Kommentar : Souverän könn(t)en wir sein, wenn …
Unser Autor Ramon Mörl greift in seinem vorliegenden Kommentar das Thema "Digitale Souveränität" auf und ergänzt einige Gedanken zum Editorial der <kes> 2025 #5.
Digitale Souveränität wird im Editorial zu <kes> 2025 #5 „Souverän sind wir“ als Wunschszenario beschrieben – als Weg dorthin wird die verstärkte Nutzung von Open Source angeboten. Die nachfolgenden Gedanken aus der Praxis möchten dieses Szenario aufgreifen und erweitern:
Zu Recht wird die Macht des „wir“ hervorgehoben. „Wir“ definiert sich jedoch für digitale Teilnehmer* unterschiedlich – Individuen bewegen sich in vielen Communitys: Beruf, Familie, Freundeskreis, soziale Medien, politische Überzeugungen et cetera. Wie in diesen Communitys „Mehrheiten“ entstehen, ist verblüffend: Die Verführungskraft von einfach verdientem Geld oder geringeren bis gar keinen Ausgaben für digitale Leistungen bildet Nutzungsgruppen. In der Digitalökonomie handeln viele Akteure rechtschaffen, einige egoistisch gegenüber dem Gemeinwohl, wenige sind kriminell – Letztere definieren den Schutzbedarf der Mehrheit. Ein „wir“ dieser Mehrheit wäre ein mächtiges Instrument. Wie aber erschaffen wir dieses Instrument – wer orchestriert das?
„Crime as a Service“ macht es notwendig, nicht nur das eigene Datenverhalten zu hinterfragen, sondern auch die Haltung der Organisationen, denen wir Daten anvertrauen (müssen). Haben sie das gleiche Interesse am Schutz unserer Daten? Welche Ziele verfolgen sie? Zu welchem „wir“ gehören sie? Und: Bilden „wir“ als Demokraten eine Community, die sich gegen demokratiegefährdende Fake News und Demokratiezersetzung aktiv zur Wehr setzt?
„Wir“ haben kein Erkenntnisproblem, nutzen unser Wissen aber nicht für Entscheidungen. Sicherheit nach dem günstigsten Preis zu kaufen, ist Unsinn – dennoch tun wir es häufig. Anzunehmen, dass ein asiatischer Staubsaugerroboter, dem man per App das Passwort des eigenen WiFi-Zugangs anvertraut, Grundriss und Adresse einer Wohnung nur zur besseren Reinigung auf ausländische Server lädt, ist naiv. Glauben wir, dass Haushaltsgeräte und Sprachassistenten frei von Hintertüren sind? Vertrauen wir auf Händler, Hersteller oder auf den kommenden Cyber-Resilience-Act (CRA)? Was würden wir tun, wenn wir wüssten, dass ein Gerät eine digitale Hintertür enthält oder etwas macht, was wir nicht wollen – den Hersteller, Händler, die Polizei oder das BSI informieren? Und was genau wollen wir eigentlich nicht?
Zu Beginn der iPhone-Ära wurde vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) dokumentiert, dass Apples AGB dem damals geltenden Datenschutz widersprachen. Einige Automobilhersteller können Mikros und Kameras ohne Information an den Fahrer aktivieren – auch das widerspricht unserem Datenschutzverständnis. Angesprochene Verantwortliche wälzen so etwas gern auf die freie Entscheidung des Bürgers ab, solche Produkte (nicht) zu kaufen – Staat und Rechtsprechung sollten sich besser nicht in den Markt einmischen. Wie wäre es dann wenigstens mit verbindlichen juristischen Erkenntnissen als einen verpflichtenden Beipackzettel für „uns“?
Die nationale Sicherheitsstrategie Deutschlands (NSS) besagt: „Staat, Wirtschaft, Wissenschaft und Gesellschaft müssen gemeinsam die Cybersicherheit stärken. Die Bundesregierung wird regelwidriges und aggressives Verhalten von Cyberakteuren nicht hinnehmen …“ Damit ist klar beschrieben, dass die angeführte Mehrheit durch ihre staatliche Repräsentanz gemeinsam agiert (oder agieren will), um den digitalen Raum sicherer zu gestalten. Doch mit welcher Konsequenz? So war etwa die Verhaftung des britischen Cybercrime-Dienstleisters Olli H. ein Erfolg – der mithilfe seiner Betrugssoftware verursachte Schaden von über 100 Mio. Euro konnte jedoch nicht an die betroffenen Bürger zurückgeführt werden. Laut einer Bitkom-Studie fühlen sich 70 % der Deutschen im Cyberraum nicht gut geschützt. Diese Mehrheit wünscht sich besseren Schutz: ein staatliches, kooperatives Schutzversprechen für Bevölkerung und Wirtschaft. Wer aber schafft eine Plattform für sichere und verlässliche Kooperation, wenn sich steuerkonsumierende Organisationen nicht einmal über ihre praktischen Erfahrungen beim Einkauf und Betrieb von Cyber-Sicherheitslösungen austauschen dürfen?
Eine Möglichkeit ist Open Source. Dabei wird aber gern vernachlässigt, dass zwar jeder offenen Source-Code einsehen kann, aber kaum jemand die Qualitätskontrolle übernimmt. Überdies wissen „wir“ von über 10000 angegriffenen GitHub Accounts und politisch motivierten Hintertüren in Open-Source-Code. Aber wenden wir dieses Wissen auch an? Die Kernfrage ist wie „wir“ – also Staat, Wirtschaft, Wissenschaft und Gesellschaft – Vertrauensketten bilden, entlang derer IT-Sicherheit im digitalen Raum entsteht, die für alle, auch ohne IT-Fachkenntnisse, nutzbar ist! Der Koalitionsvertrag der deutschen Bundesregierung definiert im Kapitel „Resilienz stärken“ eine nationale beziehungsweise europäische Umsetzungspraxis beim Schutz im Cyberraum – das ist ein guter Anfang. Wichtig wäre nun, dass „wir“ alle mitziehen und dass staatliche Organisationen ihre Vorbildfunktion wahrnehmen.
Weitere Beiträge zum Thema „Digitale Souveränität“
- Vorschau: Für <kes> 2026 #1 ist eine Experten*-Umfrage zum Thema vorgesehen.
- Souveränität umfassend definiert, Warum digitale Souveränität viel mehr ist als nur Datensouveränität, <kes> 2025 #4
- Souveränität global geliefert, Wie stabilisiert Europa die Kontrolle über die digitale Souveränität?, <kes> 2025 #5
- Digitale Souveränität bei Cybersicherheit, <kes>+ Juli 2025
- Digitale Souveränität: Was bedeutet sie wirklich und warum ist sie mehr als nur Datenhoheit?, <kes> Grundlagen
- Digitale Souveränität?! Es ist Zeit für eine europäische Unabhängigkeitsbewegung im Cyberspace, <kes> 2024 #5
- Mein oder nicht mein? Warum digitale Souveränität zur Managementdisziplin werden muss, <kes> 2022 #2