Home » Fachbeiträge » Security Management » Souveräne IT-Sicherheit in der Praxis

Souveräne IT-Sicherheit in der Praxis

Ohne digitale Souveränität wird es auch mit der europäischen Souveränität nichts“, sagte Claudia Plattner – jetzt Präsidentin des BSI – im Jahr 2022, als sie noch IT-Leiterin der Europäischen Zentralbank war. Mit dieser Aussage unterstreicht sie die Relevanz der digitalen Souveränität für den europäischen Raum.

·

Redaktion IT-SICHERHEIT (cs)

4 Min. Lesezeit
Tippende Hände auf virtueller Tastatur
Foto: ©AdobeStock/Intelligent-Horizons

Advertorial

Der Begriff der digitalen Souveränität

Zunächst geht es um die Begriffsklärung, denn „digitale Souveränität“ ist eine facettenreiche Vokabel. Verortet wird „Souveränität“ zunächst auf der staatlichen Ebene, wenn es darum geht, die Handlungsfähigkeit von Staaten zu beschreiben, insbesondere die Fähigkeit des Staates, digitale Vorgänge zu kontrollieren, die einen Einfluss auf sein Territorium haben und bei denen der Staat selbst oder staatliche Institutionen betroffen sind. Der Begriff beschränkt sich aber nicht nur auf die Kontrolle über digitale Prozesse und Technologien.

Er umfasst darüber hinaus zusätzlich folgende Aspekte:

  1. Digitale Selbstbestimmung: Individuen und Organisationen sollen die Kontrolle über ihre eigenen Daten und Informationen haben. Dies bedeutet, dass sie kontrollieren können, wer auf die Daten zugreifen darf, und die Möglichkeit, datengetriebene Prozesse (Wie kontrolliere ich Daten, den Zugriff auf diese und wer/was sie nutzt?) aktiv zu gestalten.
  2. Unabhängigkeit von externen Technologien und Diensten: Die Abhängigkeit von Technologiekonzernen birgt Risiken, etwa durch den sogenannten Hersteller-Lock-in. Dieser erschwert Kunden aufgrund technischer oder wirtschaftlicher Barrieren den Wechsel von Produkten oder Dienstleistungen eines bestimmten Herstellers. Die Reduzierung von Wahlmöglichkeiten durch Hersteller-Monopole hat unmittelbaren Einfluss auf die digitale Selbstbestimmung.
  3. Datenkontrolle und -schutz: Daten haben einen Bedeutungsgehalt, der weit über den Ort ihrer Speicherung hinausgeht. Kontrolle über die Daten beinhaltet daher nicht nur deren physischen Schutz, sondern auch die Sicherstellung ihrer Integrität sowie die Kontrolle über ihre Verwendung.

Resilienz: Anpassungsfähigkeit an Herausforderungen

Im Kontext der „digitalen Souveränität“ spielt der Begriff „Resilienz“ eine wichtige Rolle. Er bezeichnet die Fähigkeit, auf unerwartete Herausforderungen zu reagieren und trotzdem funktionsfähig zu bleiben. Konkret bedeutet dies:

  • Anpassungsfähigkeit: Flexibilität im Umgang mit (gesetzlichen) Änderungen, die erhebliche Auswirkungen auf die Datensicherheit und -integrität haben können, zum Beispiel dem US-Cloud-Act. In diesem Zusammenhang bedeutet Resilienz, dass sich ein IT-System und die dahinterstehenden Prozesse schnell an neue Rahmenbedingungen anpassen können, ohne die eigenen Schutzstandards zu gefährden.
  • Sicherheitsstrategien: Robuste Sicherheitsmaßnahmen, die unter anderem bei verstärkten Cyberangriffen wirksam bleiben. Eine resiliente IT-Infrastruktur ist nicht nur gegen Angriffe gehärtet, sondern kann schnell wiedergestellt werden, sollte ein Angriff erfolgreich sein.
  • Kontinuität: Sicherstellung der Verfügbarkeit und Integrität der IT-Dienste – auch bei Störungen –, um die Handlungsfähigkeit von Staaten und Unternehmen zu gewährleisten.
  • Transparenz: Kommunikation und Aufklärung gegenüber der Bevölkerung, um Vertrauen zu stärken und Unsicherheiten zu minimieren.

Digitale Souveränität in der Praxis Sicherheit und Souveränität: Zwei Seiten derselben Medaille

Um digitale Souveränität in der Praxis zu gewährleisten, müssen Sicherheit und digitale Souveränität zusammen gedacht und umgesetzt werden. Diese strategische Herangehensweise ermöglicht es, resiliente Strukturen aufzubauen und Sicherheitsrisiken zu reduzieren. Security Controls: Maßnahmen gegen Cyberangriffe Ein zentrales Element dieser Strategie sind die Security Controls – also Maßnahmen gegen Cyberangriffe, die entlang der gesamten Kill Chain positioniert werden. Diese umfassen mehrere Bereiche:

  • Mitarbeitende: Schulung und Sensibilisierung für Cybergefahren, um menschliche Fehler zu minimieren und ein hohes Sicherheitsbewusstsein zu fördern. Es geht darum, eine Sicherheitskultur zu etablieren.
  • Endgeräte: Schutz vor unbefugtem Zugriff und Malware, um die Integrität und Vertraulichkeit der auf den Geräten gespeicherten Daten sicherzustellen.
  • Applikationen: Sicherstellung der Integrität und Authentizität von Software. Nur vertrauenswürdige Anwendungen dürfen ausgeführt und eingesetzt werden. Darüber hinaus geht es um die Kontrolle, was Applikationen tun dürfen bzw. auf welche Daten sie zugreifen dürfen.
  • Daten: Verschlüsselung und Zugangskontrollen, um die Vertraulichkeit und Sicherheit sensibler Informationen zu gewährleisten. Digitale Souveränität geht jedoch über reine Sicherheitsmaßnahmen hinaus und umfasst auch die Kontrolle über digitale Prozesse, Daten und Technologien.
  • Digitale Prozesse: Integration und transparente Steuerung der IT-Prozesse zur Sicherstellung einer nahtlosen und sicheren Zusammenarbeit der Systeme
  • Daten: Schutz sensibler Daten vor unbefugtem Zugriff und sichere Verwaltung gemäß den gesetzlichen Datenschutzrichtlinien
  • Technologien: Einsatz souveräner IT-Lösungen, die nicht von externen Anbietern abhängig sind, um die Kontrolle und die Flexibilität über die eingesetzten Technologien zu gewährleisten

Wenn Sicherheit und digitale Souveränität Hand in Hand gehen, erhöht dies die Widerstandsfähigkeit (Resilienz) der IT-Infrastrukturen von Staaten und Unternehmen. Dies stellt ihre Unabhängigkeit und Selbstbestimmung in der digitalen Welt sicher.

Fazit

Digitale Souveränität ist keine isolierte Herausforderung, sondern ein integraler Bestandteil einer modernen Cybersicherheitsstrategie. Staat und Unternehmen müssen gemeinsam die Verantwortung für Sicherheit, digitale Selbstbestimmung und Resilienz übernehmen. Dies erfordert nicht nur den Aufbau souveräner IT-Infrastrukturen, sondern auch die Entwicklung ganzheitlicher Sicherheitskonzepte.

Souveränität wird schnell als „Abschottung“ verstanden. Das ist sie ausdrücklich nicht. Vielmehr geht es um die Fähigkeit, Kontrolle und Selbstbestimmung auszuüben. In einer global vernetzten Welt ist es entscheidend, flexibel und handlungsfähig zu bleiben, um die digitale Souveränität in Europa zu gewährleisten. Nur so kann, wie von Claudia Plattner betont, die digitale Souveränität ein Grundpfeiler der europäischen Souveränität werden.

Quellen:

https://www.cio.bund.de/Webs/CIO/DE/digitale-loesungen/digitale-souveraenitaet/digitalesouveraenitaet-node.html
https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/digitale-loesungen/eckpunktpapier-digitale-souveraenitaet.pdf?__blob=publicationFile&v=4
https://www.inside-it.ch/lex-laux-was-ist-digitale-souveraenitaet
https://de.wikipedia.org/wiki/Digitale_Souver%C3%A4nit%C3%A4t
https://www.netzwoche.ch/news/2023-12-08/warum-digitalesouveraenitaet-aufgabe-des-staates-ist

Mehr dazu finden Sie hier.

Porträt Martin Mangold

Autor: Martin Mangold, Senior Vice President Platform & Operations, DriveLock SE

Newsletter Abonnieren

Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.

Andere interessante Fachbeiträge

Digitaler Workflow, Mann schreibt auf Tablet mit Pen

Warum AI Gateways zum Schutz nötig sind

KI-Agenten benötigen Zugang zu Ressourcen wie Dienste, Tools und Daten, um ihre Aufgaben zu erfüllen. Aber dieser Zugriff darf nicht unbegrenzt sein. Damit er nur im entsprechenden...

Security Management
Stromausfall, beleuchtetes GEbäude, Mond

Rechenzentren rüsten sich für großflächige Stromausfälle

Die Abhängigkeit von digitaler Infrastruktur nimmt zu, doch Deutschlands Stromnetze sind überlastet, und Stromausfälle werden wahrscheinlicher. Rechenzentren müssen daher heute deu...

KRITIS
Hand tippt auf Laptop-Tastatur mit digitalen Symbolen im Vordergrund

Was Sie bei einem NIDS für die OT beachten sollten

Das IT-Sicherheitsgesetz und die Implementierung der NIS-2-Direktive fordern für kritische Anlagen den Einsatz eines Systems zur Angriffserkennung. Ein netzbasiertes Sicherheitsmon...

Security Management