Widerstandsfähige Datenhoheit

Die Digitalisierung verändert die Wirtschaft tiefgreifend: Plattformbasierte Geschäftsmodelle dringen in immer mehr Branchen vor und lassen neue Wertschöpfungssysteme entstehen. Diese digitale Welt macht natürlich nicht Halt an irgendwelchen Ländergrenzen. Ohne europaweites Engagement und einheitliche Regeln, die mit diesem Tempo Schritt halten, werden wir weder wettbewerbs- noch innovationsfähig bleiben. Brüssel hat das sehr wohl erkannt und zuletzt mit der überarbeiteten NIS (Netzwerk- und Informationssicherheits)-Richtlinie ein Rahmenwerk herausgebracht, um die Cybersicherheit im europäischen Raum zu stärken.

Resilienz lautet in diesem Zusammenhang das Schlagwort – angesichts zunehmender Bedrohungen durch Cyberkriminelle ist es dringend notwendig, den Schutz kritischer Infrastrukturen zu erhöhen und ein schnelles Wiederhochfahren von Wirtschaft und Gesellschaft nach einem Störfall zu ermöglichen. Analog zum DSGVO-Katalog werden auch bei NIS 2 künftig Verstöße gegen den vorgeschriebenen Maßnahmenkatalog mit spürbaren Bußgeldern bestraft. Verschärfend kommt noch hinzu, dass die Haftung direkt auf Geschäftsführer und Vorstände ausgeweitet wird.

Eine europäische Lösung für mehr Sicherheit gegen Cyberkriminelle ist absolut begrüßenswert. Damit die Idee aber auch ihre volle Schlagkraft entfaltet, darf man keinesfalls die Fallstricke auf dem Weg dahin aus dem Blick verlieren. So muss Deutschland bei der praktischen Umsetzung in nationale Gesetzgebung unbedingt aufpassen, dass es nicht zu rechtlichen Unklarheiten kommt. Die DSGVO ist ein gutes Beispiel, immerhin sind streng genommen amerikanische Platzhirsche wie Microsoft 365 nicht rechtskonform mit den Anforderungen in puncto Auftragsverarbeitung – eine eindeutige Regelung dazu sucht man allerdings vergeblich.

Dabei sieht der Europäische Gerichtshof zu Recht die Datenhoheit bedroht: Nutzen Unternehmen Microsoft-Anwendungen, die über eine Public Cloud operieren, müssen sie dazu automatisch auch einen Teil der Kontrolle an den Konzern abgeben. Microsoft verschlüsselt die eingehenden Daten und hält die Schlüssel, wodurch ein nicht unerhebliches Sicherheitsrisiko entsteht. Der Cloud Act macht es zudem praktisch unmöglich, Garantien dafür zu geben, dass sensible Daten und Firmengeheimnisse nicht in die falschen Hände geraten.

Ein anderer Punkt, den Unternehmen gerne bei der Wahl ihres Infrastrukturanbieters beiseiteschieben, ist die Tatsache, dass es Resilienz niemals ohne eine grundlegende Souveränität gibt. Wenn sich Unternehmen von großen, international agierenden Technologiekonzernen und deren Plattformen abhängig machen, bleiben jedoch Datensouveränität und Individualisierbarkeit auf der Strecke. Vielmehr wird das alte proprietäre Spiel von Intransparenz und Vendor-Lock-in weitergeführt, mit allen damit verbundenen Gefahren wie Problemen bei der Datenmigration oder mangelnder Investitionssicherheit.

Die Tragweite einer solchen Abhängigkeit sehen wir gerade im Energiemarkt. Deshalb müssen Verantwortliche von kritischen Infrastrukturen eine umfassende Datenstrategie entwickeln und auf die konsequente Umsetzung des Datenschutzes achten. Public-Cloud-Angebote nicht-europäischer Hersteller sind dabei keine Option, immerhin droht bei Verstößen auch die direkte, persönliche Verantwortung der Geschäftsführung und Vorstände.

Fakt ist, ohne resiliente Infrastrukturen wird sich die Forderung nach digitaler Souveränität nicht dauerhaft aufrechterhalten lassen. Im Umkehrschluss wird man ohne die Fähigkeit digital souveränen Handelns nicht in der Lage sein, entsprechend widerstandsfähige digitale Infrastrukturen aufbauen zu können. Beides hängt eng zusammen.