Wie Amnesty International das Konzept der Souveränität in einem von den USA dominierten Technologie-Stack neu überdenkt
Die weltweit größte Menschenrechtsorganisation macht ihren Technologie-Stack sanktionssicher
Demonstration während der Amnesty-Jahresversammlung am 23. Mai 2026 in München
(Bildquelle: Amnesty International | Foto: Jarek Godlewski)
Nachdem die USA damit begonnen hatten, Mitarbeiter des Internationalen Strafgerichtshofs mit Sanktionen zu belegen, betrachtet Amnesty International die Abhängigkeit von amerikanischer Technologie zunehmend als operatives Risiko. CIO Paul Smith erläutert, warum es schwieriger ist, sich davon zu lösen, als lediglich einzelne Tools auszutauschen.
Es ist eine Sache, sich über die Bindung an einen Anbieter Sorgen zu machen. Eine andere ist die Erkenntnis, dass ein Anbieter rechtlich gezwungen sein könnte, den Zugang zu seinen Diensten zu kappen.
Diese unangenehme Lektion mussten Organisationen aus den US-Sanktionen gegen Richter und weitere Mitarbeiter des Internationalen Strafgerichtshofs im vergangenen Sommer ziehen. Mehrere Betroffene wurden plötzlich von Zahlungen, Lieferungen und Online-Diensten abgeschnitten, sobald ein amerikanisches Unternehmen Teil der Lieferkette war.
Für Amnesty International, die weltweit größte Menschenrechtsorganisation, wurde digitale Souveränität dadurch von einer abstrakten politischen Debatte zu einem konkreten operativen Risiko.
CIO Paul Smith erklärt: „[Der IStGH] agiert in einem ähnlichen Bereich wie wir, nämlich mit dem Ziel, Gutes zu tun.
Die Erkenntnis, dass US-Technologie auf diese Weise als Hebel für Einflussnahme und Kontrolle eingesetzt werden kann, hat die Diskussion wirklich vorangetrieben.“
Im Mittelpunkt dieser Diskussion steht Amnestys Abhängigkeit von US-Technologie, die die Organisation nun zu begrenzen versucht – wenn nicht sogar vollständig abbauen will.
Politisches Risiko in einen IT-Plan umsetzen
Dieses Thema taucht unter der aktuellen US-Regierung immer wieder auf. Wir haben es bereits zuvor aufgegriffen: zunächst als theoretisches Gedankenexperiment und später als reale, unmittelbare Gefahr, der britische und europäische Regierungen inzwischen ernsthafte Aufmerksamkeit schenken.
Doch das Thema reicht über Regierungen hinaus: Jeder IT-Verantwortliche kennt die Risiken, die entstehen, wenn zu viele Abhängigkeiten auf einen einzelnen Anbieter oder ein einzelnes Ökosystem konzentriert sind.
Amnesty International scheint eine der ersten großen Organisationen außerhalb des öffentlichen Sektors zu sein, die gezielt daran arbeitet, ihre Risikoexposition gegenüber den USA zu begrenzen. Genau so beschreibt Paul Smith den Ansatz:
„Die Risikolandschaft ist für uns aufgrund unserer Tätigkeit und unserer Einsatzorte ziemlich einzigartig. Wir begeben uns in die Schusslinie bestimmter geopolitischer Entscheidungen, was im Extremfall zu Sanktionen seitens der USA führen könnte … Das liegt außerhalb unserer Risikobereitschaft, ist jedoch ein notwendiger Risikobereich, in den wir uns begeben müssen, um unsere Arbeit zu verrichten.
„Auch wenn es unwahrscheinlich ist, wären die Auswirkungen erheblich. Deshalb möchten wir einen Plan dafür haben.“
„Das zieht sich durch den gesamten Tech-Stack“
Diese Herausforderung betrifft nicht nur Amnesty. „Viele der größeren gemeinnützigen Organisationen weltweit“ durchlaufen denselben Prozess: Sie identifizieren den Einfluss der USA in ihrem Tech-Stack und suchen nach Alternativen. Das ist jedoch leichter gesagt als getan.
„[Es] zieht sich quer durch den gesamten Tech-Stack: die Integrationsplattformen, die Hardware, die Sie kaufen … die Betriebssysteme, die Netzbetreiber, die Konnektivität, einfach alles. Wie lässt sich diese Abhängigkeit also auflösen? Das ist ziemlich schwierig.“
Ein Teil der Schwierigkeit besteht darin, dass US-amerikanische Technologieplattformen nicht nur einzelne Tools bündeln. Sie bilden stark integrierte Ökosysteme, die „mehr sind als die Summe ihrer Teile“.
Wer diese Ökosysteme ersetzt, riskiert, genau das verbindende Element zu verlieren, das sie so attraktiv macht. Zugleich kann die Alternative selbst zu einem Verwaltungsproblem werden:
„Man steht vor der Entscheidung, ob man 50 unabhängige Produkte oder ein einziges Produkt-Ökosystem verwaltet, 50 unabhängige Technologie-Roadmaps entwickelt und sich um 50 verschiedene Integrationen, 50 verschiedene Patches, Sicherheitsmaßnahmen und alles Weitere kümmern muss.“
Für Amnesty ergibt sich daraus eine zentrale Frage: Wie viel technische Verantwortung kann und will die Organisation selbst übernehmen? Paul Smith formuliert es so: „Wir sind nicht hier, um ein Softwarehaus zu sein. Wir sind nicht hier, um uns um die Entwicklung von Open-Source-Produkten zu kümmern. Wir wollen einfach nur Menschenrechtsaktivisten sein.“
Das Ökosystem zu ersetzen ist der einfache Teil
Das vernetzte Ökosystem durch eine Reihe unterschiedlicher Produkte zu ersetzen, ist beim Ausstieg aus US-amerikanischer Technologie eigentlich der einfachste Teil – zumindest auf dem Papier.
Schon der Austausch einzelner Apps ist schwierig. Noch anspruchsvoller ist es, Cloud-Infrastruktur zu ersetzen. Hardware auszutauschen, dürfte heute nahezu unmöglich sein, da fast jedes Computergerät weltweit einen in den USA entwickelten Chip verwendet. Genau das versucht Amnesty dennoch anzugehen.
Paul Smith zufolge geht es dabei um die Abwägung von Risiko, Nutzererfahrung und – für eine gemeinnützige Organisation besonders relevant – Kosten:
„Wie wichtig ist uns das? Würden die Kosten der Umstellung die Kosten des Risikos überwiegen? … Und ist die Leistungsfähigkeit infolgedessen vergleichbar? Steht das in einem angemessenen Kostenverhältnis, oder machen wir letztendlich einen Rückschritt bei dem, was wir unseren Mitarbeitern bieten wollen? …
„Und darüber hinaus müssten wir … diesen Investitionsumfang gegenüber den Spendern verkaufen und rechtfertigen, die letztlich erwarten, dass jeder Cent an die Front geht.“
Den Ausstiegsplan erstellen
Das Projekt umfasst vier Phasen: kritische Abhängigkeiten identifizieren; Alternativen testen und die Nutzer darin schulen; Ausstiegsszenarien modellieren und Übergangsleitfäden erstellen; anschließend entscheiden, ob die Umstellung erfolgt oder das Risiko akzeptiert wird.
Amnesty befindet sich bei einigen Projekten bereits in den „frühen Phasen der Umsetzung“. Dazu gehört die Einführung von Open-Source- und nicht-US-amerikanischen Lösungen für bestimmte Bereiche der IT.
„Wir haben ermittelt, wo wir – falls nötig – einfach auf deren System umsteigen könnten … beispielsweise bei unserer Auswahl der Backup-Lösung. Wir befinden uns also in der frühen Umsetzungsphase.“
Die Nutzer haben das letzte Wort
Einer der wichtigsten Aspekte des Übergangsplans ist laut Paul Smith sein menschenzentrierter Ansatz. Dahinter steht die Einsicht, dass Tool-Wechsel nicht im luftleeren Raum stattfinden.
„Das Wichtigste, was man bei der Arbeit mit diesen nicht-US-amerikanischen Lösungen beachten muss, ist, dass es nicht nur um die eigenen IT-Kenntnisse geht. Angenommen, ich stelle Sie als Forscher oder Politikanalyst ein, [aber] Sie haben bisher ausschließlich mit US-amerikanischer Technologie gearbeitet. Nun gebe ich Ihnen ein Tool, von dem Sie noch nie gehört haben, und erwarte von Ihnen, dass Sie genauso effizient und effektiv arbeiten.“
„Sie werden einige dieser Produkte ablehnen, unabhängig davon, ob sie technisch geeignet sind oder nicht – und zwar wegen ihrer Benutzerfreundlichkeit und des UX-Aspekts.“
Amnesty hat zudem Flexibilität in den Plan eingebaut. Einige Änderungen können opportunistisch erfolgen, wenn ein Vertrag oder ein Tool ohnehin zur Überprüfung ansteht. Andere sind taktische Reaktionen auf unmittelbare Anforderungen. Die größten Änderungen müssen weiterhin im Rahmen der Jahresplanung und formeller Business Cases durchlaufen werden.
„Das ist eine ziemlich schöne, ehrliche Sache, auf die wir ziemlich stolz sind“, sagt Paul Smith.
Trotz aller Ambitionen und Innovationen steht Amnesty International weiterhin vor einer schwierigen Aufgabe – nicht zuletzt wegen des Mangels an nicht-US-amerikanischen Optionen für Technologieplattformen, Infrastruktur und insbesondere Hardware. Paul Smith beschreibt dies als „Fischen in einem kleinen Teich“.
„In der EU und im Vereinigten Königreich wird viel über souveräne Technologie und souveräne Technologie-Stacks gesprochen … doch bislang hat sich daraus noch wenig Konkretes ergeben.
„Viele großartige Reden, viele gute Absichten, aber letztlich ist es doch ein Wettrüsten, nicht wahr? Und im Moment haben die anderen einen Vorsprung.“
--
Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.