Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Supply Chains – Herausforderung für IT-Sicherheit und digitale Souveränität
In letzter Zeit rückt das Thema IT-Lieferketten mehr und mehr in den Fokus. Zeitgleich mit der politisch-gesellschaftlichen Aufmerksamkeit für Cybersecurity im Allgemeinen werden nun auch Konsequenzen der Supply Chains von Hard- und Softwareprodukten in einem Zuge mit den Themen IT-Sicherheit und digitale Souveränität genannt.
IT-Lieferketten als „Choke Point”
Ob Großrechner, PCs oder smarte Kühlschränke und Mobiltelefone: Hardware ist abhängig von teils knappen Ressourcen. Für einige Schlüsseltechnologien sind sogenannte Seltenerdmetalle ein unverzichtbarer Rohstoff. Brennstoffzellen, LEDs, Bildschirme, Akkus, Elektromagnete: Diese und viele andere Technikprodukte benötigen eines oder mehrere der 17 seltenen Erdelemente. Die größten Vorkommen finden sich in China und andere Vorkommen werden erst langsam erschlossen. Damit ist die globale Hochtechnologie mittel- bis langfristig von China abhängig.
Ohne Halbleitertechnologie gibt es keine Digitalwirtschaft, ausnahmslos alle Rechner benötigen Mikrochips. Deren Hersteller haben daher eine essenzielle Wichtigkeit für die Digitalindustrie. Diese Abhängigkeit konzentriert sich geographisch auf Ostasien: 87% des gesamten Marktes konzentriert sich auf die Republik China (Taiwan), die Volksrepublik China und Südkorea. Allein der taiwanesische Hersteller TSMC hält 54% der globalen Marktanteile. Die politisch angespannte Lage in den Herstellerländern verschärft die Situation zusätzlich.
Auch in der Software finden sich Abhängigkeiten und Unsicherheiten in den Lieferketten. Unternehmen (ob Digitalunternehmen oder nicht) sind in der täglichen Arbeit auf eine Vielzahl von Software angewiesen. Standardsoftware, Cloudlösungen und andere Bausteine der IT-Infrastruktur kommen vielfach nicht aus Deutschland oder Europa, sondern aus den USA. Hyperscalern wie Microsoft, Amazon/AWS oder Google kann keine ernstzunehmende europäische Alternative entgegengestellt werden.
Wie in einem der vorherigen Blogbeiträge schon aufgezeigt wurde, sind Lieferketten nicht nur eine Herausforderung für die Verbesserung der digitalen Souveränität. Sie können auch Angriffsziel sein: Durch das Outsourcing von IT-Services und einer Diversifizierung der Lieferkette entstehen weitere Herausforderungen. Der Solarwinds-Hack oder die Sicherheitslücke in der Java-Bibliothek Log4J zeigen, wie gravierend solche „Choke Points“ in der Lieferkette sein können und wie Cyberangriffe auf die Lieferkette verübt werden.
Regulatorische Antwort bisher
Die IT-Lieferkette kann ein Problem für die Cyberresilienz darstellen. Wir stehen vor einer zweifachen Herausforderung: Zum einen die Abhängigkeit von Hard- und Softwareprodukten von außerhalb Deutschlands und Europas, zum anderen die Diversifizierung von Digitalprodukten und deren Bestandteile (ob Bauteile oder Code). Es ist für die Sicherheit entscheidend zu wissen, was die genaue Funktion einer digitalen Komponente ist. Von besonderer Wichtigkeit ist dies bei Komponenten für die Bereitstellung von essenziellen Dienstleistungen für die kritische Infrastruktur (KRITIS).
Im IT-Sicherheitsgesetz 2.0 wurde das Thema erstmals regulatorisch aufgegriffen. Zum einen wurden kritische Komponenten, also in KRITIS eingesetzte IT-Produkte, die für die Bereitstellung der kritischen Dienstleistung zwingend erforderlich sind, definiert. Zudem versucht das Gesetz, bei KRITIS Kontrolle auf die eingebauten Komponenten auszuüben. Diese dürfen nur verwendet werden, wenn das BMI vorab informiert wurde, eine Zertifizierung des Bauteils vorliegt und der Hersteller des Bauteils eine Garantieerklärung abgegeben hat. Die Garantieerklärung gilt für die gesamte Lieferkette des Herstellers. Außerdem kann das BMI den Einbau untersagen, was insbesondere bei „nicht vertrauenswürdigen Herstellern“ zum Tragen kommen soll. Dieser Kompromiss der Großen Koalition zur Lösung der Huawei-Debatte – zur Frage, ob der chinesische Hersteller mit der Ausstattung der 5G-Infrastruktur beauftragt werden darf – wurde im Koalitionsvertrag der Ampel aufgekündigt: „Nicht vertrauenswürdige Herstellern“ sollen grundsätzlich nicht Komponenten für KRITIS liefern. Eine gesetzliche Änderung dazu steht indes noch aus und wird sicherlich Teil des erwarteten „IT-Sicherheitsgesetz 3.0“ sein.
Weitere regulatorische Entwicklungen
Am 17.10.22 hat sich der Rat der EU in einer Pressemitteilung zum Thema geäußert und die Stärkung der Sicherheit von IKT-Lieferketten beschlossen. Ivan Bartoš, stellvertretender tschechischer Ministerpräsident für Digitalisierung und Minister für regionale Entwicklung sagte zur Entscheidung des Rats: „Unsere jüngsten Erfahrungen zeigen, wie schnell sich eine externe strategische Abhängigkeit zu einer sehr realen Gefährdung wandeln kann. Deshalb müssen wir kritische IKT-Lieferketten schützen, denn sie sind von entscheidender Bedeutung für die Sicherheit der digitalen Infrastruktur der EU – des Rückgrats unserer modernen Gesellschaft und Wirtschaft.“
In der Entscheidung geht der Rat auf beide Herausforderungen, IT-Sicherheit und digitale Souveränität, ein. Ziel der Schlussfolgerungen sei die Stärkung der Sicherheit von IKT-Lieferketten und die Bewältigung der Gefahr ungewollter strategischer Abhängigkeiten in den Supply Chains. Teil der Lösung sollen dabei der Rechtsakt für Cybersicherheit (Cybersecurity Act), der kürzlich vorgestellte Cyber Resilience Act, die überarbeitete Richtlinie über Netz- und Informationssicherheit (NIS 2) und das EU-Zertifizierungsschema für IT-Sicherheit sein. Außerdem sollen öffentliche Vergaben und ausländische Direktinvestitionen daraufhin überprüft werden, welche Auswirkungen auf Lieferketten sich ergeben und einen Schwerpunkt auf IT-Sicherheit setzen.
Was tun?
Die beschriebenen Herausforderungen der Lieferketten sind über lange Zeit gewachsen, sie sind natürliche Konsequenz weltweiter Arbeitsteilung im Kontext der Globalisierung. Die Dominanz der kalifornischen IT-Firmen im Silicon Valley ebenso wie die Konzentration der Halbleiter-Industrie in Ostasien wird sich nicht auflösen lassen. Abhängigkeiten bleiben bestehen. Eine Ausweitung der strengen deutschen Regeln für kritische Komponenten auf alle IT-Produkte wäre eine Möglichkeit, verbunden allerdings mit massiven Transaktionskosten für Unternehmen und Behörden. Trotzdem sollten sich Unternehmen über Möglichkeiten informieren, ihre Abhängigkeit zu reduzieren und die Resilienz ihrer Lieferketten zu steigern.
Marian Blok, elfnullelf
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.