Schon seit einiger Zeit beklagen verschiedene Experten die „digitale Abhängigkeit“ Europas von den USA. Derzeit nimmt das Thema Fahrt auf und viele Stimmen fordern mehr „digitale Souveränität“ für Europa. Die Ursache liegt in den aktuellen Entwicklungen, wie z.B. im drohende Handelskrieg.
Doch was genau bedeutet digitale Souveränität? Welche Risiken ergeben sich daraus für Unternehmen? Und welche Maßnahmen sollten ergriffen werden?
Gerade als Geschäftsführer:in oder IT-Verantwortliche:r haben Sie sich diese Fragen vielleicht schon gestellt. Mit diesem Artikel möchten wir Ihnen Orientierung bieten. Dabei betrachten wir das Thema aus der Perspektive kleiner und mittlerer Unternehmen mit einer entsprechenden IT-Infrastruktur. In großen Konzernen sind die Herausforderungen zwar ähnlich, aber oft noch komplexer.
Also, worum geht es bei der – fehlenden – Digitalen Souveränität?
Europa ist in vielen Bereichen von US-amerikanischen IT-Anbietern abhängig. Egal ob Cloud-Dienste, Software oder Hardware – die großen Player stammen fast ausschließlich aus den USA. Auch wenn vereinzelt asiatische Anbieter eine Rolle spielen, dominieren amerikanische Unternehmen den Markt. Das führt zu einer einseitigen Abhängigkeit.
Besonders häufig werden Cloud-Anbieter wie Microsoft Azure oder Amazon AWS in diesem Zusammenhang genannt. Auch Plattformen wie Facebook oder die Chip-Produktion in den USA werden gelegentlich als Problemfaktoren angeführt, doch wir konzentrieren uns hier auf das Hauptthema: die Cloud-Dienste. Viele Unternehmen und Behörden in Deutschland nutzen diese Anbieter – und genau hier liegen die potenziellen Risiken.
Die zwei größten Risiken
1. Zugriff auf sensible Daten
Der sogenannte CLOUD Act vom März 2018 verpflichtet amerikanische Anbieter, US-Behörden Zugriff auf die bei ihnen gespeicherte Daten zu gewähren – auch wenn der Speicher-Ort außerhalb der USA liegt. Dies war schon vor dem Hintergrund der DSGVO (kein Dritter darf Zugriff auf personenbezogene Daten erhalten) immer als kritisch zu sehen. Auch falls ein Unternehmen sensible Daten wie z.B. Forschungsergebnisse auf Amazon-Cloud-Servern in Frankfurt oder Dublin speichert, könnten amerikanische Behörden im Zweifel Einblick nehmen.
Je nach persönlicher Risiko-Einschätzung konnte man zu dem Schluss kommen, dass das Risiko letztlich tragbar ist. Wahrscheinlich war das Risiko bislang tatsächlich eher theoretischer Natur.
Nun gibt es jedoch einen guten Grund, zu einem anderen Urteil zukommen: Es dürfte für die USA ein Leichtes sein, unter dem Vorwand der nationalen Sicherheit Behörden dazu zu bewegen, die Zugriffsmöglichkeit aktiv auszunutzen – was immer daraus folgt.
Mit anderen Worten: Daten, die auf Servern von Microsoft Azure oder Amazon AWS gespeichert sind, sind nicht so sicher, wie es scheint – selbst wenn sie physisch in Europa liegen.
2. Blockade von Cloud-Diensten
Aktuell diskutiert die EU über Vergeltungsmaßnahmen als Antwort auf Einfuhrzölle. Unter anderem wird darüber nachgedacht, Branchen-Riesen wie Google, Amazon oder Facebook mit einer Art Digital-Steuer zu belegen. Was, wenn die USA als Gegenreaktion beschließen, die amerikanischen Cloud-Dienste in Europa zu sperren?
„Das ist doch unrealistisch!“, denken Sie vielleicht. Unter normalen Umständen würden wir Ihnen zustimmen. Aber die aktuellen Geschehnisse legen leider nahe, dass man nichts ausschließen sollte.
Mit anderen Worten: Sollte es zu einer solchen Blockade kommen, könnte das für Unternehmen gravierende Folgen haben: Cloud-Server wären plötzlich nicht mehr erreichbar, was massive Auswirkungen auf den Betrieb hätte.
Nun, ob die EU eine Digital-Steuer erhebt, ist fraglich. Denn ganz so einfach wie das Erheben von Zöllen ist die Sache nicht. Somit ist auch die Blockade von Cloud-Diensten im Moment noch als eher unwahrscheinlich anzusehen. Aber zu jeder guten Unternehmensführung gehört, Risiken zu bewerten und zu minimieren.
Was also tun?
Jedes Unternehmen, das Cloud-Server von amerikanischen Unternehmen nutzt, sollte aufgrund der erläuterten Risiken überlegen, auf europäische Alternativen zu migrieren.
Darüber hinaus sollte jedes Unternehmen prüfen, ob es amerikanische Cloud-Dienste nutzt, deren Verfügbarkeit wirklich kritisch ist. Hierzu würden wir z.B. Cloud-Passwort-Manager zählen. Auch Online-Backups von amerikanischen Anbietern sollten hinterfragt werden, in diesem Bereich ist Amazon AWS durchaus beliebt. Hier gibt es gute Alternativen (wie z.B. unser B2B Backup).
Im Grunde handelt es sich um ähnliche Überlegungen, die Unternehmen auch in ihren Notfall- oder Disaster-Recovery-Plänen anstellen: Welche Systeme sind kritisch, und wie schnell müssen sie im Ernstfall wiederhergestellt werden?
Als nicht kritisch sehen wir derzeit Dienste wie Microsoft Teams oder Exchange an. Denn anders als z.B. eine Anwendung, die auf einem Cloud-Server läuft, ist es bei diesen Anwendungen relativ schnell möglich, zu einem anderen Anbieter zu migrieren. Die Fragestellung rückt jedoch einen Aspekt ins Rampenlicht, den es schon vor den aktuellen Geschehnissen gab: Das Microsoft Shared-Responsibility-Modell. Microsoft selbst ist zwar für das grundsätzliche Funktionieren eines Dienstes und der darunterliegenden Infrastruktur verantwortlich, die Verantwortung für die Datensicherung liegt jedoch beim Kunden. Aus diesem Grund bieten wir ergänzend zu den Microsoft-Produkten auch die M365-Backup-Lösung bzw. das B2B Mailarchiv an.
Fazit
Digitale Souveränität bedeutet nicht, amerikanische Technologie grundsätzlich abzulehnen – sondern bewusst zu entscheiden, welche IT-Dienste und Anbieter für das eigene Unternehmen langfristig sinnvoll und sicher sind.
