Categories: PolitikRegulierung

Widerstandsfähige Datenhoheit

Die Digitalisierung verändert die Wirtschaft tiefgreifend: Plattformbasierte Geschäftsmodelle dringen in immer mehr Branchen vor und lassen neue Wertschöpfungssysteme entstehen. Diese digitale Welt macht natürlich nicht Halt an irgendwelchen Ländergrenzen. Ohne europaweites Engagement und einheitliche Regeln, die mit diesem Tempo Schritt halten, werden wir weder wettbewerbs- noch innovationsfähig bleiben. Brüssel hat das sehr wohl erkannt und zuletzt mit der überarbeiteten NIS (Netzwerk- und Informationssicherheits)-Richtlinie ein Rahmenwerk herausgebracht, um die Cybersicherheit im europäischen Raum zu stärken.

Resilienz lautet in diesem Zusammenhang das Schlagwort – angesichts zunehmender Bedrohungen durch Cyberkriminelle ist es dringend notwendig, den Schutz kritischer Infrastrukturen zu erhöhen und ein schnelles Wiederhochfahren von Wirtschaft und Gesellschaft nach einem Störfall zu ermöglichen. Analog zum DSGVO-Katalog werden auch bei NIS 2 künftig Verstöße gegen den vorgeschriebenen Maßnahmenkatalog mit spürbaren Bußgeldern bestraft. Verschärfend kommt noch hinzu, dass die Haftung direkt auf Geschäftsführer und Vorstände ausgeweitet wird.

Eine europäische Lösung für mehr Sicherheit gegen Cyberkriminelle ist absolut begrüßenswert. Damit die Idee aber auch ihre volle Schlagkraft entfaltet, darf man keinesfalls die Fallstricke auf dem Weg dahin aus dem Blick verlieren. So muss Deutschland bei der praktischen Umsetzung in nationale Gesetzgebung unbedingt aufpassen, dass es nicht zu rechtlichen Unklarheiten kommt. Die DSGVO ist ein gutes Beispiel, immerhin sind streng genommen amerikanische Platzhirsche wie Microsoft 365 nicht rechtskonform mit den Anforderungen in puncto Auftragsverarbeitung – eine eindeutige Regelung dazu sucht man allerdings vergeblich.

Dabei sieht der Europäische Gerichtshof zu Recht die Datenhoheit bedroht: Nutzen Unternehmen Microsoft-Anwendungen, die über eine Public Cloud operieren, müssen sie dazu automatisch auch einen Teil der Kontrolle an den Konzern abgeben. Microsoft verschlüsselt die eingehenden Daten und hält die Schlüssel, wodurch ein nicht unerhebliches Sicherheitsrisiko entsteht. Der Cloud Act macht es zudem praktisch unmöglich, Garantien dafür zu geben, dass sensible Daten und Firmengeheimnisse nicht in die falschen Hände geraten.

Ein anderer Punkt, den Unternehmen gerne bei der Wahl ihres Infrastrukturanbieters beiseiteschieben, ist die Tatsache, dass es Resilienz niemals ohne eine grundlegende Souveränität gibt. Wenn sich Unternehmen von großen, international agierenden Technologiekonzernen und deren Plattformen abhängig machen, bleiben jedoch Datensouveränität und Individualisierbarkeit auf der Strecke. Vielmehr wird das alte proprietäre Spiel von Intransparenz und Vendor-Lock-in weitergeführt, mit allen damit verbundenen Gefahren wie Problemen bei der Datenmigration oder mangelnder Investitionssicherheit.

Die Tragweite einer solchen Abhängigkeit sehen wir gerade im Energiemarkt. Deshalb müssen Verantwortliche von kritischen Infrastrukturen eine umfassende Datenstrategie entwickeln und auf die konsequente Umsetzung des Datenschutzes achten. Public-Cloud-Angebote nicht-europäischer Hersteller sind dabei keine Option, immerhin droht bei Verstößen auch die direkte, persönliche Verantwortung der Geschäftsführung und Vorstände.

Fakt ist, ohne resiliente Infrastrukturen wird sich die Forderung nach digitaler Souveränität nicht dauerhaft aufrechterhalten lassen. Im Umkehrschluss wird man ohne die Fähigkeit digital souveränen Handelns nicht in der Lage sein, entsprechend widerstandsfähige digitale Infrastrukturen aufbauen zu können. Beides hängt eng zusammen.

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Tagen ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

3 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

3 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

3 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

3 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

4 Tagen ago