EU-Ratspräsidentschaft: Deutschland macht Digitale Souveränität zur Chefsache

Veröffentlicht am: 15. Juli 2020 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik, Technologie, Trends Keine Kommentare

Es sind schwierige Zeiten, in denen Deutschland die EU-Ratspräsidentschaft übernimmt: COVID-19 ist noch nicht besiegt, und die wirtschaftlichen Folgen der Pandemie sind in ihrer ganzen Dramatik für niemanden absehbar. Gerade deshalb möchte Deutschland in den kommenden sechs Monaten entschiedene und wichtige Akzente setzen, um den wirtschaftlichen und sozialen Wiederaufbau zu schaffen. Der Digitalisierung kommt hierbei eine Schlüsselrolle zu.

„So geschlossen und solidarisch wir in Europa nach innen sind, so handlungsfähig und souverän müssen wir nach außen sein“, sagte auch Bundesaußenminister Maas, als er symbolisch den Staffelstab von seinem kroatischen Amtskollegen Gordan Grlić Radman übernahm. Geht es nach dem Willen der Bundesregierung, gilt dies auch und ganz besonders für unsere Digitale Souveränität, wie Bundeswirtschaftsminister Peter Altmaier bekräftigte als er gemeinsam mit Bundesjustizministerin Christine Lambrecht die Pläne für die deutsche Ratspräsidentschaft per Videoschalte mit Mitgliedern des EU-Parlaments diskutierte.

Das Ziel ist digitale Unabhängigkeit

Das große Ziel auf digitaler Ebene ist klar: Europa muss unabhängiger von großen Tech-Konzernen aus Übersee werden, der Innovationsmotor soll sich schnellstmöglich in europäischen Gefilden befinden.

Einen deutlichen „Made in EU“-Stempel trägt ein Vorzeigeprojekt, das derzeit in aller Munde ist: Gaia-X, eine eigene Cloud für Europa. Als eigenes digitales Ökosystem soll das Projekt die Zusammenarbeit zwischen paneuropäischen Akteuren vereinfachen – aber auch deutlich mehr Transparenz und Sicherheit schaffen. Altmaier ist stolz, wenn er über das Projekt spricht, das im engen Schulterschluss mit Frankreichs Wirtschaftsministerium geboren wurde. Für ihn ist Gaia-X eine Art digitale Mondlandung und die „vielleicht wichtigste digitale Bestrebung Europas in dieser Generation“.

Eher noch auf nationaler Ebene sind jedoch Fortschritte in der Gesetzgebung sichtbar. So spiegelt der aktuelle Entwurf für das deutsche IT-Sicherheitsgesetz 2.0 die Bemühungen nach mehr Digitaler Souveränität deutlich wider. Künftig geht es bei der Bewertung der Eignung von IT-Komponenten für den Einsatz in Kritischen Infrastrukturen (KRITIS) nicht mehr nur um die technische Sicherheit. Auch die Vertrauenswürdigkeit der Hersteller soll erstmals gezielt überprüft werden, bevor ein GO erteilt wird. Die wichtigste Frage im Kern: Wie anfällig ist ein Technologielieferant für die Einflussnahme ausländischer Dienste? Was, wenn deren Interessen unseren Sicherheitsinteressen entgegenstehen?

Ob sich eben diese Fragestellungen auch in der anstehenden Überarbeitung der europäischen NIS-Richtlinie für Netz- und Informationssicherheit wiederfinden werden – sozusagen der „Mutter des IT-Sicherheitsgesetzes“ –, muss sich indes noch finden.

Auch in der Forschung findet sich das Bemühen um mehr digitale Eigenständigkeit wieder. Mit einer eigenen Leitinitiative für vertrauenswürdige Elektronik möchte das BMBF einen entscheidenden Baustein für mehr technologische Souveränität liefern und die Basis für die wirtschaftliche Fertigung vertrauenswürdiger Elektronik in Deutschland und Europa legen.

Viele zahnlose Gesetzes-Tiger

All die Bemühungen und wichtigen Projekte dürfen uns allerdings nicht von einem ablenken: Bereits seit dem NSA-Skandal im Jahr 2013 steht die Digitale Souveränität weit oben auf der politischen Agenda. Augenscheinlich. Denn ein kritischer Blick zeigt: Die bisher in Deutschland gemachten Schritte erwiesen sich als weitgehende zahnlose Tiger.

Bereits 2016 hätte einen echten Wendepunkt auf dem Weg hin zu mehr digitaler Selbstbestimmung unseres Staates markieren können. Gegen die massiven Widerstände von Techfirmen aus dem außereuropäischen Ausland fand eine deutlich formuliert No-Spy-Klausel Eingang in die „Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT)“. Damit verpflichten sich die Lieferanten von IT-Produkten, dass diese frei von Funktionen sind, „die die Integrität, Vertraulichkeit und Verfügbarkeit“ von Systemen gefährden. Im Klartext: die garantiert keine Backdoors enthalten und die Widerstandsfähigkeit – Resilienz – stärken. Eine Garantie, die viele Nicht-EU-Techlieferanten aufgrund ihrer nationalgesetzlichen Gesetzgebung schlicht nicht geben können.

An der Beschaffungspraxis in der öffentlichen Hand hat das ambitionierte Unterfangen indes nichts geändert. In weiten Teilen der Verwaltung werden exakt dieselben Lösungen beschafft wie vor dem NSA-Skandal, Backdoor-Risiko inklusive. Ein Mehr an Digitaler Souveränität? Fehlanzeige. Was bleibt, ist eine vertane Chance.

In eine ähnliche Richtung ging übrigens bereits ein Jahr zuvor das erste deutsche IT-Sicherheitsgesetz, IT-SiG 1.0, zum Schutz Kritischer Infrastrukturen. Ebenfalls im Kampf gegen Backdoors wurde darin erstmals die Möglichkeit geschaffen, Quellcodes sogar mittels Reverse Engineering legal auf versteckte Abhörschnittstellen zu überprüfen. Doch auch dieser Trumpf – durchgesetzt gegen engagierte Lobby-Proteste – wird leider nicht konsequent gezogen. Ebenfalls bislang folgenlos geblieben ist eine Studie, mit der sich das Bundesinnenministerium in 2019 selbst eine ungesunde Abhängigkeit von Techkonzernen aus Übersee attestierte, aus der es sich eigentlich befreien wollte.

Lasst Worten Taten folgen

Doch zurück nach Europa. Mit seiner Ratspräsidentschaft hat Deutschland nun die Chance zu beweisen, dass man es wirklich ernst meint mit Digitaler Souveränität und Cyber-Resilienz. Dazu müssen aber nicht nur ambitionierte Projekte wie etwa Gaia-X konsequent und rasch vorangetrieben, auch geltendes Recht muss dringend durchgesetzt werden. Gleichzeitig gilt es, die Digitale Souveränität in EU-Vorhaben wie der Aktualisierung der NIS-Richtlinie fest zu verankern.

Und: Die Digitale Souveränität muss zum Gradmesser für Investitionen werden. Eine ganz konkrete Gelegenheit hierfür ist eine aktuelle Ausschreibung zur Bereitstellung von Netzwerk- und Internet-Verbindungsdiensten für die Europäische Kommission und weitere Institutionen, Agenturen und Einrichtungen der Europäischen Union. Oder, direkt vor unser aller Haustür: die hierzulande anstehende Ausstattung zigtausender Schulen mit WLAN und Lernplattformen im Kontext des Digitalpakt. Auch hier müssen Digitale Souveränität und Datenschutz entscheidungsrelevante Kriterien sein. Eine konsequente Nutzung bereits existierender Instrumenten wie der EVB-IT mit ihrer „No-Spy-Klausel“ und die Überprüfung auf DSGVO-Konformität würden uns bereits deutlich voranbringen. Dafür wären nicht einmal aufwändige neue Gesetze und Initiativen nötig.

P.S: Das sehen übrigens Entscheidungsträger aus vielen verschiedenen Branchen so und Experten schließen sich zur Stärkung der europäischen Digitalen Souveränität vermehrt zusammen.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.