Home » News » Cybersecurity » Kommentar: Keine Resilienz ohne Datenhoheit

Kommentar: Keine Resilienz ohne Datenhoheit

Die Digitalisierung verändert die Wirtschaft tiefgreifend: Plattformbasierte Geschäftsmodelle dringen in immer mehr Branchen vor und lassen neue Wertschöpfungssysteme entstehen. Diese digitale Welt macht natürlich nicht Halt an irgendwelchen Ländergrenzen. Ohne europaweites Engagement und einheitliche Regeln, die mit diesem Tempo Schritt halten, werden wir weder wettbewerbs- noch innovationsfähig bleiben.

2 Min. Lesezeit
Foto: ©AdobeStock/Michael Traitov

Die NIS 2-Richtlinie soll die Cybersicherheit im europäischen Raum weiter stärken. Resilienz lautet hier das Schlagwort – angesichts zunehmender Bedrohungen durch Cyberkriminelle ist es dringend notwendig, den Schutz kritischer Infrastrukturen zu erhöhen und ein schnelles Wiederhochfahren von Wirtschaft und Gesellschaft nach einem Störfall zu ermöglichen. Resilienz gibt es allerdings niemals ohne eine grundlegende Souveränität.

Die Digitalisierung verändert die Wirtschaft tiefgreifend: Plattformbasierte Geschäftsmodelle dringen in immer mehr Branchen vor und lassen neue Wertschöpfungssysteme entstehen. Diese digitale Welt macht natürlich nicht Halt an irgendwelchen Ländergrenzen. Ohne europaweites Engagement und einheitliche Regeln, die mit diesem Tempo Schritt halten, werden wir weder wettbewerbs- noch innovationsfähig bleiben. Brüssel hat das sehr wohl erkannt und zuletzt mit der überarbeiteten NIS (Netzwerk- und Informationssicherheits)-Richtlinie ein Rahmenwerk herausgebracht, um die Cybersicherheit im europäischen Raum zu stärken. Resilienz lautet in diesem Zusammenhang das Schlagwort – angesichts zunehmender Bedrohungen durch Cyberkriminelle ist es dringend notwendig, den Schutz kritischer Infrastrukturen zu erhöhen und ein schnelles Wiederhochfahren von Wirtschaft und Gesellschaft nach einem Störfall zu ermöglichen. Analog zum DS-GVO-Katalog werden auch bei NIS 2 künftig Verstöße gegen den vorgeschriebenen Maßnahmenkatalog mit spürbaren Bußgeldern bestraft. Verschärfend kommt noch hinzu, dass die Haftung direkt auf Geschäftsführer und Vorstände ausgeweitet wird.

Eine europäische Lösung für mehr Sicherheit gegen Cyberkriminelle ist absolut begrüßenswert. Damit die Idee aber auch ihre volle Schlagkraft entfaltet, darf man keinesfalls die Fallstricke auf dem Weg dahin aus dem Blick verlieren. So muss Deutschland bei der praktischen Umsetzung in nationale Gesetzgebung unbedingt aufpassen, dass es nicht zu rechtlichen Unklarheiten kommt. Die DSGVO ist ein gutes Beispiel, immerhin sind streng genommen amerikanische Platzhirsche wie Microsoft 365 nicht rechtskonform mit den Anforderungen in puncto Auftragsverarbeitung – eine eindeutige Regelung dazu sucht man allerdings vergeblich. Dabei sieht der Europäische Gerichtshof zu Recht die Datenhoheit bedroht: Nutzen Unternehmen Microsoft-Anwendungen, die über eine Public Cloud operieren, müssen sie dazu automatisch auch einen Teil der Kontrolle an den Konzern abgeben. Microsoft verschlüsselt die eingehenden Daten und hält die Schlüssel, wodurch ein nicht unerhebliches Sicherheitsrisiko entsteht. Der Cloud Act macht es zudem praktisch unmöglich, Garantien dafür zu geben, dass sensible Daten und Firmengeheimnisse nicht in die falschen Hände geraten.

Ein anderer Punkt, den Unternehmen gerne bei der Wahl ihres Infrastrukturanbieters beiseiteschieben, ist die Tatsache, dass es Resilienz niemals ohne eine grundlegende Souveränität gibt. Wenn sich Unternehmen von großen, international agierenden Technologiekonzernen und deren Plattformen abhängig machen, bleiben jedoch Datensouveränität und Individualisierbarkeit auf der Strecke. Vielmehr wird das alte proprietäre Spiel von Intransparenz und Vendor-Lock-in weitergeführt, mit allen damit verbundenen Gefahren wie Problemen bei der Datenmigration oder mangelnder Investitionssicherheit. Die Tragweite einer solchen Abhängigkeit sehen wir gerade im Energiemarkt. Deshalb müssen Verantwortliche von kritischen Infrastrukturen eine umfassende Datenstrategie entwickeln und auf die konsequente Umsetzung des Datenschutzes achten. Public-Cloud-Angebote nicht-europäischer Hersteller sind dabei keine Option, immerhin droht bei Verstößen auch die direkte, persönliche Verantwortung der Geschäftsführung und Vorstände.

Fakt ist, ohne resiliente Infrastrukturen wird sich die Forderung nach digitaler Souveränität nicht dauerhaft aufrechterhalten lassen. Im Umkehrschluss wird man ohne die Fähigkeit digital souveränen Handelns nicht in der Lage sein, entsprechend widerstandsfähige digitale Infrastrukturen aufbauen zu können. Beides hängt eng zusammen.

Foto: ownCloud

Holger Dyroff, Co-Founder und COO von ownCloud

Andere interessante News

Wie Open XDR Bedrohungen erkennt und abwehrt

In der digital geprägten Unternehmenswelt von heute ist ein ganzheitlicher, proaktiver Ansatz im Kampf gegen Cyber-Bedrohungen unerlässlich. Open Extended Detection and Response (Open XDR) bietet genau das: Es koordiniert Abwehrmaßnahmen über verschiedene Sicherheitswerkzeuge, unabhängig von deren Herkunft oder Anbieter.

Cyber Signals: KI – Bedrohung und Schutzschild zugleich

Die Cybersicherheitswelt erlebt einen tiefgreifenden Wandel, getrieben von Künstlicher Intelligenz (KI). KI bietet Chancen, Cyberangriffe abzuwehren und dem Fachkräftemangel entgegenzuwirken, birgt aber auch Risiken.

Deutscher Cybersicherheitsmarkt knackt 10-Milliarden-Marke

Deutschland verstärkt seine Verteidigung gegen Cyberangriffe und setzt dabei verstärkt auf Investitionen in IT-Sicherheit. Im aktuellen Jahr werden die Ausgaben voraussichtlich um 13,1 Prozent steigen und damit erstmals die Marke von 10 Milliarden Euro überschreiten, mit einem geschätzten Betrag von rund 10,5 Milliarden Euro.