Der Artikel »Wie viel Kooperation passt in Digitale Souveränität?« von Johannes Steger und Oliver Voß auf tagesspiegel.de liefert einige bemerkenswerte Aussagen. Zunächst wird ausführlich erläutert, warum die Zusammenarbeit des BSI mit Google & Co. angeblich ein großer Gewinn ist – etwa in diesem Abschnitt:

Auf der Berliner Bühne sprach Plattner in Bezug auf die Vereinbarung von einem „NDA plus plus“, um tief reinschauen zu können. Auch Caspers sagt gegenüber Tagesspiegel Background: „Mit den Vereinbarungen schaffen wir den Rahmen, um mit den Unternehmen vertraulich reden zu können. Dadurch können wir technisch sehr tief einsteigen und grundlegende Architekturen prüfen.“ Auch die Meldung von Schwachstellen, sicherheitsrelevanten Vorfällen bis hin zu Fragen der Lieferkettensicherheit gehörten dazu, so der BSI-Vize: „So können wir am Ende sicher sein, dass wir alles wissen, was wir wissen müssen, um verlässliche technische Aussagen zur sicheren Nutzbarkeit der Cloudangebote treffen zu können.“

Am Ende des Artikels folgt dann allerdings dieser bemerkenswerte Absatz:

Wenn es dann mal soweit ist, endet die Arbeit jedoch nicht. Schließlich müsse sichergestellt werden, dass die geprüften Systeme auch sicher bleiben. „Die Anbieter müssen bei jedem einzelnen Update damit rechnen, dass wir uns das anschauen“, so Caspers. Allerdings seien 1000 Updates pro Woche in so einem Cloudsystem keine Seltenheit: „Damit muss man umgehen, und es ist klar, dass wir uns die nicht alle manuell angucken können.“ Viele Kontrollen müssten daher hoch automatisiert erfolgen, bei besonders kritischen Updates werde man auch gezielt prüfen und genau reinschauen, versichert Caspers: „Herausragende Schwachstellen, zum Beispiel in kryptografischen Bibliotheken, sind prädestiniert dafür.“

Wer diesen Blog regelmäßig liest, weiß: Vertrauen in Big Tech – egal aus welchem Land – ist nur dann gerechtfertigt, wenn unabhängige Prüfungen möglich sind. Das BSI stellt hier jedoch selbst fest, dass es genau diese Prüfungen in vollem Umfang gar nicht leisten kann.