Im ersten Teil dieser Reihe haben wir uns mit der Datenhoheit befasst, dem Grundsatz, dass Daten den Vorschriften der Gerichtsbarkeit unterliegen, aus der sie stammen Rechtsordnungunterliegen und dass der Standort allein keine Kontrolle verleiht. In diesem zweiten Teil wenden wir uns einem Aspekt zu, der in Gesprächen mit Anbietern weitaus weniger Beachtung findet, abers eherbedeutend bedeutend für Sicherheitsarchitekten ist: die operative Souveränität.
Was operative Souveränität eigentlich bedeutet
Gartner definiert „operative Souveränität“ als den Grad, in dem ein Kundenunternehmen Einblick in die Abläufe des Anbieters hat und diese kontrollieren kann. Diese Definition ist trügerisch einfach. In der Praxis umfasst sie eine Reihe kritischer Fragen:
- Wer hat privilegierten Zugriff auf Ihre Systeme und Daten – und unter welchen Bedingungen?
- Welche betrieblichen Abläufe befolgt Ihr Anbieter, und lassen sich diese überprüfen?
- Werden Sie benachrichtigt, wenn eine ausländische Regierung eine rechtliche Aufforderung an Ihren Anbieter richtet? Können Sie die Weitergabe verhindern?
- Welche Kontinuitätsgarantien haben Sie für den Fall, dass der Anbieter übernommen, umstrukturiert oder mit Sanktionen belegt wird?
Das sind keine hypothetischen Bedenken. Die letzten Jahre haben immer wieder gezeigt, dass sich das rechtliche und geopolitische Umfeld, in dem ein Technologieanbieter tätig ist, rasch ändern kann und dass die daraus resultierenden Folgen für die Kunden schwerwiegend sein können.
Das Zugangsproblem
Jeder Managed Service bringt privilegierten Zugriff durch Dritte mit sich. Insbesondere bei Sicherheitsdiensten – bei denen Anbieter oft einen umfassenden Einblick in den Netzwerkverkehr, Protokolldaten und Endpunkt-Telemetriedaten benötigen – sind die Auswirkungen auf die betriebliche Souveränität erheblich.
Die Frage, die sich ein CISO stellen sollte, lautet nicht lediglich: „Ist dieser Anbieter kompetent?“, sondern: „Unter welchen Umständen könnte der Zugriff dieses Anbieters von einer ausländischen Behörde erzwungen, umgeleitet oder als Waffe eingesetzt werden?“. Ist die Antwort unklar oder kann der Anbieter keine vertraglichen und technischen Nachweise dafür vorlegen, dass der Zugriff kontrolliert und überprüfbar ist, stellt dies eine erhebliche Lücke in der operativen Souveränität dar.
Dies gilt insbesondere für regulierte Branchen. Gemäß NIS2 und DORA müssen Organisationen sicherstellen, dass ihre kritischen Drittanbieter festgelegte Sicherheits- und Ausfallsicherheitsstandards erfüllen.
In dieser Anforderung ist die operative Souveränität verankert: Man kann keine Kontrolle über die eigene Sicherheitslage nachweisen, wenn man keine Kontrolle über die Stellen nachweisen kann, die diese in Ihrem Auftrag verwalten.
„Sovereignty Washing“: Ein wachsendes Risiko
Da digitale Souveränität zu einer Priorität in den Bereichen Regulierung und Beschaffung geworden ist, hat sie sich auch zu einer Marketingkategorie entwickelt. Gartner hat ausdrücklich vor „Sovereignty Washing“ gewarnt, also vor der Praxis, bestehende Angebote oberflächlich an die Sprache der Souveränität anzupassen, ohne sie inhaltlich so umzugestalten, dass sie den Anforderungen der Souveränität entsprechen.
Für CISOs, die Sicherheitsanbieter bewerten, bedeutet dies, dass die Sorgfaltsprüfung über bloße Marketingversprechen hinausgehen muss.
Zu den relevanten Fragen gehören:
- Wo hat das Unternehmen seinen rechtlichen Sitz?
- Wo sind die Einsatzteams des Unternehmens stationiert?
- Wie sieht der rechtliche Rahmen für den Zugriff der Mitarbeiter auf Kundendaten aus?
- Wurden unabhängige Prüfungen des Unternehmens durchgeführt, nicht nur hinsichtlich der Sicherheitskontrollen, sondern auch hinsichtlich der rechtlichen Risiken?
Ein Anbieter, der europäische Sicherheitstelemetriedaten über Infrastruktur oder Personal verarbeitet, die einer ausländischen Gerichtsbarkeit unterliegen, steht vor zusätzlichen Herausforderungen beim Nachweis der operativen Souveränität, unabhängig davon, wo sich die Daten physisch befinden. Die Unterscheidung zwischen Datenstandort und operativer Kontrolle ist genau jene Lücke, die Ansprüche auf Datensouveränität untergräbt, sie gilt hier in gleichem Maße.
Instrumentierung als Disziplin der Souveränität
Operative Souveränität ist nicht nur eine Herausforderung im Lieferantenmanagement. Sie ist auch eine interne Disziplin. Unternehmen, denen der Überblick über ihre eigene Betriebsumgebung fehlt – welche Dienste laufen, mit welchen externen Systemen sie kommunizieren, wie der Administratorzugriff gehandhabt wird – – können ihre Souveränitätslage nicht sinnvoll einschätzen.
Die Überwachung auf Netzwerkebene spielt hier eine direkte Rolle. Die kontinuierliche Beobachtung der Datenverkehrsmuster in der gesamten Umgebung liefert einen unabhängigen, realitätsnahen Überblick über die Betriebsaktivitäten, der nicht von den vom Anbieter gemeldeten Telemetriedaten abhängt. Wenn die Tools eines Managed-Service-Anbieters die einzige Perspektive sind, durch die Sie Ihre Umgebung beobachten, haben Sie die operative Souveränität an diesen Anbieter abgetreten. Die Aufrechterhaltung einer unabhängigen, intern kontrollierten Transparenzebene ist der technische Ausdruck der operativen Kontrolle.
Dies ist insbesondere für die Erkennung von Sicherheitsverletzungen in der Lieferkette und von Insider-Bedrohungen von Bedeutung: SSzenarien, in denen genau die Anbieter, denen Sie vertrauen, zum Angriffsvektor werden. Echtzeit-Verhaltensreferenzwerte für den Netzwerkverkehr ermöglichen es Sicherheitsteams, Abweichungen zu erkennen, die auf unbefugten Zugriff hindeuten könnten – selbst wenn dieser Zugriff von einer vertrauenswürdigen Quelle stammt.
Die geopolitische Triebkraft
Das aktuelle geopolitische Umfeld verkürzt den Zeitrahmen für Unternehmen, die Entscheidungen zur operativen Souveränität aufgeschoben haben. Eine Studie von Gartner stellt fest, dass Regierungen zunehmend Druck auf Cloud-Anbieter ausüben, ihre Plattformen durch Partnerschaften mit lokalen Akteuren zu regionalisieren, und dass die regulatorische Entwicklung in Europa – vom EU-KI-Gesetz über das Datengesetz bis hin zu NIS2 – systematisch die Lücken schließt, durch die Anbieter aus ausländischen Rechtsräumen bisher ohne Kontrolle agieren konnten.
Das „Sovereign Cloud“-Rahmenwerk der Europäischen Kommission, das kürzlich zur Vergabe eines Auftrags im Wert von 180 Millionen Euro ausschließlich an europäische Anbieter führte, zeigt, wie sich die institutionelle Beschaffung weiterentwickelt.
Unternehmen in regulierten Branchen sehen sich derselben Logik gegenüber: Da Regierungen Souveränitätsanforderungen in Beschaffungskriterien festschreiben, wird von den Lieferketten erwartet, dass sie diese Anforderungen auf jeder Ebene widerspiegeln.
Für die Sicherheitsarchitektur bedeutet dies, dass das rechtliche Profil jedes Anbieters im Sicherheitsstack – SIEM, NDR, EDR, SOAR, Identitätsmanagement – einer ausdrücklichen Überprüfung unterzogen werden muss. Operative Souveränität ist kein Aspekt, der sich auf Anbieter von Cloud-Infrastrukturen beschränkt. Sie gilt für jeden, der dauerhaften, privilegierten Zugriff auf Ihre Umgebung hat.
Praktische Schritte
Beginnen Sie mit dem Thema Zugriff. Erfassen Sie alle Drittanbieter, die über privilegierten oder dauerhaften Zugriff auf Ihre Systeme verfügen, und stellen Sie für jeden einzelnen die jeweiligen rechtlichen Risiken dar. Bewerten Sie anschließend die Nachvollziehbarkeit: Können Sie unabhängig überprüfen, wie der jeweilige Anbieter diesen Zugriff nutzt, und können Sie diese Nachweise gegenüber einer Aufsichtsbehörde vorlegen?
Auf dieser Grundlage können Sie eine interne Transparenz schaffen, die unabhängig von den von Anbietern bereitgestellten Tools ist. Netzwerküberwachungsfunktionen, die innerhalb Ihres Zuständigkeitsbereichs gesteuert und betrieben werden, bieten Ihnen einen verlässlichen und nachprüfbaren Überblick über Ihre eigene Betriebsumgebung, die von keinem externen Akteur verschleiert oder manipuliert werden kann.
Operative Souveränität ist, ebenso wie Datensouveränität, kein Endziel. Sie ist eine Praxis: Oeiner, die eine kontinuierliche Überwachung, eine strenge Anbietersteuerung und eine nüchterne Einschätzung erfordert, wer letztendlich die Kontrolle hat.
Als Nächstes in dieser Reihe – Teil 3: Technologische Souveränität: Die Autonomie, zu wählen, zu wechseln und zu überleben
