Digitale Souveränität first!

In aktuellen Debatten zur Verteidigung Europas wird bereits über den Kill Switch diskutiert – einen in die Steuerungssoftware eingebauten Notausschalter in von den USA gelieferten Waffensystemen, mit dem sich diese auf einen Schlag lahmlegen lassen. Doch nicht nur im Hinblick auf Verteidigungssysteme wächst die Sorge vor den Gefahren des umfangreichen Einsatzes US-amerikanischer Software. Deutsche und europäische Unternehmen und Verwaltungen sind durchweg von ihr abhängig, was sie in der aktuellen Situation vor unwägbare Herausforderungen stellt. „Seit seinem Amtsantritt vereint US-Präsident Donald Trump die CEOs der großen Tech-Konzerne hinter sich und übt Druck auf sie aus. Die wirtschaftliche und politische Instrumentalisierung der Quasi-Digitalmonopole, etwa von Microsoft, Alphabet und Amazon, hat sich zu einem Szenario entwickelt, das Firmen nicht länger verdrängen können“, warnt Joachim Richter, Partner bei der auf Energieunternehmen spezialisierten Managementberatung AXXCON.

Vor dem Kill Switch stehen zahlreiche Manipulations- und Erpressungsmöglichkeiten

Konkret fragen müssen sich die Firmen laut dem Energie- und IT-Experten, was geschieht, wenn US-amerikanische Software für europäische Firmenkunden manipuliert wird, ihr Funktionsumfang eingeschränkt oder notwendige Sicherheitsupdates nicht mehr verfügbar sind? Oder wenn Unbefugte unbemerkt Zugriff auf sensible Betriebsdaten erhalten und Firmen dadurch erpressbar werden? Ebenso bedrohlich: Auf Daten, die bei US-Cloud-Providern lagern, könnte die US-Regierung schon heute über den „Patriot Act“ sogar völlig legal zugreifen, selbst wenn die Daten nicht in den USA gespeichert sind. Dr. Bernard Richter, Geschäftsführer des auf resiliente Strategien spezialisierten Beratungsunternehmens RCON erklärt: „Das Kill-Switch-Szenario, bei dem zentrale Services komplett abgeschaltet werden, steht nur an der Spitze einer langen Reihe von Manipulationsmöglichkeiten, die deutsche und europäische Unternehmen empfindlich treffen können.“

Für Energieversorger als Betreiber kritischer Infrastrukturen sind diese Szenarien besonders bedrohlich. So ist zwar momentan davon auszugehen, dass der Betrieb ihrer Kraftwerke und Netze nicht substanziell gestört werden kann, alle anderen Geschäftsfelder eines EVU können jedoch fast vollständig aus dem Rennen genommen werden – wenn etwa Rechnungen nicht mehr gestellt und Nutzerdaten und Energie-Verbräuche nicht mehr verarbeitet werden können. Dies hätte auch Auswirkungen auf die Steuerung der Energienetze und könnte mittelfristig die kritische Netzinfrastruktur schädigen.

Umso wichtiger ist es, dass EVU die Szenarien zu Ende denken und nicht länger den Kopf in den Sand stecken – auch wenn sie in einem Dilemma stecken. Denn, so erklärt Joachim Richter: „Europäische Cloud- und Softwareanbieter sind derzeit nicht vollumfänglich wettbewerbsfähig. US-amerikanische Software gilt in vielen Unternehmensbereichen als alternativlos.“ Auch deutsche oder europäische Spezialanwendungen werden mehr und mehr in Cloud-Lösungen gewandelt – betrieben bei US-Cloud-Anbietern. Die fortschreitende Cloudifizierung erhöht auch hier die Abhängigkeit von den US-Hyperscalern – quasi durch die Hintertür. Dennoch bleiben die weitere Digitalisierung und der Einsatz neuer KI-Technologien für die im Wettbewerb stehenden Unternehmen zwingend.

Was können EVU konkret tun?

Wie aber können Schritte auf dem mühsamen, teuren und dennoch für die eigene Sicherheit unvermeidlichen Weg aussehen, digitale Souveränität und Resilienz zu erlangen? Zunächst einmal müssen EVU sich ihre Abhängigkeit ganz genau ansehen, die sich durch eine „Cloud only“- oder „Cloud first“-Strategie noch einmal deutlich steigert. Wählen Unternehmen diesen Weg, gilt es laut AXXCON sehr sorgfältig zu überlegen: Welche Teile der IT sollten im eigenen Rechenzentrum verbleiben und welche werden in die Cloud verschoben? Oder ist eine Sovereign-Cloud die richtige Lösung? Nachdenken sollten sie auch über Multicloud-Lösungen, bei denen europäische Anbieter ergänzend genutzt werden – etwa, wenn es um die sogenannten „Crown-Jewels“ geht – Anwendungen, die absolut essenziell für den Unternehmensbetrieb sind.

Grundsätzlich gilt laut Joachim Richter: „Überall, wo es kritisch wird, muss man nachweisbar in der Lage sein, die kompletten Komponenten von Anfang bis zum Ende zu kontrollieren und zu überwachen. Es ist also eine ganzheitliche Sicht notwendig: auf Applikations-Software, Betriebssysteme, Infrastruktur, Datennetze, Sicherheits- und Sicherungssysteme und mögliche Abhängigkeiten von Dienstleistern und deren Subunternehmen.“

Sensibilisieren und mit Verschlüsselung und Backups starten

Das Bedrohungspotenzial, das sich durch den politischen Druck von Donald Trump auf die US-Hyperscaler abzeichnet, bedarf einer anderen Herangehensweise als z. B. der Schutz vor Hackerangriffen. Ein fundamentaler Perspektivwechsel ist notwendig. Alle Verfahren, die im Rahmen einer Business-Continuity-Strategie festgelegt wurden, sind neu zu hinterfragen. Es gilt, die IT-Abteilungen zu sensibilisieren und unter anderem bei den Daten, die bereits bei US-Hyperscalern lagern, zu prüfen, ob diese ausreichend verschlüsselt sind – „und zwar so, dass nicht Microsoft, Alphabet oder Amazon den Schlüssel dazu haben“, ergänzt Joachim Richter. Mit verschlüsselten Daten lasse sich zumindest nichts anfangen. Hoheit über die Verschlüsselungs-Keys zu erlangen, ist somit ein zentraler Punkt, mit dem sich auch sofort beginnen lässt. Ebenfalls kurzfristig sollte die Backup-Strategie überprüft werden. Ist diese ausreichend und funktioniert wie geplant? Sind die Backups auch sinnvoll nutzbar, wenn ein US-Hyperscaler plötzlich nicht mehr erreichbar sein sollte? Wie sehen Szenarien für einen Notbetrieb aus?

Nicht zuletzt gilt es für die EVU, sich gegenüber der Politik zu positionieren. So sollte von den 500 Milliarden Euro, die Deutschland in Zukunft für Infrastruktur ausgeben will, auch ein großer Teil in die Digitalisierung fließen – unter anderem in die Steuerung der Energienetze und ihre Sicherheit. „EVU sollen sich darauf vorbereiten, diese Investitionen einzufordern“, mahnt Dr. Bernard Richter, Geschäftsführer von RCON.