Regulation

Benjamin Hilbricht und Oliver Voß schreibt in »C3A-Katalog: Die BSI-Kriterien für souveräne Clouds« für tagesspiegel.de Strategische Souveränität: Der Cloud-Anbieter muss EU- oder deutschem Recht unterliegen. Deutsche oder EU-Behörden müssen eine effektive Kontrolle vornehmen können. Wenn sich ein amerikanischer, chinesischer oder sonstiger Nicht-EU-Akteur in einen Cloud-Anbieter einkauft oder ihn übernimmt, muss das Unternehmen drei Monate im Voraus seine Kunden davor warnen. Rechtliche Souveränität: Einmal im Jahr muss der Cloud-Anbieter Nicht-EU-Gesetze identifizieren, die sich auf sein Geschäft auswirken, und eine Risikoanalyse vornehmen. Ein Beispiel wäre der US Cloud Act. Außerdem enthält der Abschnitt ein Kriterium für den Verteidigungsfall. Als souverän gelten Cloud-Anbieter, die Wissen, Fähigkeiten und Personal vorhalten, sodass der Staat die Cloud-Services im Verteidigungsfall selbst steuern kann. Datensouveränität: Dieser Punkt ist sehr umfangreich. Hier spezifizieren Kriterien, ob und wie viel Kontrolle die Kunden über die Metadaten und Daten haben und wo diese gespeichert werden. Es wird verlangt, dass der Cloud-Anbieter ein externes Management für kryptografische Schlüssel zulässt. Dadurch würde gewährleistet, dass er Kundendaten nicht selbst entschlüsseln kann. Auch die Möglichkeit, die Nutzeridentitäten außerhalb der Cloud zu managen, gilt als Muss. Betriebssouveränität: Auch dieser Punkt ist sehr umfangreich. Unter anderem finden sich hier die eingangs erwähnten Kriterien, dass die Rechenzentren 90 Tage lang ohne jegliche Verbindung zu Nicht-EU-Staaten laufen können müssen. „Wir müssen die Kabel zu den US-Backbones physisch rausziehen können und trotzdem muss ein Rechenzentrum in Europa betriebsfähig bleiben“, sagt BSI-Vize Caspers. Lieferketten: Hier müssen souveräne Unternehmen ihre Abhängigkeiten in Software, Hardware und Diensten inventarisieren und am besten einen dokumentierten Prozess für den Problemfall vorhalten. Technologische Souveränität: Hier verlangt das Bundesamt, dass es ein Backup des Quellcodes auf einem Speicher in der EU gibt. Der Code darf nicht älter sein als 24 Stunden und muss dokumentiert sein. Cloud-Anbieter, die in Deutschland tätig sein wollen, müssen für den Notfall eine Strategie vorhalten, wie sie ihre Dienste weiter liefern können. Zusätzlich können sie nachweisen, dass sie eigene Leute haben, die die Entwicklung und Wartung der Dienste übernehmen können, falls die Lieferung aus dem EU-Ausland abbricht. Der Artikel ist auch über das oben genannte Zitat hinaus interessant. Den C3A-Katalog kann man hier einsehen.

Fabian Ulitzka schreibt in »KI-Standort Deutschland: Es braucht keine eigenen Modelle, sondern mehr Anwendung« für tagesspiegel.de Drei Aufgaben, die jetzt entscheiden Anwendung vor Symbolpolitik. Kein Fokus auf „wir bauen das nächste Modell“, sondern auf produktive Nutzung in Industrie, Mittelstand und (öffentliche) Verwaltung: Prozessintegration, Standards, Beschaffung, Skalierung. Gerade in der öffentlichen Verwaltung ist das Transformationspotenzial mit Blick auf Produktivität und Effizienz besonders groß. Regulatorische Klarheit für die Anwendungsebene. DSGVO und EU-Regeln so operationalisieren, dass Unternehmen wissen, was sie tun können, inklusive Muster-Governance, Datenklassifizierung und Audit-Standards. Breitenkompetenz als nationale Infrastruktur behandeln. KI-Kompetenz muss so selbstverständlich werden wie Office-Kenntnisse – in Ausbildung, Umschulung, Verwaltung, Betrieben: schnell, niedrigschwellig, wirksam.

Tagesspiegel Background schreibt in »Digitale Souveränität: Souveräne Suchindizes für EU-Staaten gefordert« Die Organisation schlägt vor, dass die EU-Mitgliedstaaten entweder selbst in den Aufbau souveräner Suchinfrastrukturen investieren oder bestehende europäische Suchmaschinen als Standard in der öffentlichen Verwaltung einführen. Aktuell werde bereits an souveränen Suchindizes für Frankreich und Deutschland gearbeitet. Die Initiative betont, dass Suchmaschinen als strategische öffentliche Infrastruktur zu behandeln seien – vergleichbar mit Energie- oder Telekommunikationsnetzen. ...

Frank Karlitschek schreibt in »Digitale Souveränität: Europas digitale Zukunft braucht einen souveränen Plan A« für tagesspiegel.de Digitale Souveränität entsteht nicht dadurch, dass Alternativen bereitliegen. Sie entsteht dadurch, dass sie im Regelbetrieb genutzt werden. Nur so lassen sich Abhängigkeiten tatsächlich reduzieren, Kostenstrukturen verändern und eigene technologische Kompetenzen aufbauen. Eine Definition, die Nutzung ausdrücklich offenlässt, erklärt Stillstand zur souveränen Option. ...

Oliver Voß schreibt in »Start in Potsdam: So souverän ist Amazons Europacloud« hinter einer Paywalll von tagesspiegel.de Neben der Sorge vor Datenabflüssen soll auch ein „Kill-Switch-Szenario“ ausgeschlossen werden, also das Abschalten von Diensten auf politischen Druck. „Wir können alles auf unbegrenzte Zeit weiterbetreiben und können auch Software im Extremfall selbst weiterentwickeln“, sagte Michael Hanisch, Technologiechef bei AWS Deutschland. Eine aktuelle Kopie der Quellcodes werde in hiesigen Rechenzentren gespeichert. Die Programme könnten in den europäischen AWS-Entwicklungszentren bei Bedarf gewartet oder ergänzt werden. ...