb gebe es hier zwar durchaus Startups, auch in der Security, aber nicht so stark in Zukunftsbereichen, wo man mit Risikokapital „richtig Gas geben“ könne. „Und wenn es mal eine spannende deutsche Firma gibt“, so Strobel, „dann wird sie an einen finanzkräftigen US-Anbieter verkauft, siehe Hornetsecurity und Proofpoint.“
Limitierte Produktauswahl
Wolle ein hiesiges Unternehmen bei der Security-Produktauswahl auf Lösungen aus der EU zurückgreifen, seien ihm deshalb enge Grenzen gesteckt, so der Branchenkenner. Als Beispiel nennt er die ML-gestützte (Machine Learning) Endpunktsicherheit (Endpoint Detection and Response, EDR): „Was mache ich, wenn ich eine EDR-Lösung aus Europa beziehen möchte? Natürlich gibt es Anbieter wie Bitdefender aus Osteuropa, die französische Tehtris oder WithSecure aus Finnland, aber das sind alles eher Nischen-Player. Das meiste spielt sich im EDR-Segment eben zwischen SentinelOne, CrowdStrike und Microsoft ab.“ Also zwischen US-Playern.
Besser sei die Lage aber bei der Suche nach Dienstleistungen, etwa nach dem 24/7-SOC-Betrieb (Security Operations Center): „In Ausschreibungen liest man immer wieder, dass Unternehmen aus Deutschland betreut werden möchten, dass das SOC aus DSGVO-Gründen in der EU stehen soll und dass es wünschenswert wäre, wenn der Support Deutsch spricht“, berichtet Strobel. Hier können also heimische Anbieter punkten – wobei diese allerdings oft US-Technologie nutzen.
Vor diesem Hintergrund erachtet es der Cirosec-Chef als nützlich für mehr digitale Souveränität, die europäische Security-Industrie zu fördern und sie bei Ausschreibungen der Öffentlichen Hand zu bevorzugen. Schließlich komme so das Geld der Steuerzahler der eigenen Wirtschaft zugute.
Globalisierung rückwärts
„Früher dachte man: Es gibt Globalisierung, eine offene Welt, einen offenen Markt“, merkt Strobel an, „aber dieser offene Markt wird von Trump und vielen anderen gerade komplett pervertiert. Wenn die Politik nicht versucht, Weichen zu stellen und die heimische Wirtschaft zu stärken, haben wir gar keine Chance, langfristig unabhängig zu sein.“
Dies habe man in der Vergangenheit „nahezu komplett ignoriert“, so der Fachmann: „Wir haben keine europäischen Intel-kompatiblen Chips, keine europäischen Betriebssysteme, während die USA, China und auch Russland eigene Technologien aufgebaut haben.“
Eine Förderung der heimischen IT- und IT-Security-Industrie ist also dringend nötig. Doch auch jenseits finanzieller Unterstützung sieht Strobel Ansätze, um die europäische Security-Landschaft zu stärken. „Es tut sich an vielen Stellen viel“, sagt er. „Das reicht von den Diskussionen über Ausschreibungen bis zu der Entwicklung, dass immer mehr Hochschulen Security-Schwerpunkte anbieten. Damit bringen sie Spezialisten auf den Arbeitsmarkt, die auch potenzielle Gründer sein könnten.“
Zudem gebe es auch hierzulande Startup-Events, um junge Firmen mit Venture Capital zu versorgen. „Das ist natürlich alles noch nicht auf dem Niveau wie in den USA oder Israel“, so Strobel, „aber ein guter Anfang.“
Die Zeit drängt
Das Fazit aus den Ausführungen der beiden Fachleute: Die kleine Europa sollte schleunigst das Bällebad verlassen, ihre IT-Security grundlegend überdenken und dabei möglichst bald auf eigenen Füßen stehen. Sonst fliegt uns die Cybersecurity-Lage mangels Hilfestellung durch den vormals wachsamen, nun aber ins Oligarchisch-Imperialistische gekippten Bruder um die Ohren.
Oder wir fragen halt bei den russischen und chinesischen Cybercrime-Gangs an, ob sie mit ihren Angriffen ein wenig warten könnten, bis wir unsere IT-Security auf die Reihe gebracht haben. Begründen könnten wir das mit jenem geflügelten Wort Angela Merkels aus der Zeit, als Deutschland via Edward Snowden von der Big-Brother-Maschinerie des großen Bruders erfuhr: „Das Internet ist für uns alle Neuland“ – und hochmoderne Cyberabwehr eben erst recht. Also bitte noch etwas Geduld, dann schaffen wir das!
Hat euch dieser Text gefallen? Dann erzählt doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Bild: Dr. Wilhelm Greiner
IT Info 2 Go 