Thought Leadership
Ob unterbrochene Lieferketten oder der allgegenwärtige Fachkräftemangel – die Abhängigkeit Europas von nicht-europäischen Technologien und Rechtsräumen wird mehr und mehr zum handfesten Risiko für Unternehmen und Institutionen.
Im Interview erläutert Jörg von der Heydt, Regional Director DACH bei Bitdefender, warum digitale Souveränität in der Cloud kein Widerspruch ist und wie sich der Weg aus der Abhängigkeit gestalten lässt.
Herr von der Heydt, was war für Sie ein Schlüsselerlebnis, welches Ihnen klar machte: Wir in Deutschland oder in der EU sind nicht mehr digital souverän?
Jörg von der Heydt: Seit Jahren betonen IT-Experten immer wieder, dass eine stärkere digitale Unabhängigkeit zwingend erforderlich ist. Der Fall des von digitalen Prozessen ausgesperrten französischen Richters am Internationalen Strafgerichtshof Nicolas Gillou mag nur ein prominentes Beispiel sein – er hat aber aufgezeigt, wie schnell und einfach eine Souveränität im Digitalen entzogen ist.
Die aktuellen geopolitischen Umwälzungen erhöhen die Dringlichkeit des Problems. Corona, der Ukraine-Konflikt und aktuell der Krieg im Iran veranschaulichen überdeutlich, dass die digitale Supply Chain, die auch auf die Cloud angewiesen ist, hierzulande alles andere als unabhängig funktioniert. Die den einzelnen Gliedern der Lieferkette zugrundeliegenden Prozesse sind dabei alle in gleicher Weise bedeutsam. Fallen nur einzelne Elemente aus, ist der gesamte Ablauf gefährdet.
Die Funktion des Gesamtablaufs hängt vom abhängigsten Glied ab. Dies gilt für Produkte ebenso wie für Dienste. Digitale Souveränität sowohl lokal wie in der Cloud ist das Gebot der Stunde. Als europäischer Anbieter von Cybersicherheitslösungen, einem zentralen Glied der digitalen Lieferkette, lag es für uns schon länger sehr nahe, Partnerschaften mit europäischen Cloud-Providern zu suchen. Mit ihnen möchten wir erreichen, dass Unabhängigkeit keine Utopie bleibt, sondern eine realistische Möglichkeit wird.
Wie groß ist der Nachholbedarf in Sachen Unabhängigkeit in Deutschland und in der Europäischen Union – bei Technologien, im Markt, beim Personal?
Jörg von der Heydt: Fortschritte auf dem Weg zu digitaler Souveränität sind kaum sichtbar. Deutschland kommt zu langsam voran, während echte Alternativen vielfach fehlen. Dabei ist die technologische Basis längst vorhanden. Was bremst, sind gewachsene Abhängigkeiten und die tiefe Verflechtung mit Diensten und Tools, die den Anspruch europäischer oder deutscher Souveränität schlicht nicht erfüllen. Gleichzeitig verschärft der massive Fachkräftemangel in der Cybersicherheit das Problem – und macht digitale Souveränität in der Praxis zur Ausnahme statt zur Regel.
Digitale Souveränität ist zentral für Industrie und Gesellschaft. Was heißt aber digitale Souveränität in der Cloud?
Jörg von der Heydt: Eigentlich sollte dies inzwischen bei jedem angekommen sein. Das BSI hat dazu bereits deutlich Stellung bezogen und sieht nun alle in der Pflicht, Souveränitätsanforderungen umzusetzen.
Aber vielen ist unklar, wie digitale Souveränität realisiert wird, wie entsprechende Compliance-Anforderungen eingehalten werden können und ob dies auch in der für viele Unternehmen nicht mehr wegdenkbaren Cloud möglich ist. Gerade viele Angebote, aber auch Diskussionen rund um ein, zum Teil zu Recht kritisiertes, Sovereignty Washing verunsichern die IT-Entscheider.
Digitale Souveränität lässt sich mit dem bestehenden, hochqualifizierten, aber zahlenmäßig einfach zu geringen Personalbestand nur schwer erreichen.
Jörg von der Heydt, Bitdefender GmbH
Was sollte und darf man aber realistisch verlangen, wenn man digitale Souveränität in der Cloud einfordert?
Jörg von der Heydt: Entscheidend ist: Unternehmen benötigen die umfassende Kontrolle und Verfügbarkeit ihrer Daten, IT-Infrastrukturen und Anwendungen. Man denke nur an das Problem der E-Mail-Sicherheit. Viele Angebote basieren hier einfach auf der Cloud. Gerade in digitalen Korrespondenzen finden sich einerseits vertrauliche Inhalte, andererseits setzen Hacker über diesen Kanal mit Social Engineering und Phishing an, um ihre Attacken zu starten. Solche Dienste müssen EU-souverän funktionieren und ihre Daten speichern.
Entscheidendes Kriterium für eine compliante Sicherung und Funktion ist aber nicht der Ort der Sicherung, sondern die Unabhängigkeit von ausländischen Anbietern und Rechtssystemen. Ein lokales Hosting von Daten in Deutschland reicht dabei nicht unbedingt aus. Der Cloud Act ermöglicht den Zugriff auf hierzulande gehostete Domänen, wenn der Provider eine Tochtergesellschaft eines US-amerikanischen Unternehmens ist. Da nutzt auch eine deutsche Rechtsform der Gesellschaft nichts. Rechtliche Unabhängigkeit bietet nur ein Cloud-Partner mit Gerichtsstand in Deutschland.
Welchen Beitrag leisten Cybersicherheitsplattformen für eine Souveränität?
Jörg von der Heydt: Der Anteil einer Security-Plattform an der digitalen Souveränität scheint auf den ersten Blick eher klein. Beim zweiten Hinsehen wird jedoch klar, dass IT-Sicherheitsdienste einen essenziellen Beitrag bei der Aufrechterhaltung digitaler Prozesse leisten. Der Shutdown eines Mail-Security-Cloud-Gateways beispielsweise bringt die Mail-Kommunikation zum Erliegen oder macht sie hochgradig unsicher.
Welche konkreten Voraussetzungen für eine digitale Souveränität = Unabhängigkeit müssen gegeben sein? Ist Cloud-Cybersicherheit möglich?
Jörg von der Heydt: Digitale Souveränität ist an sich für alle IT-Abläufe möglich, solange die Daten nicht einen unkontrollierten Weg nach außen – etwa zu einem Provider – finden. Konkret definiert das BSI daher auch Kriterien, um den Abfluss von Informationen oder den Zugriff durch Dritte – auch durch den Cloud-Anbieter – zu verhindern. Kryptographische Verfahren mit einem Schlüssel- und Identitätsmanagement in der Hand des Kunden sind ebenso zentraler Pfeiler für eine digitale Autonomie wie auch die Kontrolle von Updatekanälen zu Herstellern oder die Kontrolle der an Provider übertragenen Daten.
Wieso ist Bitdefender ein geeigneter Partner für den Weg in eine digitale Souveränität?
Jörg von der Heydt: Ganz klar: Bitdefender ist ein europäisches Unternehmen, mit Hauptsitz und Wurzeln in Rumänien. Darüber hinaus haben wir uns konsequent europäische und deutsche Partner gesucht, die uns helfen, eine souveräne Cybersicherheit in der Cloud zu verwirklichen. So haben wir mit der von Secunet betriebenen Public-Cloud einen inländischen, BSI-zertifizierten Cloud Provider als Host unserer zentralen Cybersicherheitsplattform gefunden. Hier finden dann unsere Dienste für Cybersicherheit und insbesondere in IT- und E-Mail-Sicherheit statt.
Ein umfassendes Plattformangebot für IT-Sicherheit, Compliance und das Management von Risiken, Angriffsflächen und Schwachstellen in einer europäischen Cloud verschafft den Kunden eine europäische, souveräne Kontrolle in einem zentralen Aufgabenbereich der IT. Die Daten der Kunden, auf denen Sicherheitsanalysen beruhen – oder die für eine Analyse herangezogen werden – verlassen zu keiner Zeit die Cloud des Kunden. Ein vergleichbares Angebot haben wir für den französischen Markt mit OVH-cloud als Partner umgesetzt.
Personalmangel ist ein Haupthindernis für mangelnde digitale Souveränität. Wie kann man anfangen, dieses Problem zu lösen?
Jörg von der Heydt: Das ist noch ein langer Weg. Digitale Souveränität lässt sich mit dem bestehenden, hochqualifizierten, aber zahlenmäßig einfach zu geringen Personalbestand nur schwer erreichen. Umso wichtiger ist es, vorhandene Sicherheitsanalysten zu halten und vor fremden Zugriff zu schützen.
Entscheidend ist dabei nicht, wo Mitarbeitende angestellt sind, sondern unter welchem Rechtsrahmen Systeme betrieben werden und wer Zugriff auf Daten und Prozesse hat. Sicherheitskritische Leistungen müssen so organisiert sein, dass sie dem europäischen Rechtsraum unterliegen und damit rechtlich wie operativ nicht durch extraterritoriale Regelungen wie den Cloud Act angreifbar sind.
Gleichzeitig kommen Sicherheitsexperten ohne Unterstützung durch künstliche Intelligenz nicht mehr aus. Sie ist unverzichtbar, um Bedrohungen zu erkennen, zu priorisieren und schnell die richtigen Maßnahmen einzuleiten – präventiv statt reaktiv. Nur so lässt sich auch technisch ein höheres Maß an Souveränität erreichen.
Herr von der Heydt, vielen Dank für dieses Gespräch.
