Digitale Souveränität, heutzutage in aller Munde, ist ein Schlüsselelement für Cyber-Sicherheit und damit unabdingbar für die Sicherheit und Freiheit jedes Einzelnen und unserer Gesellschaft als Ganzes. Digital souverän zu sein bedeutet nicht, autark und völlig unabhängig zu sein. Vielmehr geht es darum, für sämtliche IT-Komponenten, d. h. Hardware, Software, Netze und Dienstleistungen, die Risiken zu streuen und Abhängigkeiten zu reduzieren, um selbstbestimmt handeln zu können und die eigenen Systeme im besten Sinne unter Kontrolle zu haben.
Nur dadurch wird Resilienz ermöglicht, also die eigenen IT-Systeme bestmöglich gegen Angriffe zu schützen, das Schadenspotential zu minimieren und im Falle eines Falles möglichst unbeschadet und schnell wieder in den Normalbetrieb zurückzukehren. Elementare Abhängigkeiten hingegen erhöhen das Sicherheitsrisiko und reduzieren den eigenen Handlungsspielraum sowohl im Normalbetrieb als auch im Notfall. Was zunächst als bequeme und kostengünstige Lösung aus einer (fremden) Hand eingesetzt wird, kann rasch aufgrund geänderter gesetzlicher, politischer, sozialer oder anderer Rahmenbedingungen in eine Situation umschlagen, in der die Verfügbarkeit, Vertraulichkeit und Authentizität nicht mehr gewährleistet sind und/oder die Kosten explodieren. Das gilt für die IT und, wie uns die vergangenen Jahre gelehrt haben, für medizinische Ausrüstung, technische Bauteile, Energie und jegliche andere Lebensbereiche gleichermaßen. Daraus folgt dreierlei:
- Je kritischer ein Bereich ist, umso mehr eigener Steuerungskompetenz bedarf es. Wer im IT-Bereich kritische Daten und Prozesse unkontrolliert Dritten überlässt, gefährdet im besonderen Maße die Cyber-Sicherheit.
- Risikostreuung und reduzierte Abhängigkeiten können nicht nur durch Eigenprodukte und Eigenbetrieb hergestellt werden, sondern beispielsweise auch durch technische Anforderungen wie Segmentierungen oder eine modulare Systemarchitektur mit standardisierten Schnittstellen, die den Einsatz unterschiedlicher Produkte und einen einfachen Anbieterwechsel ermöglichen. Im IT-Bereich sind Open Source-Produkte hierfür besonders bedeutsam.
- Selbstbestimmte Handlungsfähigkeit erfordert auf Dauer Ressourcen: Personal, Zeit und Geld. Gerade in der Verwaltung fehlt es häufig daran. Umso dringlicher ist es, dass wir uns unserer Verpflichtung für das Gemeinwohl bewusstwerden, unserem Selbstverständnis als wesentlichem Bestandteil eines souveränen Staates und unserer Vorbildfunktion.
Die Schaffung digitaler Souveränität beginnt im Kopf. Nur wer wirklich selbstbestimmt handlungsfähig sein möchte, wird die unbequemen Fragen nach bestehenden Abhängigkeiten, Risikobeurteilungen, Handlungsalternativen u. ä. angehen. Langjährige Gewohnheiten und etablierte Gepflogenheiten müssen ebenso hinterfragt werden, wie normierte Rahmenbedingungen, die etwa unsere Vergabepraxis bestimmen. Daneben bedarf es sowohl auf der Ebene der Entscheider als auch auf der der Umsetzer einer grundsätzlichen und dauerhaften Änderungs- und Investitionsbereitschaft. Welchen Preis sind Sie bereit, für Ihre digitale Souveränität zu zahlen?
Die Autorin des Artikels ist Dr. Claudia Warken. Sie ist seit September 2021 Vizepräsidentin der Cybersicherheitsagentur Baden-Württemberg.
