Auch bei der diesjährigen Münchner Sicherheitskonferenz ist zweifellos die neue „geopolitische Realität“ angelangt, über die die EU aktuell spricht: Seit der Covid-19-Krise im Jahr 2020, dem Russland-Ukraine-Krieg ab dem Jahr 2022 und den fortdauernden geopolitischen Spannungen der Volksrepublik China zu Taiwan, mit bislang ungewissem Ausgang, ist eines klar: Wir leben nicht mehr in der Welt, in der wir noch im letzten Jahrzehnt gelebt haben. Und ist es nicht zwangsläufig so, dass außergewöhnliche Umstände außergewöhnliche Maßnahmen erfordern? Worüber dabei politisch diskutiert wird, ist eine Sache – auf einem anderen Blatt steht aber, wie Unternehmen und Wirtschaft mit diesen neuen Herausforderungen umgehen und ob auch sie ihrer neuen Verantwortung gerecht werden.
Regionalisierung statt Globalisierung der IT
Es überrascht deshalb kaum, dass die Europäische Union in dieser Woche neue Regeln vorgeschlagen hat, um Europas technologische Souveränität zu stärken. Bei dem vorgestellten Maßnahmenpaket, das sich neben einer Gesetzesreform aus politischen Empfehlungen und Diskussionspapieren zusammensetzt, handelt es sich letztlich um nichts anderes als eine ganzheitliche Strategie, um mehr wirtschaftliche Souveränität – und damit ist vor allem auch die digitale Souveränität gemeint – zu erzwingen.
Wo in den 2010ern die Globalisierung im Technologiesektor noch als Schlüsselwort galt, hat man sich nun eines Besseren besonnen: Globalisierung in der IT ist out, Regionalisierung ist in. Man will künftig deutlich stärker auf originär europäische Kompetenzen setzen. Politisch vorgeschlagen wird deshalb ein in der EU bislang unbekannt rigides Instrumentarium von Investitionskontrollmaßnahmen, Ausfuhrkontrollen, zum Umgang mit Dual-Use-Technologien – also solchen, die sowohl zu zivilen wie auch zu militärischen Zwecken eingesetzt werden können –, sowie die Kontrolle von Forschungskooperationen mit dem Ausland, um einen Abfluss strategisch bedeutsamen Wissens zu verhindern.
Die Europäische Union selbst nennt dabei zwar keine einzelnen staatlichen Akteure, vor denen man sich wappnen will, da man ein „umfassendes Konzept“ verfolge. Klar ist aber: Es geht weniger um die Abschottung vor politisch verbündeten westlichen Staaten, sondern vielmehr um die Volksrepublik China, deren technologischen, wirtschaftlichen und geopolitischen Ambitionen man zunehmend kritisch gegenübersteht.
Technologische Abhängigkeit als blinder Fleck
Doch wo sind sie, diese europäischen Kompetenzen, die durch die neue EU-Strategie geschützt werden sollen? Das Maßnahmenpaket suggeriert letztlich nichts anderes, als dass die EU bereits technologiesouverän wäre und es nun nur darum geht, staatliche Akteure, die die europäischen Werte nicht teilen, von den europäischen technologischen Errungenschaften auszuschließen. Was dabei aber oft vergessen wird: Vielfach sind die Europäer nach wie vor auf Technologie aus Fernost angewiesen, um auf dem internationalen Parkett wirtschaftlich konkurrenzfähig zu bleiben.
Man erinnere sich nur an die Corona-Pandemie, die zugleich auch eine „Lieferkettenpandemie“ war, indem von einem Monat auf den anderen keine Halbleitertechnologie deutsche Automobil- und Maschinenbauer mehr erreichte – mit der Folge, dass entweder deren Produktionswerke stillstanden oder Autos unfertig ausgeliefert werden mussten. Nicht zuletzt auch deshalb hält sich die neue EU-Strategie wohl auch noch vornehm zurück, wenn es um die Investitionen von EU-Unternehmen im Ausland geht.
US-Konzerne betreiben lukrative China-Aktivitäten
Ein zusätzlicher Faktor: Natürlich gibt es auch andere Staaten, die exportfähige Schlüsseltechnologien entwickeln. Bei diesen wird aber trotz des allgegenwärtigen politischen Drucks in einem Zeitalter neuer nationalstaatlicher Souveränität offensichtlich nicht so genau auf derlei Technologieexporte geschaut. Für manche ein überraschender Akteur in diesem Umfeld sind die USA. Obwohl die aktuelle EU-Halbleiterstrategie politisch in erheblicher Weise durch Washington getriggert wurde und unter anderem auch mittelbar dazu geführt hat, dass Unternehmen wie der niederländische Chipausrüster ASML keine Produkte mehr nach China liefern dürfen, unterhalten einige der US-amerikanischen Big Tech-Konzerne nach wie vor lukrative Geschäftsbeziehungen zum Reich der Mitte – gerade auch bei solchen Schlüsseltechnologien wie KI, Halbleiter, Quantencomputing oder Cloud, die die EU regulieren will.
So unterhält beispielsweise Amazon Web Services als einer der Hauptprovider für das US Department of Defense Geschäftsbeziehungen auch zu chinesischen Regierungsunternehmen in den Bereichen AI und Cloud. Oder Meta, das zu Ende des Jahres 2023 noch einen exklusiven Deal beschloss, zusammen mit dem chinesischen IT-Konzern Tencent ein neues VR-Headset auf dem chinesischen Markt auszurollen. Der US-Technologiekonzern Oracle unterhält laut eigenen Angaben auf der Website eine Vielzahl chinesischer Niederlassungen und auch hier finden sich Kooperationen im Bereich Cloud und AI, so für Gesichtserkennungstechnologie und Predictive Crime, wie etwa „The Intercept“ 2021 berichtete.
Ebenso unter den internationalen IT-Schwergewichten in China taucht immer wieder Microsoft mit seiner Cloud-Plattform Azure auf, die mittlerweile 900 Millionen chinesische Nutzer mit AI-Technologie bedient. Mehrere Tausend Angestellte sind für Microsoft in China allein im Bereich AI tätig und auch hier ergeben sich deutliche Bezüge zu militärischen und nachrichtendienstlichen Aktivitäten – also genau denjenigen Bereichen, die durch die neue Dual-Use-Strategie der EU eingedämmt werden sollen. „Microsofts großer Fußabdruck in China entspricht nicht den Sicherheitsbedenken der USA“, titelte beispielsweise „Forbes“ im vergangenen Jahr.
Dies mutet umso kurioser an, da gerade Microsoft in den USA im vergangenen Jahr von erheblichen Cyberangriffen aus China mit einem nachrichtendienstlichen Hintergrund betroffen war. Nicht umsonst planen die USA nun, chinesischen Unternehmen die Nutzung von Cloud-Anbietern wie Amazon und Microsoft zu untersagen, wie etwa im vergangenen Jahr berichtet wurde.
Technologiesouveränität braucht mehr als eine neue EU-Strategie
Welche Schlüsse können wir nun für die neuen EU-Pläne zu mehr Technologiesouveränität ziehen? Eines jedenfalls ist klar: Eine (reichlich) späte Erkenntnis ist immer noch besser als gar keine Erkenntnis. Und dabei geht es richtigerweise, wie auch die Europäische Kommission zumindest offiziell ausführt, nicht allein um das angespannte Verhältnis zur Volksrepublik China – sondern im Kern darum, dass man sich in den vergangenen Jahrzehnten in Fragen technologischer Souveränität viel zu lange ausgeruht hat und nun plötzlich mit den Konsequenzen konfrontiert wird, wo sich das weltpolitische Geschehen nicht erwartungsgemäß linear entwickelt hat.
Deutlich ist jedoch auch geworden, dass bei dem Thema nicht allein die EU am Hebel sitzt, selbst wenn dies außenpolitisch so verkauft wird. Und damit werden auch schnell die Grenzen ebenjener Technologiesouveränität deutlich, wenn Großkonzerne aus anderen Staaten außerhalb des EU-Regulierungshorizonts nach wie vor emsige Wirtschafts- und Forschungskooperationen mit dem Reich der Mitte unterhalten.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht, Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und des Advisory Boards des Anbieters für verschlüsselte Kommunikation NordVPN. Kipker ist zudem wissenschaftlicher Direktor des Cyberintelligence Institute in Frankfurt am Main.
In unserer Reihe Perspektiven kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Dennis-Kenji Kipker erschienen: Neuer Entwurf für Kritis-DachG
