Open Source-Lösung oder etablierter Anbieter aus den USA? Oft sind es diese beiden Alternativen, die bei der Auswahl einer Software-Plattform für Digitalisierungsprojekte zu Beginn in den Raum gestellt werden.
Beides hat seine Vor- und Nachteile, denkt man beispielsweise an Datenschutz, Nutzerkomfort oder Update-Sicherheit. Eine dritte, gleichwertige, wenn nicht sogar bessere Alternative wird häufig aber vergessen: Software „Made in Europe“. Besonders bei Videokonferenzen sind deren Vorteile enorm.
Amerikanische Software?
Aus Nutzersicht ist Software amerikanischer Anbieter praktisch. Fast jeder kennt sie und ist mit der Bedienung vertraut. Die marktführenden Anbieter haben dazu beigetragen, gewisse Standards ihrer eigenen Produkte zu etablieren.
Aus Unternehmenssicht gestaltet sich die Sache weniger einfach. Grundsätzlich ist jedes Unternehmen daran interessiert, durch gut funktionierende und bekannte Tools für hohe Produktivität zu sorgen. Spätestens seit der EU-Datenschutzgrundverordnung (DSGVO) aber sind Fragen des Datenschutzes für die Auswahl von Software immer relevanter. In Kombination mit der US-Rechtslage wirft der Einsatz amerikanischer Produkte komplexe Fragen auf.
Der Patriot Act etwa verpflichtet US-amerikanische IT-Unternehmen, Methoden zur Datenerfassung oder Backdoors einzubauen, die zum Zweck der nationalen Sicherheit von US-Behörden genutzt werden können. Allein das kann mit Blick auf den Datenschutz zum Problem werden, natürlich können diese Schnittstellen aber auch als Angriffspunkt für Cyberkriminelle dienen.
Auch der US-amerikanische Cloud Act erlaubt es den amerikanischen Behörden, die Herausgabe von Daten über elektronische Kommunikation zu erzwingen. Dies ist mit der DSGVO logischerweise schwer vereinbar.
Open Source: Souveränität auf Kosten von Sicherheit?
Aus solchen Überlegungen heraus und zudem um nicht von einzelnen großen IT-Konzernen abhängig zu sein, überlegen viele Unternehmen, auf Open Source Software zu setzen. Auch Staat und Behörden sind an vielen Stellen an einer „souveränen Lösung“ interessiert.
Dennoch ist Open Source nicht frei von Bedenken. Besonders problematisch ist häufig die Frage der Sicherheit. Es ist einfacher, eine Bank auszurauben, wenn man die Baupläne kennt. Im Fall von Open Source sind die Baupläne per Definition frei verfügbar, mit Vor- und Nachteilen für beide Seiten. Angreifer können sie lesen, um Schwachstellen zu finden, die Developer-Community kann sie nutzen, um sie zu schließen. Der Mehrzahl an Open Source-Projekten fehlt es aber an klaren Commitments und Roadmaps hinsichtlich Bugfixes und regelmäßigen Updates. Unternehmen können es sich nicht leisten, auf „Best Effort“-Lösungen zu setzen, denn die Anzahl an Cyberangriffen wächst und wächst. Die langfristige Versorgung mit Sicherheitsupdates ist ein absolutes Muss.
Eine sorgfältige Suche bei der Auswahl von Software ist eine Investition, die Unternehmen im Zweifelsfall Millionen spart.
Valentin Boussin, Tixeo
Auch mit unabhängigen und staatlichen Sicherheits-Zertifizierungen hat Open Source ein Problem: Meist gibt es keine, da Open-Source-Projekte weder TOE (Target of Evaluation) noch ST (Security Target) definieren, die von einer anerkannten Behörde getestet werden können. Somit haben Nutzer solcher Software keine Bescheinigung, dass diese gängige Sicherheitsstandards gewährleistet.
Im Hinblick auf Open Source ist auch der Cyber Resilience Act (CRA) von Bedeutung, den die EU initiiert hat. Dieser soll die Benutzer von Hard- und Software besser schützen. Anbieter müssten demnach für den gesamten Lebenszyklus und alle Verwendungen ihrer Software Sicherheitsupdates zur Verfügung stellen und bestimmte Richtlinien erfüllen. Für Open Source ist dies ein Problem, denn diese soll nur dann vom CRA ausgeschlossen sein, wenn sie für nichtkommerzielle Verwendung genutzt wird.
Die Vorteile von Software „Made in Europe“
Der dritte Weg, neben den beiden bisher diskutierten, ist Software „Made in Europe“. Entgegen dem gängigen Vorurteil ist diese mindestens so leistungsfähig wie die Pendants amerikanischer Anbieter. Besonders bei Datenschutz und DSGVO-Komptabilität hat europäische Software meist deutliche Vorteile, da das Thema bei den Anbietern oft schon länger und präsenter im Bewusstsein ist. Und durch Hosting in Europe entfällt außerdem die Gefahr, dass Daten durch den Cloud Act an amerikanische Behörden gehen.
Auch hinsichtlich Cybersecurity lohnt sich der Blick auf europäische Anbieter. Sie erhalten ihre Sicherheitszertifikate von lokalen Behörden und nach lokalen Standards. Dies stellt sicher, dass die verwendete Software den nationalen Anforderungen und der Gesetzeslage entspricht.
Milliardenschäden durch Spionage
Besonders bei Videokonferenzen sind Security und Datenschutz Kernfragen. In der Bitkom-Studie zum Wirtschaftsschutz 2023 geben 80 Prozent der Unternehmen an, dass sie von Spionage oder Diebstahl betroffen oder wahrscheinlich betroffen waren. 61 Prozent berichten, dass Kommunikation via Messenger oder E-Mail ausgespäht wurde. Der deutschen Wirtschaft entstehen durch Cyberangriffe jährlich Schäden über 200 Milliarden Euro. Der Schutz der digitalen Kommunikation verdient oberste Priorität.
Der beste Weg dabei sind Anbieter wie Tixeo, die die einzige Videokonferenz-Technologie, die für ihre Ende-zu-Ende-Verschlüsselung von der ANSSI (Nationale Agentur für Computer- und Netzsicherheit Frankreichs) nach CSPN zertifiziert wurde, entwickelt haben.
Anders als bei vielen Anbietern sind bei Tixeo auch Konferenzen mit mehreren Teilnehmern durchgängig End-to-End verschlüsselt. Viele Videokonferenzlösungen geben an, eine End-to-End-Verschlüsselung zu bieten, verschlüsseln allerdings lediglich die Datenströme zwischen dem Benutzer und dem Kommunikationsserver. Sprich eine End-to-End-Verschlüsselung ist nur bei zwei Teilnehmern gegeben. Bei Tixeo dagegen werden Verschlüsselungsschlüssel mit der Konferenz erstellt und ausschließlich zwischen den Teilnehmern ausgetauscht. Es ist unmöglich, den Kommunikationsstrom zu entschlüsseln.
Die End-to-End-Verschlüsselung ist eine der wirksamsten Maßnahmen zur Abwehr von Cyberangriffen. Damit ist sie der Grundpfeiler von Videokonferenzen, die eine vollständige Vertraulichkeit der Kommunikation gewährleisten können. Zudem werden mittels einer Multi-Cloud-Strategie alle Datenströme aus Meetings an verschiedenen Orten in Europa bei C5 zertifizierten Rechenzentren gehostet. Es besteht keine Verbindung zu Servern außerhalb Europas. Dadurch unterliegt der Anbieter keiner außereuropäischen Gesetzgebung, die die Vertraulichkeit der ausgetauschten Daten gefährdet.
Aus gutem Grund setzen Unternehmen und Organisationen aus sensiblen Zweigen wie Pharma, Rüstung, Behörden oder kritische Infrastruktur auf Anbieter wie Tixeo, die sich voll und ganz der Datensicherheit verschrieben haben. „Made in Europe“ ist in diesem Fall die bessere Alternative zu Open Source oder gängigen amerikanischen Anbietern.
Eine sorgfältige Suche bei der Auswahl von Software ist eine Investition, die Unternehmen im Zweifelsfall Millionen spart. Der Schutz von Nutzern und Daten ist wichtig wie nie, gerade bei der Kommunikation.