Whitepaper zur digitalen Souveränität Der Ist-Zustand ist noch gar nicht klar

Gesprochen wird über digitale Souveränität seit mehreren Jahren, eine fundierte Analyse der Ausgangslage steht für das deutsche Staatswesen allerdings noch aus.
Gesprochen wird über digitale Souveränität seit mehreren Jahren, eine fundierte Analyse der Ausgangslage steht für das deutsche Staatswesen allerdings noch aus.

Seit über fünf Jahren wird in verschiedenen Bundesministerien über digitale Souveränität gesprochen. Wie digital souverän der deutsche Staatsapparat selbst ist, wurde aber noch nie ermittelt.

Das soll nun offenbar nachgeholt werden. In einem Whitepaper vom 1. September 2020 haben Autoren vom Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS ein Analyseraster definiert, anhand dessen der Ist-Zustand der digitalen Souveränität eines Staatsapparates bestimmt werden kann. Dabei geht es vor allem um die digital bereitgestellten Funktionen, die für das Funktionieren eines Staates benötigt werden. Für den deutschen Staat ist das laut Whitepaper bisher noch nicht systematisch geschehen: »Wie strategisch autonom ist der deutsche Staat im Digitalen? Eine empirisch fundierte Antwort auf diese Frage ist Voraussetzung für strategisches Handeln, fehlt jedoch mit Ausnahme einzelner Schlaglichter«, schreiben die Autoren auf S. 26 im Zuge ihrer ersten Handlungsempfehlung. Sollte man diese Empfehlung ernst nehmen, dürfte das einiges an Arbeit nach sich ziehen.

Vorgeschlagenes Analysemodell

Die vorgestellte Analyse ist umfangreich. Sie beinhaltet, dass die öffentlichen Leistungen, die ein Staat über digitale Technik zur Verfügung stellt, in ihre einzelnen Prozessschritte unterteilt werden. Anschließend erfasst man alle technischen Subsysteme, die zur Erbringung der Leistung nötig sind und bewertet sie einzeln auf ihre Abhängigkeiten. Zum Beispiel ist für das Betreiben einer Online-Terminvergabe bei einer öffentlichen Behörde unter anderem ein Server und eine Datenbank nötig. Nach dem Analysemodell muss geprüft werden, ob der Zugang zum nötigen Fachwissen für den ordnungsgemäßen Betrieb und die Instantsetzung vorhanden ist oder ab man sich hier in eine Abhängigkeit von Dritten begibt. Dieser Aspekt fällt unter die Kategorie Betriebssouveränität, einer von insgesamt sieben Bereichen. Eine solche Analyse auf Bundesebene wird sicherlich hohe Kosten verursachen und einige Zeit in Anspruch nehmen.

Eine Abhängigkeit wird im Bewertungsmodell nicht pauschal als negativ gesehen – zumal sie sich im digitalen Bereich ohnehin nicht vermeiden lässt –, sondern sie wird mit der Bedeutung der bereitgestellten Funktion bewertet. Je kritischer sie für das Funktionieren des Staates ist, desto schwerer wiegt eine Abhängigkeit.

Autonomie statt Souveränität

Nach Ansicht der Autoren ist es auch nötig, den Begriff digitale Souveränität auszutauschen. Er leiste einem undifferenzierten Denken in den Kategorien »souverän« und »nicht souverän« Vorschub, was den realen Gegebenheiten nicht gerecht werde. Sie sprechen daher von digitaler Autonomie und definieren sie als »Fähigkeiten eines Staates, eigene politische, gesellschaftliche und wirtschaftliche Prioritäten umsetzen zu können, ohne dabei in ungewünschtem Maße durch Abhängigkeiten in der Digitalisierung eingeschränkt zu werden.« Mit der Definition soll zum Ausdruck gebracht werden, dass es nicht um ein generelles Vermeiden, sondern um ein gezieltes Steuern von Abhängigkeiten geht.

Missstände beseitigen

Ungewollte und risikoreiche Abhängigkeiten bei der Digitalisierung kann ein Staat laut Autoren durch mehrere Maßnahmen beenden. Führt eine einzelne Komponente zu einer problematischen Abhängigkeit, könne entweder die Komponente ersetzt oder der Anbieter gewechselt werden. Alternativ könne auch die Zusammenstellung des gesamten Technologie-Bündels überdacht werden, mit der eine Dienstleistung bereitgestellt wird, um die kritische Komponente überflüssig oder weniger relevant zu machen. Ein Beispiel dafür ist der Wechsel von einer zentralen Datenspeicherung zu einer dezentralen, um die hohen Anforderungen bei der Speicherung sensibler Daten zu vermeiden. Dazwischen stehen dem Staat Möglichkeiten offen wie das Vorschreiben gewisser Qualitätsstandards oder das Setzen von finanziellen Anreizen, um die Betriebe, zu denen ein hohes Vertrauen besteht, zur Entwicklung oder Produktion von kritischen Komponenten zu bewegen.

Sonderfall Schlüsseltechnologien

Zur Wahrung der digitalen Autonomie muss ein Staat Zugang zu gewissen Schlüsseltechnologien haben. Dafür hat er laut Autoren grundsätzlich drei strategische Ansätze zur Verfügung: Risikomanagement, strategische Partnerschaften und die Entwicklung von Technologien im Gemeingütermodell. Beim Risikomanagement wird von vornherein von möglichen Schadensfällen ausgegangen und entsprechende Schutzvorkehrungen bereitgestellt. Dazu gehören Redundanz des Gesamtsystems, Aufrechterhaltung von Kernfunktionen im Krisenfall oder zusätzliche Software zur Systemüberwachung.

Bei einer strategischen Partnerschaft werden wechselseitige Abhängigkeiten geschaffen mit Partnern, zu denen hohes Vertrauen besteht und die gemeinsame Werte teilen. Beispiele sind aus der jüngeren Technik-Geschichte in Europa bekannt: die deutsch-französische Partnerschaft in der KI-Entwicklung oder die Infrastrukturinitiative GAIA-X. Umgekehrt können auch Akteure, zu denen wenig Vertrauen besteht, aus einer strategischen Partnerschaft ausgeschlossen werden. So ist es etwa bei verschiedenen europäischen und US-amerikanischen Netzausbauprojekten geplant, die unter Ausschluss chinesischer 5G-Anbieter stattfinden sollen. Der Gemeingüteransatz sieht vor, dass eine gemeinsam entwickelte Technologie von allen Partnern eigenständig und gleichberechtigt genutzt werden kann.

Digitale Autonomie durch Abhängigkeitsmanagement

Erster Schritt auf dem Weg zur digitalen Autonomie ist laut Handlungsempfehlungen der Fraunhofer-Autoren die Einsicht, dass Abhängigkeiten in der Digitalisierung unvermeidbar sind und auch nicht in jedem Fall ein Problem darstellen. Es gehe vielmehr um die planvolle Wahl von Abhängigkeitsgraden. Sie bringen es auf die Formel: Strategische Autonomie entsteht durch das Betreiben von kleinteiligem Abhängigkeitsmanagement. Dazu gehört auch der überlegte Einsatz der Steuerungsmöglichkeiten und Schaffung von gegenseitigen Abhängigkeiten, die einem Staat zur Verfügung stehen. Eine besondere Rolle sehen die Autoren in den Bereichen Wissen, Forschung und Betrieb. Weil viele IT-Komponenten und -Dienstleistungen zugekauft werden, müsse ein Wissens- und Erfahrungsschatz aufgebaut werden, der das Erkennen von Risiken und das Beurteilen der Systemsicherheit ermöglicht.

Das Whitepaper der beiden Autoren Resa Mohabbat Kar und Basanta E. P. Thapa ist frei verfügbar. Es umfasst 30 Seiten und wurde vom Kompetenzzentrum Öffentliche IT des Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS veröffentlicht.

Wie deutsche Mittelständler von der asiatischen und der US-Chipindustrie abhängen, darüber sprach Elektronik-Chefredakteur Frank Riemenschneider mit Dr. Gunther Kegel, Geschäftsführer von Pepperl+Fuchs im Interview.