Viel wird seit wenigen Jahren über die digitale Souveränität gesprochen – wo wir stehen, warum sie in Deutschland und Europa unzureichend ist, wie wir sie möglichst schnell verbessern können. Manchmal, so sollte man meinen, ist es nicht nur eine politische Debatte, die auf verlorenem Posten steht. Denn wenn es schon keine allgemeingültige Definition von der viel zitierten digitalen Souveränität gibt, dann wird es uns auch kaum möglich sein, diese jemals zu erreichen: Wo kein klares Ziel, da auch kein klarer Weg.
Souveränität ersetzt nicht die Resilienz
Ganz im Gegenteil: Was man zurzeit leider erleben muss, ist eine Souveränitätsdebatte, die uns eher schadet als nützt, indem sie viel Frust weckt, weil wir seit den letzten Jahren kaum von der Stelle kommen. Und dabei geht es nicht nur um die Verwaltungsdigitalisierung oder wie wir die großen Halbleiterhersteller mit neuen Entwicklungs- und Produktionskapazitäten bei uns ansiedeln können, sondern auch darum, wie wir über die Cybersicherheit sprechen. Denn genau jene ist eine essenzielle Voraussetzung für erfolgreiche Digitalisierung und damit für jedwede Form digitaler Souveränität – ganz gleich, wie man sie denn verstehen mag. Aktuell jedoch könnte man mehr und mehr meinen, dass die Souveränität die technologische Resilienz zukünftig ersetzen soll – dem ist aber nicht so und das wäre auch ein Irrglaube.
Absolute Risikominimierung gibt es nicht
Denn viele der zurzeit geführten Debatten speziell zur Cybersicherheit drehen sich um die Frage, wie wir jedes nur erdenkliche Restrisiko in der Verwendung von Technologie möglichst zu 100 Prozent ausschließen können. Das ist eine theoretische Debatte, denn es ist Gesetz, dass ebenjene absolute Risikobetrachtung nicht existiert. Selbst der Regulierer hat dies anerkannt, indem er lediglich vorschreibt, dass Cybersicherheit nach dem Stand der Technik und unter Berücksichtigung von Risiken und Kosten zu realisieren ist, also verhältnismäßig sein muss. Und ebenjene Verhältnismäßigkeit kommt bei der Diskussion um die Souveränität leider viel zu kurz – das vielleicht auch, weil eine Interessenabwägung allgemein viel weniger plakativ und damit auch als These deutlich schlechter zu vermarkten ist als eine Gangart mit absoluter Sichtweise auf das Thema.
Deshalb greifen wir anstelle dessen lieber auf technologiepolitisches Powerplay zurück und bedienen uns eines völlig unbestimmten Begriffs, um jedwede Maßnahme und Entscheidung im Sinne ebenjener vielzitierten digitalen Souveränität rechtfertigen zu können. Nur um am Ende all jener fruchtlosen Debatten zur absoluten Risikominimierung feststellen zu müssen, dass wir genau dort stehen, wo wir angefangen haben. Und das ist ein gefährlicher Irrweg.
Gefangen in der Komplexitätsfalle
Damit drängen sich einige furchtbare wie gleichermaßen vielleicht auch erhellende Fragen auf: Haben wir uns vielleicht verrannt in all diesen Debatten um die digitale Souveränität, die in den letzten Wochen, Monaten und Jahren geführt wurden? Müssen wir bei der Cybersicherheit als einem ganz zentralen Bestandteil der digitalen Souveränität nicht wieder zum Ursprung der Debatte zurückkehren, wie sie vor einigen Jahren durchaus noch geführt wurde? Und sind die Dinge wirklich derart überkomplex geworden, dass wir nicht mehr lösungsorientiert mit ihnen umzugehen wissen?
Das sind ganz entscheidende Fragen, die nicht nur abstrakt im Raum stehen, sondern durchaus in der Lage sind, über die zukünftige wirtschaftliche Wettbewerbsfähigkeit von Deutschland und Europa zu entscheiden. Denn das, was unser Handeln hierzulande schon seit Jahrzehnten ausgezeichnet und erfolgreich gemacht hat, ist der Wille zum wohlkalkulierten Risiko, denn ohne die Bereitschaft zu Risiken gibt es auch keine Innovation. Eine Technologiedebatte deshalb nur oder hauptsächlich unter dem Gesichtspunkt einer irgendwie gearteten Risikoprävalenz zu führen, ist kein Fortschritt, sondern ein deutlicher Rückschritt, der uns zunehmend unserer eigenen Wettbewerbsfähigkeit auf dem internationalen Parkett beraubt.
Ohne Risiken schaffen wir keine Innovation
Denn längst handeln wir technologiepolitisch und wirtschaftlich in vielen Bereichen nicht mehr aktiv, zukunftsgerichtet und fortschrittsorientiert, sondern bloß passiv und bestandsschutzwahrend, indem wir uns auf ebenjene in den letzten Jahren zunehmend als digitale Souveränität verstandene absolute Risikominimierung zurückziehen. Deshalb kann und darf digitale Souveränität auch nicht als hundertprozentige technologische Unabhängigkeit verstanden werden – denn die gab es noch nie. Wir benötigen anstelle dessen dringend eine nationale und europäische Innovationskultur, die stärker als bislang wieder die Technologie und weniger die absolute Souveränität im digitalen Raum in den Fokus stellt – oder, in anderen Worten: mittels Evidenz die Risiken wieder nachweis- und damit konkret kalkulierbar und uns letztlich wieder handlungsfähig macht.
Minimieren und Mitigieren gehen Hand in Hand
Und das fängt zuvorderst bei der Cybersicherheit an: Der globale IT-Ausfall vom 19. Juli 2024, der durch ein fehlerhaftes Softwareupdate des US-amerikanischen Sicherheitsanbieters Crowdstrike hervorgerufen wurde, hat vielen Staaten weltweit vor Augen geführt, wie vulnerabel – oder in anderen Worten auch wenig souverän – wir alle eigentlich sind. Und es wäre Augenwischerei zu behaupten, dass wir in der Lage wären, derartige Vorfälle zukünftig mit absoluter Sicherheit ausschließen zu können. Worauf es doch vielmehr ankommt ist, die Ursachen für diesen Ausfall zu ermitteln und Maßnahmen zu definieren, die es uns zukünftig ermöglichen, die Auswirkungen derartiger Vorfälle zu mitigieren. Niemand aber käme nun auf den Gedanken ernsthaft zu behaupten, dass der IT-Ausfall vorwiegend die fehlende digitale Souveränität des eigenen Landes als Ursache hätte, weil Millionen von Rechnern weltweit mit Sicherheitssoftware ausgestattet sind, die von einem US-amerikanischen Konzern stammt.
Ein neues und zukunftsgerichtetes Verständnis von digitaler Souveränität
Bei digitaler Souveränität geht es somit weder um eine absolute Unabhängigkeit noch um eine absolute Risikominimierung auf Null, sondern um eine reale, selbstbestimmte und technisch belegbare Wahlfreiheit in einem offenen und gesunden IT-Ökosystem, um als Staat oder Unternehmen seine eigene belastbare Risikoeinschätzung treffen zu können und dort, wo es eben nötig und möglich ist, ermittelte Risiken bestmöglich zu mitigieren. Alles andere wäre zumindest gegenwärtig Utopie und damit im Ergebnis nur wenig zielführend. Und genau für eine so verstandene digitale Souveränität haben wir in der EU und damit auch in Deutschland in den letzten Jahren die bestmöglichen Grundlagen aufgebaut, indem das Konzept von Security by Design endlich eine Aufnahme in den europäischen Regelungskanon erfährt.
Cybersicherheit ist weder ein monolithisches Gebilde medialer Debattenkultur noch ein absoluter, statischer und damit inhaltlich unverrückbarer Wert, sondern das Ergebnis eines Prozesses, in dem Risiken ermittelt und durch strukturelle, technische und organisatorische Maßnahmen nachweislich ausgeglichen werden. Und zu diesem Prozess kann jeder Einzelne von uns, jede Unternehmung und letztlich auch der Staat produktiv beitragen, um die Debatte um die digitale Souveränität letztlich nicht nur auf ein für alle Akteure frustrierendes Nullsummenspiel zu reduzieren, indem Cybersecurity aktuell und mehr denn je als eine alarmistische und kaum sinnstiftende öffentliche Diskussion wahrgenommen wird.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht, Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und des Advisory Boards des Anbieters für verschlüsselte Kommunikation NordVPN. Kipker ist zudem wissenschaftlicher Direktor des Cyberintelligence Institute in Frankfurt am Main.
In unserer Reihe Perspektiven kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Dennis-Kenji Kipker erschienen: Cyberangriff auf SPD-Zentrale: Politische Konsequenzen allein reichen nicht