Wie lässt sich digitale Souveränität definieren?

Wie lässt sich digitale Souveränität definieren?

Tixeo Blog
Tixeo Blog
Wie lässt sich digitale Souveränität definieren?
Loading
/

Die Fähigkeit eines Staates oder einer Organisation, sein/ihr digitales Umfeld zu kontrollieren und zu regulieren, ist zu einem zentralen Anliegen geworden.

Analyse der digitalen Souveränität und ihrer Herausforderungen.

Entstehung des Konzepts der digitalen Souveränität

Souveränität wird definiert als die höchste, dem Staat zustehende Gewalt, die die ausschließliche Zuständigkeit auf dem Staatsgebiet (innere Souveränität) und die absolute Unabhängigkeit in der internationalen Ordnung beinhaltet, wo sie nur durch eigene Verpflichtungen eingeschränkt ist (äußere Souveränität).Mit der Globalisierung und der zunehmenden Digitalisierung hat sich die Frage der Souveränität auf den Cyberspace ausgeweitet. Digitale Souveränität wird daher als die Fähigkeit eines Staates oder einer Organisation definiert, sein/ihr digitales Umfeld zu kontrollieren und zu regulieren. 

Das Konzept entwickelte sich in Europa allmählich als Antwort auf die Vorherrschaft der USA und Chinas in der Internet-Governance. Die Gründung der ICANN (Internet Corporation for Assigned Names and Numbers), der amerikanischen Regulierungsbehörde für das Internet, sowie die Dominanz multinationaler Konzerne in den digitalen Technologien lösten Reaktionen auf das technische und wirtschaftliche Monopol im Internet aus.

Bereits 2012 erhoben auch Russland und China bei der Weltkonferenz für internationale Telekommunikation Ansprüche auf ihre „souveränen Rechte“bei der Verwaltung des Internetnetzwerks.

Doch erst 2013 wurde der breiten Öffentlichkeit durch die Snowden-Affäre ein weiterer Aspekt der digitalen Souveränität bewusst: der Austausch von Daten. Der Skandal verstärkte weltweit und in Europa die Besorgnis über dieses Thema. In Frankreich führte er sogar zur Gründung eines Instituts für digitale Souveränität. Hierbei handelt es sich um eine Vereinigung, die sich der Sensibilisierung der Öffentlichkeit und der politischen Entscheidungsträger widmet.

Drei Komponenten der digitalen Souveränität

Technologische Unabhängigkeit

Digitale Technologien verändern unsere Gesellschaften kontinuierlich und überschreiten dabei nationale Grenzen. Die Dominanz multinationaler Unternehmen im globalen digitalen Raum erschwert die technologische Entwicklung und Innovation anderer Länder. Die Verringerung der Abhängigkeit von ausländischen Technologien, insbesondere in strategischen und kritischen Sektoren, um einen heimischen Markt zu stärken, ist einer der ersten Hebel zur Entwicklung souveräner digitaler Infrastrukturen.

Wirtschaftliche und politische Entwicklung

Der Bericht der Untersuchungskommission des Senats zur digitalen Souveränität aus dem Jahr 2019 beschreibt die digitale Souveränität als „die Fähigkeit des Staates, im Cyberspace zu handeln“ und dabei „unsere Netzwerke, unsere elektronische Kommunikation und unsere Daten“ zu beherrschen. Denn die wirtschaftlichen und politischen Machtverhältnisse zwischen Staaten spielen sich auch, wenn nicht sogar noch stärker im aktuellen digitalen Raum ab. Die Cybermacht von Ländern ist heute übrigens ein eigenständiges Kriterium zur Bewertung der nationalen Machtposition, gemessen am NCPI. Die digitale Souveränität trägt also sowohl zur Stärkung der wirtschaftlichen Wettbewerbsfähigkeit als auch zur Autorität des Landes im Cyberspace bei.  

Schutz der Daten

Mit dem Aufkommen der digitalen Technologien entstand auch neues Gold: die Daten. Nutzer, Verbraucher und Bürger:innen teilen eine Vielzahl von Daten online, ohne immer zu wissen, wie oder von wem diese genutzt werden.

Auf ethischer Ebene trägt die digitale Souveränität dazu bei, den Schutz personenbezogener Daten zu verstärken, indem sie den Zugriff auf und die Nutzung dieser Daten durch Drittländer einschränkt. Europa hat sich als Beschützer dieses Grundrechts positioniert. Im Mai 2023 schreibt die EU in ihrem Dokument „Globale Ansätze zur digitalen Souveränität: Konkurrierende Definitionen und widersprüchliche Politiken: „Digitale Souveränität bedeutet „die Fähigkeit der EU, ihre eigenen Entscheidungen über die Regulierung von Daten zu treffen, die auf ihren Werten beruhen und ihren eigenen Regeln folgen, um individuelle Rechte zu schützen und technologische Innovationen zu fördern“. Im Sinne der digitalen Souveränität dient der Schutz von Daten auch dazu, Gefahren wie Spionage und Verletzungen von wissenschaftlichem und technischem Eigentum von Nationen zu verhindern.

Vor welchen Herausforderungen und Bedrohungen stehen wir?

Die digitalen Riesen, sowohl die amerikanischen GAFAM (Google, Apple, Facebook, Amazon, Microsoft) und NATU (Netflix, Airbnb, Tesla, Uber) als auch die chinesischen BATX (Baidu, Alibaba, Tencent und Xiaomi), haben die Verbraucher dazu gebracht, ihre Datenschutzrechte aufzugeben, um ihre Dienste nutzen zu können.

Diese Situation wird zwar zunehmend hinterfragt, stellt Europa jedoch vor zahlreiche Herausforderungen hinsichtlich seiner Fähigkeit, innovative und souveräne digitale Technologien anzubieten.

In den USA wird zwar der freie Datenfluss begünstigt, doch durch den Cloud Act „sichern sich die Vereinigten Staaten ihre Souveränität, indem sie von amerikanischen Unternehmen fordern, auf Anfrage Daten herauszugeben, unabhängig davon, wo diese gespeichert sind“, so Melody Musoni, Projektleiterin beim ECDPM (European Centre for Development Policy Management). China hingegen verfügt mit seinen überwachungsbasierten Vorschriften über eine strenge Kontrolle und einen „privilegierten Zugang zu allen Daten aus China und zwingt Unternehmen, kritische Informationen auf staatliche Server zu übertragen“.

Alles in allem stellt die digitale Souveränität eine große Herausforderung für den Schutz nationaler Interessen dar und erfordert die Umsetzung verschiedener Strategien zur Sicherung.

Die EU-Mitgliedstaaten bemühen sich derzeit, die globale Debatte über den Datenschutz zu beeinflussen, indem sie neue Governance-Regeln für eine digitale Infrastruktur festlegen, die die nationalen Souveränitäten respektieren.

Maßnahmen zur Stärkung der digitalen Souveränität Europas

Die Europäische Union versucht durch verschiedene Maßnahmen, ihre Werte im Kampf um die digitale Souveränität durchzusetzen.

Die DSGVO

Die DSGVO (Datenschutz-Grundverordnung) bildet einen strengen Rahmen für die Erhebung, Verarbeitung und Nutzung der Daten von EU-Bürgern und -Bürgerinnen. Die Verordnung beinhaltet insbesondere Maßnahmen, die die Transparenz der Unternehmen über den Zweck der Verarbeitung, aber auch das Recht auf Vertraulichkeit und Löschung der Nutzerdaten fördern. Sie stellt zudem sicher, dass die Speicherung von Daten der Kontrolle europäischer Gerichte unterliegt und niemals in Drittländer übertragen wird, wodurch die digitale Souveränität gewährleistet wird.

Das SREN-Gesetz für die Souveränität der Cloud

Das neue französische Gesetz SREN zur Regulierung des digitalen Raums, das am 21. Mai 2024 in Kraft trat, zielt unter anderem darauf ab, den Einfluss der amerikanischen Cloud-Giganten einzudämmen. Zu seinen Maßnahmen zählen die Regulierung der Datenübertragungs- und Migrationskosten, die Verpflichtung zur Interoperabilität sowie die Deckelung von Cloud-Krediten.

Dieses Gesetz könnte die Wahl europäischer Cloud-Anbieter fördern, insbesondere solcher, die über die SecNumCloud-Qualifizierung verfügen. Es handelt sich dabei um ein französisches Sicherheitssiegel, das von der ANSSI (Agence nationale de la sécurité des systèmes d’informations) vergeben wird und ein hohes Sicherheitsniveau für Cloud-Anbieter und -Kunden garantiert.

Es gibt jedoch noch Verbesserungsbedarf im Bereich der Cloud-Souveränität. So wurde beim Entwurf des ersten europäischen Zertifizierungsschemas für die Cloud-Sicherheit, dem EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), das wichtigste Kriterium für europäische Souveränität gestrichen. Diese Änderung wurde von 26 europäischen Industriekonzernen unterstützt, die in einem gemeinsamen Schreiben darauf hinwiesen, dass der EUCS große Technologieunternehmen nicht diskriminieren dürfe.

Das KI-Gesetz für eine souveräne künstliche Intelligenz

Im Bereich der technologischen Innovation stellt die künstliche Intelligenz heute weltweit einen hochgradig strategischen Bereich dar, in dem die EU einen Platz einnehmen möchte. Am 21. Mai 2024 verabschiedete der Europäische Rat das KI-Gesetz, um „eine KI zu entwickeln, die die Grundrechte gewährleistet“ und die digitale Souveränität sichert. Gleichzeitig soll der Datenschutz gestärkt und ein „einheitlicher Markt für legale und sichere KI-Anwendungen gefördert werden. Dies soll eine Zersplitterung des Marktes verhindern.

Unternehmen: Die Wahl von souveränen Lösungen

Diese Vorschriften regulieren nicht nur einen Markt, sondern dienen auch dazu, Unternehmen und Organisationen bei ihren technologischen und digitalen Entscheidungen zu leiten. Denn Lösungen, die extraterritorialen Gesetzen unterliegen (Cloud Act oder andere), garantieren niemals den Schutz von Informationen. Und das, obwohl in kritischen Bereichen wie der Industrie oder dem Finanzwesen der Erhalt von strategischen Daten unerlässlich ist.

Zu den sensibelsten technologischen Entscheidungen von Unternehmen gehören die Wahl des Tools für Videokonferenzen. Wenn Videokonferenzen bei sensiblen Gesprächen genutzt werden, werden zahlreiche vertrauliche Informationen übertragen, sowohl über die Unternehmensaktivitäten als auch über die Teilnehmer an Online-Meetings.

Während die Daten der Nutzer in Europa durch die DSGVO geschützt sind, ist dies anderswo nicht der Fall. Zudem ist die Verschlüsselung von Kommunikationsströmen nicht auf die EU beschränkt, obwohl diese Technologie innerhalb der Mitgliedsstaaten regelmäßig diskutiert wird. In anderen Ländern ist sie jedoch erheblich eingeschränkt (insbesondere in den USA durch das Gesetz des Patriot Act). Einfach gesagt: Die Nutzung einer nicht-souveränen Videokonferenzlösung setzt Unternehmen einem erhöhten Risiko von Spionage und wirtschaftlicher Einmischung aus.

Zusammenfassend lässt sich sagen, dass die digitale Souveränität für Staaten und Unternehmen von entscheidender Bedeutung ist, die ihre strategischen Interessen in einer zunehmend vernetzten Welt, die von großen Technologieunternehmen dominiert wird, schützen wollen. Durch die Verringerung der Abhängigkeit von ausländischen Technologien, die Förderung lokaler technologischer Innovationen und die Gewährleistung der Datensicherheit bemüht sich die Europäische Union, ein sicheres und unabhängiges digitales Umfeld zu schaffen.

Für Unternehmen ist die Entscheidung für souveräne digitale Lösungen nicht nur eine Frage der Einhaltung von Vorschriften. Es ist vor allem eine Strategie, um die Vertraulichkeit und Sicherheit ihrer sensiblen Informationen zu gewährleisten. Tixeo unterstützt kritische Organisationen dabei, ihre digitale Souveränität durch den Schutz ihrer Online-Kommunikation zu stärken.

Entdecken Sie Tixeo, Lösungen für sichere und souveräne Videokonferenzen


Das wissenschaftliche und technische Potenzial der Nation: Wie kann es vor Spionage geschützt werden?

Das wissenschaftliche und technische Potenzial der Nation: Wie kann es vor Spionage geschützt werden?

Wenn Informationen über die wissenschaftlichen und technologischen Aktivitäten einer Nation abgegriffen werden, gefährdet dies ihre Stabilität und Wettbewerbsfähigkeit. Auf dem letzten Gipfeltreffen der Fives Eyes wurde darauf hingewiesen, dass der Schutz des wissenschaftlichen und technischen Potenzials der Nationen maximale Cybersicherheitsmaßnahmen erfordert. 

Definition des wissenschaftlichen und technischen Potenzials

Das wissenschaftliche und technische Potenzial der Nation besteht aus „der Gesamtheit der materiellen und immateriellen Güter, die der grundlegenden und angewandten wissenschaftlichen Tätigkeit für die technologische Entwicklung der französischen Nation eigen sind“. Mit anderen Worten: Es handelt sich um hochstrategisches Wissen und Know-how sowie sensible Technologien, die in öffentlichen und privaten Einrichtungen im Staatsgebiet produziert und entwickelt werden. Sowohl ihr Zugang als auch ihr Schutz sind somit formal geregelt.

Erste Schutzmaßnahme: die PPST

Seit 2011 gibt es in Frankreich den „Schutz des wissenschaftlichen und technischen Potenzials“ (Protection du Potentiel Scientifique et Technique, abgekürzt PPST). Diese interministerielle Sicherheitsregelung ist auf sechs verschiedene Ministerien verteilt und wird vom Generalsekretariat für Verteidigung und nationale Sicherheit (SGDSN) geleitet:

  • Landwirtschaftsministerium
  • Verteidigungsministerium
  • Ministerium für nachhaltige Entwicklung
  • Wirtschafts- und Finanzministerium
  • Gesundheitsministerium
  • Ministerium für Hochschulen, Forschung und Innovation

Sie soll verhindern, dass sensible Informationen nach außen dringen oder versucht wird, diese abzugreifen. Hierfür werden unter anderem Zonen mit restriktiven Regelungen (ZRR) geschaffen. In diesen Zonen wird der physische oder virtuelle Zugang zu sensiblen Informationen streng kontrolliert. Dazu gehören z. B. Forschungs- oder Produktionsstandorte, die für das Land von großem Interesse sind.

Der PPST ergänzt andere Sicherheitssysteme. So zum Beispiel das System zum Schutz von Betreiber wesentlicher Dienste (OIV) oder der Geheimhaltung der Landesverteidigung.

Welche Risiken bestehen, wenn diese sensiblen Informationen offengelegt werden?

Wenn Informationen über das technische und wissenschaftliche Potenzial der Nation abgegriffen werden, können sie für destabilisierende oder kriminelle Zwecke missbraucht werden. Die Risiken werden in vier Kategorien eingeteilt: 

  1. Beeinträchtigung der wirtschaftlichen Interessen der Nation 
  2. Aufbau von militärischen Arsenalen 
  3. Weiterverbreitung von Massenvernichtungswaffen 
  4. Terrorismus

Betroffene Branchen 

Damit sind verschiedene wissenschaftliche und technische Bereiche vom PPST betroffen:

  • Biologie,
  • Medizin,
  • Gesundheit,
  • Chemie,
  • Mathematik,
  • Physik,
  • Agrar- und Umweltwissenschaften,
  • Geo-, Weltall- und Weltraumwissenschaften,
  • Informations- und Kommunikationswissenschaften sowie -technologien,
  • Ingenieurwissenschaften usw.

Deshalb müssen Forschungslabore, Unternehmen und Universitäten beschützt werden, so dass ihre Daten nicht abgefangen werden können.

Wissenschaftliches und technisches Potenzial vor Cyberspionage schützen

Der Zugang zu ZRR kann physisch, aber auch virtuell sein. Aus diesem Grund ist die Sicherheit von Informationssystemen eine große Herausforderung, um das wissenschaftliche und technische Potenzial vor Cyberspionage zu bewahren.

System für restriktive Informationen sichern

Ein System für restriktive Informationen leitet restriktive Informationen weiter. Es handelt sich hierbei um sensible Informationen, deren Verbreitung eines oder mehrere der oben genannten Risiken mit sich bringen würde. Ihr Zugang stellt daher einen virtuellen Zugang zu einer RR-Zone dar. Anzumerken ist, dass das System für restriktive Informationen der interministeriellen Anweisung Nr. 901 über den Schutz der Geheimhaltung und der Landesverteidigung unterliegt.

In dem vom ANSSI veröffentlichten Leitfaden zum digitalen Schutz des wissenschaftlichen und technischen Potenzials der Nation findet sich eine Liste von Sicherheitsmaßnahmen. Diese müssen von Organisationen mit einem System für restriktive Informationen umgesetzt werden. Dazu gehört die Einführung einer Sicherheitspolitik für Informationssysteme, in der alle bewährten Praktiken und Verfahren im Bereich der IT-Sicherheit aufgelistet sind. Sie müssen von den Mitarbeitern und anderen Interessengruppen eingehalten werden.

Das System für restriktive Informationen umfasst nämlich alle Arten von elektronischen Medien und Geräten wie Laptops, USB-Sticks oder Server. Daher wird vorausgesetzt, dass Nutzer parallel dazu für Cybersicherheit sensibilisiert werden.

Beispiele für Sicherheitsmaßnahmen, die implementiert werden müssen:

  • Kommunikationsverschlüsselung
  • Verschlüsselung der Festplatten von Arbeitsplatzrechnern
  • Zugangskontrolle

Für sichere Arbeitsplätze sorgen

Arbeitsplatzrechner enthalten eine Reihe sensibler Informationen, die geschützt werden müssen. Die ANSSI erinnert mit ihrem Leitfaden daran, wie wichtig es ist, alle Daten auf einem Endgerät zu löschen, bevor die Hardware neu zugewiesen wird.  Ebenso ist es von entscheidender Bedeutung, die Zugriffsrechte auf Informationssysteme zu löschen, sobald die Beschäftigungsdauer eines Nutzers endet.

Technologie zur Ende-zu-Ende-Verschlüsselung von Kommunikationen verwenden

Die in Unternehmen eingesetzten Kommunikationsmittel müssen höchsten Sicherheitsansprüchen genügen, insbesondere in Einrichtungen in RR-Zonen. Zum einen muss die genutzte Lösung Secure by Design sein und somit von der Konzeption bis zum Einsatz in der Organisation eine Reihe von Sicherheitskriterien erfüllen. Auf diese Weise wirkt sich die Lösung deutlich weniger oder gar nicht auf die Sicherheit des Unternehmensnetzwerks aus. Andererseits ist die über Online-Messenger oder Videokonferenzen durchgeführte Kommunikation das Ziel von Computer- und Industriespionage. Nur eine Technologie zur Ende-zur-Ende-Verschlüsselung von Audio-, Video- und Datenkommunikationsströmen kann verhindern, dass ihre Daten abgegriffen werden.

Im Falle eines Angriffs schnellstmöglich reagieren

Bei einer Cyber-Krise ist eine sichere Notfall-Kommunikationslösung ebenfalls unerlässlich, um die Geschäftskontinuität der Einrichtung zu gewährleisten. Sie soll den Mitarbeitern ermöglichen, ihren Austausch über einen Kommunikationskanal „Out-of-Band” fortzusetzen, d. h. über einen anderen als den üblicherweise genutzten.

Die sichere Videokonferenz-Software von Tixeo ist die Antwort auf diesen Bedarf. Mit seiner soliden Ende-zu-Ende-Verschlüsselungstechnologie und der äußerst sicheren Bereitstellung als On-Premise-Version unterstützt es Einrichtungen bei ihrem Krisenmanagement und ihrer Cyber-Resilienz. 

Erster Gipfel der Five Eyes zu diesem Thema im Jahr 2023

Am 16. und 17. Oktober 2023 fand zum ersten Mal ein Gipfeltreffen der Five Eyes zum Thema „Schutz des wissenschaftlichen und technischen Potenzials der Nation” statt.

Während diesem Treffen warnten die fünf Länder der Koalition (USA, Großbritannien, Kanada, Australien und Neuseeland) vor den Bedrohungen für Innovation und Forschung. Im Besonderen wurde die chinesische Regierung als Hauptgefahr für die Innovation und die Interessen der Nationen ins Visier genommen. „Die chinesische Regierung betreibt den nachhaltigsten und ausgefeiltesten Diebstahl geistigen Eigentums sowie den Erwerb von Fachwissen, der in der Geschichte der Menschheit beispiellos ist”, erklärte Mike Burgess, Generaldirektor des australischen Geheimdienstes. Die aus China stammende Industriespionage verzeichnet einen noch nie dagewesenen Anstieg. „Die Bereiche künstliche Intelligenz, Quantencomputer und synthetische Biologie sind laut hochrangigen Verantwortlichen derzeit besonders im Visier“. Das bedeutet eine Zunahme der staatlich motivierten Cyberspionage, von der auch die europäischen Länder nicht verschont bleiben.

Das Dokument Fünf Grundsätze zur Sicherung von Forschung und Innovation wurde im Anschluss an den Gipfel veröffentlicht. Es enthält eine Reihe von Empfehlungen, um den Schutz des wissenschaftlichen und technischen Potenzials zu maximieren. Dazu gehören die Kenntnis und das Management von Cyberrisiken, der Schutz der Arbeitsumgebung und die Sensibilisierung der Mitarbeiter oder die Sicherung von Partnerschaften, Lieferanten sowie Dienstleistern.

Was Software „Made in Europe” besonders sicher macht

Was Software „Made in Europe” besonders sicher macht

Security und Datenschutz sind Milliardenfragen

Open Source-Lösung oder etablierter Anbieter aus den USA? Oft sind es diese beiden Alternativen, die bei der Auswahl einer Software-Plattform für Digitalisierungsprojekte zu Beginn in den Raum gestellt werden. Beides hat seine Vor- und Nachteile, denkt man beispielsweise an Datenschutz, Nutzerkomfort oder Update-Sicherheit. Eine dritte, gleichwertige, wenn nicht sogar bessere Alternative wird häufig aber vergessen: Software „Made in Europe“. Besonders bei Videokonferenzen sind die Vorteile enorm.

Amerikanische Software kann zu DSGVO-Problemen führen

Aus Nutzersicht ist Software amerikanischer Anbieter praktisch. Fast jeder kennt sie und ist mit der Bedienung vertraut. Die marktführenden Anbieter haben dazu beigetragen, gewisse Standards ihrer eigenen Produkte zu etablieren. Aus Unternehmenssicht gestaltet sich die Sache weniger einfach.

Grundsätzlich ist jedes Unternehmen daran interessiert, durch gut funktionierende und bekannte Tools für hohe Produktivität zu sorgen. Spätestens seit der EU-Datenschutzgrundverordnung (DSGVO) aber sind Fragen des Datenschutz für die Auswahl von Software immer relevanter. In Kombination mit der US-Rechtslage wirft der Einsatz amerikanischer Produkte komplexe Fragen auf. Der Patriot Act etwa verpflichtet US-amerikanische IT-Unternehmen, Methoden zur Datenerfassung oder Backdoors einzubauen, die zum Zweck der nationalen Sicherheit von US-Behörden genutzt werden können. Allein das kann mit Blick auf den Datenschutz zum Problem werden, natürlich können diese Schnittstellen aber auch als Angriffspunkt für Cyberkriminelle dienen.

Auch der US-amerikanische Cloud Act erlaubt es den amerikanischen Behörden, die Herausgabe von Daten über elektronische Kommunikation zu erzwingen. Dies ist mit der DSGVO logischerweise schwer vereinbar.

Open Source: Souveränität auf Kosten von Sicherheit?

Aus solchen Überlegungen heraus und zudem um nicht von einzelnen großen IT-Konzernen abhängig zu sein, überlegen viele Unternehmen, auf Open Source Software zu setzen. Auch Staat und Behörden sind an vielen Stellen an einer „souveränen Lösung“ interessiert. Auch Open Source ist jedoch nicht frei von Bedenken. Besonders problematisch hier ist häufig die Frage der Sicherheit.

Es ist einfacher, eine Bank auszurauben, wenn man die Baupläne kennt. Im Fall von Open Source sind die Baupläne per Definition frei verfügbar, mit Vor- und Nachteilen für beide Seiten. Angreifer können sie lesen, um Schwachstellen zu finden, die Developer-Community kann sie nutzen, um sie zu schließen. Der Mehrzahl an Open Source-Projekten fehlt es aber an klaren Commitments und Roadmaps hinsichtlich Bugfixes und regelmäßigen Updates. Unternehmen können es sich nicht leisten, auf „Best Effort“-Lösungen zu setzen, denn die Anzahl an Cyberangriffen wächst und wächst. Die langfristige Versorgung mit Sicherheitsupdates ist ein absolutes Muss.

Tixeo entwickelt maximale Sicherheit Made in Europe und Kollaboration mit hohem Nutzerkomfort kontinuierlich weiter.

Auch mit unabhängigen und staatlichen Sicherheits-Zertifizierungen hat Open Source ein Problem: Meist gibt es keine, da Open-Source-Projekte weder TOE (Target of Evaluation) noch ST (Security Target) definieren, die von einer anerkannten Behörden getestet werden können. Somit haben Nutzer solcher Software keine Bescheinigung, dass diese gängige Sicherheitsstandards gewährleistet.

Im Hinblick auf Open Source ist auch der Cyber Resilience Act (CRA) von Bedeutung, den die EU initiiert hat. Dieser soll die Benutzer von Hard- und Software besser schützen. Anbieter müssten demnach für den gesamten Lebenszyklus und alle Verwendungen ihrer Software Sicherheitsupdates zur Verfügung stellen und bestimmte Richtlinien erfüllen. Für Open Source ist dies ein Problem, denn diese soll nur dann vom CRA ausgeschlossen sein, wenn sie für nicht-kommerzielle Verwendung genutzt wird.

Die Vorteile von Software „Made in Europe“

Der dritte Weg, neben den beiden bisher diskutierten, ist Software „Made in Europe“. Entgegen einem Vorurteil ist diese mindestens so leistungsfähig wie die Pendants amerikanischer Anbieter. Besonders bei Datenschutz und DSGVO-Komptabilität hat europäische Software meist deutliche Vorteile, da das Thema bei den Anbietern oft schon länger und präsenter im Bewusstsein ist. Und durch Hosting in Europe entfällt außerdem die Gefahr, dass Daten durch den Cloud Act an amerikanische Behörden gehen.

Auch hinsichtlich Cybersecurity lohnt sich der Blick auf europäische Anbieter. Sie erhalten ihre Sicherheitszertifikate von lokalen Behörden und nach lokalen Standards. Dies stellt sicher, dass die verwendete Software den nationalen Anforderungen und der Gesetzeslage entspricht.

Milliardenschäden durch Spionage – Bei Videokonferenzen gewinnt Made in Europe

Besonders bei Videokonferenzen sind Security und Datenschutz Kernfragen. In der Bitkom-Studie zum Wirtschaftsschutz 2023 geben 80 Prozent der Unternehmen an, dass sie von Spionage oder Diebstahl betroffen oder wahrscheinlich betroffen waren. 61 Prozent berichten, dass Kommunikation via Messenger oder E-Mail ausgespäht wurde. Der deutschen Wirtschaft entstehen durch Cyberangriffe jährlich Schäden über 200 Milliarden Euro. Der Schutz der digitalen Kommunikation verdient oberste Priorität.

Auch bei mehreren Teilnehmern sind Tixeo-Konferenzen End-to-End-verschlüsselt.

Tixeo hat die eigene Software von Beginn rund um Sicherheit und Vertraulichkeit entwickelt.

Tixeo ist die einzige Videokonferenz-Technologie, die für ihre Ende-zu-Ende-Verschlüsselung von der ANSSI (Nationale Agentur für Computer- und Netzsicherheit Frankreichs) nach CSPN zertifiziert wurde. Anders als bei vielen Anbietern sind bei Tixeo auch Konferenzen mit mehreren Teilnehmern durchgängig End-to-End verschlüsselt. Viele Videokonferenzlösungen geben an, eine End-to-End-Verschlüsselung zu bieten, verschlüsseln allerdings lediglich die Datenströme zwischen dem Benutzer und dem Kommunikationsserver. Sprich eine End-to-End-Verschlüsselung ist nur bei zwei Teilnehmern gegeben. Bei Tixeo dagegen werden Verschlüsselungsschlüssel mit der Konferenz erstellt und ausschließlich zwischen den Teilnehmern ausgetauscht. Es ist unmöglich, den Kommunikationsstrom zu entschlüsseln.

Die End-to-End-Verschlüsselung ist eine der wirksamsten Maßnahmen zur Abwehr von Cyberangriffen. Damit ist sie der Grundpfeiler von Videokonferenzen, die eine vollständige Vertraulichkeit der Kommunikation gewährleisten können. Zudem werden bei Tixeo mittels einer Multi-Cloud-Strategie alle Datenströme aus Meetings an verschiedenen Orten in Europa bei C5 zertifizierten Rechenzentren gehostet. Es besteht keine Verbindung zu Servern außerhalb Europas. Dadurch unterliegt Tixeo keiner außereuropäischen Gesetzgebung, die die Vertraulichkeit der ausgetauschten Daten gefährdet.

Aus gutem Grund setzen Unternehmen und Organisationen aus sensiblen Zweigen wie Pharma, Rüstung, Behörden oder kritische Infrastruktur auf Tixeo, weil wir uns voll und ganz der Datensicherheit verschrieben haben. „Made in Europe“ ist in diesem Fall die bessere Alternative zu Open Source oder gängigen amerikanischen Anbietern. Eine sorgfältige Suche bei der Auswahl von Software ist eine Investition, die Unternehmen im Zweifelsfall Millionen spart. Der Schutz von Nutzern und Daten ist 2023 wichtig wie nie, gerade bei der Kommunikation.

Spionage-Sichere Kommunikation ist nicht nur Angelegenheit des Staates

Spionage-Sichere Kommunikation ist nicht nur Angelegenheit des Staates

Expertenkommentar von Valentin Boussin

 

Erhöhen europäische Lösungen die Sicherheit unserer Kommunikation? Sicherheitsrelevante Komponenten von chinesischen Herstellern sollen aus der kritischen Kommunikations-Infrastruktur entfernt werden. Andere Länder sind diesen Weg längst gegangen. Der Blick sollte sich jedoch auch auf Software richten. Warum europäische Lösungen unsere Sicherheit erhöhen und welche Lücken sie schließen, erklärt Valentin Boussin, Country Manager DACH bei Tixeo, dem führenden europäischen Unternehmen für sichere Video-Kollaboration.

Nicht nur in Deutschland ist sichere Kommunikation ein heißes Thema. Die französische Generaldirektion für Innere Sicherheit (DGSI) warnt in ihrem aktuellen Newsletter ausdrücklich vor ökonomischer Einmischung bei Videokonferenzen und deren Methoden, wovon immer mehr Unternehmen betroffen sind. Der Wirtschaft entstehen durch Spionage Milliardenschäden, zudem bedeutet Einfluss auf unsere Kommunikationswege auch politische Macht. Wirtschaft und Politik sind sich immer bewusster, dass sie europäische Lösungen brauchen.

 

Konferenz-Software öffnet Spionen in Politik und Industrie die Tür

Neben Hardware weist auch nicht-europäische Software Lücken auf. So verpflichtet der „Cloud Act“ US-amerikanische Anbieter zu einer Backdoor, um Daten im Zweifelsfall an Behörden zu übermitteln. Die Sicherheit sensibler Informationen ist damit nicht gewährleistet, ganz abgesehen die Einhaltung der DSGVO. Weitere Gefahren bei Konferenzen, die über eine Plattform ohne echte Ende-zu-Ende-Verschlüsselung abgehalten werden, bestehen darin, dass Angreifer aktiv eindringen können, um Informationen abzugreifen oder um schädliche Daten einzuschleusen.

Angesichts von immer mehr Angriffen empfiehlt die DGSI Unternehmen ausdrücklich, Tools zur Videokollaboration in Sicherheits-Audits einzubeziehen. Mitarbeitende sollten zu Fragen von Identitäts- und Datendiebstahl sensibilisiert werden und Kommunikations-Tools verwenden, die von staatlichen Sicherheitsbehörden empfohlen sind. Die CSPN-Zertifizierung von Tixeo ist vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zu einem Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt. Damit garantiert die Plattform nicht nur den Schutz vor externen Angreifern während Meetings, die Software ist außerdem konform mit der DSGVO. Aus diesem Grund setzen zahlreiche Organisationen der kritischen Infrastruktur bei ihren Videokonferenzen auf Tixeo.

Europa braucht eigene Lösungen und diese müssen Secure-by-Design sein. Nachdem insbesondere während der Pandemie die Funktionalität im Vordergrund gestanden hat, wächst nun das Bewusstsein für Sicherheit. Beides darf sich nicht gegenseitig beeinträchtigen, sondern muss – und kann – Hand in Hand gehen. Glücklicherweise existieren entsprechende Lösungen bereits, denn wie die aktuellen Debatten zeigen, wächst das Risiko für Cyberangriffe Tag für Tag.

 

Über Tixeo

Tixeo ist das führende europäische Unternehmen für sichere Video-Kollaboration. Tixeo ist die einzige Videokonferenz-Technologie, die für ihre Ende-zu-Ende-Verschlüsselung von der ANSSI (Nationale Agentur für Computer- und Netzsicherheit Frankreichs) nach CSPN zertifiziert wurde. Diese Zertifizierung wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt. Tixeo ist von zahlreichen staatlichen Stellen geprüft und mit dem Label „Cybersecurity Made in Europe“ und vielen weiteren zertifiziert. Diese Maß an unabhängiger Überprüfung ist einzigartig und macht Tixeo zur sichersten Software für virtuelle Meetings weltweit. Hauptsitz von Tixeo ist Montpellier, mit Niederlassungen in Deutschland und Spanien. Weitere Informationen finden Sie auf: https://blog.tixeo.com/de/

PR-Kontakt

HBI GmbH

Florian Stimmer/ Corinna Voss/ Savina Gencheva

tixeo@hbi.de

www.hbi.de