Navigation und Service

BSI - Bundesamt für Sicherheit in der Informationstechnik (Link zur Startseite)

Positionierung des BSI zu Digitaler Souveränität in Zeiten von Cyber Dominance

Cybernation-Blog

Datum 21.03.2025

Claudia Plattner

Das Thema Cybersicherheit steht direkt im Zentrum aller Bestrebungen, unsere Werte und unsere Prosperität zu schützen, denn: In der heutigen Zeit werden wirtschaftliche, politische und gesellschaftliche Machtverhältnisse zunehmend durch Technologie bestimmt, und Digitalisierung entscheidet in diesen Bereichen über Erfolg und Misserfolg. Durch Technologie wiederum sind neue Angriffsflächen entstanden; Cyberaggression gefährdet nicht nur Informationssysteme, sondern auch unser aller Wohlstand, unsere Gesellschaft, unsere Institutionen, unseren Staat und nicht zuletzt uns selbst.

Daher müssen Cybersicherheit und Digitalisierung gemeinsam – als zwei Seiten einer Medaille – betrachtet werden. Dem steht eine Bedrohungslage gegenüber, die auf anhaltend hohem Niveau ist und sich zudem auch qualitativ verändert: Neben den Gefahren durch Cyber Crime (Straftaten im digitalen Raum aus finanziellen Motiven) und Cyber Conflict (staatlich gelenkte Angriffe mit politischem oder militärischem Hintergrund) wird zunehmend der Bereich Cyber Dominance relevant.

Was verstehen wir unter Cyber Dominance?

Cyber Dominance entsteht insbesondere durch digitale Alltagsprodukte, die jeden Tag milliardenfach verwendet werden - Mobile Devices, PC-Betriebssysteme oder Smart-Home-Lösungen: Hersteller können beispielsweise erheben, wo sich Nutzende zu welchem Zeitpunkt aufhalten und welche Apps zu welchem Zeitpunkt genutzt werden. Zudem empfangen diese Produkte regelmäßig Herstellerupdates. Dies ist einerseits unerlässlich für die Sicherheit der Geräte; der Mechanismus räumt dem Hersteller andererseits aber weitreichende Kontrolle ein. So wäre es damit auch möglich, ein Gerät dauerhaft funktionsuntüchtig zu machen; bei gestohlenen Geräten ist das sogar eine gewünschte Funktion.

Weitere Beispiele aus unserem Alltag: Social-Media-Plattformen mit großer Reichweite bestimmen maßgeblich, welche Informationen gesehen werden, und beeinflussen damit, welche Meinungen sich daraus formen. Damit können sie als mächtiges Werkzeug für Desinformation und Informationsmanipulation missbraucht werden. Moderne Autos mit integrierten Kameras und einer Erhebung von Standortdaten bedeuten weitreichende Überwachungsmöglichkeiten. Daraus lässt sich der Aufenthaltsort von Nutzenden nachvollziehen; und spätestens mit dem autonomen Fahren wird auch eine Kontrolle über Fahrtwege möglich. Vernetzte Solarpanels und Wechselrichter können unter Umständen Rückschlüsse über Gewohnheiten und Anwesenheit Nutzender zulassen. Bei weitreichender Kontrolle einer Vielzahl solcher Systeme sind auch Auswirkungen auf die angeschlossenen Stromnetze nicht auszuschließen. Vergleichbares gilt für 5G-Mobilfunkkomponenten.

Gleiches gilt für Dienste, die direkt beim Hersteller genutzt werden und nicht in den Besitz des Kunden übergehen. In diese Kategorie fallen z.B. Einkaufsportale oder Cloud Services. Cloud Computing wird auch die Industrialisierung der IT genannt, es ist aus der modernen IT nicht mehr wegzudenken und eine technologische Grundvoraussetzung für die Digitalisierung. Stand heute behalten Anbieter die Kontrolle über die bereitgestellten Infrastrukturen (Netzwerk, Server, Virtualisierung, etc.). Sie können Funktionen festlegen, Updates und Verfügbarkeit kontrollieren und - wenn sich ihre Kunden nicht entsprechend schützen - auch deren Daten einsehen. Dies ist heute vor allem bei Mobile Devices, Autos oder 5G-Mobilfunkkomponenten der Fall.

Unter Cyber Dominance verstehen wir also die Einflussnahme durch digitale Produkte, indem sie Herstellern Zugriff auf Informationen und Kontrolle über Systeme ermöglichen. Hersteller dieser Produkte haben potentiell dauerhaften Zugriff darauf, auch während letztere bereits im Besitz des Kunden sind.

Aus Sicht des BSI müssen Staaten dafür Sorge tragen, dass all diese Technologien zur Verfügung stehen und sicher nutzbar sind. Jedoch zeigt sich, wie der Abfluss kritischer Daten von Institutionen, Bürgerinnen und Bürgern aus Deutschland und der EU mehr und mehr zu einem realistischen Szenario wird, und wie der Einfluss Dritter auf von uns genutzte Produkte und Dienste wächst.

Wie kann die Digitalisierung der Verwaltung gelingen?

In Deutschland besteht ein immenser Digitalisierungsdruck in Unternehmen und insbesondere in der Verwaltung. Nur ein digitalisierter Staat ist handlungsfähig und seinen heutigen Aufgaben in Qualität und Quantität gewachsen. Hier ist nicht nur eine Evolution nötig: Es braucht nicht weniger als eine Revolution, um im internationalen Vergleich einen der Spitzenplätze einnehmen zu können. Für den so dringend benötigten Fortschritt ist von entscheidender Bedeutung, dass digitale Werkzeuge und Lösungen schnell und von Beginn an in hoher Qualität und Reife zur Verfügung stehen. Dabei ist klar: Für eine sichere Digitalisierung benötigen wir Digitale Souveränität. Darunter verstehen wir die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können.

Dafür bedarf es geeigneter Handlungsoptionen und technischer Lösungen. Vor dem Hintergrund oben beschriebener Cyber Dominance müssen zwei Risiken adressiert werden, die von Produkten Dritter ausgehen, die wir in Deutschland und der EU einsetzen:

  1. Technische Steuerung und Einflussnahme auf in Deutschland und der EU produktiv eingesetzte Systeme durch Akteure außerhalb der EU,
  2. Datenabfluss aus der EU heraus von diesen Systemen.

Der auf den ersten Blick offensichtlichste Ansatz wäre hier, ausschließlich auf Lösungen zu setzen, die national oder in der EU entwickelt, angeboten und betrieben werden. Das ist aber – und da sollten und dürfen wir uns nichts vormachen – in vielen Fällen schlichtweg nicht möglich, da viele der notwendigen technischen Services und Innovationen bisher außerhalb der EU entstehen. Es wäre nicht leistbar, kurzfristig alle relevanten digitalen Lösungen lokal zu entwickeln und bereitzustellen: Dafür ist das Spektrum zu breit und dafür gälte es, mehrere Jahre an Entwicklung auf- und mehrstellige Milliardeninvestitionen nachzuholen. Ebenso wäre es für Wirtschaft und Verwaltung in Deutschland folgenschwer, sich von globaler Innovation abrupt und unvorbereitet abzuwenden.

Die gute Nachricht: Souveränität ist nicht gleich Autarkie. In der Tat ist Autarkie nicht die einzige Möglichkeit, Souveränität zu erlangen. Hier gilt es aus Sicht des BSI, eine differenziertere Doppelstrategie zu verfolgen:

  1. Der EU-Markt und die eigene Digitalindustrie müssen gestärkt und konkurrenzfähig werden. Hierfür braucht es gezieltes Engagement in strategisch festgelegten Technologiefeldern und einen systematischen Technologietransfer aus exzellenter Forschung in skalierende Produkte im Markt – national, europaweit und international.
  2. Internationale Produkte müssen technisch so angepasst oder eingebettet werden, dass ein sicherer und selbstbestimmter Einsatz möglich wird. Ziel ist es, eine unkontrollierte technische Steuerung durch Akteure außerhalb der EU sowie Datenabfluss technisch unmöglich zu machen.

Die Lösung: souveräne Kontrollschichten

Nutzende aus Staat, Wirtschaft und Gesellschaft müssen dazu befähigt werden, das Steuer zu übernehmen und Technologie in Eigenregie und vor Ort kontrollieren zu können. Dies gilt insbesondere für Deutschland und in der EU mit Blick auf die kritischen Systeme und Infrastrukturen. Die Aufgabe besteht nun darin, technische Kontrollschichten (Control Layer) zu konzipieren, die eine eigenständige und exklusive Steuerung kritischer Technologien ermöglichen und Datenabfluss zuverlässig verhindern.

Dieser Ansatz ist geeignet und notwendig für die Absicherung vieler der genannten weit verbreiteten Technologien. Für einige muss ein grundlegendes Design noch entwickelt werden. Für Cloud Services, die in der EU operieren können sollen, liegen die ersten konkreten Anforderungen bereits auf der Hand:

  1. Kryptographische Verfahren schützen vor Datenabflüssen an Dritte und auch vor dem Zugriff des Providers selbst, wenn Schlüssel- sowie Identitäts- und Zugriffsmanagement in der eigenen Hand liegen. Die Daten liegen damit zu jedem Zeitpunkt verschlüsselt vor und nur der Kunde hat die notwendigen Schlüssel, um sie lesbar zu machen.
  2. Die Einsicht in und Kontrolle der an den Provider übertragenen (Telemetrie-)Daten bilden die zweite Verteidigungslinie gegen Datenabflüsse.
  3. Eine europäische, unabhängige Instanziierung der Cloud-Plattform sowie Möglichkeit der Unterbrechung der Verbindung zum Provider ohne Ausfall der Instanz führt zu einer Unabhängigkeit von der globalen Infrastruktur des Herstellers.
  4. Die Kontrolle der Updatekanäle, sowie die Einsicht, Analyse und temporäre Unterbrechungsmöglichkeit herstellerseitiger Updates an die genutzte Cloud senken das Risiko schädlichen Einflusses aus den Netzen des Herstellers und ermöglichen die sicherheitstechnische Plausibilisierung der bereitgestellten Aktualisierungen.
  5. Audit-basierte Überwachung des Control Layers sowie praktische Validierung stellen die kontinuierliche Funktionstüchtigkeit der Kontrollschicht sicher.
  6. In kritischeren Fällen muss der Betrieb durch ein vom Provider unabhängiges europäisches Unternehmen erbracht werden, um auch einen direkten organisatorischen Einfluss auszuschließen.

Es liegt in der Natur der Sache, dass stets die Mithilfe des Herstellers oder Providers notwendig ist, um Lösungen zu entwickeln, die nach nationalen Anforderungen abgesichert werden können und für die eine kontinuierliche Überwachung sichergestellt werden kann. Da der Wegfall dieser Mitwirkung ebenfalls ein zu betrachtendes Risiko ist, ist es ferner notwendig, eine ausschließlich europäische, technische Rückfalllinie zu etablieren. Ein entsprechender Umstieg muss bei Eintritt des Risikos unter minimalen Ausfallzeiten möglich sein.

Das BSI muss in diesem Kontext relevante Technologien für Staat, Wirtschaft und Gesellschaft sehr genau und tiefgehend kennen und aufgrund dessen ihre Sicherheitseigenschaften bewerten können. Dies umfasst die klassischen Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit, daraus abgeleitete Sicherheitseigenschaften wie Resilienz und Wechselfähigkeit. Dafür müssen auch technische, organisatorische und strukturelle Abhängigkeiten analysiert und bewertet werden. Aus diesem Wissen leitet das BSI Anforderungen an Produkte und Services ab, deren Umsetzung einen selbstbestimmten Einsatz möglich macht. Gerade in kritischen Bereichen, in denen Schutzziele und Zukunftsfestigkeit entscheidend sind, müssen wir das Lenkrad fest in der Hand und hinreichend Kontrolle über sensible Systeme haben. Hier wird der ausschließliche Einsatz von anforderungsgerechten Lösungen obligatorisch.

Als Cybersicherheitsbehörde für Deutschland stehen wir in kontinuierlichem Austausch mit Herstellern und Open-Source-Communities, um die Anforderungslage und Lösungen mit geringen Abhängigkeiten und einem hohen Schutzniveau für den Einsatz in der Breite zu identifizieren. Mit Blick auf Spitzentechnologien mit hoher Relevanz für Deutschland, für die bislang keine passenden europäischen Lösungen existieren, stimmt sich das BSI eng und vertrauensvoll mit Herstellern ab, um die Umsetzung identifizierter Anforderungen für die Unterstützung nationaler oder europäischer Kontrollmechanismen zu erreichen. Dabei werden nationale und europäische Anbieter immer ganz im Sinne der oben skizzierten Doppelstrategie ebenso dabei unterstützt, notwendige Sicherheitsmaßnahmen und Kontrollmechanismen zu implementieren. Je größer die Anzahl und die Qualität der Produkte im Markt ist, desto souveräner können auch Bedarfsträger und Nutzende entscheiden.

Spezialfall Cloud in der Bundesverwaltung

Um die Cloud-Lösungen der Hersteller eingehend und in der gebotenen Sorgfalt prüfen und geeignete Anforderungen ableiten zu können, werden sogenannte Kooperationsvereinbarungen geschlossen: Sie bilden einen verbindlichen Rechtsrahmen, um auch hoch vertrauliche Informationen auszutauschen und technische Analysen und Bewertungen durchzuführen. Durch unseren hohen Anspruch an die Prüfqualität müssen die Hersteller tiefe Einblicke in ihre Produkte gewähren. Kooperationsvereinbarungen bilden dafür die rechtliche Grundlage. Mit diesen Vereinbarungen werden keine Vergabe- oder Implementierungsentscheidungen getroffen - diese liegen außerhalb der Zuständigkeit des BSI.

Souveräne Entscheidungen treffen zu können setzt voraus, Optionen zu haben. Aufgabe des BSI ist es daher, ein breites Spektrum an technologischen Angeboten zu prüfen und aus Sicherheitsperspektive zu bewerten, sodass Nutzende ihrem Bedarf entsprechend daraus wählen können. Voraussetzung dafür wiederum ist die tiefgehende Kenntnis der verfügbaren Angebote und ihrer Sicherheitseigenschaften, um diese in ihrer Wirksamkeit einschätzen und Risiken für die Informationssicherheit bewerten zu können. Das gilt ebenso für das Bewerten der erreichbaren Resilienz, das Analysieren komplexer Lieferketten und damit verbundener Risiken sowie das Erkennen technologischer Abhängigkeiten. Daraus können klare und verbindliche Anforderungen formuliert werden, die eingehalten werden müssen. Damit leisten wir einen entscheidenden Beitrag, um Deutschland und Europa in die Lage zu versetzen, die wirksame Absicherung kritischer Systeme und Infrastrukturen unter Kontrolle nationaler und europäischer Akteure garantieren zu können.