Cybersicherheitskonferenz: Souveränität ist eine Frage der Definition

Mit einer Diskussionsrunde über die "digitale Souveranität" Deutschlands endete gestern die Konferenz für Nationale CyberSicherheit am Hasso-Plattner-Institut in Potsdam-Griebnitzsee. Zuvor hatte der ehemalige Bundesinnenminister Otto Schily sich für die Vorratsdatenspeicherung stark gemacht. Die Diskussion selbst enthüllte den problematischen Zustand der Sicherheitsdebatte, denn echte Souveranität konnte niemand definieren.

An dem Tag, an dem der Bundestag in Berlin das IT-Sicherheitsgesetz verabschiedete, diskutierte man im nahen Potsdam die Cybersicherheit. Kritisch bemerkte ein Teilnehmer, was wohl aus einer Berichtspflicht für Sicherheitsvorfälle werden würde, wenn Abgeordnete darlegen müssten, wie es um ihre Sicherheit bestellt ist. Dies geschah vor dem Hintergrund des ersten Konferenztages, als ein sehr großes Pressekontingent zusammenkam, um
Neues über diese muckelige IT des Bundestages zu erfahren. Die Antwort fiel sehr ausweichend aus.

Am zweiten Tag der Konferenz hatte man sich ausgesprochen dicke Bretter zum Bohren bereitgelegt: Wie kann man die "nationale CyberSicherheit" im Veranstaltungstitel eigentlich definieren? Wie sieht diese "digitale Souveranität Deutschlands" aus, die im Koalitionsvertrag (PDF-Datei) der aktuellen Bundesregierung so festgeschrieben ist:

"Dazu treten wir für eine europäische Cybersicherheitsstrategie ein, ergreifen Maßnahmen zur Rückgewinnung der technologischen Souveränität, unterstützen die Entwicklung vertrauenswürdiger IT- und Netz-Infrastruktur sowie die Entwicklung sicherer Soft- und Hardware und sicherer Cloud-Technologie und begrüßen auch Angebote eines nationalen bzw. europäischen Routings."

Auf der abschließenden Podiumsdiskussion der Cybersicherheitskonferenz bemühten sich gleich drei Vertreter der Bundesregierung, diesen kühnen Satz zu erklären.

Andreas Reisen vom Bundesinneministerium reduzierte die behauptete Souveranität auf eine Beurteilungsfähigkeit: "Wir müssen in der Lage sein zu erkennen, ob Cisco, Huawei und CSC vertrauenswürdige Partner sind." Vertreter dieser drei Unternehmen waren auf dem Podium anwesend.

Stefan Schnorr vom Ministerium für Wirtschaft und Energie votierte für den Begriff der "Beherrschbarkeit" und führte aus, dass Deutschland in der IT-Sicherheitsforschung ein Spitzenreiter sei. Hier gebe es IT-Experten, die andere Länder nicht hätten. "Wir müssen nur sicherstellen, dass wir Zugang zu zertifizierbarer, vertrauenswürdiger Technik haben."

Norbert Riedel, der Sonderbeauftragte für Cyber-Außenpolitik des Auswärtigen Amtes, definierte die "technologische Souveranität" als Informationspartnerschaft im Sinne eines offenen Dialogs. Bei dieser Partnerschaft geben die Firmen alle Informationen über ihre Produkte heraus. "Eine 100-prozentige Sicherheit gibt es nicht, aber eine 100-prozentige Kontrolle muss es geben."

Die Podiumsvertreter von Huawei, Cisco und CSC stimmten dem ohne Zögern zu. Spannend wurde die Runde, als das Publikum Einwände äußerte. Auf den Einwand, dass nur ausländische Unternehmen mitdiskutierten und von deutschen oder europäischen Firmen niemand da sei, entgegnete Christoph Meinel vom veranstaltenden Hasso-Plattner-Institut, dass der Eigentumsbegriff mit der Diskussion der "technologischen Souveranität" nichts zu tun habe.

Ulf Feger von Huawei wandte ein, dass eine national gefasste Definition sinnlos sei, wenn man ein asiatisches Smartphone mit Android benutze, den Telefonvertrag mit O2 habe und Apps nutze, die in Kalifornien entwickelt worden sind. Souverän sei der, der seine Dateien sicher verschlüsseln und speichern könne. Diese Antwort wurde prompt mit einem Zwischenruf aus dem Publikum gekontert: "Diese Verschlüsselung ist obsolet, wenn Sie keinen Zugriff auf das Betriebssystem haben und keine Informationen vom Hersteller des Prozessors. Da läuft die digitale Souverantität schon ins Leere."

(psz)