[datensicherheit.de, 15.05.2026] Shannon Bell, „EVP, CIO & CDO“ bei OpenText, erörtert Fragen der Datensouveränität im Zeitalter Künstlicher Intelligenz (KI): In den vergangenen zehn Jahren habe die „Cloud“ die Technologiestrategie vieler IT-Entscheider geprägt. Heute verschiebe sich der Fokus hin zu mehr Datensouveränität – insbesondere in Behörden und regulierten Branchen. Datensouveränität indes erfordere die Fähigkeit, eine substanzielle und nachweisbare Kontrolle über Daten, Technologien, Betriebsprozesse und rechtliche Risiken zu behalten – unabhängig davon, wo sich diese befinden. „Sie hat sich von einem reinen ,Compliance’-Thema zu einer strategischen Notwendigkeit entwickelt – insbesondere für Organisationen, die sensible Informationen schützen und gleichzeitig in zunehmend komplexen Umgebungen agieren müssen“, so Bell.

Nachfrage nach Digitaler Souveränität in Verwaltung und regulierten Branchen treibt Entwicklung voran

Regulatorische Anforderungen an kritische digitale Infrastrukturen hätten diesen Wandel beschleunigt. Insbesondere in Deutschland trieben KRITIS-Vorgaben, die Umsetzung von NIS-2 sowie die wachsende Nachfrage nach Digitaler Souveränität in Verwaltung und regulierten Branchen diese Entwicklung voran.

• Bell führt aus: „Gleichzeitig machen geopolitische Unsicherheiten und zunehmende Cyberrisiken Souveränität zu einer Frage der Resilienz. Dabei geht es nicht nur darum, wo Daten gespeichert sind, sondern ob Organisationen in der Lage sind, die Nutzung ihrer Informationen über hybride Umgebungen hinweg konsequent zu steuern, zu schützen und zu prüfen.“

Eines ist laut Bell klar: „Unternehmen müssen wissen, wo sich ihre Daten befinden, wie sie verarbeitet werden, wer Zugriff darauf hat – und ob sich die Kontrolle darüber durchgängig nachweisen lässt!“

KI verkompliziert Digitale Souveränität

Mit zunehmender KI-Nutzung werde die Herausforderung rund um Souveränität noch dringlicher. Um den Wert ihrer Daten zu erschließen, griffen Organisationen häufig auf außerhalb ihrer direkten Kontrolle betriebene Modelle, Plattformen und Services zurück.

• Dieses Risiko zeige sich besonders deutlich bei LLMs („Large Language Models“ / Große Sprachmodelle): „Wenn sensible Daten in KI-Workflows genutzt werden, stellt sich nicht mehr nur die Frage, wo diese Daten gespeichert sind, sondern ob Organisationen nachweisen können, auf welche Daten zugegriffen wird, wie daraus Erkenntnisse abgeleitet werden und welche ,Governance’- und Rechtsräume entlang des gesamten KI-Lebenszyklus gelten.“

Sobald nämlich Daten gespeichert oder weiterverwendet werden, verlassen sie den eigenen „Governance“- und Verantwortungsbereich des Unternehmens – „mit langfristigen Risiken für ,Compliance’, Geistiges Eigentum und Kontrolle“, erläutert Bell.

Hybrides, souveränes Betriebsmodell als praktikabler Weg

Sie unterstreicht: „Souveränität ist nicht gegeben, wenn Datenherkunft, Modellverhalten oder Inferenzprozesse nicht nachvollzogen und überwacht werden können – selbst dann nicht, wenn die Daten lokal verbleiben.“ KI bringe neue Unsicherheiten mit sich und mache Transparenz, Verantwortlichkeit und Kontrolle unerlässlich.

• Der Vergleich zwischen „Public Clouds“ und „Private Clouds“ werde zunehmend irrelevant. Stattdessen habe sich der Markt weiterentwickelt, und IT-Entscheider könnten heute aus verschiedenen tragfähigen Modellen wählen, die „Workloads“ mit dem jeweils erforderlichen Maß an Kontrolle in Einklang bringen. Für besonders sensible „Workloads“ benötigten Organisationen Umgebungen mit eingeschränktem Zugriff, starker Isolation, Verschlüsselung sowie Kontrolle über kryptographische Schlüssel. „Doch Souveränität bedeutet nicht, alles zu isolieren: Entscheidend ist vielmehr, je nach Sensibilität und Risikoprofil der Daten das passende Maß an ,Governance’ anzuwenden!“

Für viele Organisationen zeichne sich ein hybrides, souveränes Betriebsmodell als praktikabler Weg nach vorn ab. In einem solchen Modell könnten weniger sensible Prozesse weiterhin von skalierbaren, globalen „Hyperscaler-Cloud“-Services profitieren, während sensible Daten, kritische „Workloads“ und KI-Anwendungen in kontrollierten Umgebungen mit verlässlicher Aufsicht verblieben.

Viele erachten Datensouveränität noch immer als bloßen Kostenfaktor

„Eine Datensouveränitätsstrategie erfordert einen klaren Überblick über die eigene Datenlandschaft! Schutzstufen und Souveränitätsanforderungen dürfen sich dabei nicht allein am Speicherort orientieren, sondern müssen auch ,Governance’, Identitätskontrollen, Auditierbarkeit und rechtliche Verantwortlichkeiten über alle Umgebungen hinweg berücksichtigen.“

• Darauf aufbauend bestehe der nächste Schritt darin, Daten und Intelligenz zu trennen. „In der Praxis bedeutet das, Architekturen zu wählen, die die KI zu den Daten bringen – statt Daten in unkontrollierte KI-Systeme zu verlagern.“ Modelle blieben austauschbar, während Inferenz, Rechenleistung und sensible Informationen innerhalb souveräner Grenzen verankert blieben.

Viele betrachteten Datensouveränität noch immer als vernachlässigbaren Kostenfaktor. Tatsächlich sei sie jedoch inzwischen eine klare strategische Voraussetzung, damit sich Organisationen angesichts geopolitischer Unsicherheiten resilient aufstellen könnten. „Souveränität ermöglicht es, private Daten sicher und skalierbar für KI zu nutzen – bei gleichzeitig nachweisbarer Kontrolle, Verantwortlichkeit und Vertrauenswürdigkeit“, so Bells Fazit.

Weitere Informationen zum Thema:

ot opentext
Über uns / OpenText: Informationen neu definiert / Informationen sind der Herzschlag eines jeden Unternehmens. Wir entwickeln Software für das Information Management, damit Sie die Zukunft gestalten können.

ot opentext
Führungsteam: Shannon Bell – Executive Vice President, Chief Digital Officer und Chief Information Officer

datensicherheit.de, 04.04.2026
Datensouveränität gefährdet – jedes dritte Unternehmen 2025 von einem Vorfall betroffen / Laut aktuellem Kiteworks-Report geben Unternehmen zwar Millionen für ihre Datensouveränitätsbemühungen aus und doch tut sich eine Souveränitätslücke auf

datensicherheit.de, 23.02.2026
Regionale Datensouveränität im Zeitalter der KI: Spannungsfeld zwischen Freiheit und Regulierung mit maximalem Mehrwert / Während sich Künstliche Intelligenz rasant beschleunigt und Datenvolumina exponentiell wachsen, müssen Unternehmen in nie dagewesener Geschwindigkeit innovieren im Rahmenzunehmend strenger regulatorischer, geopolitischer und Souveränitäts-bezogener Rahmenbedingungen.

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

[datensicherheit.de, 13.04.2026] Die rechtliche Grundlage für den Datenaustausch zwischen der EU und den USA steht 2026 offensichtlich vor einer Belastungsprobe: „Transatlantische Datenströme werden zunehmend zum Bestandteil internationaler Handelskonflikte“, so Ari Albertini, CEO von FTAPI, in seiner aktuellen Stellungnahme. Für Unternehmen in Deutschland wachse damit die Rechtsunsicherheit, da die Stabilität aktueller Abkommen zur Datenübermittlung massiv von politischen Weichenstellungen in Washington D.C. abhänge. „Damit entwickelt sich die Frage der Digitalen Souveränität – also der Fähigkeit, selbstbestimmt über die eigenen Daten zu verfügen, – von einer juristischen Pflichtaufgabe zu einer Kernfrage der strategischen Risikovorsorge!“, betont Albertini.

Foto: FTAPI

Ari Albertini: Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt

Rechtsunsicherheit beim Datenschutz als Standortrisiko

Zwar sollten internationale Abkommen den Datenfluss regeln, doch bleibt der Grundkonflikt zwischen europäischem Datenschutz gemäß DSGVO und US-Gesetzen wie dem „US CLOUD Act“ bisher ungelöst – letzterer erlaubt nämlich US-Behörden den Zugriff auf Daten selbst dann, wenn diese physisch auf Servern innerhalb Europas gespeichert sind. Für deutsche Unternehmen entsteht dadurch laut Albertini eine doppelte Belastung:

1. Regulatorisches Risiko
   Sollten Abkommen fallen, droht ein Rechtsvakuum. Ohne souveräne Alternativen drohten dann langwierige Verfahren und Sanktionen von bis zu vier Prozent des weltweiten Jahresumsatzes.
2. Operative Abhängigkeit
   Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in diesem Zusammenhang vor einer schleichenden „Cyber Dominance“. Dieser Begriff beschreibt die Macht von Software-Herstellern, durch die Kontrolle über proprietäre Systeme dauerhaft Einfluss auf die Infrastruktur ihrer Kunden auszuüben.

In einer vernetzten Wirtschaft werde diese Abhängigkeit zum „Single Point of Failure“: Ein plötzlicher Stopp oder eine Einschränkung essenzieller „Cloud“-Dienste aus politischen Gründen könnte kritische Geschäftsprozesse binnen kürzester Zeit lähmen und die Wettbewerbsfähigkeit des gesamten Standorts gefährden.

FTAPI-Checkliste: In drei Schritten zur Datenhoheit

Um die Handlungsfähigkeit unabhängig von geopolitischen Entwicklungen zu wahren, empfiehlt FTAPI folgendes Vorgehen:

Schritt 1: Bestandsaufnahme und Abhängigkeiten prüfen!

Unternehmen müssten ihre Software-Landschaft analysieren:

• „Wo werden geschäftskritische US-Lösungen genutzt, die einen schnellen Wechsel verhindern (,Vendor-Lock-in’)?“

• Der „EU Data Act“ biete hierzu den rechtlichen Hebel, um die Übertragbarkeit von Daten gegenüber Providern einzufordern und technische Wechselhürden abzubauen.

Schritt 2: Risikobasierte Maßnahmen ableiten!

Migration: Für sensible Bereiche wie Personalwesen oder Forschung wird der Wechsel zu europäischen Anbietern mit Gerichtsstand in der EU empfohlen.

• Vertragliche Leitplanken: Wo US-Anbieter alternativlos sind, sollte auf die Fixierung der „EU Data Residency“ (Speicherung in der EU) bestanden werden. Dies biete zwar keinen Schutz vor dem „CLOUD Act“, erschwere aber den unbefugten Zugriff auf administrativer Ebene.
• Exit-Strategien: Für den Ernstfall müssten Notfallpläne existieren, um Daten zeitnah in souveräne „Cloud“-Umgebungen umzuziehen.

Schritt 3: Technologische Schutzschirme implementieren!

Echte Unabhängigkeit entsteht erst durch Technik, nicht durch Verträge:

• Zero-Knowledge-Prinzip: Der Einsatz von Verschlüsselung, bei welcher der Anbieter technisch keinen Zugriff auf die Schlüssel hat, stelle sicher, dass Daten selbst bei einer Herausgabepflicht im Drittstaat unlesbar blieben.
• Standards nutzen: Die Bevorzugung von Software mit offenen Schnittstellen (APIs) verhindere die dauerhafte technologische Bindung an einen einzelnen Hersteller.
• Datensparsamkeit: Automatisierte Abläufe sollten so eingestellt sein, dass nur das für den Prozess absolut notwendige Minimum an Daten geteilt werde.

Souveränität als Wettbewerbsvorteil: Schutz der eigenen Daten und der operativen Handlungsfreiheit

„Digitale Souveränität ist heute eine betriebswirtschaftliche Notwendigkeit und die Grundlage für unternehmerische Handlungsfreiheit in einer vernetzten Welt!“, betont Albertini.

• Er führt weiter aus: „In der Praxis bedeutet das: Wir dürfen uns nicht allein auf politische Abkommen verlassen! Unternehmen müssen ihre Resilienz durch eine Kombination aus rechtlicher Absicherung und technischen Standards aktiv steuern.“
• Die aktuelle Debatte markiere das Ende der technologischen Naivität. Echte Souveränität lasse sich nicht allein durch Verträge herbeiführen, sondern müsse durch „strategisches Mapping“ und moderne Verschlüsselung aktiv hergestellt werden.

Albertinis Fazit: „Unternehmen, die diese Unabhängigkeit als Wettbewerbsvorteil begreifen, schützen nicht nur ihre Daten, sondern ihre gesamte operative Handlungsfreiheit in einem volatilen globalen Markt.“

Weitere Informationen zum Thema:

ftapi
Die #1 Plattform für sicheren Datenaustausch. / Die beste Wahl, um sensible Dateien sicher und gesetzeskonform auszutauschen. Made & hosted in Germany.

heise business services
Ari Albertini – CEO, FTAPI

datensicherheit.de, 11.02.2026
Bitkom-Podcast: Verfassungsschutz-Präsident fordert, Digitale Souveränität mit massiven Mitteln voranzutreiben / Bitkom-Präsident Dr. Ralf Wintergerst sprach mit BfV-Präsident Sinan Selen im Vorfeld der diesjährigen „Münchner Sicherheitskonferenz“

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld / Michael Scheffler rät Unternehmen zur „Zero Trust“-Policy

datensicherheit.de, 12.07.2019
U.S. CLOUD Act: EDSA positioniert sich zu Auswirkungen / Stellv. BfDI, Jürgen H. Müller, berichtet von Ergebnissen der letzten Sitzung des Europäischen Datenschutzausschusses

Von unserem Gastautor Harold Rivas, Chief Information Security Officer (CISO), Absolute Security

[datensicherheit.de, 03.03.2026] Trotz langjähriger Investitionen in Abwehrmaßnahmen nehmen Cyberangriffe und kostspielige Ausfallzeiten weiter zu. Traditionelle Sicherheitsmethoden zur Bedrohungsprävention und -erkennung bleiben zwar nach wie vor relevant, doch unter CISOs zeigt sich eine Veränderung in der Herangehensweise. Viele erweitern ihr Aufgabengebiet, um zusätzlich die Leitung von Wiederherstellungsmaßnahmen nach Sicherheitsvorfällen zu übernehmen, damit ihr Unternehmen rasch wieder betriebsbereit ist. Dieser Trend spiegelt sich in einer aktuellen Erhebung von Absolute Security wider: 83 Prozent der befragten CISOs gaben an, dass Cyber-Resilienz wichtiger sei als traditionelle Cybersicherheitsmaßnahmen, und 90 Prozent haben bereits eine Resilienzstrategie in ihrem Unternehmen umgesetzt.

Harold Rivas, Chief Information Security Officer (CISO), Absolute Security, Bild: Absolute Security

Der Begriff der Cyber-Resilienz ist in der Security-Branche heute allgegenwärtig. Damit das Konzept echte Wirkung entfalten kann, muss es als strategische Notwendigkeit begriffen werden, bei denen Unternehmen nicht nur die Fähigkeit erwerben, Angriffen standzuhalten, sondern auch besser auf sie vorbereitet zu sein und gestärkt aus ihnen hervorzugehen.

Definition von Cyber-Resilienz

Ein guter Ausgangspunkt ist die Definition des National Institute of Standards and Technology (NIST), das Cyber-Resilienz als die Fähigkeit beschreibt widrige Umstände, Belastungen, Angriffe oder Kompromittierungen zu antizipieren, ihnen standzuhalten, sich von ihnen zu erholen und sich an sie anzupassen. Für CISOs, die diesen Ansatz verfolgen, bedeutet dies eine Verlagerung des Fokus von rein defensiven Strategien hin zu einem integrierteren und proaktiveren Ansatz. Es reicht nicht mehr aus, nur zu versuchen, das Unvermeidliche zu verhindern. Sicherheitsverantwortliche müssen ihre Unternehmen darauf vorbereiten, Cyberangriffe und ihre Auswirkungen zu bewältigen sowie Geschäftsbetrieb und -kontinuität vollständig und so schnell wie möglich wiederherzustellen.

Von der Prävention zur Resilienz

Bei der Cyber-Resilienz geht es nicht darum, alle Risiken zu beseitigen, sondern vielmehr darum, Systeme und Prozesse zu schaffen, die Angriffen standhalten, ohne dass es zu massiven Störungen oder Ausfallzeiten kommt. Der Übergang von präventionsorientierten Strategien zu resilienzorientierten Frameworks ist für den langfristigen Schutz entscheidend. Um dies zu unterstützen, sind vier wichtige Säulen unerlässlich, damit Cyber-Resilienz als zentrale organisatorische Fähigkeit und nicht als eine reaktive Maßnahme verankert wird.

Säule 1: Maximale Sichtbarkeit und Kontrolle der Endpunkte

Cyber-Resilienz beginnt mit einer vollständigen Sichtbarkeit und Kontrolle über jeden Endpunkt. CISOs müssen sicherstellen, dass Geräte auch dann geschützt und verwaltbar bleiben, wenn der primäre Agent ausfällt. Bei der Transparenz geht es nicht nur darum zu wissen, was sich im Netzwerk befindet, sondern auch um das Verständnis, wie sich diese Ressourcen verhalten, wie sie konfiguriert sind und unter Druck reagieren.

Säule 2: Aufrechterhaltung der Kontrollhygiene

Die Zuverlässigkeit der bestehenden Sicherheitskontrollen ist ebenfalls unverzichtbar. Konfigurationsabweichungen sind eine ständige Herausforderung, da Sicherheitstools im Laufe der Zeit deaktiviert oder falsch konfiguriert werden. Untersuchungen von Absolute Security zeigen, dass bis zu 25 Prozent der Sicherheitskontrollen zu einem bestimmten Zeitpunkt eventuell nicht im gewünschten Zustand sind. Die Sicherstellung der vollen Funktionsfähigkeit kritischer Anwendungen trägt dazu bei, dass diese auch unter Druck effektiv arbeiten. Eine starke Kontrollhygiene erfordert eine kontinuierliche Validierung, und CISOs müssen automatisierte Prüfungen und Korrekturmaßnahmen implementieren, damit die Kontrollen über den gesamten Lebenszyklus jedes Geräts hinweg intakt bleiben.

Säule 3: Implementierung einer Zero-Trust-Architektur (ZTNA)

Hierbei spielt der Zero-Trust-Ansatz eine entscheidende Rolle, bei dem jede Geräte- und Benutzeranfrage überprüft wird. Zero Trust Network Access (ZTNA) ist kein einzelnes Tool, sondern ein strategischer Ansatz, der die Sicherheit von einem netzwerkzentrierten zu einem ressourcenorientierten Modell verlagert. ZTNA bietet eine granulare Kontrolle über Zugriffe und spezifische Aktionen und stellt sicher, dass nur autorisierte Benutzer und Geräte mit bestimmten Ressourcen interagieren können.

Säule 4: Schnelle Wiederherstellung und Anpassung

Zudem ist es wichtig, sich auf die Fähigkeit zu einer schnellen Wiederherstellung nach Sicherheitsvorfällen konzentrieren. Dies umfasst mehr als nur Technologie, es bedeutet auch eine enge Zusammenarbeit mit DevOps- und SRE-Teams, um zu verstehen, was den operativen Betrieb des Unternehmens aufrechterhält. Durch die proaktive Simulation von Ausfällen und Angriffen wird die erforderliche Routine für eine schnelle, effektive Wiederherstellung aufgebaut. Cyber-Resilienz geht über den Schutz hinaus und konzentriert sich auf eine rasche Recovery sowie die kontinuierliche Anpassung von Maßnahmen. Durch die Analyse nach einem Vorfall können bestehende Kontrollen optimiert und die zukünftige Verteidigung gestärkt werden. Diese Entwicklung von Systemen, die Ausfällen standhalten, verwandelt Vorfälle in Lernmöglichkeiten und ermöglicht es Unternehmen, sich nach jeder Störung schneller zu erholen und gestärkt daraus hervorzugehen.

Resilienz als Kernstrategie verankern

Cyber-Resilienz ist eine Teamleistung. Um erfolgreich zu sein, muss sie gemeinsames Ziel der gesamten Organisation sein und bei der Unternehmensleitung beginnen. Bei der Strategieentwicklung von CISOs mit der Führungsebene sollten im Gespräch der Schutz des Geschäftsbetriebs durch eine Minimierung der Ausfallzeiten im Fokus stehen. Zugleich versetzt die Abstimmung proaktiver Maßnahmen mit der Führungsebene Sicherheitsteams in die Lage, im Ernstfall zielgerichtet und rasch zu handeln. Durch die Vorbereitung auf Ausfälle und die Schaffung einer einheitlichen Linie vom Vorstand bis hinunter zu den Mitarbeitern können CISOs eine Kernstrategie verankern, durch die Cyberattacken beherrschbare Zwischenfälle statt massiver Krisen sind.

Weitere Informationen zum Thema:

datensicherheit.de, 09.04.2025
Cyber-Resilienz statt bloße Cyber-Resistenz: 5 Tipps für mehr Widerstandsfähigkeit gegenüber -angriffen

[datensicherheit.de, 04.12.2025] Derzeit wird hierzulande über den „Deutschland-Stack“ und die Digitale Souveränität der Verwaltung diskutiert. Dirk Arendt, „Director Government & Public Sector DACH“ bei Trend Micro, macht in seiner aktuellen Stellungnahme deutlich, dass Cybersicherheit mehr als nur ein bloßer Baustein, sondern eben das Fundament des gesamten Projekts ist: „Der ,Deutschland-Stack’ repräsentiert Deutschlands ambitionierte Vision einer souveränen digitalen Verwaltung. Wie die Beschlüsse der Digitalministerkonferenz zeigen, wird er wohl auch für die Länder und Kommunen eine wichtige Rolle spielen.“ Leider bleibe aber in der öffentlichen Diskussion ein kritischer Aspekt momentan unterbelichtet – die zentrale Rolle der Cybersicherheit als Fundament dieser nationalen Infrastruktur.

Foto: Trend Micro

Dirk Arendt mahnt: Nur mit einer robusten, durchgängigen Cybersicherheitsarchitektur kann der „Deutschland-Stack“ sein Versprechen einlösen!

Verfügbarkeit 2028 erscheint ambitioniert – doch Realität moderner Cyberbedrohungen duldet keinen Aufschub

Die bisherige Darstellung des sogenannten Deutschland-Stacks behandele Cybersecurity oft nur als einen von mehreren gleichwertigen Technologiebereichen neben „Cloud“ und Künstlicher Intelligenz (KI).

• „Diese Perspektive greift zu kurz: Cybersicherheit ist das Nervensystem der Digitalen Souveränität – ohne sie kollabiert das gesamte Konstrukt!“

Die geplante Verfügbarkeit 2028 möge ambitioniert erscheinen, doch die Realität moderner Cyberbedrohungen dulde keinen Aufschub. Staatliche APT-Gruppen, Ransomware-Kollektive und Cyberkriminelle entwickelten ihre Angriffsmethoden kontinuierlich weiter. „Ein ,Deutschland-Stack’ ohne robuste Cybersicherheitsarchitektur wäre eine Einladung für Angreifer!“, warnt Arendt.

Drei kritische Cybersicherheits-Imperative laut Trend Micro

1. Der „Deutschland-Stack“ muss Zero-Trust-Prinzipien von Grund auf implementieren!
   Die föderale Struktur zwischen Bund, Ländern und Kommunen schaffe naturgemäß komplexe Vertrauensgrenzen. Jede Schnittstelle, jeder Datentransfer müsse kontinuierlich verifiziert werden.
2. „Detection & Response“ und Cyberresilienz müssen integraler Bestandteil der Architektur werden!
   Es genüge nicht, Angriffe zu verhindern – der „Stack“ müsse auch „unter Beschuss“ funktionsfähig bleiben und sich schnell regenerieren können.
3. Die „Threat Intelligence“-Integration erfordert Echtzeitfähigkeiten!
   Der „Deutschland-Stack“ müsse aktuelle Bedrohungsdaten verarbeiten und adaptive Schutzmaßnahmen implementieren können.

„Deutschland-Stack“ als historische Chance für Cybersecurity auf allen Ebenen der Verwaltungsdigitalisierung

Die Kosten mangelnder Cybersicherheit überstiegen bei weitem die Investitionen in robuste Schutzmaßnahmen. Arendt stellt klar: „Ein erfolgreicher Cyberangriff auf den ,Deutschland-Stack’ würde nicht nur Bürgerdaten gefährden, sondern auch das Vertrauen in die Digitale Transformation und verlässliche Leistungsfähigkeit der öffentlichen Verwaltung fundamental erschüttern!“ Diese Gefahr sei indes real: Die Bundesrepublik stehe wie noch nie im Fokus hybrider Bedrohungen.

• Der „Deutschland-Stack“ biete die historische Chance, Cybersecurity nicht nachträglich aufzupfropfen, sondern als architektonisches Grundprinzip auf allen Ebenen der Verwaltungsdigitalisierung zu etablieren. „Dies erfordert jedoch einen Paradigmenwechsel: Sicherheit darf nicht als Kostenfaktor oder technische Hürde betrachtet werden, sondern als ,strategischer Enabler’ Digitaler Souveränität!“

Nur mit einer robusten, durchgängigen Cybersicherheitsarchitektur könne der „Deutschland-Stack“ sein Versprechen einlösen – nämlich eine sichere, souveräne und vertrauenswürdige digitale Infrastruktur für alle Bürger. Arendts Fazit: „Die Zeit für halbherzige Kompromisse ist vorbei. Deutschland muss Cybersicherheit zur Priorität Nummer 1 erklären!“

Weitere Informationen zum Thema:

TREND MICRO, Unternehmen
Geschichte, Vision und Werte

TREND MICRO, Dirk Arendt, 09.09.2025
Cyber-Kriminalität / Keine Souveränität ohne Sicherheit: In der Debatte um digitale Souveränität ist vielen die grundlegende Rolle der Cybersicherheit nicht klar. Es bedarf eines kooperativen Ansatzes, der Resilienz und Sicherheit in den Mittelpunkt stellt und die Vielfalt der verfügbaren Lösungen nutzt.

YouTube, Trend Micro Europa
Auf einen Espresso mit Dirk Arendt

eGovernment VERWALTUZNG DIGITAL, Manfred Klein, 04.11.2020
Trend Micro Dirk Arendt übernimmt Leitung des Behördenvertriebs

Deutschland-Stack
Der Deutschland-Stack ist die nationale souveräne Technologie-Plattform für die Digitalvorhaben in Deutschland

NETZPOLITIK.ORG, Timur Vorkul, 16.10.2025
Deutschland-Stack: Was ist drin, im Baukausten für die digitale Verwaltung? / Der Deutschland-Stack soll der lahmenden Verwaltungsdigitalisierung auf die Sprünge helfen. Doch was genau ist die Technologie-Plattform, wie kann sie dabei helfen und wer ist wofür verantwortlich? Eine Übersicht.

heise online, 09.10.2025
Deutschland-Stack: So soll die nationale souveräne Technologieplattform aussehen / Das Digitalministerium hat eine „Landkarte“ und Skizze für ein Gesamtbild des geplanten Deutschland-Stack veröffentlicht. Interessierte können Feedback geben.

Bundesministerium für Digitales und Staatsmodernisierung, 09.10.2025
Jetzt mitgestalten: Beteiligungsprozess für Deutschland-Stack offiziell angelaufen

datensicherheit.de, 30.11.2025
Handlungsbedarf: Digitale Souveränität von strategischer Relevanz für Unternehmen / Zunehmendes Streben nach echter Digitaler Souveränität – Unternehmen fordern die Kontrolle über ihre Daten, ihre „Cloud“-Infrastruktur und ihren technologischen Kurs zurück

datensicherheit.de, 09.09.2025
„Made in EU“ strategischer Erfolgsfaktor für IT-Sicherheit bei Unternehmen, Behörden und KRITIS / Wer IT-Systeme zuverlässig schützen will, muss sicher sein, auf welche Technologien er sich rechtlich, technisch und strategisch verlassen kann

datensicherheit.de, 02.08.2025
Cyberresilienz als Strategischer Imperativ der Unternehmen / Unternehmen sind nur so sicher wie ihr schwächster Endpunkt: Thomas Lo Coco stellt seinen „4-Punkte-Plan für effektive Endpoint-Security“ vor

datensicherheit.de, 30.09.2020
Datenschutzkonferenz: Digitale Souveränität der öffentlichen Verwaltung beeinträchtigt / Verstärkt sollten laut Datenschutzkonferenz alternative Softwareprodukte sowie Open-Source-Produkte eingesetzt werden

[datensicherheit.de, 09.07.2025] Der eco – Verband der Internetwirtschaft e.V. geht in einer aktuellen Stellungnahme auf die unter seinem Dach gegründete „Allianz zur Stärkung digitaler Infrastrukturen“ ein – eine Initiative aus Betreibern des „Ökosystems digitaler Infrastrukturen“: Diese begrüßt demnach die am 3. Juli 2025 angekündigte Rechenzentren-Strategie für das Land Hessen und fordert einen ähnlichen Ansatz auch auf Bundesebene zur Stärkung des Rechenzentrumsstandortes Deutschland. Eine solche bundesweite Strategie sollte auch die drängendsten Probleme der Betreiber adressieren – hohe Preise für elektrische Energie und deren Verfügbarkeit.

Foto: eco

Volker Ludwig: Deutschlands Wirtschaft braucht eine Erfolgsstory und die gibt‘s nur mit Rechenzentren!

Hessen hat früh erkannt, dass Rechenzentren Wegbereiter eines Wirtschaftsbooms sind

Hessen habe am Rande eines Gesprächs zwischen seiner Digitalministerin, Kristina Sinemus, und dem Bundesdigitalminister, Dr. Karsten Wildberger, den Prozess einer landesweiten Rechenzentren-Strategie angekündigt.

• Die „Allianz zur Stärkung digitaler Infrastrukturen“ begrüßt diesen Vorstoß und bewertet vor allem den dazu geplanten Austausch zwischen Politik und Branche positiv: „Hessen hat früh erkannt, dass Rechenzentren das Potenzial zum Wirtschaftsboom bieten“, kommentiert Volker Ludwig, Co-Sprecher dieser im eco gegründeten Initiative.

Viele Datacenter-Betreiber der eco-Allianz hätten ihren Standort im Raum Frankfurt am Main, Darüber hinaus liege die „Main-Metropole“ in einem jüngst vom Internetknoten-Betreiber DE-CIX veröffentlichten Ranking weltweiter Digitalstandorte auf Platz 1. In der Kategorie „Rechenzentren“ nehme Frankfurt/M. den zweiten Platz hinter der Region um Washington D.C. ein.

Rechenzentren als Basis für erfolgreiche Digitale Transformation und Deutschlands Wettbewerbsfähigkeit

„Digitale Infrastrukturen und insbesondere Rechenzentren spielen als Motor der Digitalen Transformation eine zentrale Rolle für die Digitale Transformation und Deutschlands Wettbewerbsfähigkeit bei innovativen Technologien wie beispielsweise KI, da sie die notwendige Rechenleistung, Datenverarbeitung und Vernetzung bereitstellen“, betont Ludwig. Dies zeige unter anderem eine aktuelle Studie des Instituts der deutschen Wirtschaft für die Allianz. Demnach wirkten „Cloud Computing“ und Rechenzentren als Treiber für Innovation und Wachstum. Durch Rechenzentrums-Nutzung ergebe sich eine zusätzliche Bruttowertschöpfung von rund 250 Milliarden Euro für die deutsche Volkswirtschaft.

• Diese Potenziale zu heben, läge nun insbesondere am neu gegründeten Digitalministerium, welches die nötigen übergeordneten Rahmenbedingungen schaffen müsse. Vor allem wettbewerbsfähige Energiepreise sind für Ludwig ein zentraler Faktor. „Für die Wirtschaftlichkeit von Rechenzentren sollten neben Aspekten zur Nachhaltigkeit vor allem die drängenden Fragen nach der Verfügbarkeit und des Preises von Strom sowie bauliche Genehmigungsprozesse gedacht werden!“

Er gibt abschließend zu bedenken: „Deutschlands Wirtschaft braucht eine Erfolgsstory und die gibt‘s nur mit Rechenzentren. Bei einer Rechenzentrumsstrategie des Bundes sollten Branchen-Initiativen und Verbände unbedingt eingebunden werden!“ Neben Frankfurt/M. könnten so auch weitere deutsche Metropolen und ländliche Regionen von der von Rechenzentren ausgehenden Strahlkraft für KI und Wirtschaft profitieren.

Weitere Informationen zum Thema:

digitales.hessen.de
Recheninfrastrukturen / Relevanz der Rechenzentren stärker in den Fokus rücken

HessenAgentur, 08.04.2024
Hessen ist führender Standort für Rechenzentren / Digitale Geschäftsmodelle gewinnen seit Jahren unaufhörlich an Bedeutung und mit den jüngsten Entwicklungen in Künstlicher Intelligenz wird sich dieser Prozess weiter beschleunigen

eco VERBAND DER INTERNETWIRTSCHAFT
Studie: Spillover-Effekte von Rechenzentren: Rückgrat der KI-Revolution in Deutschland / Eine Studie des Instituts der deutschen Wirtschaft im Auftrag der unter dem Dach des eco gegründeten Allianz zur Stärkung digitaler Infrastrukturen

DE-CIX, 26.06.2025
New study: The digital capital Frankfurt

datensicherheit.de, 17.07.2024
Wachstumsinitiative der Bundesregierung: Ambitionierte Pläne zum Ausbau von KI-Rechenzentren / eco begrüßt Pläne der Bundesregierung, umfassende Maßnahmen zur Stärkung digitaler Infrastrukturen und Technologien zu verabschieden

datensicherheit.de, 26.04.2019]
Bitkom: Standortnachteile bremsen deutsche Rechenzentren aus / Strom macht oft mehr als 50 Prozent der Betriebskosten aus / Große Abwärmemengen bleiben wegen fehlender Einspeisung ungenutzt / Policy Paper zu Rechenzentren veröffentlicht

[datensicherheit.de, 25.03.2025] Die Aufgabe des CIO besteht heute nicht mehr nur in der Aufrechterhaltung des IT-Betriebs. Er ist vor allem auch für die Umsetzung der strategischen Geschäftsziele verantwortlich. CyberArk zeigt, welche Rolle ein CIO in einem modernen Unternehmen einnehmen sollte.

Der CIO hat eine strategische Führungsrolle

Die ersten CIOs waren technische Experten im Unternehmen, die die zentrale Computerinfrastruktur verwalteten und einfach nur für das „Keeping the lights on“ verantwortlich waren. Heutige CIOs haben eine strategische Führungsrolle, die sich ständig weiterentwickelt, da sich die digitale Landschaft wandelt und sich auch die Geschäftsanforderungen kontinuierlich verändern.

CIOs müssen laut CyberArk deshalb heute unterschiedliche Aufgaben übernehmen. Dazu gehören vor allem:

1. die Umsetzung der Geschäftsstrategie

CIOs sind in erster Linie Geschäftsstrategen und erst in zweiter Linie Technologie-Experten, das heißt, ihre Tätigkeit ist primär auf den Geschäftswert ausgerichtet. Folglich müssen sie auch eng mit dem Führungsteam und den Leitern der Personal-, Finanz-, Marketing- und Rechtsabteilungen zusammenarbeiten, um wichtige Geschäftsziele zu erreichen.

2. die Evaluierung neuer Technologien

CIOs zählen die Förderung von Geschäftsinnovationen zunehmend zu ihren wichtigsten Aufgaben. Viele leiten etwa bereits heute interne GenAI-Initiativen. Sie beleuchten auch die Möglichkeiten neuer, bahnbrechender Technologien und zeigen den Teams, was sie tatsächlich für die Verbesserung von Arbeitsprozessen bieten.

3. die Etablierung einer Datenstrategie

Der CIO ist direkt oder indirekt für alle Dateninitiativen verantwortlich. Für viele CIOs hat dabei die Umgestaltung ihrer Datenplattformen eine hohe Priorität, um das Unternehmenswachstum voranzutreiben, denn Innovation erfordert immer eine starke Datenbasis. Hierbei müssen grundlegende Fragen der Cybersicherheit, der Governance und des Datenschutzes geklärt und organisatorische Silos aufgebrochen werden, um mehr Transparenz zu schaffen. Nur dann können die Daten umfassend und damit wertschöpfend genutzt werden.

4. die Kommunikation zwischen Technikern und Nichttechnikern

CIOs brauchen heute umfassende Kommunikationsfähigkeiten, um die Kluft zwischen technischen und nicht-technischen Interessengruppen zu überbrücken. Zum einen müssen sie für die Zusammenarbeit mit IT-Teams über technisches Know-how verfügen. Zum anderen sollten sie ebenso in der Lage sein, die technische Roadmap in einer für den CEO und die Führungsebene leicht verständlichen Weise in Geschäftsstrategien umzusetzen.

5. die Unterstützung der Teams

Die effektivsten CIOs agieren als Enabler. Sie stellen die richtigen Fragen, geben die Richtung vor und – was am wichtigsten ist – sie befähigen ihre Teams, unabhängig zu arbeiten, indem sie ihnen Unterstützung und Vertrauen von oben zusichern.

6. das lebenslange Lernen

CIOs werden niemals alle erforderlichen Kenntnisse für jeden Bereich besitzen – dafür verändern sich die Technologien viel zu schnell, wie das Beispiel der LLMs in den letzten 12 Monaten gezeigt hat. Folglich ist das kontinuierliche Lernen auch für CIOs unverzichtbar. Sie müssen neugierig und offen bleiben sowie bereit sein, sich weiterzuentwickeln.

„Der Verantwortungsbereich des heutigen CIO ist umfassend. Er muss Transformationsinitiativen begleiten und auch die Rahmenbedingungen für das Unternehmenswachstum schaffen. Dabei wird sich die Rolle des CIO weiterentwickeln, wie sie es schon immer getan hat. Mit Blick auf die Zukunft ist davon auszugehen, dass die Funktion von CIOs künftig noch mehr Visionen erfordert als heute, da sie die Zukunft des Unternehmens gestalten und nicht nur unterstützen werden“, kommentiert Omer Grossman, Global Chief Information Officer bei CyberArk.

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2020
Wie CIOs in der Krise die Produktivität aus der Ferne sichern können

[datensicherheit.de, 19.03.2024] Die Digitalisierung der Wirtschaftsbereiche biete zwar große Vorteile, bringe aber auch eine Reihe von Herausforderungen mit sich, insbesondere bezüglich der IT-Sicherheit, so Lothar Geuenich, „VP Central Europe/DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Oft werde dann über die großen Unternehmen und Konzerne, vielleicht noch den gehobenen Mittelstand gesprochen. Er wirft nun die Frage auf, wie es aber nun bei den sogenannten kleinen und mittleren Unternehmen (KMU) aussieht, und betont: „Auch sie sind betroffen, sei es eine örtliche (Land-)Bäckerei, die Auto-Werkstatt, oder der Gastwirt mit seinen digitalisierten Bezahl- und Einkaufsprogrammen.“

Foto: Check Point

Lothar Geuenich: Herausforderungen der KMU insbesondere im Bereich der IT-Sicherheit, nicht außer Acht lassen!

Digitale Technologien halten auch Einzug in KMU

Der Wandel hin zur Digitalisierung werde von einer Reihe von Faktoren angetrieben – darunter Kosteneinsparungen, Benutzerfreundlichkeit, Vereinfachung der Prozesse für die Kunden und eine größere Marktreichweite. Geuenich führt aus: „Beispielsweise könnte eine Bäckerei intelligente Öfen installieren, die das Backen optimieren, oder sie könnten einen Online-Shop einrichten, um mehr Kunden zu erreichen und den Umsatz zu steigern.“ Mit dem Internet verbundene Kassensysteme, „Cloud“-Technologien zum Aufsetzen von Websites und die Verwaltung von (Kunden-)Daten gehörten zum Alltag.

Darüber hinaus sei der Einsatz Künstlicher Intelligenz (KI) und des Internets der Dinge und Dienste (IoT) in kleinen Unternehmen ein wichtiger Schritt in Richtung der Digitalisierung des Betriebs. KI ermögliche personalisierte Werbung und dynamische Preisgestaltung, während vernetzte Geräte – wie sogenannte intelligente Öfen und Klimaanlagen – das Geschäft optimierten und die Kosten senken könnten.

Insbesondere bei KMU könnte die Digitale Transformation die Grenzen zwischen gesicherten und anfälligen Netzwerken verwischen

„Da aber Digitalisierung immer mit dem Sammeln von Daten und der Verknüpfung der Systeme mit dem Internet, oder anderen externen Quellen, einhergeht, rückt die IT-Sicherheit ins Blickfeld“, unterstreicht Geuenich. Die Integration verschiedener Technologien in die Firma, wie „Cloud“-Dienste, SaaS, IoT und KI böte zwar Vorteile, vergrößere aber die Angriffsfläche für Hacker. Besonders bei kleinen Unternehmen mit ihrem geringen Budget verwische die Digitale Transformation die Grenzen zwischen gesicherten und anfälligen Netzwerken schnell.

„Der Spagat für die KMU besteht darin, flexibel und innovativ zu sein, aber gleichzeitig Sicherheit, Wartung und Vorschrifteneinhaltung zu gewährleisten“, betont Geuenich. Digitale Zahlungen böten beispielsweise Komfort, erforderten aber auch strenge Sicherheitsmaßnahmen zum Schutz der Kundendaten gemäß der „Compliance“. Hinzu kämen die Audits, welche eine lückenlose Dokumentation aller Vorgänge erforderten.

Spezifische Herausforderungen der Datensicherheit in KMU

Verschiedene Hürden müssten genommen werden. „Dazu gehört die Gewährleistung des Datenschutzes, die Einhaltung von Vorschriften und sichere Einbindung sowie Verwaltung neuer Technologien, wie ,Cloud’-Anbindung. Dies erfordert eine Schulung der Mitarbeiter und Führungskräfte, um ein Verständnis für IT-Sicherheit zu schaffen.“

Insbesondere angesichts des Fachkräftemangels in der IT und IT-Sicherheit komme es hierbei schon auf die kleinsten Erkenntnisse der anderen Angestellten an, um die IT-Abwehr zu stärken – und sei es nur das Wissen um Phishing-E-Mails.

Ein grundlegendes Verständnis für Datensicherheit als erster Schritt der KMU-Geschäftsführung

Auf den ersten Blick könne die Digitalisierung auf KMU-Geschäftsführer überwältigend, sogar beängstigend wirken. Geuenich kommentiert hierzu: „Doch die Zeiten sind vorbei, da KMU ständig einer guten IT-Abwehr hinterherrennen mussten. Freilich spielt noch immer das Budget die erste Geige und es darf nicht von jedem Unternehmer erwarten werden, dass er ein Experte der IT-Sicherheit werden wird. Ein grundlegendes Verständnis ist jedoch unerlässlich geworden.“

Einfache Regeln würden bereits helfen, wie die Verwendung sicherer Passwörter, die Wachsamkeit gegenüber Phishing, die Trennung des W-Lan-Netzwerks in einen Mitarbeiter-Zugang und eingeschränkten Gast-Zugang, die Führung eines Inventars aller digitalen Vermögenswerte, sämtliche tragbare Geräte auch mit Sicherheitsprogrammen abzusichern (Handys, Laptops, Tablets), die privaten tragbaren Geräte der Mitarbeiter und Gäste aus dem Firmen-Netzwerk herauszuhalten (daher der Gast-Zugang) und die regelmäßige Aktualisierung sämtlicher Software durchzuführen.

KMU sollten ggf. Dienstleister nutzen, um Angriffsfläche zu verringern

Darüber hinaus könnten sich kleine Unternehmen an Dienstleister wenden, um die IT-Sicherheit durch externe Spezialisten und Datenschutzbeauftragte aufrechtzuerhalten, weil sie sich selbst die wichtigen Produkte, wie eine umfassende IT-Sicherheitsarchitektur, nicht leisten könnten – geschweige denn, die Mitarbeiter hätten, um diese zu implementieren und zu bedienen. „Auf diese Weise können die KMU außerdem in den Genuss der Sicherheitsprodukte kommen, die bislang nur den großen Spielern mit den großen Budgets vorbehalten waren.“

Geuenich benennt als Beispiel die KI-basierte Management-Komponente seines Hauses, welche nicht ohne Grund auf den Namen „Copilot“ höre: „Sie ist im Prinzip eine Prozessautomatisierung mit Chat-Bot als Eingabefeld und übernimmt nach der Konfiguration viele Routine-Aufgaben, steuert Sicherheitslösungen selbstständig und kann Fragen beantworten, um die Konfiguration zu verfeinern und den Überblick aufrecht zu erhalten.“ Dies schaffe Transparenz und vereinfache die Verwaltung der IT-Sicherheitsarchitektur stark, „so dass auch KMU mit geringem Personalbestand, die dennoch einige Komponenten selbst steuern wollen, eine Chance haben“. Die Fähigkeit, alles zentral zu steuern, fördere zudem die Konsolidierung der IT-Sicherheit.

Mit passender Unterstützung in Fragen der Datensicherheit können sich KMU-Geschäftsführer auf ihre eigentliche Arbeit konzentrieren

Daneben böten sich fortschrittliche IT-Sicherheitsarchitekturen mit zentraler Plattform als Rund-um-Pakete an. „Das ist günstiger, als einen Wildwuchs verschiedener Lösungen zusammenzutragen und erfordert wesentlich weniger Verwaltungsaufwand.“ Dadurch brauche es weniger Fachkräfte – und die Geschäftsführer der kleinen Betriebe könnten sich auf ihre eigentliche Arbeit konzentrieren, „während die weitgehend automatisierten Sicherheitsplattformen im Hintergrund sehr zuverlässig arbeiten und sich nur melden, wenn menschliches Eingreifen erforderlich ist“.

Diese Konsolidierung der IT-Sicherheit führe außerdem zu einheitlichen und übersichtlichen Oberflächen, was die Konfiguration von Sicherheitsrichtlinien stark erleichtere und eine lückenlose Dokumentation ermögliche, um jedes Audit zu überstehen.

KMU sollten vor allem Bewusstsein und Verständnis für die neuartigen Herausforderungen entwickeln

Geuenichs Fazit: „Während die Geschäftsführer und Inhaber von wirklich kleinen und mittleren Unternehmen die Digitalisierung auch in ihrer Firma vorantreiben, dürfen sie die Herausforderungen, vor denen sie dadurch stehen, insbesondere im Bereich der IT-Sicherheit, nicht außer Acht lassen.“ Jedoch brauchten sie nicht zu verzweifeln, weil eine robuste IT-Sicherheit zum einen längst nicht mehr den großen Konzernen allein vorbehalten sei und zum anderen schon einfache Maßnahmen sowie Verhaltensweisen die üblichen IT-Attacken verhindern könnten.

Am wichtigsten sei es, ein Bewusstsein und Verständnis für diese neuartigen Herausforderungen zu entwickeln und die Angst vor der Komplexität zu überwinden. „Sie sollte nicht länger ein Hemmnis für den Schutz sensibler Unternehmensdaten sein. Dann können die wirtschaftlichen Vorteile der Digitalisierung ausgeschöpft werden“, so Geuenich abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 04.01.2023
Internetfähige Geräte: Check Point gibt 13 Tipps zur Absicherung / Verwundbarkeit über das Internet sollte Verbrauchern und Unternehmen bekannt sein, um sich vor Cyber-Gefahren zu schützen

datensicherheit.de, 12.12.2022
Ransomware-Realitätscheck zum Schutz für KMU / Trotz wachsender Bedrohung nur wenigen KMU bewusst, dass sie genauso wie größere Unternehmen gefährdet sind – wenn nicht sogar stärker

[datensicherheit.de, 07.02.2024] Laut einer aktuellen Stellungnahme des TÜV-Verband e.V. sendet Deutschlands neue Digitalstrategie ein „starkes Signal für europäische Souveränität“ im Digitalen Raum und betont die „Notwendigkeit einer konsequenten und nachhaltigen Umsetzung“.

Stellungnahme zu der am 7. Februar 2024 vom Bundeskabinett beschlossenen Strategie zur internationalen Digitalpolitik

Dass Digitalpolitik auch geopolitisch eine immer wichtigere Rolle spiele, zeige die am 7. Februar 2024 vom Bundeskabinett beschlossene „Strategie zur internationalen Digitalpolitik“. Federführend bei der Erarbeitung der Strategie war demnach das Bundesministerium für Digitales und Verkehr (BMDV).

Marc Fliehe, Fachbereichsleiter „Digitalisierung und Bildung“ beim TÜV-Verband, kommentiert: „Mit der Strategie zur internationalen Digitalpolitik sendet das Bundeskabinett ein klares Signal für mehr europäische Souveränität und Resilienz im Digitalen Raum.“

Darüber hinaus werde deutlich, „dass Sicherheit und Wertschöpfung heute untrennbar mit der Digitalisierung verbunden sind“. Durch die ressortübergreifende Erarbeitung erfahre die Digitalisierung eine breite politische Rückendeckung. Im digitalen Wettbewerb könnten Deutschland und Europa gestärkt werden.

Strategie für internationale Digitalpolitik soll Leitplanken zur Risikoreduzierung, Vertrauenswürdigkeit und Sicherheit setzen

Fliehe führt aus: „Die Schritte der Bundesregierung, die Nachhaltigkeitspotenziale der Digitalisierung zu nutzen, sind richtig, denn das Verhältnis von Digitalisierung und Nachhaltigkeit ist in jüngster Zeit als neue Dimension in den Fokus gerückt: Dennoch existieren bisher weder in Deutschland noch in der EU kaum regulatorische Vorgaben, um das wechselseitige Zusammenwirken von Nachhaltigkeit und Digitalisierung zu fördern.“ Dabei wären konkrete Vorgaben nicht nur für die Umwelt, sondern auch für die langfristige Wettbewerbsfähigkeit der europäischen Unternehmen wichtig.

„Für einen globalen, offenen, freien, stabilen und sicheren Cyber-Raum sind Cyber-Sicherheit, sichere Infrastrukturen und faires Datenmanagement unerlässlich“, betont Fliehe. Mit der Strategie für internationale Digitalpolitik gebe die Bundesregierung nun „klare Leitplanken zur Risikoreduzierung, Vertrauenswürdigkeit und Sicherheit“. Entscheidend für den Erfolg sei jetzt die konsequente und nachhaltige Umsetzung. Dabei sei nicht nur die Frage nach den finanziellen Mitteln entscheidend, sondern auch die Frage nach effizienten Strukturen.

„Der TÜV-Verband steht voll und ganz hinter der neuen Strategie“, so Fliehe. Als erfahrene Prüf- und Zertifizierungsorganisationen leisteten die TÜV-Unternehmen ihren Beitrag dazu, die Digitalisierung nicht nur effizient, sondern auch nachhaltig und sicher zu gestalten. „Unser Ziel ist es, gemeinsam mit den Akteuren im Digitalen Raum eine verlässliche Basis für Innovationen zu schaffen und gleichzeitig höchste Standards für Sicherheit und Nachhaltigkeit zu gewährleisten.“

Weitere Informationen zum Thema:

Bundesministerium für Digitales und Verkehr, 07.02.2024
Strategie für die Internationale Digitalpolitik der Bundesregierung
https://bmdv.bund.de/SharedDocs/DE/Artikel/K/strategie-internationale-digitalpolitik.html

datensicherheit.de, 17.06.2022
Deutscher Mittelstands-Bund moniert Digitalpolitik: Durcheinander der Zuständigkeiten befürchtet / Hohe Erwartungen des Mittelstands an die Digitalstrategie der Bundesregierung

datensicherheit.de, 19.07.2019
Digitalpolitik der Bundesregierung: Bitkom zieht Zwischenfazit / Bislang viele Ziele des Koalitionsvertrags schuldig geblieben

Von unserem Gastautor Julian Totzek-Hallhuber, Principal Solution Architect bei Veracode

[datensicherheit.de, 21.07.2021] Patientendaten und Informationen rund um Pflege, Diagnose und Behandlung sind nur ein Teil der sensiblen Daten, mit denen Organisationen im Gesundheitswesen täglich arbeiten. Eine zentrale Aufgabe der IT ist es, diese mit größter Sorgfalt zu behandeln und umfassend zu schützen. Der elfte State of Software Security (SoSS) Report von Veracode gibt einen Überblick über den aktuellen Stand der Anwendungssicherheit und enthüllt dabei spezifische Erkenntnisse über den Gesundheitssektor. Julian Totzek-Hallhuber, Principal Solution Architect des Unternehmens, fasst die wichtigsten Erkenntnisse zusammen und zeigt Entwicklern und Entscheidern im Gesundheitssektor, worauf sie in Zukunft achten müssen.

Für den aktuellen SoSS Report analysierte Veracode 130.000 Anwendungen. Die elfte Ausgabe der branchenweit umfangreichsten Studie gibt einen Überblick über den Status Quo der Anwendungssicherheit. Im Fokus standen die Finanzbranche, das Gesundheitswesen, der Einzelhandel/Gastgewerbe, die Produktionsbranche, die Technologie-Branche und Behörden. Eine zentrale Erkenntnis: In den verschiedene Sektoren adressieren IT-Teams Sicherheitslücken auf unterschiedliche Weise – und mit unterschiedlichen Geschwindigkeiten. Das Gesundheitswesen arbeitet mit vielen sensiblen Daten. Nur so kann Klinikpersonal und anderes medizinisches Personal ihren Patienten die bestmögliche Versorgung gewährleisten. Im Zug der fortschreitenden Digitalisierung gilt es, diese wertvollen Daten zu schützen und der SoSS Report zeigt: Unternehmen aus dem Gesundheitswesen beheben Sicherheitsrisiken schneller, als Unternehmen aus anderen Branchen. Und obwohl einige DevSecOps-Praktiken dort bereits angekommen sind, gibt es immer noch weitere Best Practices, die Entwickler in ihre Arbeitsabläufe einbauen können, um Sicherheitslücken schneller zu schließen.

Bild: Veracode

Der aktuelle Stand der Anwendungssicherheit im Gesundheitssektor

Im Vergleich zu anderen Branchen schneidet das Gesundheitswesen gut ab: Lediglich 75 Prozent aller Anwendungen weisen mindestens eine Sicherheitslücke auf. Weniger Schwachstellen finden sich nur in der Finanzbranche, mit 74 Prozent. Schlechter schneidet der Einzelhandel sowie die Produktion mit 76 Prozent ab. Bei Anwendungen aus der Technologie-Branche wurde ein Anteil von Applikationen mit mindestens einer Sicherheitslücke von 78 Prozent, bei behördlichen Anwendung sogar ein Anteil von 80 Prozent verzeichnet.

Im Vergleich zu diesem relativ positiven Ergebnis finden sich im Gesundheitssektor zahlreiche Anwendungen mit schwerwiegenden Sicherheitslücken – mit 26 Prozent belegt die Branche den zweiten Platz. Nur die Technologiebranche hat mit 28 Prozent einen höheren Anteil an schwerwiegenden Sicherheitslücken. Auch die Fehlerbehebungsrate ist auf einem recht niedrigen Niveau. Während die Finanzbranche mit einer Fehlerbehebungsrate von 75 Prozent am besten von allen untersuchten Branchen abschneidet, verzeichnet das Gesundheitswesen lediglich eine Rate von 70 Prozent. Schlechter schneiden nur behördliche Einrichtungen (66 Prozent) und die Produktionsbranche (59 Prozent) ab. Die Dauer, bis die Hälfte der Sicherheitslücken im Gesundheitswesen behoben wird, ist mit 149 Tagen zwar auf dem zweiten Platz von allen untersuchten Sektoren, trotzdem bietet sich hier enormer Raum zur Optimierung.

Fehleranalyse: Wo es hakt

Die unterschiedlichen identifizierten Sicherheitslücken in den Anwendungen wurden kategorisiert, um eine detailliertere Analyse zu ermöglichen. Bei einem Überblick über alle Kategorien kann das Gesundheitswesen eine positive Bilanz verzeichnen: Im Durchschnitt werden hier kategorienübergreifend weniger Sicherheitslücken gefunden als in den anderen Branchen. Die häufigste Art der Fehler sind mit 49 Prozent Datenlecks, gefolgt von CLRF-Injections mit 48 Prozent und der Qualität des Codes mit 46 Prozent. Dabei stellen Datenlecks ein signifikant geringeres Problem dar als im branchenübergreifenden Durchschnitt, der bei 58 Prozent liegt. Auffällig ist, dass das Gesundheitswesen gerade beim Beheben von CLRF-Injections und kryptographischen Problemen einen enormen Vorsprung gegenüber den anderen Branchen hat. Das ist in Hinblick auf den wachsenden Rückgriff von Patienten auf Apps für das Gesundheitsmanagement ein positiver Trend.

Die Entwicklungsumgebung macht den Unterschied

Der aktuelle Bericht hat das Verhalten von Entwicklern in den Fokus gestellt, da die Ausübung von DevSecOps-Praktiken einen wichtigen Faktor für erfolgreiche Anwendungssicherheit darstellt. Es kann zwischen gegebenen Eigenschaften der Entwicklungsumgebung („Nature“) und den beeinflussbaren Faktoren bei der Entwicklung („Nurture“) unterschieden werden. Entwickler im Gesundheitswesen agieren in einer relativ sicheren und stabilen Umgebung im Vergleich zu anderen Industrien. Die Branche belegt bei dem durchschnittlichen Alter der Anwendungen, der Anwendungsgröße und der Fehlerdichte jeweils den zweiten Platz. Die Organisationen selbst scheinen allerdings relativ groß zu sein – das Gesundheitswesen belegt hier den vierten Platz. Folglich findet der Einzug von DevSecOps-Praktiken nur Schritt für Schritt statt. Unternehmen im Gesundheitssektor belegen lediglich Platz fünf bei der Häufigkeit ihrer Sicherheitsscans und bei der Integration von Sicherheitsaspekten im Entwicklungsprozess nehmen sie den vierten Platz ein. Im Gegensatz dazu belegen die Organisationen den ersten Platz bei der Scan-Kadenz. Dies legt offen: Es gibt zwar keine häufigen Sicherheits-Scans, aber konsistente, die einer kontinuierlichen Strategie unterliegen. Entwickler im Gesundheitswesen greifen verstärkt auf dynamische Analyse (DAST) zurück, Organisationen belegen hier im Vergleich zu Unternehmen aus anderen Branchen den ersten Platz – bei Software-Composition-Analyse (SCA) jedoch den letzten. Hier besteht Handlungsbedarf, denn Teams, die eine Kombination von Scan-Typen, einschließlich DAST, SCA und statischer Analyse (SAST), verwenden, verbessern ihre Fehlerbehebungsrate. Diejenigen, die auf eine Kombination aus SAST und DAST zurückgreifen, beheben die Hälfte der Fehler 24 Tage schneller. Für Unternehmen im Gesundheitswesen gilt daher das Fazit: DevSecOps-Praktiken wurden zwar bereits schrittweise integriert, sind aber noch nicht umfassend genug etabliert.

Digitales Gesundheitswesen: Auf bestehende Strategie aufbauen, DevSecOps-Praktiken priorisieren

Organisationen im Gesundheitswesen sind zwar relativ groß, die Anwendungen auf die sie zurückgreifen jedoch zeitgemäß und eher klein. So stehen Entwickler vor weniger Herausforderungen, denn der „Nature“-Aspekt der Entwicklungsumgebung im Gesundheitswesen unterstützt sie. Die zahlreichen identifizierten Vorteile führen zu einer besseren Reaktionszeit. Dies trägt zu einer erhöhten Wahrscheinlichkeit bei, Fehler schneller zu beheben. Für Unternehmen gilt es jetzt zu erkennen, dass sie weitere Vorteile daraus ziehen könnten, wenn Entwickler zusätzliche DevSecOps-Praktiken nachhaltig in das Unternehmen integrieren würden. Es muss also zukünftig die „Nuture“ verstärkt in den Fokus rücken. Die Sicherheitsstrategie im Gesundheitswesen könnte durch eine erhöhte Frequenz und durch die Integration von weiteren Scan-Typen die Anwendungssicherheit auf ein neues Level heben.

Weitere Informationen zum Thema:

datensicherheit.de, 28.05.2020
Veracode-Report: 70 Prozent aller Anwendungen haben Open-Source-Schwachstellen

[datensicherheit.de, 07.05.2020] In der digitalen Welt sind Unternehmen weit mehr als ein Bürogebäude, in dem Mitarbeiter ein und aus gehen. Legt man den kontinuierlichen Strom an digitalen Daten zu Grunde, die von Mitarbeitern hinzugefügt, bearbeitet, verschoben, versendet, gespeichert oder gelöscht werden, kann man sich ein dynamisches, in gewisser Hinsicht fast lebendiges Gebilde vorstellen. Kommt es an irgendeiner Stelle im Datenkreislauf zu einer fehlerhaften Funktion, beispielsweise im Falle eines Verstoßes, wäre die gesamte Struktur betroffen. Der Lockdown im Zuge der Pandemie hat gezeigt, wie schnell dieser Pulsschlag moderner Unternehmen zum Erliegen kommen kann. Plötzlich musste der Datenstrom auf andere Weise – vom persönlichen Standort jedes einzelnen Zugriffsberechtigten aus – aufrechterhalten werden. Ein Notfall, für den nicht alle Unternehmen vorgesorgt haben. Dabei gibt es zahlreiche wahrscheinliche Szenarien, die es erforderlich machen, die Voraussetzungen dafür zu schaffen, dass die Belegschaft ohne Vorbereitung einfach von jedem beliebigen Ort aus arbeiten kann. Dazu gehören zum Beispiel Ereignisse wie schwere Schneestürme, unvorhergesehene Reparaturarbeiten im Bürogebäude, Streik bei den öffentlichen Verkehrsbetrieben oder eine unter den Mitarbeitern grassierende Erkältungswelle.

Für Unternehmen, in denen ohnehin nicht vorgesehen ist, dass Mitarbeiter außerhalb des Büros arbeiten, scheint es in guten Zeiten schlicht unwirtschaftlich, jedem einzelnen Mitarbeiter ein verwaltetes Ersatzgerät zur Seite zu stellen. Zu groß ist die Gefahr, dass die angeschaffte Hardware weitgehend ungenutzt vor sich hin altert. Gleichzeitig entsteht für die IT-Abteilung, die dafür fortlaufend aktuelle Softwareanwendungen und Sicherheitsupdates bereitstellen muss, ein spürbarer zusätzlicher Aufwand. Zwar nutzen die meisten Unternehmen bereits Cloudanwendungen, was eine hervorragende Voraussetzung für Fernarbeit ist. Allerdings ist die Nutzung nicht optimal: In der Regel halten Unternehmen ihre Mitarbeiter im Zuge dessen dazu an, von außerhalb über VPNs auf das Unternehmensnetzwerk und Cloud-Ressourcen zuzugreifen. Dies kann allerdings eine Reihe von Latenzproblemen verursachen, die es schwierig machen, den gesamten Web-Datenverkehr auf den Geräten der Benutzer – einschließlich ihrer persönlichen Anwendungen – bereitzustellen und zu nachzuverfolgen.

BYOD als flexibler Ausweg im Notfall

Ein flexibler Ausweg, der im Notfall sofort verfügbar ist, wäre, allgemein Bring Your Own Device (BYOD) – also das Arbeiten der Mitarbeiter über ihre eigenen Geräte – zuzulassen. Ein Schritt, vor dem vor allem Unternehmen mit branchenspezifischen regulatorischen Anforderungen eher zurückschrecken. Daher entscheiden sie sich meist für Mobile Device Management (MDM) Software, um das erforderliche Sicherheitsniveau herstellen zu können. Allerdings ist diese in datenschutzrechtlicher Hinsicht problematisch, da sie weit in die Privatsphäre der Nutzer eindringt. Eine Problematik, die sich mit Einführung der DSGVO noch weiter verschärft hat: Der Einsatz von MDM ist mittlerweile nur mit ausdrücklicher Einwilligung der einzelnen Mitarbeiter und dann nur innerhalb engmaschiger, nachvollziehbarer Kontrollprozesse möglich. Schlussendlich ist MDM kaum mehr praktikabel, da nicht vorausgesetzt werden kann, dass alle Mitarbeiter mit diesem Eingriff in ihre Privatsphäre einverstanden sind.

Bild: Bitglass

Anurag Kahol, CTO, Bitglass

Zu MDM bestehen allerdings auch Alternativen, die auf der Datenebene ansetzen und es ermöglichen, die Datenschutzanforderungen zu erfüllen. Damit Unternehmen das Risiko einer Datenexposition, das beim Download auf private Geräte an entfernten Standorten und über ungesicherte Netzwerke entsteht, sicher managen können, sollten sie auf folgende Eigenschaften Wert legen:

1. Sichtbarkeit und Kontrolle über Daten
   Die Sichtbarkeit und Kontrolle über die Daten beim Zugriff durch nicht verwaltete Geräte sollte für Unternehmen stets gegeben sein. Andernfalls bestehen Gefahren durch unbefugten Datenzugriff, unzulässiger Weitergabe oder schlichtweg Verlust der unternehmenseigenen Daten. Von Vorteil ist eine Lösung, die über eine Data Loss Prevention (DLP) Funktion verfügt. Diese kann Datenverluste verhindern, indem sie sensible Informationen sowohl im Ruhezustand als auch beim Zugriff identifiziert und kontrolliert. So lässt sich sicherstellen, dass Daten nicht in die falschen Hände gelangen oder es zu einem Sicherheitsverstoß kommt.
2. Identitäts- und Zugriffsverwaltung mit MFA und UEBA
   Identitäts- und Zugriffsmanagement, wie zum Beispiel Multi-Faktor-Authentifizierung (MFA) oder Benutzer- und Entitätsverhaltensanalyse (UEBA), ist notwendig, um anormale Aktivitäten erkennen und gegen Sicherheitsbedrohungen vorgehen zu können. MFA erfordert für die Authentifizierung eine zweite Art der Identitätsüberprüfung, um sicherzustellen, dass der Benutzer derjenige ist, für den er sich ausgibt. Nach der Eingabe des Passworts wird der Benutzer aufgefordert, seine Identität zusätzlich durch ein SMS-Token zu verifizieren, das per E-Mail oder durch eine Textnachricht versandt wird.
   UEBA lernt kontinuierlich das typische Verhalten jedes einzelnen Nutzers, so dass anormale Aktivitäten sofort überprüft werden können. Wenn sich beispielsweise ein Benutzer, der sich normalerweise von München aus einloggt, plötzlich von Hamburg aus anmeldet, wird eine Warnung gesendet, um sicherzustellen, dass das Nutzerkonto des nicht kompromittiert wurde. Für den Fall, dass keine UEBA-Funktion besteht, sollte wenigstens Single Sign-On (SSO) genutzt werden, da dies Benutzer über alle Cloud-Anwendungen eines Unternehmens hinweg sicher authentifiziert.
3. Agentenlose Sicherheit
   Eine agentenlose Sicherheitslösung erfordert keine Installation von Software auf den einzelnen Geräten. Dies ist hilfreich, wenn die Belegschaft abrupt auf ihre Privatgeräte zurückgreifen muss, um den Betrieb aufrecht zu erhalten. Sie schützen darüber hinaus die Privatsphäre der Mitarbeiter. Unternehmensdaten können beispielsweise aus der Ferne gelöscht werden, während die persönlichen Daten erhalten bleiben. Sowohl Sicherheits- als auch Datenschutzanforderungen lassen sich auf diese Weise miteinander vereinbaren.
   Was ein Unternehmen ausmacht ist gewiss mehr als lediglich die Summe seiner Daten. Allerdings erweitern sich mit deren Verfügbarkeit rund um die Uhr die Möglichkeiten, Arbeitskraft zu nutzen. Auf der anderen Seite entsteht die Anforderung, die Datennutzung stets sicher zu gestalten. Der Einsatz von BYOD und geeigneter Sicherheitstools kann nicht nur dabei helfen, die Flexibilität, die Digitalisierung bietet, auszunutzen, sondern auch, die Arbeitskultur vielfältiger und innovativer zu gestalten.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2019
Stille Teilnehmer: BYOD-Mobilgeräte in Unternehmen

datensicherheit.de, 18.02.2019
Wenn Kollegen zum Sicherheitsrisiko werden

datensicherheit.de, 11.03.2014
Studie: BYOD-Trend hält an – Sicherheitskultur weiter mangelhaft