Digitale Souveränität bis 2030? Nur 15% glauben daran.

Selbst der derzeitige Bitkom-Präsident hält Big Tech für alternativlos.

Bild: KI

Der aktuelle European Sovereignty Survey von Wire zeigt ein paradoxes Bild: Ziel und Wirklichkeit klaffen weit auseinander. Besonders groß ist der Informationsmangel zu souveränen Alternativen. 84 Prozent der Führungskräfte halten digitale Souveränität für geschäftskritisch – und trotzdem dominieren in den meisten Unternehmen weiterhin US-Tools. Auch Verbände wie Bitkom und BSI reden nur über digitale Souveränität. Die Praxis zeigt das Gegenteil: Der Bund und selbst Betreiber kritischer Infrastruktur kennen nur Cisco und SharePoint. Auch die Bundeswehr kommuniziert lieber über US-amerikanische Produkte.

Bis 2030 soll Europa laut Europäischer Kommission digital souverän sein. Doch während die Politik Autonomie predigt, sitzen in immer mehr Netzwerken Cisco-Router und -Switches und kommen in immer mehr Büros Tools wie Microsoft Teams und SharePoint zum Einsatz. Eine aktuelle Umfrage der Kommunikations- und Kollaborationsplattform Wire zeigt: Die große Mehrheit der europäischen Entscheider hält entsprechend die europäischen Ziele für kaum erreichbar – obwohl mehr als dreiviertel der Befragten eine digitale Selbstbestimmung für geschäftskritisch halten.

Europa steckt in einem Souveränitätsparadoxon. Das Ziel, bis 2030 in zentralen Bereichen der Digitalisierung eigenständiger, resilienter und unabhängig zu sein, wird unter dem Begriff „digitale Dekade 2030“ zusammengefasst. Doch die Bereitschaft vieler Unternehmen, auf souveräne Lösungen zu setzen, ist wenn überhaupt nur begrenzt vorhanden. Das zeigt eine aktuelle Wire-Umfrage. Zwar halten 84 Prozent der Befragten digitale Souveränität für geschäftskritisch, doch nur ein Bruchteil davon ist der Meinung, ihre interne IT-Landschaft würde den Anforderungen auch entsprechen.

Souveränität gibt es nicht zum Nulltarif

Führungskräfte in Europa sind sich der prekären Lage somit bewusst. Warum also setzen sie weiter auf US-Tools?

Zum einen kommt Widerstand aus den eigenen Reihen. Mitarbeiter sind vertraut mit bekannten Tools wie Microsoft Teams oder Zoom und wollen daran festhalten. Datenschutzrisiken sind für 63,2 Prozent der Befragten kein Argument, die bekannten Anwendungen aufzugeben.

Hinzu kommt die technische Abhängigkeit. Die meisten IT-Landschaften werden von US-Software-Suiten dominiert. Für mehr als die Hälfte der Entscheider (57,9 Prozent) ist die Integration souveräner Plattformen in US-dominierte IT-Landschaften daher ein fast unüberwindbares Hindernis.

Und selbst wenn Führungskräfte die Notwendigkeit erkennen und handeln wollen, wissen sie oft nicht, welche souveränen Tools überhaupt auf dem Markt sind. Außerhalb von bestimmten politischen Kreisen werden souveräne Anbieter immer noch als Nischenlösungen angesehen. 36,8 Prozent der Befragten gibt an, schlicht nicht genug Informationen über europäische Tools zu haben, um entscheiden zu können.

Zu guter Letzt stecken die meisten Unternehmen in langfristigen Verträgen mit ihren Dienstleistern und nutzen deren proprietäre Formate auf allen Unternehmensebenen. Mehr als ein Viertel der Entscheider (26,3 Prozent) betont, dass ein Wechsel deshalb keine reine IT-Entscheidung sei, sondern eine, die das gesamte Unternehmen betrifft und politische wie monetäre Folgen mit sich ziehen kann.

Angesichts dieser Hürden überrascht es kaum, dass nur 15,8 Prozent der Befragten glauben, dass Europa bis 2030 echte digitale Souveränität erreichen kann.

Compliance-Theater: Hemmnis statt Motor

Die EU versucht gegenzusteuern und Unternehmen mit Regulierungen und gesetzlichen Rahmenwerken zu mehr Souveränität zu motivieren. NIS2, DORA, und DSGVO legen zwar eine wichtige Grundlage für mehr Datenschutz und erfordern eine strengere Berichterstattung. Die Einhaltung kommt jedoch mehr einem „Compliance-Theater“ gleich, bei dem Unternehmen zwar nach außen hin die Regularien einhalten, aber mit minimalem Einsatz, der kaum Auswirkungen auf die Widerstandsfähigkeit und Unabhängigkeit von Systemen und Anbietern hat.

Wie geht echte digitale Souveränität?

Die Wire-Umfrage zeigt auch, wo laut europäischen Entscheidern die Prioritäten liegen müssten. An erster Stelle steht Ende-zu-Ende-Verschlüsselung, die 84 Prozent für unverzichtbar halten. 63 Prozent sind überzeugt, dass die Einführung von Open-Source eine zentrale Rolle in der Souveränitätsstrategie spielen wird. Knapp die Hälfte der Befragten (47,4 Prozent) möchten zudem die Abhängigkeit von US-Anbietern reduzieren und als strategisches Ziel verankern und 36,8 Prozent wollen Daten primär in der EU hosten, um deren Schutz zu verbessern.

Die Hoheit über eigene Daten zu behalten, nimmt angesichts der geopolitischen Spannungen an Relevanz zu. Daten-Leaks und Cyberangriffe können Unternehmen und ihre Reputation stark schädigen. Führungskräfte sollten deshalb auf organisatorischer Ebene selbst Weichen stellen, indem sie das Bewusstsein für souveräne Lösungen unter Entscheidern schärfen und Anreize zum Experimentieren schaffen. Pilotprojekte, die zunächst in kleinem Rahmen eingeführt werden, zeigen den Mehrwert souveräner Lösungen, bauen Vorurteile ab und fördern die Akzeptanz in der Belegschaft.

Bitkom, BSI & Co gehen mit schlechtem Beispiel voran

Die Janusköpfigkeit der Politik wird am deutlichsten, schaut man sich z. B. die Infrastruktur von Bund und Ländern an. Zwar gibt es in Bereichen der Netzwerkverwaltung hier und da ein Open-Source-Produkt und (aus regulatorischen Gründen) ein paar zugelassene deutsche Firewalls. Switched und routed wird ausnahmslos mit Cisco. Die Daten liegen in SharePoints. Dokumentiert wird mit Microsoft Office. Und auch sonst sieht man wenig Diversität bei den Werkzeugen. Selbst die Cloud-Architektur kommt von AWS – dabei betriebe die Telekom sogar eine eigene, offene, souveräne Cloud-Plattform. Aber offenbar vertraut man den eigenen Produkten nicht.

So ist es denn auch nicht verwunderlich, dass Bitkom-Präsident Ralf Wintergerst Big Tech für alternativlos hält, wie er auf der Pressekonferenz am ersten Tag der IT-SA in Nürnberg sehr deutlich sagte: “Die amerikanischen BigTech-Firmen haben einfach ziemlich gute Leistung und wir werden die in den nächsten Jahren einfach nicht ersetzen können.”

Image
Description
v. l. n. r.: Thimo Holst (Exhibition Director it-sa Expo&Congress), Claudia Plattner (Präsidentin des BSI), Ralf Wintergerst (Präsident des Bitkom), Prof. Norbert Pohlmann (Vorsitzender von TeleTrusT), Joanna Świątkowska (European Cyber Security Organisation ECSO)

Der Rest der Antwort auf die Frage des Journalisten Benjamin Stiebel von Tagesspiegel Background enthielt wenig Substanzielles und viel man müsste/könnte/sollte, weswegen Computing nachfragte: “Wie passt das in diese Souveränitätsparolen, die wir heute hier auch wieder zuhauf gehört haben? Ich kann es leider nicht anders ausdrücken. Wenn wir hören, Cisco ist alternativlos, dann ist das für mich nicht souverän. Das klingt für mich wie: ‘Klar habe ich die Wahl, ich kann Cisco wählen.’ Das ist aber für mich nicht das, was ich unter Souveränität verstehe. Wir haben tolle Produkte in Europa, wir haben tolle Initiativen: der TeleTrusT hat IT-Security Made in Germany, IT-Security Made in Europe. Es gibt wirklich tolle Produkte. Nur wenn keiner die kauft, dann werden die auch nicht mehr lange Bestand haben. Dann werden die den Weg einer Hornet Security gehen, wo ich heute noch weine, dass die sich an den Amerikaner verkaufen mussten, weil sie es im europäischen Markt nicht geschafft haben. Und das wird jedem anderen Unternehmen in Deutschland genauso gehen, wenn weiter so beschafft wird, wie in der Vergangenheit. Also, wie passt das bitte aus Ihrer Sicht zusammen, sich souverän aufzustellen, eigene Produkte zu stärken und dann doch wieder nur Big Tech zu kaufen?”

BSI-Präsidentin Plattner versuchte zunächst noch zu retten, was nicht mehr zu retten war: “Wir haben immer gesagt, als BSI vertreten wir eine Doppelstrategie und versuchen dafür zu werben, dass wir eine Doppelstrategie angehen. Das heißt zum einen, dass wir nationale, europäische Unternehmen stützen mit dem, was wir als BSI auch dazu beitragen können, wenn es in Sicherheitsthematiken geht. Wir werben dafür, natürlich dort auch Umsatz zu platzieren, denn ohne Umsatz werden die nicht überleben können. Das heißt, dass wir hier aktiv wirklich versuchen, auch diese Unternehmen zu unterstützen, auch mit Umsatz, mit Aufträgen, um sie groß zu machen.”

Leider machte Plattner mit den nächsten Sätzen das hehre Ziel gleich wieder zunichte: “Und auf der anderen Seite sagen wir, wir müssen dafür sorgen, dass wir auch Zugang zu Services und Technologien haben, die wir für die Digitalisierung in Deutschland, in Europa brauchen. Und die kommen halt definitiv nicht zum gegenwärtigen Zeitpunkt nur aus Deutschland oder Europa, sondern da gibt es auch noch Technologie, die von die wir von außen nutzbar für uns machen müssen.”

Den nächsten Teil ihrer Antwort lassen wir hier einfach mal so stehen: “Und für uns heißt nutzbar machen aus der Cyber-Sicherheitsperspektive, wir müssen dafür sorgen, dass wir sie sicher einsetzen können. Und sicher einsetzen heißt, wir müssen eine Kontrolle darüber haben, welche Daten gehen da raus, und Telemetrie bis hin zu Nutzungs- und Nutzerdaten; aber eben halt auch bei der Frage, welche Steuerungsthematiken kommen da rein, welche Updates kommen rein, welche Steuerbefehle kommen da rein. Und im Idealfall auch, wo kann man gegebenenfalls auch mal die Verbindung zum Hersteller unterbrechen und trotzdem muss der Service weiterhin funktionieren. Das heißt, das sind Fragen, die wir uns durchaus stellen, und die fallen für uns in diesen Komplex, von wie sichern wir den Zugang auch zu ausländischen Technologien und stellen eine sichere Verwendung tatsächlich auch her. Also, Doppelstrategie: nationale, europäische, heimische Produkte stark machen, Hersteller fördern und gleichzeitig andere Technologien von außen für uns sicher nutzbar machen. Das ist die Doppelstrategie, für die wir einstehen, und von der wir auch sehr klar sagen, das ist nicht das eine oder das andere, das ist beides.”

Jeder, der einmal versucht hat, in einem Microsoft-Betriebssystem die Übertragung der Telemetriedaten zu deaktivieren, weiß, dass das ohne zusätzliche Sicherheitsmaßnahmen fast nicht möglich ist. Und wenn diese zusätzlichen Sicherheitsmaßnahmen dann von Herstellern wie Cisco kommen, sollte man sich vielleicht nicht unbedingt auf die Wirksamkeit verlassen. Aber die Hoffnung stirbt ja bekanntlich immer als Letzte.

Man muss auch dazu wissen, dass das BSI dem Innenministerium nachgeordnet ist – der für die Netze des Bundes verantwortlichen Behörde. Womit wir wieder bei Cisco und SharePoint sind. In Projekten wie den Netzen des Bundes scheint die Idee der Doppelstrategie jedenfalls noch nicht angekommen zu sein.

Wintergersts folgende Antwort beraubte die Anwesenden denn auch gleich wieder jeglicher Illusion: “Da war doch eine Studie, die wir zum Thema digitale Souveränität gemacht haben, bei dem 80% glaube ich, darüber geredet haben, dass die heute von Produkten aus den USA und auch aus China sprichwörtlich abhängig sind, die wir nicht so einfach eins zu eins ersetzen können. Ich will gar nicht das beurteilen, was Sie über Cisco gesagt haben, da gibt's sicherlich noch Alternativen, aber das ist zumindest der Stand, wo wir stehen. Man hat sich auf diese Produkte eingelassen, die sind heute in Betrieb und sind manchmal auch nicht ganz so leicht zu ersetzen. Das ist ja immer so im ganzen IT-Betrieb. Wenn Sie einen IT-Run haben, der vernünftig funktionieren soll, man will ja gar nicht ein gut laufendes System mutwilligerweise anfassen. Das ist ja gut, dass es überhaupt mal vernünftig läuft. So, das ist die eine Schiene. Die zweite Schiene ist, jetzt setze ich den anderen Hut auf, ich leite auch ein Unternehmen. Ich weiß meine Nöte von Cisco, ich weiß auch, was mich nervt. Da, wo ich nämlich momentan keine großen Alternativen sehe und da, wo ich an der Schraube hänge, dass die Lizenzen auch jedes Jahr höher werden. Deswegen gibt es – ich gehe zurück in die Bitkom-Rolle – eine verstärkte Suche von Unternehmen danach, Alternativen zu finden. Ich glaube, wir werden sie sehen. Ich glaube, wir werden auch neue Wege sehen, dass mehr europäische und deutsche Produkte eingesetzt werden und dieser Markt wird möglicherweise auch weiter stimuliert durch diese Diskussion. Momentan stelle ich in Anführungszeichen, es ist eher so eine plakatierte Diskussion. Mit Zeitversatz werden wir – meine These – Ergebnisse sehen.”

Trivia: Wintergerst ist als Vorsitzender der Geschäftsführung von Giesecke+Devrient selbst Entscheider in einem deutschen Unternehmen, das zudem an einem nicht ganz unwichtigen deutschen Sicherheitsanbieter beteiligt ist: secunet.

Die Antworten von BSI und Bitkom am Ende der Pressekonferenz in Nürnberg sind jedenfalls ein Schlag ins Gesicht von Initiativen wie ITSMIG bzw. ITSMIE und OT Security made in Germany sowie Verbänden wie der OSBA und Herstellern wie secunet, Lancom, rhebo, Ipoque, Heinlein, XM Cyber, Wire, Nextcloud, Fast LTA, SEP, u. v. a. m. – und das sind nur die deutschen Anbieter. Europa ist voller Alternativen! Und das schon seit einer ganzen Reihe von Jahren.

Souveränität gibt’s nicht von der Stange

Mit digitaler Souveränität könnte sich Europa aus der Abhängigkeit von Anbietern aus den USA und anderen Teilen der Welt befreien. Wenn denn den Worten endlich auch einmal Taten folgen würden. Nur so können Unternehmen sichergehen, dass sie und die Daten ihrer Kunden nicht zum Druckmittel in geopolitischen Konflikten werden. Gleichzeitig schützt eine heterogene IT-Infrastruktur besser vor Angriffen und Cyberattacken. BSI und BMI könnten (sic!) hier mit gutem Beispiel vorangehen.

Europa hat die Chance, echte digitale Autonomie zu schaffen – aber nur, wenn es sich nicht auf halben Sachen und Regularien ausruht. Echte digitale Souveränität gibt’s nicht von der Stange. Sie entsteht durch gemeinsames Bewusstsein für Datenschutz und Sicherheit, durch Lösungen, die von Grund auf in und für Europa entwickelt, aufgebaut und verwaltet werden, und durch den Mut neue Wege zu gehen und Veränderung zuzulassen. Digitale Souveränität ist ein Prozess.

Natürlich wird es dauern, flächendeckend unabhängige Strukturen zu schaffen.

Jetzt ist ein guter Zeitpunkt, damit anzufangen.

Das fordert auch Markus Beckedahl, Co-Gründer der re:publica und Gründer vom Zentrum für Digitalrechte und Demokratie, davor Gründer von netzpolitik.org in einem Post auf LinkedIn: “Fehlende digitale Souveränität, die Software-Abhängigkeit von den USA und das Trump-Risiko haben es in die Heute-Show geschafft. ... Es ist gut, dass dieses Problem mittlerweile auch massenkompatibel thematisiert wird. Denn die Herausforderungen sind immens: Da wir es versäumt haben, gestern die richtigen Strategien zu entwickeln und mit ausreichend Investitionen zu fördern, müssen wir das heute tun. Damit wir morgen endlich Wahlfreiheit und Souveränität erreichen können. Denn eine Welt, in der Trump uns jederzeit die Infrastrukturen abschaffen kann, sollte keine souveräne Regierung in der Europäischen Union gut finden. Wir arbeiten mit dem Zentrum für Digitalrechte und Demokratie daran, diese Strategien mitzuentwickeln und zu kommunizieren. Damit der gesellschaftliche Druck so groß wird, dass an digitaler Souveränität endlich konsequent gearbeitet wird.”

Dass es möglich ist, bewies Amadeus schon vor sieben Jahren, als sie die gesamte auf Großrechner optimierte IT-Landschaft auf Open Source portierten.