Digitale Souveränität?! : Es ist Zeit für eine europäische Unabhängigkeitsbewegung im Cyberspace

Die Vision eines Internets als freier Marktplatz mit klaren Richtlinien und ohne das Recht des Stärkeren hat die EU dazu bewogen, Regelungen wie den Digital-Markets-Act (DMA, vgl. [1]) auf den Weg zu bringen. Die Bundesregierung gründete in Bochum das „Zentrum für Digitale Souveränität der Öffentlichen Verwaltung“ (www.ZenDiS.de). Die Bundeswehr beschäftigt sich im Eckpunktepapier „Ausbau der digitalen Souveränität“ [2] ebenfalls ausführlich mit dem Thema. Aber was macht die Wirtschaft?

Die großen globalisierten Unternehmen mit Absatzmärkten auf allen Kontinenten müssen in einer zunehmend multipolaren Welt ohnehin ihre eigenen Strategien finden. Aber das Rückgrat der ansässigen Wirtschaft sind die mittelständischen Firmen, viele davon inhabergeführt und fest in Deutschland und Europa verwurzelt. Solche Unternehmen werden im Falle eines IT-GAUs nicht vom CrowdStrike-CEO angerufen, ob sie denn Hilfe bräuchten (wie z. B. unlängst bei Delta Air Lines geschehen). Deren Sicherheitsabteilungen haben vielmehr alle Hände voll zu tun, um russische Ransomware-Banden abzuwehren, sodass sie die chinesischen Industriespione gar nicht bemerken. Und anstatt dass der Staat oder die EU Geld in den Schutz investiert und Subventionen für mehr Cybersicherheit bereitstellt, bekommen sie mit NIS-2 und CRA einfach neue Regularien vorgesetzt.

Auch die Artikel von Bert Hubert [3] zeichnen sehr eindringlich ein düsteres Bild der europäischen digitalen Souveränität. Im letzten Jahr erschien hier in der <kes> eine vierteilige Artikelserie „Krieg ohne Grenzen“ von Ramon Mörl und Stefanie Frey [4,5,6,7], die das Thema ausführlich umrundet hat. Zuvor hatte Dennis-Kenji Kipker in der Ausgabe 2021#6 „Digitale Souveränität in China“ [8] beleuchtet und bereits in <kes> 2019#3 kamen „Geostrategische Einflüsse in der IT“ zur Sprache [9]. All diesen Artikeln ist eines gemeinsam: Die Autoren halten die Frage der digitalen Souveränität und der Cybersicherheit für zwei Seiten derselben Medaille. Wenn dem so ist, dann ist es die Aufgabe unserer Peergroup, die Montagsdemonstrationen für eine selbstbestimmte IT in den deutschen Unternehmen anzuführen! Dazu reicht es aber nicht, missionarisch die Entnetzung oder „Linux auf dem Desktop“ zu predigen. Um im Mittelstand Gehör zu finden, muss der Weg zur digitalen Souveränität pragmatisch und Schritt für Schritt operationalisiert sein.

Schritt 1: Unabhängigkeit beginnt bei der Erkenntnis

Der erste Schritt in eine selbstbestimmte IT ist es, die eigenen Abhängigkeiten zu erkennen. Im Gegensatz zur Arbeit an einem Business-Continuity-Management- (BCM)-Konzept kann man sich bei dieser Bestandsaufnahme nicht auf die unternehmenskritischen Anwendungen beschränken.

Wohl kaum eine Firma hätte CrowdStrike als relevant für seine wirtschaftliche Leistungsfähigkeit auf der Agenda gehabt und wohl kaum ein Unternehmenslenker hätte gewusst, welche Endpoint-Detection- and-Response-(EDR)-Lösung eingesetzt wird. Und dennoch war offensichtlich eine kritische Abhängigkeit vorhanden. Aber nicht nur Kaufsoftware ist eine Herausforderung, auch Open-Source Software (OSS) wusste in der Vergangenheit zu überraschen (Log4j, libxz). Daher gehören Software-Stücklisten (SBOM) mittlerweile zum guten Ton im Supply-Chain-Monitoring: Sie werden nicht nur von US-Gesetzen gefordert, sondern sind ebenfalls Bestandteil der zentralen Regularien des europäischen Cyber-Resilience- Act (CRA). Bei Software as a Service müssen sowohl der Anbieter als auch der Standort der Cloud und dessen Anbieter registriert werden. Im Netzwerk sind ebenfalls Themen wie der Domain-Name-System (DNS)-Anbieter, die Domain-Registry sowie Internet- und E‑Mail-Provider (inkl. deren Zulieferer) festzustellen. Zudem ist die verwendete Hardware im Netzwerk, Client- und Serverbereich zu dokumentieren – damit ist die Erfassung für die IT komplett.

In produzierenden Betrieben ist zusätzlich noch die Operational Technology (OT) zu erfassen – in Unternehmen, die Softwareentwicklung betreiben, gilt es darüber hinaus, die Engineering Technology (ET) zu betrachten. Last, but not least müssen die Abhängigkeiten von Dienstleistungs- und Beratungsfirmen katalogisiert werden. Es ist durchaus sinnvoll, alles am Ende mit dem Einkauf abzugleichen, um eventuelle Lücken in der Lieferantenlandschaft schließen zu können.

Sind die technischen Abhängigkeiten vollständig beschrieben, müssen die einzelnen Zulieferfirmen auf die jeweils bestimmenden Konzernstrukturen aufgelöst und den jeweiligen Heimatländern zugeordnet werden. Die entstehende Liste ist lang, aber der Aufwand in der Erstellung ist nicht so immens, wie die obige Aufzählung es vielleicht erscheinen lässt. Typischerweise ist binnen weniger Tage ein Stand von 80 % erreicht, den man anschließend nach und nach vervollständigen kann. Mit dieser Liste hat ein Unternehmen dann den ersten Schritt in die digitale Souveränität gemacht.

Schritt 2: Auf den Notfall vorbereitet sein

In der Folge stellt sich quasi automatisch die Frage: Was mache ich nun mit dieser Liste? Die Antwort ist zweiteilig: Zum einen kann man in der Liste selbst die „Klumpenrisiken“ identifizieren, deren Ausfall oder Fehlverhalten für eine Firma kritisch wäre. Diese Szenarien werden in einer weiteren Liste gesammelt.

Zum anderen lassen sich damit die Bedrohungen der Zukunft modellieren. Der „Global Risks Report 2024“ des World Economic Forum [12] warnt: Zwei Drittel der globalen Experten erwarten die Herausbildung einer multipolaren oder fragmentierten Weltordnung in den nächsten zehn Jahren. Wird China Taiwan übernehmen oder überfallen? Würde es in der EU dann dennoch weiter möglich sein, Chips aus Taiwan zu beziehen? Wie viel unserer IT läuft noch, wenn sich die „großen Schwellenländer“ BRICS+ gegen die westliche Welt stellen und indische Firmen keine IT-Dienstleistungen mehr an die EU verkaufen? Wird eine neue US-Regierung die Macht der Techkonzerne dazu einsetzen, politische Ziele durchzusetzen? Die eigene Betroffenheit in solchen Szenarien kann anhand der Liste mit den Abhängigkeiten ergründet werden – die wichtigsten dieser Szenarien müssen auf die eigene Szenarienliste.

Dann gilt es, die relevantesten Szenarien mit dem höchsten Schadenspotenzial zu priorisieren und dafür Notfallpläne zu entwickeln: Was tut eine Organisation beispielsweise, wenn für sie die Microsoft Cloud längere Zeit nicht verfügbar ist, wenn sie keine neuen Computer mehr kaufen kann oder kritische Dienstleister überraschend kündigen (müssen)? Die Entwicklung solcher Notfallpläne ist häufig mit entsprechenden technischen Vorbereitungen verknüpft. Typische Beispiele sind:

• Anlage einiger Notfall-E‑Mail-Accounts bei einem deutschen E‑Mail-Provider nebst einem Plan, wie man die Kommunikation schnell umschwenken könnte
• Einrichtung einiger Notfallserver in der Cloud einer europäischen Firma und erfolgreiche Tests, wie man ein Backup dorthin zurückspielen könnte
• Auswahl eines zweiten/alternativen Hardwareherstellers, der vergleichsweise unabhängig von Taiwan arbeitet und dessen Produkte man bereits getestet hat

Solche Notfallpläne sind aber nicht nur für einzelne Unternehmen wichtig – durch sie entwickelt sich im Kleinen auch ein Geschäft für europäische Anbieter.

Schritt 3: Notfall intensiv üben

Wie für alle Notfallpläne gilt auch hier: Nicht geübt ist nicht gekonnt. Mit jeder Übung lässt sich ein Notfallsystem weiter verbessern. Und bei jedem Test sollte man die Punkte notieren, bei denen das Notfallsystem in Sachen Funktionalität und Qualität zurückbleibt. Das ermöglicht eine regelmäßige Prüfung, wie weit die digital souveräne Lösung noch hinter dem ursprünglichen System herhinkt oder ob es vielleicht mittlerweile fast ebenbürtig ist.

Im Rahmen solcher Übungen kann sich überdies in den Einkaufsabteilungen und in der Unternehmenslenkung langsam wieder ein Gefühl für den Wert von IT „made in Europe“ entwickeln. Auch die EU treibt solche Entwicklungen mit Initiativen und Projekten wie Gaia-X, dem European Chips-Act und der Europäischen Datenstrategie an. Ziel ist es, die EU-Staaten unabhängiger vom Weltmarkt zu machen.

In diesem Umfeld können sich der Reihe nach IT-Lösungen aus Europa zu einer Konkurrenz für die aktuellen Platzhirsche entwickeln. Gerade im Cybersicherheitsmarkt verfügt Europa bereits über etliche konkurrenzfähige Produkte. Der „souveräne Arbeitsplatz“ open- Desk (siehe etwa [13,14]) stellt zunehmend – nicht zuletzt dank der Hilfe von ZenDiS – eine echte Alternative am Desktop dar, während im Serverbereich Linux seinen Siegeszug schon lange angetreten hat. Solche Lösungen im Rahmen einer Notfallübung einmal auszuprobieren, schadet demzufolge nicht – im Gegenteil: Es ist der dritte Schritt zur digitalen Souveränität.

Schritt 4: Regelfall und Notfall tauschen

Zu diesem Zeitpunkt liegt es nahe, die ohnehin für den Notfall geplanten und in den Übungen bestätigten souveränen Lösungen einfach Abteilung für Abteilung in den Produktivbetrieb zu überführen. Leider ist dies nicht so ohne Weiteres möglich: Fortan mag man zwar unabhängig vom Zugriff der mächtigen IT-Konzerne und von Abhängigkeiten außerhalb Europas sein – Sicherheit gegen qualifizierte Angreifer ist aber nicht automatisch gegeben. Die neuen Architekturen müssen noch in bestehende Sicherheits- und Überwachung Systeme integriert werden. Zudem braucht es fachkundige Dienstleister und Sicherheitsexperten, welche die neuen Systeme warten und qualitativ hochwertige Sicherheits-Checks durchführen können.

Erst wenn ein zuverlässiger Schutz gegen die bekannten Bedrohungen wie Cybercrime und staatliche Spionage besteht, ist für diesen Teil die digitale Souveränität erreicht und dem schrittweisen Ausbau steht nichts mehr im Wege. Das wird allerdings noch Jahre dauern.

Fazit

Deutschland und die EU beschäftigen sich zwar in Bezug auf die eigene Verwaltung und das Militär mit digitaler Souveränität, aber machen wir uns nichts vor: Konkrete Unterstützung für die Wirtschaft ist nicht zu erwarten – mehr als Regularien und Vorgaben haben die staatlichen Stellen in dieser Angelegenheit nicht zu bieten. Unternehmen müssen sich also (wieder einmal) am eigenen Schopf aus dem Sumpf ziehen.

Der Weg zur digitalen Souveränität wird damit kein Sprint werden, sondern ein Marathon. Deutschland allein wird in der IT zweifellos nicht zur Großmacht aufsteigen. Betrachtet man aber die gesamte EU, dann haben wir sowohl die Leute als auch das Know-how dafür! Addiert man die Studentenzahlen der 250 besten Informatikuniversitäten des Times Higher Education World-University-Ranking [15] nach Region, so zeigt sich: In der EU haben wir mehr als doppelt so viele Top-Informatikstudenten wie in China und kommen fast an die USA heran (vgl. Abb. 1).

Jede Reise beginnt mit dem ersten Schritt – und am Ende sind es nur vier Schritte zu einer europäischen Unabhängigkeit im Cyberspace. Das Aufgabenfeld der Cybersicherheits-Community muss also weiter gefasst werden als bisher: Es darf sich nicht in der Abwehr von Angriffen und dem Herstellen von Compliance erschöpfen! Die neue Devise der Cybersecurity-Experten lautet: Wir machen die Unternehmen sicher vor unliebsamen Einflüssen Dritter – Schritt für Schritt.

Florian Oelmaier ist CTO der IS4IT GmbH.

Literatur

[1] Europäische Kommission, Das Gesetz über digitale Märkte: für faire und offene digitale Märkte, Oktober 2022, https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/digital-markets-act-ensuring-fair-and-open-digitalmarkets_de

[2] Bundesministerium der Verteidigung (BMVg) CIT I 1, Ausbau der digitalen Souveränität im GB BMVg – Eckpunktepapier, August 2020, in: BMVg, Dritter Bericht zur Digitalen Transformation des Geschäftsbereichs des Bundesministeriums der Verteidigung, Februar 2021, www.bmvg.de/resource/blob/5060250/6f695b7797b03986dd6eabf9946b5a38/download-3-digitalbericht-data.pdf

[3] Bert Hubert, Demystifying European Digital Sovereignty, Juli 2021, https://berthub.eu/articles/posts/demystifying-european-digital-sovereignty/

[4] Stefanie Frey, Ramon Mörl, Krieg ohne Grenzen? (1), Schutz und Verteidigung gegen Gefahren aus dem Cyberraum– eine gesamtgesellschaftliche Aufgabe, <kes> 2023#3, S. 14, https://www.kes-informationssicherheit.de/print/ausgabe-3-2023/krieg-ohne-grenzen-1/ (<kes>+)

[5] Stefanie Frey, Ramon Mörl, Krieg ohne Grenzen? (2), <kes> 2023#4, S. 60, https://www.kes-informationssicherheit.de/print/titelthema-supply-chain-security-integritaet-digitaler-artefakte/krieg-ohne-grenzen-2/ (<kes>+)

[6] Ramon Mörl, Krieg ohne Grenzen? (3), <kes> 2023#5, S. 24, www.kes-informationssicherheit.de/print/titelthema-erschoepfung-nach-erpressung-it-teams-am-limit/krieg-ohne-grenzen-3/ (<kes>+)

[7] Stefanie Frey, Krieg ohne Grenzen? (4), <kes> 2023#6, S. 71, S. 60, https://www.kes-informationssicherheit.de/print/2023-6/krieg-ohne-grenzen-4/ (<kes>+)

[8] Dennis-Kenji Kipker, Impulse aus Fernost – Digitale Souveränität und Cybersicherheit in der Volksrepublik China – ein Überblick über den aktuellen Rechtsrahmen, <kes> 2021#6, S. 36, https://www.kes-informationssicherheit.de/print/titelthema-aufgabenflut-
fuer-ciso-co-eindaemmen-und-abgrenzen/impulse-aus-fernost/ (<kes>+)

[9] Florian Oelmaier, Geostrategische Einflüsse in der IT, <kes> 2019#3, S. 6, www.kes-informationssicherheit.de/print/titelthema-malware-trends-und-abwehr-2019/geostrategische-einfluesse-in-der-it/ (<kes>+)

[10] Ramon Mörl, Mein oder nicht mein, Warum digitale Souveränität zur Managementdisziplin werden muss, <kes> 2022#2, S. 58, www.kes-informationssicherheit.de/print/titelthema-digitale-souveraenitaet/mein-oder-nicht-mein/ (<kes>+)

[11] Dennis-Kenji Kipker, Technologie-Souveränität durch europäische Gesetzgebung?, Der Entwurf des neuen EU Chips-Act und sein regulatorisches und politisches Framework, <kes> 2022#2, S. 64, www.kes-informationssicherheit.de/print/titelthema-digitalesouveraenitaet/technologie-souveraenitaet-durch-europaeische-gesetzgebung/ (<kes>+)

[12] World Economic Forum (WEF), Marsh McLennan, Zurich Insurance Group, The Global Risks Report 2024, 19th Edition, Januar 2024, www.weforum.org/publications/global-risks-report-2024/

[13] Der Beauftragte der Bundesregierung für Informationstechnik (CIO Bund), Souveräner Arbeitsplatz, undatiert, www.cio.bund.de/Webs/CIO/DE/digitaleloesungen/digitale-souveraenitaet/souveraener-arbeitsplatz/souverarner-arbeitsplatz-node.html

[14] Bundesministerium des Innern und für Heimat (BMI), openDesk ‒ Der Souveräne Arbeitsplatz, gitlab Repository, https://gitlab.opencode.de/bmi/opendesk

[15] Times Higher Education, World University Rankings 2024 by subject: computer science, Oktober 2023, www.timeshighereducation.com/world-university-rankings/2024/subject-ranking/computer-science