IT-Sicherheit

Digitale Souveränität und die Eroberung der immateriellen Welt

Von Christian Harbulot

Wie einst die materielle Welt der Länder, Rohstoffe und Märkte, so ist heute auch die immaterielle Welt der Informationstechnologie und des Cyber-Space eine Welt, die von Staaten und Unternehmen umkämpft wird. Technologische Überlegenheit führt dabei unvermeidlich zu Beziehungen dauerhafter Abhängigkeit. Sie begünstigt die Machtpolitik der informationstechnologisch führenden Nationen und ihrer international tätigen Unternehmen. Der klassische Nationalstaat mit seinen überkommenen Wirkungsmöglichkeiten muss sich deshalb mehr denn je mit dieser neuen Form der Machtpolitik auseinandersetzen.

Da, wo der Nationalstaat bisher davon ausgehen konnte, seine Souveränität ungeteilt ausüben zu können, sieht er sich heute gezwungen, seine Handlungen und Befugnisse supranational zu vergemeinschaftlichen respektive zu teilen, d.h. seine Souveränität zu begrenzen.
Den staatlichen Gesetzen stellen die internationalen IT-High-Tech-Giganten von heute (Google, Facebook, Microsoft, Apple u.a.) ihre privatrechtlichen Nutzungsbedingungen mit überstaatlichem Geltungsanspruch entgegen, was häufig zu streitigen Auseinandersetzungen führt.

Die Risiken für die Wirtschaft

Das Problem der Souveränität in der virtuellen Welt der Informationstechnologie wirft in Frankreich und anderen Staaten Europas grundlegende Probleme auf, die die Unternehmen dazu zwingen, sich auf daraus resultierende neue Erfordernisse einzustellen und sich an diese anzupassen. Dies betrifft die Frage der Entwicklung und Anpassung von entsprechend notwendigen Unternehmensnormen einschließlich Datenschutz sowie die Gewährleistung ihrer Einhaltung (Compliance).

Jedoch gehen von den grundsätzlich nützlichen Innovationen der Informationstechnologie auch unvermeidliche Gefahren aus. Unternehmen müssen sich deshalb mit den Risiken der inzwischen zahllosen Nutzungsmöglichkeiten des Internets und dem auch in diesem Zusammenhang immer noch bedeutsamen „menschlichen Faktor“ qualifiziert auseinandersetzen.

Die möglichen Kombinationen von digitalen und materiellen Risiken stellt die bisherige Segmentierung des Managements von Unternehmensrisiken (IT-Sicherheit, klassische Unternehmenssicherheit, Rechtsabteilung, Compliance, External Affairs und Public Relations) zunehmend in Frage.

Unternehmen werden deshalb verstehen müssen, dass ein erfolgreiches Management dieser untrennbaren Gemengelagen von Risiken und Konflikten nur durch eine ganzheitliche Methodik der Risikobetrachtung und -bearbeitung sichergestellt werden kann.

Die Entwicklung und zunehmende Bedeutung der digitalen Welt verändern auch die Spielregeln der Unternehmen im Umgang mit Daten, wie etwa die Voraussetzungen für die Speicherung von Daten, die kommerzielle Nutzung von Daten und den rechtlich anspruchsvollen Umgang mit öffentlich zugänglichen Daten.

Die Speicherung von Daten

Während in den USA Datenspeicherung seit jeher als strategische, operativ bedeutsame Herausforderung betrachtet wird, wurde sie etwa in französischen Unternehmen lange Zeit und in erster Linie unter dem Aspekt der Kosten betrachtet. Die Regierung hat sich erst verspätet zu einem „Cloud-Computing-Plan“ bekannt, der am 4. Juni 2014 im Zusammenhang der „34 Pläne des Neuen Industriellen Frankreichs“ veröffentlicht wurde. Dieser Plan zielte besonders darauf ab, französische Cloud-Dienste als Alternative zu den Diensten großer US-amerikanischer IT-Konzerne zu etablieren. Die Entwicklung dieses Sektors erforderte koordinierte Maßnahmen an zwei Fronten:

⦁ die Förderung einer entsprechenden Nachfrage des privaten Sektors und seine Beteiligung an der Entwicklungsarbeit des öffentlichen Beschaffungswesens und

⦁ die Unterstützung und Gewährleistung der entsprechenden Dienstleistungsangebote durch die Marktteilnehmer.

Dieser Plan, der erst am Ende der Amtszeit des damaligen Präsidenten auf den Weg gebracht wurde, vermochte aber nicht, ein Bündnis zwischen den privaten Dienstleistungsanbietern und der Finanzindustrie herzustellen.
Dessen ungeachtet bleibt das Thema der kompakten und sicheren Datenspeicherung etwa vor dem Hintergrund des gegenwärtigen Handelskonflikts zwischen den Vereinigten Staaten und China und der sich daraus ergebenden Sicherheitsrisiken relevant.

Die kommerzielle Nutzung von Daten

Im Jahr 2018 verfügten die Unternehmen, die wir in Frankreich allgemein als GAFAM bezeichnen (Google, Apple, Facebook, Amazon, Microsoft), über etwa 85% unserer persönlichen Daten. Die entsprechenden chinesischen Unternehmen, bekannt als BATX (Baidu, Alibaba, Tencent, Xiaomi), sind in diesem Zusammenhang die zweite aufstrebende Macht.
Diese Daten entwickeln sich bisher in Echtzeit. Dennoch werden die dauernden Innovationen in der Datenverarbeitung eine beschleunigte Nutzung der Daten und damit Wettbewerbsvorteile ermöglichen.

In Europa werden in der Allgemeinen Datenschutzverordnung (DSGVO) die einzelnen umzusetzenden Schutzmaßnahmen definiert und ihre Durchführung durch formalisierte Compliance-Prozesse gewährleistet.
Demgegenüber wird in den USA der Schutz personenbezogener Daten und seine Gewährleistung durch staatliche Aufsicht weitaus weniger strikt gehandhabt. Tatsächlich verbleibt die Gewährleistung des Schutzes dieser Daten überwiegend in der Sphäre der Unternehmen, und diese Regelung wird von der amtierenden amerikanischen Regierung eher erweitert. So hat die gegenwärtige Administration die von der Vorgängerregierung verabschiedeten Broadband Privacy Rules (Breitband-Datenschutzbestimmungen) aufgehoben, nach denen Internetdienstanbieter (ISPs) die Zustimmung der Nutzer zur Weitergabe ihrer personenbezogenen Daten einholen mussten.

Auf der anderen Seite nutzen gewisse Regierungen den Datenschutz als Vorwand, um die Speicherung von Daten örtlich strikt auf das nationale Territorium zu begrenzen. In China etwa schreibt das im Juni 2017 in Kraft getretene Cybersicherheitsgesetz der Volksrepublik China vor, dass als „kritisch“ eingestufte Onlinedienstanbieter die Daten ihrer Nutzer in China speichern müssen. Russland hat durch das Gesetz Nr. 242-FZ eine ähnliche Regelung geschaffen, nach der ausländische Organisationen, die personenbezogene Daten russischer Staatsbürger erheben, diese im russischen Inland speichern müssen. Dies ermöglichte Russland im November 2016, das berufsbezogene soziale Netzwerk LinkedIn von seinem Hoheitsgebiet zu verbannen, nachdem es sich geweigert hatte, die Daten russischer Nutzer auf lokalen Servern zu speichern.

Der Zugang zu öffentlichen Daten und Diensten

Open Data ist ein Trend, der die Funktionsweise des öffentlichen Sektors und der Unternehmen in den kommenden Jahren sehr intensiv beeinflussen wird. Es handelt sich um eine globale Entwicklung und ist Teil einer zunehmenden Dynamik der weltweiten Öffnung der Märkte und des Handels.
Die Unternehmen bewegen sich vorsichtig auf diesem komplexen Terrain, auf dem noch viel Aufklärungsbedarf besteht. Jenseits der rechtlichen Auflagen, die für alle Unternehmen und/oder öffentlichen Verwaltungen gelten, bleibt aber die freiwillige Öffnung von Daten eine absehbare und wichtige Innovationsstrategie. Es ist aber unverzichtbar, dass diese Entwicklung rechtlich angemessen begleitet werden muss, so dass informationelle Risiken, die zur Beeinträchtigung von Wirtschaftswachstum und Bürgerfreiheit führen könnten, nach Möglichkeit eingedämmt werden.

Ein großes Risiko besteht in diesem Zusammenhang darin, dass ausländische Unternehmen diese Daten „kostengünstig“ erlangen und kommerzialisieren. Ein möglicher Missbrauch liegt so nahe, dass man in manchen Fällen von Plünderung und in anderen sogar von Spionage sprechen muss. Französische öffentliche Daten würden so von ausländischen Großunternehmen ausgenutzt.
Ein regelmäßig angeführtes Beispiel ist der IT-Gigant Google, dem wegen rechtswidriger Handlungen gegen Markenrechtsinhaber oder Verlagen häufig “Plünderung” vorgeworfen wird. Das Risiko einer umfassenden, oft einbruchsähnlichen Erlangung und Ausbeutung fremder Daten ist jedenfalls real, und seine möglichen Auswirkungen zum Nachteil der Mächte, die sich der digitalen Politik der USA widersetzen, nehmen zu.

Nationale Sicherheit und digitale Welt

Als Schöpfer des Internets haben sich die Vereinigten Staaten von einer Politik der Beherrschung von „Souveränitätstechnologien“ im militärischen Bereich hin zu einer Politik der Herstellung einer globalen und nachhaltigen Vormachtstellung im Bereich der Informationstechnologie entwickelt. Diese strategische Variante findet sich bedauerlicherweise weder im Wahrnehmungsraster der europäischen Entscheider noch in dem der französischen Verteidiger des nationalen Interesses.

Politisch-technologische Strategien, die auf dem Konzept der nationalen Sicherheit beruhen, bilden die fortgeschrittenste Form einer digitalen Souveränität, die an einer Politik der Erhaltung und Stärkung von Macht ausgerichtet ist. Dies wird durch eine Executive Order des amerikanischen Präsidenten zum Schutz der Informations- und Kommunikationstechnologien und der Supply Chain Services deutlich illustriert. Diese damit verbundene Erklärung des Präsidenten der Vereinigten Staaten erlaubt eine ziemlich genaue Vorstellung zur Entwicklung, der die amerikanische Doktrin folgt:

“Ich, Donald J. Trump, Präsident der Vereinigten Staaten von Amerika, glaube, dass ausländische Gegner zunehmend Schwachstellen in den Informations- und Kommunikationstechnologien und -diensten (die große Mengen sensibler Informationen der nationalen Infrastruktur, der überlebenswichtigen Notfallstrukturen und der IT-Wirtschaft zusammenführen und teilen) schaffen und ausnutzen. Sie (die Gegner) verfolgen das Ziel, böswillige Cyber-Angriffe zu begehen, zu denen auch Wirtschafts- und Industriespionage gegen die Vereinigten Staaten von Amerika und ihr Volk gehören“.

Weiter denke ich, dass der Erwerb oder die Nutzung von Informations- und Kommunikationstechnologien und –diensten in den USA, die von Personen geschaffen, entwickelt und hergestellt werden, die der Gerichtsbarkeit oder Weisungen ausländischer Gegner unterliegen oder unterworfen sind, die Fähigkeit der ausländischen Gegner erhöhen, (bei uns) Schwachstellen von Informations- und Kommunikationstechnologien und -diensten mit potenziell katastrophalen Auswirkungen zu schaffen und auszunutzen. Sie stellen somit eine ungewöhnliche und außerordentliche Bedrohung für die nationale Sicherheit, die Außenpolitik und die US-Wirtschaft dar.”

Diese neue Form eines risikobezogenen Wahrnehmungsrasters beruht auf den folgenden Grundsätzen:

⦁ der Berücksichtigung der digitalen Sicherheit von Informationen auf strategischer und nicht nur auf technischer Ebene.
⦁ der Feststellung von Angriffsstrategien (geostrategischer und geoökonomischer Natur) der potenziellen Gegner sowie
⦁ der Unterscheidung zwischen direktem und indirektem Spiel der Mächte, die die nationalen Interessen beeinträchtigen.

(Bildquelle natrot – Fotolia.com)

About the author

Redaktion Prosecurity

Add Comment

Click here to post a comment