![\"Stop](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" "\\"Stop")
K\u00fcrzlich wurde eine Kooperation des Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) mit dem US-Anbieter Google zwecke Etablierung einer Cloud-L\u00f6sung bekannt. Drei Arbeitskreise der Gesellschaft f\u00fcr Informatik (GI) haben die geplante Kooperation von BSI und Google mit gro\u00dfer Sorge zur Kenntnis genommen. Die GI stellt in meinen Augen berechtigt die Frage, ob Trump und Google zuk\u00fcnftig \u00fcber unsere IT-Sicherheit bestimmen?<\/p>\n
<\/p>\n
Die Schwarz-Gruppe bewegt sich mit ihrer IT also komplett zu Google Workspace und will zudem mit seiner Cloud-Einheit STACKIT die Google-L\u00f6sung als \"souver\u00e4ne Euro-Cloud\" f\u00fcr Beh\u00f6rden und Unternehmen vermarkten. Das ist im Grunde der gleiche Murks wie die Delos-Cloud, bei der eine SAP-Tochter eine souver\u00e4ne Cloud auf Basis von Microsoft Azure bereitstellen will. \u00dcber diesen Sachverhalt hatte ich hier im Blog ja mehrfach berichtet (siehe Artikel am Beitragsende). Den Move der Schwarz-Gruppe hatte ich zwar mitbekommen und mir so meine Gedanken gemacht, aber nicht hier im Blog thematisiert.<\/p>\n Dann gab es vor einer Woche noch die Bekanntgabe einer Kooperation zwischen BSI, der Schwarz-Gruppe und Google. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) beschreibt das Ganze in der Mitteilung Cloud Computing: BSI und Schwarz Digits planen Kooperation<\/a>.<\/p>\n F\u00fcr eine moderne und digitale Verwaltung sei die Nutzung von Cloud-Angeboten unumg\u00e4nglich, stellt das BSI fest. Um dabei auch den mit Cloud Computing verbundenen Risiken sowie aktuellen geopolitischen Entwicklungen Rechnung zu tragen, habe das BSI eine Cloud-Strategie entwickelt. Diese sieht zum einen vor, nationale und europ\u00e4ische Cloud-Strukturen konkurrenzf\u00e4hig zu gestalten, und zum anderen zu analysieren, inwieweit die Public Clouds der Hyperscaler aktiv und sicher in Deutschland nutzbar gemacht werden k\u00f6nnen.<\/p>\n Daher streben das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) und STACKIT, der Cloud-Provider von Schwarz Digits aus dem baden-w\u00fcrttembergischen Neckarsulm, eine strategische Kooperation an. Ziel sei es unter anderem die gemeinsame Entwicklung souver\u00e4ner Cloud-L\u00f6sungen, die auch f\u00fcr den Einsatz in der Bundesverwaltung nutzbar gemacht werden k\u00f6nnen.<\/p>\n Um die Cloud-L\u00f6sungen der Hersteller eingehend und in der notwendigen Sorgfalt pr\u00fcfen zu k\u00f6nnen, bediene sich das BSI des Mittels der Kooperationsvereinbarungen, hei\u00dft es. Diese Kooperationen \"bilden einen verbindlichen Rechtsrahmen\", um auch hoch vertrauliche Informationen auszutauschen und in der Tiefe technische Analysen und Bewertungen durchf\u00fchren zu k\u00f6nnen.<\/p>\n Zum aktuellen Zeitpunkt hat das BSI entsprechende Kooperationen mit den Cloud Service Providern SAP (Delos), Oracle und Google Cloud vereinbart; neben der Partnerschaft mit STACKIT ist auch eine Kooperation mit dem US-amerikanischen Anbieter Amazon Web Services (AWS) geplant. Das ist das faktische Eingest\u00e4ndnis der Kapitulation vor Big-US-Tech in Sachen Cloud durch das BSI. In der Mitteilung des BSI l\u00e4sst sich nachlesen, was man im Rahmen der Kooperation beabsichtigt: N\u00e4mlich die Untersuchung der verwendeten kryptographischen Verfahren. Das BSI trifft keine Vergabe- oder Implementierungsentscheidungen, hei\u00dft es – also ein vorsorgliches Feigenblatt, das BSI gibt seinen Namen, kann aber nichts entscheiden. Nur das Bewerten der erreichbaren Resilienz, das Analysieren komplexer Lieferketten und damit verbundener Risiken sowie das Erkennen technologischer Abh\u00e4ngigkeiten steht f\u00fcr das BSI auf der Agenda. Googles kurze Erkl\u00e4rung findet man hier<\/a>.<\/p>\n Die Gesellschaft f\u00fcr Informatik (GI) hat sich in drei Arbeitskreises mit dieser geplanten Kooperation von BSI und Schwarz-Gruppe \/ Google befasst. Die GI habe diese Kooperation mit gro\u00dfer Sorge zur Kenntnis genommen. Man sieht die digitale Souver\u00e4nit\u00e4t durch diese Entwicklung fl\u00f6ten gegangen.<\/p>\n Die GI fragt: \"Bestimmen zuk\u00fcnftig Trump und Google \u00fcber unsere IT-Sicherheit?\" Die letzten Wochen haben eigentlich jedem gezeigt, welche ernst zu nehmenden Bedrohungsszenarien durch die digitale Abh\u00e4ngigkeit von US-Monopolisten entstanden sind.<\/p>\n Leider ist davon auszugehen, dass diese \"Killswitches\" nicht nur ein fatales Erpressungspotenzial darstellen, sondern auch direkt oder indirekt vom US-Pr\u00e4sidenten sowie US-amerikanischen Beh\u00f6rden zu Lasten der deutschen Wirtschaft und Gesellschaft bedient werden, schreibt die GI.<\/p>\n Deren Arbeitskreise \"Digitale Souver\u00e4nit\u00e4t\", \"Open Source Software\" und \"Datenschutz und IT-Sicherheit\" haben den Diskussionsbeitrag\u00a0Digitale Souver\u00e4nit\u00e4t ad\u00e9<\/a> ver\u00f6ffentlicht, in dem sie die Risiken und fatalen Abh\u00e4ngigkeiten von den US-Cloud-Anbietern kritisieren.<\/p>\n Die Arbeitsgruppen der GI haben die Google-BSI-Vereinbarung einer fachlichen Analyse unterzogen und kommen zu dem Ergebnis, dass diese Zusammenarbeit den Kriterien der digitalen Souver\u00e4nit\u00e4t widerspricht:<\/p>\n Auch der Zeitpunkt f\u00fcr den Abschluss der Vereinbarung \u2013 kurz vor der Einrichtung eines Digitalministeriums \u2013 wirft laut GI viele Fragen auf. Es entstehe der Eindruck, dass die negative Bilanz der Digitalpolitik der Ampel nach der Neuwahl noch weitergef\u00fchrt und die fatale digitale Abh\u00e4ngigkeit weiter verst\u00e4rkt wird.<\/p>\n Die geplante Zusammenarbeit des BSI mit Google gef\u00e4hrdet nicht nur unsere nationale Sicherheit und Cybersecurity, sondern auch die strategische Autonomie und Handlungsf\u00e4higkeit der Bundesbeh\u00f6rden und erh\u00f6ht die Erpressbarkeit von Bundesregierung, Bundesverwaltung und der deutschen B\u00fcrgerinnen und B\u00fcrger.<\/p>\n Die drei Arbeitskreise der Gesellschaft f\u00fcr Informatik e.V. appellieren daher an das BSI, seiner Verantwortung f\u00fcr die IT-Sicherheit Deutschlands sowie f\u00fcr den Schutz der Grundrechte der B\u00fcrgerinnen und B\u00fcrger und Unternehmen gerecht zu werden. Eine strategische IT-Infrastruktur muss so gestaltet sein, dass sie digitale Souver\u00e4nit\u00e4t gew\u00e4hrleistet und zugleich den rechtlichen Anforderungen entspricht.<\/p>\n Die GI schrieb mir im Nachgang noch \"Es gibt asymetrische Informationen von Google und dem BSI. Wie von uns bef\u00fcrchtet, scheint Google das zu Lasten der europ\u00e4ischen Konkurrenz auszunutzen, ohne dass das BSI bisher aktiv geworden ist<\/em>.\"\u00a0<\/em><\/p>\n Die Redaktion von heise hat sich in diesem Beitrag<\/a> mit dem Thema befasst und schreibt, dass die BSI-Pr\u00e4sidentin, Claudia Plattner die \"Aufregung\" nicht verstehe. Das BSI hat inzwischen diese Stellungnahme<\/a> ver\u00f6ffentlicht. Kernpunkte der Argumentation sind:<\/p>\n Die Punkte gehen an das BSI und sind von der Argumentation her f\u00fcr mich nachvollziehbar. Ob die Kontrolle der Update-Kan\u00e4le wirklich wirksam durchgef\u00fchrt werden kann, da w\u00fcrde ich ein Fragezeichen dran machen. Was ist, wenn eine Schwachstelle in der Cloud per Update geschlossen wird und gleichzeitig Code f\u00fcr einen Kill-Switch ausgerollt wird? Das BSI argumentiert auch, dass man\u00a0Einsicht in und Kontrolle der an den Provider \u00fcbertragenen (Telemetrie-)Daten als zweite Verteidigungslinie gegen Datenabfl\u00fcsse sieht. Kann man so stehen lassen, sofern diese Pr\u00e4misse zutrifft.<\/p>\n Hier geht das BSI davon aus, dass in kritischeren F\u00e4llen der Betrieb durch ein vom Provider unabh\u00e4ngiges europ\u00e4isches Unternehmen erbracht werden muss, um auch einen direkten organisatorischen Einfluss auszuschlie\u00dfen.\u00a0Es liege in der Natur der Sache, dass stets die Mithilfe des Herstellers oder Providers notwendig ist, um L\u00f6sungen zu entwickeln, die nach nationalen Anforderungen abgesichert werden k\u00f6nnen und f\u00fcr die eine kontinuierliche \u00dcberwachung sichergestellt werden kann, schreibt das BSI.<\/p>\n Da der Wegfall dieser Mitwirkung ebenfalls ein zu betrachtendes Risiko ist, ist es ferner notwendig, eine ausschlie\u00dflich europ\u00e4ische, technische R\u00fcckfalllinie zu etablieren. Ein entsprechender Umstieg muss bei Eintritt des Risikos unter minimalen Ausfallzeiten m\u00f6glich sein. Diesen Punkt sehe ich aktuell aber schlicht (noch) nicht.<\/p>\n Im Hinblick auf die Bundes-Cloud argumentiert das BSI, dass die Kooperationsvereinbarungen die rechtlichen Grundlagen bilden, um einen tiefen Einblick in die Produkte der Anbieter zu erhalten. Der Punkt geht an das BSI – sofern sich die Hoffnung auf einen \"tiefen Einblick\" erf\u00fcllt.<\/p>\n Der Ansatz des BSI ist unter dem Blickwinkel \"besser als nichts\" durchaus nachvollziehbar. Im Hinblick auf die Kritik der GI bleibt f\u00fcr mich aber das Fazit, dass das aufgeklebte \"das BSI hat nachgekuckt\"-Siegel im Hinblick auf \"technische Souver\u00e4nit\u00e4t\" nicht wirklich was bringt. Es ist eher eine Art \"Feigenblatt\", es schadet nichts, hilft im Fall der F\u00e4lle – d.h. wenn die US-Administration \"den Daumen senkt\" – vermutlich auch nicht wirklich. Und wie ich die GI oben zitiert habe \"Wie von uns bef\u00fcrchtet, scheint Google das zu Lasten der europ\u00e4ischen Konkurrenz auszunutzen, ohne dass das BSI bisher aktiv geworden ist<\/em>.\"<\/p>\n \u00c4hnliche Artikel:<\/strong> K\u00fcrzlich wurde eine Kooperation des Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) mit dem US-Anbieter Google zwecke Etablierung einer Cloud-L\u00f6sung bekannt. Drei Arbeitskreise der Gesellschaft f\u00fcr Informatik (GI) haben die geplante Kooperation von BSI und Google mit gro\u00dfer Sorge zur … Weiterlesen Die Schwarz-Gruppe hegt ja lange Pl\u00e4ne, als europ\u00e4ischer Cloud-Anbieter aufzutreten. Im November 2024 gaben die Schwarz Gruppe und Google die Unterzeichnung einer Partnerschaft bekannt, die man zur Kenntnis nehmen kann. Aber der Titel \"Sichere, souver\u00e4ne L\u00f6sungen f\u00fcr mehr Effizienz am Arbeitsplatz f\u00fcr Deutschland und Europa: Unternehmen der Schwarz Gruppe und Google unterzeichnen Partnerschaft<\/a> klang f\u00fcr mich wie Hohn. Hier die Kernpunkte:<\/p>\n
\n
Das BSI kooperiert mit Google<\/h2>\n
GI:\u00a0Digitale Souver\u00e4nit\u00e4t ad\u00e9<\/h2>\n
\n
\nIm sensiblen Bereich der nationalen Sicherheit haben US-amerikanische Unternehmen, deren Gesch\u00e4ftsmodelle noch dazu auf die Erweiterung ihrer Macht und Einflussnahme auf andere Branchen (Gesundheitswesen, Finanzdienstleistungen usw.) ausgerichtet ist, nichts zu suchen.<\/li>\nDie Sicht von BSI und Google<\/h2>\n
\n
\nIT-Planungsrat: Sondersitzung soll Weg f\u00fcr Delos-Cloud-Vertr\u00e4ge frei machen<\/a>
\nDelos-Cloud: Bundeskanzler Scholz bekommt Abfuhr von Bundesl\u00e4ndern<\/a>
\nEnkel-f\u00e4hige \"Digitale Souver\u00e4nit\u00e4t\" statt Abh\u00e4ngigkeit von der Delos-Cloud<\/a>
\nEuropas und Deutschlands fatale digitale Abh\u00e4ngigkeit von den USA r\u00e4cht sich<\/a>
\nDelos-Cloud mit Azure 10-20 % teurer als MS-Cloud pur<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"