cybersecurity

Benjamin Hilbricht und Oliver Voß schreibt in »C3A-Katalog: Die BSI-Kriterien für souveräne Clouds« für tagesspiegel.de Strategische Souveränität: Der Cloud-Anbieter muss EU- oder deutschem Recht unterliegen. Deutsche oder EU-Behörden müssen eine effektive Kontrolle vornehmen können. Wenn sich ein amerikanischer, chinesischer oder sonstiger Nicht-EU-Akteur in einen Cloud-Anbieter einkauft oder ihn übernimmt, muss das Unternehmen drei Monate im Voraus seine Kunden davor warnen. Rechtliche Souveränität: Einmal im Jahr muss der Cloud-Anbieter Nicht-EU-Gesetze identifizieren, die sich auf sein Geschäft auswirken, und eine Risikoanalyse vornehmen. Ein Beispiel wäre der US Cloud Act. Außerdem enthält der Abschnitt ein Kriterium für den Verteidigungsfall. Als souverän gelten Cloud-Anbieter, die Wissen, Fähigkeiten und Personal vorhalten, sodass der Staat die Cloud-Services im Verteidigungsfall selbst steuern kann. Datensouveränität: Dieser Punkt ist sehr umfangreich. Hier spezifizieren Kriterien, ob und wie viel Kontrolle die Kunden über die Metadaten und Daten haben und wo diese gespeichert werden. Es wird verlangt, dass der Cloud-Anbieter ein externes Management für kryptografische Schlüssel zulässt. Dadurch würde gewährleistet, dass er Kundendaten nicht selbst entschlüsseln kann. Auch die Möglichkeit, die Nutzeridentitäten außerhalb der Cloud zu managen, gilt als Muss. Betriebssouveränität: Auch dieser Punkt ist sehr umfangreich. Unter anderem finden sich hier die eingangs erwähnten Kriterien, dass die Rechenzentren 90 Tage lang ohne jegliche Verbindung zu Nicht-EU-Staaten laufen können müssen. „Wir müssen die Kabel zu den US-Backbones physisch rausziehen können und trotzdem muss ein Rechenzentrum in Europa betriebsfähig bleiben“, sagt BSI-Vize Caspers. Lieferketten: Hier müssen souveräne Unternehmen ihre Abhängigkeiten in Software, Hardware und Diensten inventarisieren und am besten einen dokumentierten Prozess für den Problemfall vorhalten. Technologische Souveränität: Hier verlangt das Bundesamt, dass es ein Backup des Quellcodes auf einem Speicher in der EU gibt. Der Code darf nicht älter sein als 24 Stunden und muss dokumentiert sein. Cloud-Anbieter, die in Deutschland tätig sein wollen, müssen für den Notfall eine Strategie vorhalten, wie sie ihre Dienste weiter liefern können. Zusätzlich können sie nachweisen, dass sie eigene Leute haben, die die Entwicklung und Wartung der Dienste übernehmen können, falls die Lieferung aus dem EU-Ausland abbricht. Der Artikel ist auch über das oben genannte Zitat hinaus interessant. Den C3A-Katalog kann man hier einsehen.

Es stellt sich raus, Signal ist doch gar nicht so sicher. Zwar ist hier erneut menschliches versagen das einfallstor aber trotzdem bemerkenswert, da der Messenger als sicher behandelt wird. Sicher im Sinne der verschlüsselung vielleicht, aber was genau hat er getan damit man sich nicht als Support ausgeben kann? Was hat er genau getan um seine User zu informieren?

Der folgende Absatz zu Delos und openDesk ist bemerkenswert. Viola Heeger schreibt in »Bundestag: So sieht der erste Entwurf der Digitalstrategie aus« für tagesspiegel.de Als Open-Source-Alternative setzt der Bundestag auf Open Desk, eine modulare Arbeitsumgebung des Zentrums für Digitale Souveränität (Zendis), die Anwendungen wie Textverarbeitung, E-Mail und Videokonferenz bündelt. Im Entwurf wird Open Desk als „kurzfristig aktivierbare Fallback-Option“ beschrieben. Also ein Notfallsystem, das im Krisenfall einspringen kann, aber noch keine vollwertige Alternative zur Microsoft-Umgebung darstellt. Im Dokument heißt es, dass Verträge bevorzugt werden, die „auch kurzfristig einen Anbieterwechsel ermöglichen“. Die Abhängigkeit von Microsoft soll beherrschbar bleiben, auch wenn sie vorerst fortbesteht. ...

Martin Holland schreibt in »KI-Slop vs. Open Source: KI-Branche will mit 12,5 Millionen US-Dollar helfen« für heise.de Die Linux Foundation hat 12,5 Millionen US-Dollar eingesammelt, mit denen Open-Source-Projekte bei der Bewältigung der rasch wachsenden Zahl von KI-generierten Änderungswünschen geholfen werden sollen. Das hat das gemeinnützige Konsortium jetzt mitgeteilt und erklärt, dass das Geld von Anthropic, AWS, GitHub, Google, Google DeepMind, Microsoft und OpenAI stammt. Damit sollen „langfristige, nachhaltige Sicherheitslösungen“ für die weltweite Open-Source-Gemeinschaft entwickelt werden. Mit dem Geld soll den Verantwortlichen für die Projekte direkt geholfen werden, man habe damit die „außergewöhnliche Gelegenheit“, sicherzustellen, dass jene an der Front die Werkzeuge und Standards hätten, um der Entwicklung voraus zu sein. ...

Moritz Förster schreibt in »Deutsche Unternehmen ignorieren NIS2-Pflichten massiv | heise online« für heise.de Laut dem Cyber Security Report 2026 von Schwarz Digits unterschätzen 48 Prozent der befragten Firmen ihre Verpflichtungen unter der NIS2-Richtlinie massiv. Bei umsatzstarken Kleinunternehmen mit 10 bis 49 Mitarbeitern und mehr als 10 Millionen Euro Jahresumsatz schließen sogar 92 Prozent eine Betroffenheit fälschlicherweise aus – obwohl sie regulierungspflichtig sind. ...