Ransomware
Digitale Aufrüstung ist technologische Abrüstung
Die digitale Souveränitätsdebatte findet in Europa gerade intensiver statt. Manche halten eine komplette Unabhängigkeit für nicht machbar, andere wieder beharren darauf, dass sie möglich sein muss. Die Realität liegt wie üblich dazwischen.
Save to Folio
Spricht man allgemein über Souveränität, dann geht es darum, dass jemand oder etwas die höchste Entscheidungsgewalt über sich selbst besitzt und unabhängig von äußeren Einflüssen handeln kann. Das Schlagwort der „digitalen Souveränität“ entstand aus der Tatsache, dass es in der IT-Welt eine immer merklichere Abhängigkeit von anderen Nationen gibt.
Das zeigt sich vor allem in zwei Bereichen. Zum einen ist die Herstellung von Computer-Equipment an die Verfügbarkeit seltener Rohstoffe gekoppelt. Der Hauptakteur China bestimmt dabei den Welthandel und unterstützt seine politischen Ziele zunehmend mit dieser wirtschaftlichen Macht. Auf der anderen Seite gibt es eine Softwareabhängigkeit nicht nur auf Unternehmens- sondern vor allem auf nationaler Ebene. Hier sind gegenwärtig Hauptanbieter die USA und ebenfalls China. Beide Nationen haben mit Gesetzen ihre juristischen Zuständigkeiten weit über ihre Landesgrenzen hinweg ausgedehnt und bedrohen damit die Souveränität u.a. europäischer Regierungen.
Die Menschen hatten im Laufe ihrer Geschichte zwar immer wieder mit Rohstoffknappheiten oder auch Unterbrechungen von Handelswegen zu tun, doch noch nie gab es eine vergleichbare Situation, wie sie nun in der IT herrscht. Allein die Bedeutung der Technik selbst für das Funktionieren des Staates und seiner Wirtschaft dürfte wohl in der Geschichte einmalig sein. Deshalb liegt der Fokus der Ausführungen auf der Abhängigkeit im Softwarebereich.
Das Problem mit der digitalen Souveränität
Einfach ausgedrückt geht es darum, dass Software oder damit zusammenhängende Dienstleistungen nicht gegen den Willen der einsetzenden Person oder Organisation verwendet werden kann --zumindest nicht außerhalb des gesetzlichen Rahmens, in der sich diese befindet. Konträr dazu erklärte Microsofts Chefjustiziar Anton Carniaux in einer Senats-Anhörung in Paris, dass sein Unternehmen keine Garantie darüber abgeben könne, niemals Daten ohne Wissen des Kunden, hier die französische Regierung, an die US Behörden weiter zu reichen - unabhängig vom tatsächlichen Speicherort.
Geht man einen Schritt weiter, wie es die US-Regierung zur Begründung des Bannes des russischen Unternehmens Kaspersky tat, so lässt sich argumentieren, dass derartige Software auf Anfrage einer Einfluss nehmenden Regierung gezielt zur Spionage verwendet werden kann. Aber nicht nur das. Im Rahmen eines Embargos, wie z.B. eines Krieges, ist Software des „Feindes“ ein klares Sicherheitsrisiko. Wird sie beispielsweise in kritischen Infrastrukturen eingesetzt, kann sie dafür genutzt werden, um das Zielsystem auszuschalten. Wie aus real existierenden Cyberangriffen (Supply-Chain-Angriffe) bekannt, reicht dafür ein „Update“.
Fallbeispiel Russland
Aber was bedeutet digitale Souveränität konkret? Dies lässt sich anhand der Länder unter US-Embargo veranschaulichen. An erster Stelle ist da Russland zu nennen. Als 2022 die Ukraine überfallen wurde, war ein Embargo die Folge, und viele westliche Tech-Unternehmen erklärten daraufhin öffentlich ihren Rückzug aus dem Land des Aggressors. Damit sind moderne IT-Dienste in Russland nicht mehr möglich. Man darf allerdings annehmen, dass genau das auch erwartet wurde.
Also stellt sich die interessante Frage, wie sich das Land darauf vorbereitete. Rückblickend fällt die Antwort leichter, als man meinen möchte. In den Jahren 2018/2019 häuften sich Meldungen, die damals seltsam klangen. So berichtete die Bild-Zeitung unter der treffenden Frage: „Was ist denn da los?“, dass sich Vladimir Putin vor einem XP System fotografieren ließ -- einem Betriebssystem, dass zu diesem Zeitpunkt bereits mehrere Jahre nicht mehr unter Support stand.
Digitale Souveränität nach russischer Art
Dass der „alte Herr“ einfach nicht mehr mit der neuen Technik zurechtkam, war Spekulationen zufolge sicherlich der Grund dafür, dass er auch kein Smartphone besaß. Aber es durften damals auch keine neueren Versionen von Windows mehr in Regierungseinrichtungen eingesetzt werden. Der russische Staat wollte „unabhängig“ werden von ausländischen Anbietern – ein öffentlich formuliertes Ziel der Regierung. Deshalb überraschte niemanden die Meldung, dass nun das in Russland entwickelte Astra Linux für das dortige Militär die Freigabe erhielt. Ebenfalls 2019 wurde das Föderale Gesetz Nr 90-FG in Kraft gesetzt, welches die Gewährleistung eines autonomen Betriebs des russischen Internet-Segments (Runet) zum Ziel hatte. Später wurde dann festgelegt, dass auf bestimmten Endgeräten wie beispielsweise auf Smartphones oder PCs russische Software installiert sein musste.
Russland hat seither versucht, die technischen Möglichkeiten des Westens nachzubauen. Ein eigener Kurznachrichtendienst, ein Internet Kaufhaus, Browser, Betriebssysteme, usw. Ja, sogar eine Spielekonsole sollte gebaut werden. Sind diese technologisch wettbewerbsfähig? In einem freien, fairen Markt wohl nicht. Aber darauf kommt es in Russland nicht an, und der Durchschnittsbürger weiß nicht, was ihm entgeht.
Das Land hat für den Krieg geplant und seine IT-Wirtschaft darauf ausgerichtet. Dabei geht es Vladimir Putin nicht nur um die Kontrolle der Software, sondern auch um die der Meinung seiner Bürger. Digitale Souveränität wird hier ernst genommen, und Einschnitte, die diese für die heimische Industrie und die persönliche Freiheit bedeuten, zählen zum erwartbaren, fast schon als „normal“ zu bezeichnenden Kollateralschaden eines Krieges, auf den man sich vorbereitete. Wie lange Russland so durchhalten kann, wird die Zukunft zeigen. Jüngste Äußerungen deuten eher darauf hin, dass das Land diesen Weg weiter gehen möchte.
Souveränität versus Isolation
Festzuhalten ist, dass vollständige digitale Souveränität existiert. Aber ist sie auch um jeden Preis erstrebenswert? Russland verfolgt einen klar isolationistischen Politikansatz, bei dem sich das Land bewusst gegen den Westen abgrenzt. Die daraus folgenden wirtschaftlichen Einbußen sind für die meisten Menschen des Landes im Zusammenhang mit dem Krieg erklärbar. Dass man die Bevölkerung mit russischen Applikationen z.B. im Bereich Social Media, besser kontrollieren kann, dürfte ebenfalls zur Staatsphilosophie passen.
All das ist in Deutschland nur schwer vorstellbar. Aufgrund unserer lediglich marginalen Bodenschätze sind wir nicht nur auf die Zusammenarbeit mit anderen Ländern angewiesen, sondern eine wie auch immer geartete technologische Abrüstung würde die Wettbewerbsfähigkeit unserer Wirtschaft massiv beeinträchtigen. Aber auch die Kontrolle von Internet-Angeboten würde als Einschränkung der persönlichen Freiheit kaum akzeptierbar sein.
Welchen Ausweg gibt es dann aber aus der digitalen Souveränitätskrise? Zum einen, sie ist nicht für jeden gleich dringend. Wie drückend das Problem tatsächlich ist, liegt in einer Einschätzung des Risikomanagements. Eintrittswahrscheinlichkeit und Schadensausmaß können dabei nur individuell festgestellt werden und unterscheiden sich sicherlich nach politischer und finanzieller Exponiertheit.
Zum anderen geht es darum, gleichwertige Alternativen zu schaffen. Verändert sich die Risikosituation, beispielsweise durch politische Entscheidungen, müssen diese technologischen Alternativen bereits bekannt und getestet sein, damit ein Umstieg problemlos erfolgen kann. Ein isolationistischer Ansatz wie ihn Russland hat, ist dabei für die auf Handel ausgerichtete Europäische Union nicht denkbar. Sie braucht andere Länder, um erfolgreich zu sein. Folgerichtig können die Alternativen, über die hier gesprochen wurde, auch aus anderen Ländern kommen, in die man ebenfalls exportieren möchte.
Und IT-Sicherheit?
Bei der Kontrolle von Datenströmen und von Kommunikation spielt die IT-Sicherheit eine wichtige Rolle. Die Entdeckung ungewöhnlichen Traffics, wie auch die Unterbindung unerlaubter Handlungen, ist seit jeher Aufgabe der Technologie. Sie sitzt dafür an zentraler Stelle in Unternehmensnetzen. Andererseits macht genau das sie zu einem Ansatzpunkt für die Souveränitätsdebatte, wie es das Beispiel Kaspersky zeigte. Immer wieder gibt es zudem Meldungen, dass derartige Systeme mit oder ohne Wissen ihrer Hersteller von Geheimdiensten missbraucht wurden.
Bezüglich der Alternativen auf nationaler Ebene wird es noch schwieriger. Im jüngsten Gartner Magic Quadrant zum wichtigen Bereich „Endpoint Protection Platform“ beispielsweise, wurden sechs verschiedene Hersteller als „Leader“ bezeichnet, und von denen kommt nur einer (Trend Micro - Japan) nicht aus den USA. Wie auch in anderen Bereichen der IT gilt auch hier, dass technologischer Vorsprung nicht über Nacht aufgeholt werden kann. Am Ende müssen Kunden entscheiden, welchen Stellenwert die Souveränitätsdebatte bei Beschaffung und Unterhalt von Software hat.
Aber wie gehen wir als Hersteller an diese Frage heran?
Trend Micro verfolgt den Ansatz, seinen Kunden transparent aufzuzeigen, welche Daten der Anbieter wie verwendet. Mit der vom BSI eingeführten C5-Testierung dokumentieren wir unsere Maßnahmen in unseren Cloud-Umgebungen. Für Kunden mit erhöhtem Anspruch an die Souveränität haben wir zudem auch technologische Möglichkeiten geschaffen, um ihre Bedürfnisse abdecken zu können. Als Unternehmen gehen wir davon aus, dass unsere Kunden vor allem die Flexibilität erhalten möchten, ihre Infrastruktur nach eigenen Vorstellungen gestalten zu können und das ohne Abstriche bei der Sicherheit. Dennoch sehen wir amerikanische Technologie nicht als „Feindbild“, sondern interagieren mit ihr im vom Kunden gewünschten Umfang.