Thought Leadership
„Ohne digitale Souveränität wird es auch mit der europäischen Souveränität nichts,“ sagte Claudia Plattner – jetzt Präsidentin des BSI – im Jahr 2022, als sie noch IT-Leiterin der Europäischen Zentralbank war.
Mit dieser Aussage unterstreicht sie die Relevanz der digitalen Souveränität für den europäischen Raum.
Doch was heißt „Souveränität“ im Kontext der IT-Sicherheit und wie kann diese in der Praxis erreicht werden? Dieser Frage gingen wir im Februar auf der „Thought Leadership in der IT“ nach und vertiefen diese im Rahmen des folgenden Artikels.
Der Begriff der digitalen Souveränität
Zunächst geht es um die Begriffsklärung, denn „digitale Souveränität“ ist eine facettenreiche Vokabel. Verortet wird „Souveränität“ zunächst auf der staatlichen Ebene, wenn es darum geht, die Handlungsfähigkeit von Staaten zu beschreiben insbesondere die Fähigkeit des Staates, digitale Vorgänge zu kontrollieren, die einen Einfluss auf sein Territorium haben und bei denen der Staat selbst oder staatliche Institutionen betroffen sind. Der Begriff beschränkt sich aber nicht nur auf die Kontrolle über digitale Prozesse und Technologien. Er umfasst darüber hinaus zusätzlich folgende Aspekte:
#1 Digitale Selbstbestimmung: Individuen und Organisationen sollen die Kontrolle über ihre eigenen Daten und Informationen haben. Dies bedeutet Kontrolle darüber, wer auf die Daten zugreifen darf und die Möglichkeit, datengetriebene Prozesse (Wie kontrolliere ich Daten, den Zugriff auf diese und wer/was nutzt sie?) aktiv zu gestalten.
#2 Unabhängigkeit von externen Technologien und Diensten: Die Abhängigkeit von Technologiekonzernen birgt Risiken, etwa durch den sogenannten Hersteller-Lock-In. Dieser erschwert Kunden aufgrund technischer oder wirtschaftlicher Barrieren den Wechsel von Produkten oder Dienstleistungen eines bestimmten Herstellers. Die Reduzierung von Wahlmöglichkeiten durch Hersteller-Monopole hat unmittelbaren Einfluss auf die digitale Selbstbestimmung.
#3 Datenkontrolle und -schutz: Daten haben einen Bedeutungsgehalt, der weit über den Ort ihrer Speicherung hinausgeht. Kontrolle über die Daten beinhaltet daher nicht nur deren physischen Schutz, sondern auch die Sicherstellung ihrer Integrität und die Kontrolle über die Verwendung der Daten.
- Resilienz: Anpassungsfähigkeit an Herausforderungen
Im Kontext „digitaler Souveränität“ spielt der Begriff der „Resilienz“ eine wichtige Rolle. Er bezeichnet die Fähigkeit, auf unerwartete Herausforderungen zu reagieren und trotzdem funktionsfähig zu bleiben. Konkret bedeutet dies:
➤ Anpassungsfähigkeit: Flexibilität im Umgang mit (gesetzlichen) Änderungen, die erhebliche Auswirkungen auf die Datensicherheit und -integrität haben können, zum Beispiel dem US-Cloud-Act. In diesem Zusammenhang bedeutet Resilienz, dass ein IT-System und die dahinterstehenden Prozesse sich schnell an neue Rahmenbedingungen anpassen können, ohne die eigenen Schutzstandards zu gefährden.
➤ Sicherheitsstrategien: Robuste Sicherheitsmaßnahmen, die u.a. bei verstärkten Cyberangriffen wirksam bleiben. Eine resiliente IT-Infrastruktur ist nicht nur gegen Angriffe gehärtet, sondern kann schnell wiedergestellt werden, sollte ein Angriff erfolgreich sein.
➤ Kontinuität: Sicherstellung der Verfügbarkeit und Integrität der IT-Dienste – auch bei Störungen, um die Handlungsfähigkeit von Staaten und Unternehmen zu gewährleisten.
➤ Transparenz: Kommunikation und Aufklärung gegenüber der Bevölkerung, um Vertrauen zu stärken und Unsicherheiten zu minimieren.
Digitale Souveränität in der Praxis
- Sicherheit und Souveränität: Zwei Seiten derselben Medaille
Um digitale Souveränität in der Praxis zu gewährleisten, müssen Sicherheit und digitale Souveränität zusammen gedacht und umgesetzt werden. Diese strategische Herangehensweise ermöglicht es, resiliente Strukturen aufzubauen und Sicherheitsrisiken zu reduzieren.
- Security Controls: Maßnahmen gegen Cyberangriffe
Ein zentrales Element dieser Strategie sind die Security Controls – Maßnahmen gegen Cyberangriffe, die entlang der gesamten Kill Chain positioniert werden. Diese umfassen mehrere Bereiche:
➤ Mitarbeitende: Schulung und Sensibilisierung für Cybergefahren, um menschliche Fehler zu minimieren und ein hohes Sicherheitsbewusstsein zu fördern. Es geht darum eine Sicherheitskultur zu etablieren.
➤ Endgeräte: Schutz vor unbefugtem Zugriff und Malware, um die Integrität und Vertraulichkeit der Daten auf den Geräten sicherzustellen.
➤ Applikationen: Sicherstellung der Integrität und Authentizität von Software. Nur vertrauenswürdige Anwendungen dürfen ausgeführt und eingesetzt werden. Darüberhinaus geht es um die Kontrolle was Applikation tun dürfen bzw. auf welche Daten sie zugreifen dürfen.
➤ Daten: Verschlüsselung und Zugangskontrollen, um die Vertraulichkeit und Sicherheit sensibler Informationen zu gewährleisten. Digitale Souveränität geht jedoch über reine Sicherheitsmaßnahmen hinaus und umfasst auch die Kontrolle über digitale Prozesse, Daten und Technologien.
➤ Digitale Prozesse: Die Integration und transparente Steuerung der IT-Prozesse zur Sicherstellung einer nahtlosen und sicheren Zusammenarbeit der Systeme.
➤ Daten: Der Schutz sensibler Daten vor unbefugtem Zugriff und die sichere Verwaltung nach den gesetzlichen Datenschutzrichtlinien.
➤ Technologien: Der Einsatz souveräner IT-Lösungen, die nicht von externen Anbietern abhängig sind, um die Kontrolle und Flexibilität über die eingesetzten Technologien zu gewährleisten.
Wenn Sicherheit und digitale Souveränität Hand in Hand gehen, erhöht dies die Widerstandsfähigkeit (Resilienz) der IT-Infrastrukturen von Staaten und Unternehmen und stellt ihre Unabhängigkeit und Selbstbestimmung in der digitalen Welt sicher.
Das Shared Responsibility Model
In diesem Kontext sollte das Shared Responsibility Model neu gedacht und erweitert werden, um den umfassenderen Anforderungen moderner IT-Infrastrukturen gerecht zu werden. Bisher lag der Fokus primär auf der Verteilung von Verantwortlichkeiten zwischen Cloud-Anwendern und -Providern, hauptsächlich in Bezug auf Cloud Services. Für das Zusammenspiel von Souveränität und Sicherheit müssen Endgeräte, Applikationen, Daten und Menschen berücksichtigt werden.
In einer global vernetzten Welt ist es entscheidend, flexibel und handlungsfähig zu bleiben, um die digitale Souveränität in Europa zu gewährleisten.
Martin Mangold, DriveLock SE
Die Verantwortung für Sicherheit und Souveränität darf nicht nur auf die Cloud-Infrastruktur beschränkt sein, sondern muss alle Elemente der ITLandschaft umfassen. Unternehmen wie Staaten müssen sicherstellen, dass ihre Endgeräte vor unbefugtem Zugriff geschützt sind, Applikationen ihre Integrität und Authentizität bewahren, Daten verschlüsselt und kontrolliert werden und dass Mitarbeitende durch Schulungen und Sensibilisierungen auf die Bedeutung und Maßnahmen der Cybersicherheit vorbereitet sind. Nur durch eine ganzheitliche Betrachtung aller Komponenten können Souveränität und umfassende Sicherheit erreicht werden. Der wichtige Aspekt ist hier, dass Hersteller wie Anwender ganzheitlich ihre Verantwortung wahrnehmen. Dazu gehört die bewusste Entscheidung digitale Prozesse aktiv zu gestalten.
Fazit
Digitale Souveränität ist keine isolierte Herausforderung, sondern ein integraler Bestandteil einer modernen Cybersicherheitsstrategie. Staat und Unternehmen müssen gemeinsam die Verantwortung für Sicherheit, digitale Selbstbestimmung und Resilienz übernehmen. Dies erfordert nicht nur den Aufbau souveräner IT-Infrastrukturen, sondern auch die Entwicklung ganzheitlicher Sicherheitskonzepte.
Souveränität wird schnell als „Abschottung“ verstanden. Das ist sie ausdrücklich nicht. Vielmehr geht es um die Fähigkeit, Kontrolle und Selbstbestimmung auszuüben. In einer global vernetzten Welt ist es entscheidend, flexibel und handlungsfähig zu bleiben, um die digitale Souveränität in Europa zu gewährleisten. Nur so kann die digitale Souveränität, wie von Claudia Plattner betont, ein Grundpfeiler der europäischen Souveränität werden.
