In Kreisen der Unternehmenssicherheit herrscht ein weit verbreiteter Irrglaube: dass die Frage der Datenhoheit in dem Moment geklärt ist, in dem Daten innerhalb der Landesgrenzen gespeichert werden. Der Speicherort ist ein Ausgangspunkt, kein Endziel. Für CISOs und Sicherheitsarchitekten, die eine widerstandsfähige, regelkonforme Infrastruktur aufbauen, ist diese Unterscheidung von enormer Bedeutung, und die Folgen einer Verwechslung dieser beiden Aspekte lassen sich immer schwerer ignorieren.
Die Zuständigkeit richtet sich nach den Daten, nicht nach dem Standort
Gartner definiert Datenhoheit als den Grundsatz, dass Informationen den Vorschriften der Rechtsordnung unterliegen, aus der sie stammen, unabhängig von ihrem tatsächlichen Speicherort. Ein Datensatz, der in einem Frankfurter Rechenzentrum gespeichert ist, aber von einer Plattform verarbeitet wird, deren rechtlicher Sitz in den Vereinigten Staaten liegt, unterliegt weiterhin dem US-Recht. Extraterritoriale Rechtsvorschriften wie der CLOUD Act bedeuten, dass ausländische Regierungen unter bestimmten Voraussetzungen Technologieanbieter zur Herausgabe von Daten zwingen können, selbst wenn diese Daten Europa physisch nie verlassen.
Dies ist keine theoretische Bedrohung. Es handelt sich zunehmend um eine strategische Bedrohung. Jüngsten Untersuchungen zufolge deuten einige Quellen darauf hin, dass 86 % der europäischen Organisationen es mittlerweile für plausibel halten, dass die USA den Zugang Europas zu digitalen Diensten einschränken könnten.
Unabhängig davon, ob diese Zahl zutreffend ist oder nicht, ist die Tendenz eindeutig: Datensouveränität hat sich von einem bloßen Compliance-Punkt zu einer Risikokategorie auf Vorstandsebene entwickelt.
Warum Netzwerktransparenz eine Frage der Souveränität ist
Daten bleiben nicht an einem Ort. Sie werden zwischen Anwendungen, über Cloud-Regionen hinweg, über APIs und an externe Verarbeiter weitergegeben. Jede Datenübertragung stellt ein potenzielles Risiko für die Datenhoheit dar, und den meisten Unternehmen fehlt der Überblick, um zu erkennen, wann eine Übertragung eine Rechtsgebietsgrenze oder eine vertragliche Verpflichtung überschreitet.
An dieser Stelle überschneiden sich Netzwerküberwachungs- und Reaktionsfähigkeiten direkt mit der Datenhoheit. Echtzeit-Transparenz über den Netzwerkverkehr – wer mit wem kommuniziert, unter welchen Protokollen, von welchen Standorten aus – ist nicht nur eine Funktion zur Erkennung von Bedrohungen. Sie ist ein Mechanismus zur Durchsetzung der Datenhoheit. Wenn Sie den Ost-West-Verkehr beobachten und klassifizieren können, lassen sich anomale Datenströme erkennen: unerwartete Verbindungen zu im Ausland gehosteten Endpunkten, unbefugte Cloud-Synchronisierungsaktivitäten oder laterale Bewegungen, die einer Datenexfiltration vorausgehen.
Für Organisationen, die der DSGVO, der NIS2 oder branchenspezifischen Vorschriften wie DORA unterliegen, wird die Fähigkeit, nachzuweisen, dass Daten ausschließlich wie vorgesehen fließen – und dies durch Prüfungsnachweise zu belegen –, zunehmend zu einer Compliance-Anforderung und ist nicht mehr nur eine bewährte Vorgehensweise.
Die Geografie des Vertrauens
Souveränität ist nicht nur ein technisches Merkmal, sondern eine Vertrauensbeziehung.
Wenn Sie das Datenmanagement oder die Sicherheitsüberwachung an einen Dritten auslagern, übernehmen Sie dessen rechtliche Risiken. Ein Anbieter von Sicherheitsdienstleistungen mit Sitz in einem ausländischen Rechtsraum führt eine Abhängigkeit ein, die Ihr Rahmenwerk zur Datenhoheit ausdrücklich berücksichtigen muss.
Aus diesem Grund gewinnt der Standort des rechtlichen Sitzes eines Technologieanbieters bei Beschaffungsentscheidungen zunehmend an Bedeutung. Gartner stellt fest, dass geopolitische Ereignisse – insbesondere Maßnahmen ausländischer Regierungen, die die Anfälligkeit digitaler Abhängigkeiten offenbart haben – Europas Bestrebungen, auf lokale Technologieanbieter zurückzugreifen, beschleunigt haben.
Der mit 180 Millionen Euro dotierte „Sovereign Cloud“-Auftrag der Europäischen Kommission, der ausschließlich an europäische Anbieter vergeben wurde, ist ein Zeichen dafür, in welche Richtung sich die institutionelle Beschaffung entwickelt. Unternehmen, die ihre Anbieterauswahl an derselben Logik ausrichten, sind besser für langfristige regulatorische Widerstandsfähigkeit gerüstet.
Was ist nun zu tun?
Für CISOs ist der erste praktische Schritt eine ehrliche Bestandsaufnahme. Beginnen Sie damit, Ihre kritischsten Datenbestände sowie die Systeme, Anbieter und Rechtsordnungen zu identifizieren, die an deren Verarbeitung beteiligt sind. Gliedern Sie diese Bestandsaufnahme der Datenbestände mit Ihren regulatorischen Verpflichtungen und vertraglichen Anforderungen ab. Die dabei festgestellten Lücken stellen Ihre Herausforderungen bei der Kontrolle der Datenhoheit dar. Für viele Unternehmen ist die Erstellung und Pflege dieser Bestandsaufnahme ein erheblicher Aufwand. Technologien zur Netzwerktransparenz und NDR können dabei helfen, indem sie kontinuierlich Einblicke in Kommunikationsmuster, Datenflüsse und externe Abhängigkeiten liefern, die andernfalls möglicherweise undokumentiert blieben.
Von da an erfolgt die Arbeit iterativ: Standardisieren Sie Metadaten, legen Sie durchsetzbare Nutzungsrichtlinien fest und rüsten Sie Ihr Netzwerk so aus, dass Abweichungen von den Richtlinien erkannt werden.
Datensouveränität ist kein Projekt mit einem festen Fertigstellungstermin. Es handelt sich um eine operative Disziplin, die immer wichtiger wird, je mehr sich die geopolitische Landschaft unter der Infrastruktur, auf die wir alle angewiesen sind, weiter verändert.
Als Nächstes in dieser Reihe – Teil 2: Operative Souveränität: Warum Transparenz hinsichtlich der Abläufe Ihres Anbieters unverzichtbar ist
