Souveräne Infrastruktur : Digitale Souveränität beginnt beim Risikomanagement

Durch geopolitische Entwicklungen steht die „digitale Souveränität“ Deutschlands und der Europäischen Union ganz oben auf der politischen Agenda. Schon heute fokussieren sich die Pflichten öffentlicher IT-Dienstleister bei kritischen Dienstleistungen – neben Risikomanagement und Notfallvorsorge respektive Business-Continuity-Management – auch auf die Vermeidung von sogenannten ‚Single-Points-of-Failure‘. Vor allem Cloud-Dienste stellen hierbei eine besonders kritische Form dar, da Betrieb, Wartung und Weiterentwicklung vollständig beim Anbieter liegen.

Der ‚Cloud-Lock-in‘ ist ein solcher potenzieller ‚Single-Point-of-Failure‘. Der Ausfall von Cloud-Software as a Service (SaaS), also zentral gehosteten Softwareanwendungen mit Zugriff über Internetbrowser, kann unter anderem durch folgende politisch begründete Ursachen entstehen: geopolitische Sanktionen, Preisexplosionen, Exportkontrollrecht oder Cloud-Act-Konflikte. Bei einem solchen Ereignis können zentrale Bereiche wie Kommunikation, Identitätsverwaltung und einige Fachverfahren für die Arbeit von Staat und Verwaltungen nicht mehr zur Verfügung stehen.

Open Source nicht die alleinige Lösung

Liegt bei Ausfall eines Cloud-Lieferanten dann kein vollständiges Business-Continuity-Konzept zum Not- und Weiterbetrieb kritischer Dienstleistungen vor, erfüllt man nicht die gesetzlichen Verpflichtungen für ein vollständiges NIS-2-konformes Risikomanagement. Ob im Kontext Exit- und Migrationsstrategien jedoch die aktuell häufig diskutierte Fokussierung auf Open-Source-Produkte die alleinige Lösung sein kann, sollte kritisch hinterfragt werden. Denn digitale Souveränität hat mehr Dimensionen.

Gerade in der Lieferkettensicherheit liegt oftmals eine Schwachstelle von Open-Source-Entwicklungen. Wer Open-Source-Software ‚kostenfrei‘ nutzen möchte, muss selbst erheblich in Wissen und Programmierfähigkeiten investieren. Denn insbesondere beim Einsatz von Open-Source-Produkten in zertifizierten sicheren Betriebsumgebungen muss zu jedem Zeitpunkt sichergestellt sein, dass neu aufgetretene Sicherheitslücken schnell geschlossen werden können. Kann man diese Anforderungen selber nicht erfüllen, muss hierfür ein externer Dienstleister beauftragt werden. So entstehen neue Abhängigkeiten.

Eine weitere Schwachstelle von Open-Source-Entwicklungen sind häufig Usability-Probleme, wenn man den Exit- und Migrationspfad beschreitet. Denn was nutzen Service oder Fachverfahren als Alternative, wenn sie die über Jahrzehnte gewohnte Arbeitsweise nicht unterstützen, so dass alle Anwenderinnen und Anwender erst einmal darauf geschult werden müssen? Gerade bei Open-Source-Produkten hat sich in der Vergangenheit gezeigt, dass die Nutzererfahrung ein zentrales Kriterium für die Akzeptanz bleibt. Zudem erzeugt ein Produkt, das die Anwenderinnen und Anwender überfordert, eine Schatten-IT und damit neue Sicherheitsrisiken.

Mehr Fokus auf sichere Rechenzentren

Ein Schwerpunkt bei der Umsetzung der „digitalen Souveränität“ muss deshalb auf Wechselfähigkeit liegen, die Lieferkettensicherheit und Usability garantiert, letzteres ohne großen Schulungsaufwand bei den Anwenderinnen und Anwendern. Häufig macht es zudem mehr Sinn, zentrale Komponenten bei Cloud-Services austauschen zu können, als ganze Betriebssysteme oder Produktwelten. Hier sind auch Co-Existenzen möglich. Wichtig ist dabei, zentrale Komponenten zu ersetzen, die den sicheren Zugriff auf hoheitliche Daten im Ernstfall gefährden.

Darauf geht auch ein Rechtsgutachten der Universität zu Köln ein. Es zeigt auf, dass die US-amerikanischen Sicherheitsbehörden Herausgabe- und Zugriffsrechte auf Informationen und Kommunikationsdaten haben und das nicht nur dann, wenn sich die Server beziehungsweise Datenspeicher in den USA befinden.

Daher ist eine sichere und resiliente Rechenzentrums-Strategie für Staat und öffentliche Verwaltungen zentral auf dem Weg zur Souveränität. Das Kritis-Dachgesetz sowie NIS-2-Gesetz setzen wichtige Parameter für die Rechenzentrums-Resilienz: Die Zentren müssen hochverfügbar, ausfallsicher, energie- und netzwerktechnisch abgesichert sowie organisatorisch in Notfall- und Krisenpläne eingebettet sein.

Wichtig ist auch, gesetzlich normierte Maßnahmen zum Risikomanagement zu ergreifen. Starke, öffentliche IT-Dienstleister sind Experten, wenn es darum geht, die digitale Souveränität vom Papier in die Praxis umzusetzen. Sie kennen die Anforderungen der verschiedenen Fachbereiche im öffentlichen Sektor, sichern den Betrieb kritischer Infrastrukturen und können gemeinsam mit der Verwaltung tragfähige Lösungen entwickeln – praxisnah, verlässlich und wirtschaftlich.

Oliver Heidinger führt als Präsident des Landesbetriebs Information und Technik Nordrhein-Westfalen (IT.NRW) die Geschäfte und vertritt das Land in allen rechtlichen Angelegenheiten des Landesbetriebs. Der aus Münster stammende Mediziner hat unter anderem ein elektronisch arbeitendes Krebsregister aufgebaut und war als Stellvertretender Chief Information Officer im Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie tätig.