Ziel ist es, selbstbestimmt handeln zu können und die eigenen Systeme im besten Sinne unter Kontrolle zu haben.
Digitale Souveränität – ein Grundpfeiler für Cybersicherheit
- Meldung
In einem Beitrag für die PITS, die Public IT Security Conference, schreibt Dr. Claudia Warken über die grundlegende Bedeutung digitaler Souveränität für Cybersicherheit. Dieser Beitrag erschien zuerst im Behörden Spiegel.
© Adobe Stock
Digitale Souveränität, heutzutage in aller Munde, ist ein Schlüsselelement für Cybersicherheit. Sie ist unabdingbar für die Sicherheit und Freiheit jedes Einzelnen und unserer Gesellschaft als Ganzes. Digital souverän zu sein bedeutet nicht, autark und völlig unabhängig zu sein. Vielmehr geht es darum, für sämtliche IT-Komponenten, d.h. Hardware, Software, Netze und Dienstleistungen, die Risiken zu streuen und Abhängigkeiten zu reduzieren.
Nur dadurch wird Resilienz ermöglicht, also die eigenen IT-Systeme bestmöglich gegen Angriffe zu schützen, das Schadenspotenzial zu minimieren und im Falle eines Falles möglichst unbeschadet und schnell wieder in den Normalbetrieb zurückzukehren. Elementare Abhängigkeiten hingegen erhöhen das Sicherheitsrisiko und reduzieren den eigenen Handlungsspielraum sowohl im Normalbetrieb als auch im Notfall. Was zunächst als bequeme und kostengünstige Lösung aus einer (fremden) Hand eingesetzt wird, kann rasch aufgrund geänderter gesetzlicher, politischer, sozialer oder anderer Rahmenbedingungen in eine Situation umschlagen, in der die Verfügbarkeit, Vertraulichkeit und Authentizität nicht mehr gewährleistet sind und/oder die Kosten explodieren. Das gilt für die IT und, wie uns die vergangenen Jahre gelehrt haben, für medizinische Ausrüstung, technische Bauteile, Energie und jegliche andere Lebensbereiche gleichermaßen.
Daraus folgt dreierlei:
- Je kritischer ein Bereich ist, umso mehr eigener Steuerungskompetenz bedarf es. Wer im IT-Bereich kritische Daten und Prozesse unkontrolliert Dritten überlässt, gefährdet im besonderen Maße die Cybersicherheit.
- Risikostreuung und reduzierte Abhängigkeiten können nicht nur durch Eigenprodukte und Eigenbetrieb hergestellt werden, sondern beispielsweise auch durch technische Anforderungen wie Segmentierungen oder eine modulare Systemarchitektur mit standardisierten Schnittstellen, die den Einsatz unterschiedlicher Produkte und einen einfachen Anbieterwechsel ermöglichen. Im IT-Bereich sind Open-Source-Produkte hierfür besonders bedeutsam.
- Selbstbestimmte Handlungsfähigkeit erfordert auf Dauer Ressourcen: Personal, Zeit und Geld. Gerade in der Verwaltung fehlt es häufig daran. Umso dringlicher ist es, dass wir uns unserer Verpflichtung für das Gemeinwohl bewusst werden, unserem Selbstverständnis als wesentlichem Bestandteil eines souveränen Staates und unserer Vorbildfunktion.
Die Schaffung digitaler Souveränität beginnt im Kopf. Dr. Claudia Warken, Vizepräsidentin der CSBW
Nur wer wirklich selbstbestimmt handlungsfähig sein möchte, wird die unbequemen Fragen nach bestehenden Abhängigkeiten, Risikobeurteilungen, Handlungsalternativen und Ähnliche angehen. Langjährige Gewohnheiten und etablierte Gepflogenheiten müssen ebenso hinterfragt werden, wie normierte Rahmenbedingungen, die etwa unsere Vergabepraxis bestimmen. Daneben bedarf es sowohl auf der Ebene der Entscheidungsträger als auch auf der operativen Ebene einer grundsätzlichen und dauerhaften Änderungs- und Investitionsbereitschaft. Welchen Preis sind Sie bereit, für Ihre digitale Souveränität zu zahlen?