Digitale »Souveränität« – noch ein fernes Ziel

Die Abhängigkeit von Cloud-Lösungen, KI-Modellen und anderen Tech-Produkten aus dem Ausland wird Deutschland nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) so bald nicht überwinden. Da der Staat seine digitalen Systeme und Daten bis auf Weiteres nicht ohne Input aus dem außereuropäischen Ausland nutzen könne, stehe es kurzfristig an, möglichst viele Kontrollmechanismen einzubauen, sagt BSI-Präsidentin Claudia Plattner. »Wenn es um die digitale Souveränität geht, also die Nutzung europäischer oder deutscher Hersteller und Dienstleister – auch für Satelliten oder KI-Anwendungen –, dann muss man sich auch mal ehrlich machen«, sagte Plattner der Deutschen Presse-Agentur.

Fortschritte seien hier zwar sichtbar. Dennoch sei klar, »dass manche der großen Firmen, vor allem aus den USA, jetzt schon zehn Jahre Vorsprung haben, was entsprechende Investitionen angeht«. Das bedeute für Behörden und Unternehmen in Deutschland, dass »technologische Abhängigkeiten an ganz vielen Stellen« existieren. Es sei unrealistisch, zu glauben, »dass wir das kurzfristig alles selbst können werden«, sagt Plattner, die seit gut zwei Jahren an der Spitze des Bundesamtes steht.

Das BSI ist die zentrale staatliche Stelle in Deutschland für Fragen der IT-Sicherheit und gehört zum Geschäftsbereich des Bundesinnenministeriums. Das Amt mit Hauptsitz in Bonn unterstützt Behörden des Bundes bei der Absicherung ihrer IT-Systeme, warnt vor Risiken und entwickelt Sicherheitsstandards, die auch für Unternehmen relevant sind. Für Unternehmen in kritischen Infrastrukturen wie Energie, Gesundheit, Telekommunikation und Transport sind bestimmte BSI-Vorgaben sogar gesetzlich vorgeschrieben.

Auf Behördenseite braucht es Plattner zufolge eine Strategie, nach der entschieden wird, welche Technologien von außen eingekauft werden »und wie wir eine gewisse Kontrolle darüber gewinnen«. Ein solches Konstrukt sei auch die im ersten Quartal dieses Jahres geschlossene Kooperation des BSI mit Google. Google Cloud und das BSI hatten im Februar eine Vereinbarung unterzeichnet, mit der die Entwicklung und Bereitstellung sicherer Cloud-Lösungen für Behörden auf Bundes-, Landes- und Kommunalebene unterstützt werden soll. Ein »besonderer Schwerpunkt« liege auf der »Gewährung der Datensouveränität«, teilte das BSI damals mit.

Harsche Kritik an der Vereinbarung hatte die Gesellschaft für Informatik geübt. Sie erklärte, es sei »unverantwortlich, dass die US-Regierung zusätzliches Erpressungspotenzial – noch dazu von einer für IT-Sicherheit verantwortlichen deutschen Behörde – frei Haus erhält«. Google sei aufgrund der Rechtslage in den USA gar nicht in der Lage, einen souveränen Dienst anzubieten. Der »Cloud Act« regelt den Zugriff von US-Behörden auf Daten, die bei US-Unternehmen gespeichert sind – auch dann, wenn diese Daten sich außerhalb der USA befinden, etwa auf Servern in Europa.

Plattner räumt ein, dass der US-Cloud-Act eines von diversen Gesetzen in den USA ist, die dem Staat Zugriffsmöglichkeiten zubilligen. Die Antwort auf die Frage der Kontrolle sollte aus Sicht der BSI-Chefin aber nicht politisch sein, sondern technologisch. »Es geht darum, sicherzustellen, dass ein Zugriff technisch nicht möglich ist«, betont sie. Dies betreffe insbesondere die Verschlüsselung und die Frage, ob der Nutzer die Hoheit über diese Schlüssel habe.

Der deutsche Cloud-Anbieter Ionos hatte im Frühjahr 2024 einen Auftrag von der Bundesverwaltung für den Aufbau einer besonders strikt abgesicherten Computer-Cloud-Lösung erhalten. Die »private Enterprise-Cloud«, die vom BSI zertifiziert wurde, soll in den Rechenzentren des Informationstechnikzentrums Bund betrieben werden. Das Besondere an der Lösung von Ionos ist, dass die Plattform nicht mit dem öffentlichen Internet verbunden ist.

Für ChatGPT, Gemini und andere KI-Modelle gelten seit dem 2. August EU-weit Regeln, die Künstliche Intelligenz transparenter und sicherer machen sollen. Welche Rolle hier die Bundesnetzagentur und das BSI spielen werden, ist bislang nicht abschließend geklärt. Plattner ist überzeugt, dass das BSI die Verantwortung für Cybersicherheit und somit auch bei KI-Tools trägt. Der Zeitfaktor sei angesichts des Tempos, mit dem sich KI aktuell entwickelt, enorm wichtig, mahnt die BSI-Chefin. dpa/nd