transparency

Adrienne Fichter schreibt in »Es knallt in den Kantonen« für republik.ch Kantone wie Luzern, aber auch Bundes­behörden lassen sich von Microsoft noch immer vorgaukeln, dank vertraglichen Verpflichtungen die volle Kontrolle über den geografischen Speicherort ihrer Daten zu haben. Damit gemeint ist, dass alle Daten in Schweizer oder europäischen Microsoft-Zentren gespeichert sind und damit den Kontinent angeblich nicht verlassen. Doch auch dieses Versprechen kann der Konzern nicht erfüllen, wie ein Blick nach Schottland zeigt: Dort haben vertiefte Abklärungen der schottischen Polizei ergeben, dass der IT-Konzern bei Microsoft 365 keine Daten­souveränität garantieren kann. Das heisst: Sind die Daten einmal in der Cloud von Microsoft, werden sie auf alle Rechen­zentren des Konzerns und auf alle Kontinente verteilt. Somit landen diese sicher auch auf US-Boden und können je nachdem der US-Jurisdiktion unterstellt werden. ...

Markus Reuter schreibt in »Digitale Souveränität: Amazon will Cloud-Verträge in der Schweiz geheim halten« für netzpolitik.org Das hält Amazon nicht davon ab, bis zum Jahr 2040 Milliardenbeträge in vermeintlich unabhängige Cloudstrukturen in Deutschland investieren zu wollen. Die „souveränen“ Produkte sind laut dem Bericht der Republik allerdings eine Mogelpackung, von „Souveränitätswashing“ ist die Rede: Statt einer unabhängigen Firma, die als Treuhänder fungieren würde und die damit die Hoheit über die Datenverwaltung hätte, würden für die „Sovereign Cloud“ einfach Amazon-Mitarbeiter:innen aus Europa anstelle von US-Personal eingesetzt, heißt es in dem Bericht. Die Technologie bleibe eine Black Box ohne offene Standards, der Quellcode geheim und unter Kontrolle des Konzerns. ...

Das Zentrum für Digitale Souveränität (ZenDiS) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben ein gemeinsames Strategiepapier vorgelegt, das aufzeigt, wie Deutschland digitale Souveränität durch sichere Softwarelieferketten stärken kann. Kern des Konzepts ist die Open-Source-Plattform openCode, die Transparenz, Sicherheit und Nachvollziehbarkeit in der Softwarebereitstellung schaffen soll. Geplant ist der Aufbau einer souveränen Container-Registry mit geprüften Softwarepaketen, die unabhängig von nicht-europäischen Anbietern funktioniert. Ergänzt wird dies durch automatisierte Sicherheitsprüfungen, einheitliche Qualitätsstandards und ein öffentlich einsehbares Bewertungssystem – das sogenannte Badge-Programm. Behörden sollen künftig nicht nur warnen, sondern konkret betroffene Systeme identifizieren und gezielt reagieren können. ...

Henning Tillmann schreibt in »Lippenbekenntnisse schaffen keine digitale Souveränität« für tagesspiegel.de Verbindliche Open-Source-Quoten: Jede neue Software muss in der Regel Open Source sein. Zusätzlich muss schrittweise bis 2029 eine Umstellung von 50 Prozent der bestehenden Bundes-Software stattfinden. Investitionen in digitale Unabhängigkeit: Die Bundesregierung muss Institutionen wie Zendis, den Digital Service oder den Sovereign Tech Fund massiv fördern. Die Haushaltsmittel sind im Vergleich zu den Ampel-Jahren um den Faktor 2 bis 5 zu erhöhen. Abkehr von US-Plattformen in der Verwaltung und Politik: Die Nutzung von US-dominierten Cloud-Diensten und Social-Media-Plattformen muss schrittweise beendet werden. Kommunikation der Exekutive darf primär und mit zeitlichem Vorsprung nur auf eigenen Plattformen und auf Plattformen, die nicht algorithmisch von Nicht-EU-Firmen kontrolliert werden, stattfinden. Wer souverän sein will, muss Verschlüsselung und IT-Sicherheit ernst nehmen: Es ist ein Widerspruch, Souveränität zu fordern, aber seine eigene Software für Staatstrojaner anfällig zu lassen. Wer außerdem Verschlüsselung auch nur minimal aufweicht, führt alles weitere ad absurdum. ...

Gesellschaft für Informatik (GI) schreibt in »Digitale Souveränität adé « Google ist aufgrund der Rechtslage in den USA nicht dazu in der Lage, einen souveränen Dienst in diesem Sinne anzubieten. Ein „souveräner Dienst“ muss alle Souveränitätskriterien erfüllen (Privacy, Integrität, Verfügbarkeit). Die Vereinbarung betrifft nur „Datensouveränität“ (bei uns Privacy), als wäre damit alles erfüllt. Was bei allen „Confidentiality“-Versprechen unerreichbar bleibt, ist der Teil Verfügbarkeit. Der US-Präsident kann immer das Licht ausschalten. ...