Digitale Souveränität braucht sichere Lieferketten:

Unsere digitale Infrastruktur ist von Komponenten durchsetzt, die ausländische Mächte nutzen können, um uns anzugreifen oder auszuspähen. Die EU will sich nun künftig die Option eröffnen, einzelne Komponenten oder Produkte auf eine „black list“ zu setzen und aus digitalen Lieferketten zu verbannen. Wir ordnen die Reformvorschläge ein.

Die EU-Kommission hat gestern ein neues Paket zur Cybersicherheit vorgelegt. In einer Zeit, in der Angriffe auf IT-Systeme zunehmen und die volkswirtschaftlichen Schäden unsicherer Soft- und Hardware zusteigen, will Brüssel offenbar Handlungsfähigkeit beweisen.

Richtig ist: Der hybride Krieg, den Russland gegen europäische Länder führt, erfordert deutlich mehr Anstrengungen durch Politik, Wirtschaft und Verbraucher:innen. Aber auch die digitale Abhängigkeit von US-Anbietern kann nach hinten losgehen, wenn die US-Regierung diese Macht ausnutzt, um eine Annexion von Grönland zu erzwingen (zu weiteren Reaktionsmöglichkeiten haben wir diese Woche berichtet).

Reformvorschläge für das Recht der Cybersicherheit

Die EU-Kommission schlägt Änderungen an bestehenden Gesetzen vor - den Cyber Security Act und der NIS2-Richlinie. Die zentralen Ziele sind:

• Die Cybersicherheit in digitalen Lieferketten zu verbessern

• Die EU-Agentur für Cybersicherheit (ENISA) zu stärken – sowohl als zentrale Meldestelle für Schwachstellen als auch als Unterstützerin bei Cybersicherheitsvorfällen in Unternehmen

• Die Zertifizierung von digitalen Produkten auszuweiten und zu verbessern

• Es für Unternehmen zu erleichtern, die komplexen EU-Regularien zur Cybersicherheit (vor allem NIS2-Richtlinie zu erleichtern) in die Praxis umzusetzen

• Die bürokratische Last für bestimmte, insbesondere kleine und mittlere Unternehmen zu reduzieren

• mehr Fachpersonal für IT-Sicherheit auszubilden

• Nicht vertrauenswürdige Anbieter aus Drittländern („Hochrisikoanbieter“) aus der IT-Infrastruktur auszuschließen

Das Gesetzespaket soll den Digital Omnibus und den angekündigten Cloud and AI Development Act (CADA) ergänzen. Im CADA will die EU künftig hohe Anforderungen für Cloud-Dienste und KI-Anwendungen im öffentlichen Sektor formulieren.

Scharfe Maßnahmen gegen nicht-vertrauenswürdige Anbieter in Lieferketten

Es ist zu begrüßen, dass die EU sich dem Thema „sichere Lieferketten“ noch engagierter annimmt. Es ist dringend notwendig, stärker gegen Unternehmen und Produkte vorzugehen, die unsere IT-Infrastruktur angreifbar machen – und damit die Daseinsvorsorge gefährden.

Dass Huawei-Komponenten tief in unser Mobilfunk-Netz integriert sind, ist nur die Spitze des Eisbergs. Viele Unternehmen nutzen Produkte, in deren Lieferkette unsichere Komponenten verbaut oder integriert sind, ohne dies zu wissen – zum Nachteil von IT-Resilienz und digitalen Grundrechten.

Der Fokus lag in der Vergangenheit zu sehr auf China. Denn Europa hat sich im digitalen Raum und seinen Lieferketten auch extrem abhängig von den USA gemacht. Wenn die geopolitischen Spannungen weiter eskalieren, sollte die EU auch dazu in der Lage sein, nicht-vertrauenswürdige Hersteller und Produkte etwa aus den USA zu untersagen. Das reicht von Satelliteninternet via Starlink, über Cloud-Dienste von AWS, Microsoft oder Google bis hin zu Smartphones, bestimmten Apps oder kritischer Hardware.

Vor diesem Hintergrund wären die Maßnahmen gegen sog. Hochrisikoanbieter ein Schritt in Richtung einer „Festung Europa im digitalen Raum“. Es ist sinnvoll, dass Hochrisikoanbieter von EU-Förderprojekten und öffentlichen Ausschreibungen ausgeschlossen wären, und keine EU-Zertifizierungen mehr erhalten könnten. Und die EU-Kommission geht noch einen Schritt weiter. Sie schlägt ein Verfahren vor, um einzelne Anbieter in Lieferketten ganz zu untersagen. So sieht der Vorschlag in den Artikeln 102 ff. eine Option vor, um „key ICT assets“ – also bestimmte Segmente der Digitalwirtschaft – im Wege von Durchführungsrechtsakten zu bestimmen, von denen „Hochrisikoanbieter“ künftig ausgeschlossen werden können. 

Als Beispiele für solche Lieferketten nennt der Reformvorschlag: „Detektionsgeräte, vernetzte und automatisierte Fahrzeuge, Stromversorgungssysteme und Stromspeicher, Wasserversorgungssysteme, Drohnen und Drohnenabwehrsysteme, Cloud-Computing-Dienste, medizinische Geräte, Überwachungsausrüstung, Weltraumdienste und Halbleiter“. 

Der Fokus liegt aber politisch noch zu sehr auf dem 5G- und 6G-Netz (hier gibt es in Artikel 110, 111 sogar Sonderregeln) – und auf kritischen Infrastrukturen im Sinne der NIS2-Richtlinie. In der Debatte im Gesetzgebungsverfahren sollte die Frage in den Fokus rücken, ob auch sonstige digitale Lieferketten in Einzelfällen ins Visier kommen müssen. Denn unsichere Lieferketten sind nicht nur ein Problem für kritische Infrastrukturen und den Mobilfunk, sondern auch für die kollektive Privatsphäre und demokratische Prozesse.

Das Verfahren, einzelne Anbieter auszuschließen, darf nicht zu sperrig sein

Wichtig sind aber nicht nur harte Gesetze, sondern auch eine schnelle Durchsetzung. Das Verfahren, einzelne Anbieter oder Komponenten zu untersagen, muss so schlank und agil sein, dass die Instrumente schnell aktiviert und in Kraft gesetzt werden können. Denn im Bereich der Digitalgesetzgebung ist die EU bislang noch zu langsam.

Das Ausschlussverfahren sollte auch nicht von einzelnen EU-Mitgliedstaaten blockiert werden können. Gestuft nach Risiko und den Auswirkungen auf die betroffenen Unternehmen sollten unterschiedliche Maßnahmen klar vorgezeichnet sein. Rechtsstaatliche Garantien für die potentiellen „Hochrisikoanbieter“, mit denen sie sich gegen die weitreichenden Folgen schützen können, müssen selbstverständlich vorhanden bleiben – ebenso eine nachträgliche Kompensation bei Fehleinschätzungen.

Dennoch sollte die EU auch ein Eilverfahren regeln: In dringenden Fällen und bei herausragender Gefahr sollten einzelne Anbieter oder Komponenten im Eilverfahren temporär untersagt werden können. Denn das Verfahren um Grok hat jüngst gezeigt: Auf den Fall, dass ein durchgeknallter Tech-Milliardär mit Allmachtsphantasien und Rückendeckung der US-Regierung die Legitimität rechtsstaatlicher Verfahren in Frage stellt und mit seiner Online-Plattform aktiv herausfordert, war die EU bislang nicht vorbereitet. 

Auch für solche Fälle braucht es Reaktionsmöglichkeiten - von einem großflächigen Cyberangriff auf Europa ganz zu schweigen. Rechtsstaatlichkeit und Schnelligkeit sind keine Gegensätze.

Verbot einzelner Anbieter als Hebel zur Selbstverteidigung

Die Möglichkeit, unzuverlässige Hersteller und Komponenten aus Lieferketten zu verbannen, stärkt die digitale Souveränität in Europa. Sie könnte auch zu einem Hebel gegen übergriffige Machtpolitik oder Angriffe auf unsere IT-Lieferketten aus Washington avancieren. Denn die USA haben gegenüber der EU einen riesigen Handelsüberschuss im digitalen Bereich, und können EU-Bürger:innen potentiell ausspähen.

Big Tech hat die faktische Macht, unsere IT-Infrastruktur lahmzulegen. Dagegen sollten wir uns rüsten – zum Wohl einer resilienten IT-Infrastruktur und dem Recht auf Privatsphäre.