Secure Platform

2. Handreichung (2021)

Technische Empfehlungen für das europäische IT-Ökosystem

Die Handreichung des TeleTrusT-Arbeitskreises ist ein umfassendes Werk, das der Problemstellung in Sachen Abhängigkeit von fernöstlich und US-amerikanisch dominierten Lieferketten adäquat Rechnung trägt. Ausgangspunkt ist weiterhin die Förderung Digitaler Souveränität durch die Stärkung bzw. Schaffung eines europäischen IT-Ökosystems, um manipulationssichere Verarbeitung technisch sicherzustellen. Es baut auf dem etablierten IT-Schichtenmodell auf und erweitert es gezielt. Ein Angriffsmodell mit staatlichen Akteuren, Lieferanten, Betreibern und externen Angreifern wird darübergelegt, um konkrete Anknüpfungspunkte für technische Empfehlungen abzuleiten.

Grundlegende Erkenntnis unter Berücksichtigung von Standardisierungsaktivitäten, risikoorientierten Beschaffungsentscheidungen und "Security by Design"-Prinzipien ist, dass im Ökosystem nicht überall die höchsten Sicherheitskategorien

  1. Robuste Versorgung mit mehreren unabhängigen Lieferanten je Komponente,
  2. Verifizierbar manipulationssichere Technik,
  3. Unabhängigkeit der Auditoren,

erreicht werden können. Eine Experteneinschätzung liefert im Ideal erreichbare Sicherheitskategorien pro Angriffsvektor und den erforderlichen Umsetzungsaufwand. Die Grobschätzung ergibt die wenig überraschende Aussage, dass mehrere Tausend Personenjahre Arbeit erforderlich sind, um das europäische Ökosystem zu erschaffen. Positiv: Es wird bei entsprechender Priorisierung und Fokussierung als grundsätzlich möglich erachtet.

 

1. Handreichung (2020)

Digitale Souveränität als Motivation für ein sicheres IT-Ökosystem in Deutschland und Europa

Informationstechnik ist fest in jedem Bereich des Alltags verankert und Grundlage der Digitalisierung. "Digitale Souveränität" ist eine entscheidende Vorbedingung für die Wettbewerbsfähigkeit Europas, gerade auch mit Blick auf "Industrie 4.0", aber ebenso für den Betrieb kritischer Infrastrukturen oder Vorhaben wie GAIA-X und 5G.

Derzeit ist diese Digitale Souveränität aus mehreren Gründen nicht gegeben:

  1. Es bestehen starke Abhängigkeiten von auswärtigen Technologieproduzenten.
  2. Eingesetzte Technologien sind komplexe, intransparente Systeme.
  3. Nachhaltige IT-Sicherheit scheint kein Entscheidungskriterium zu sein.

Es ist weder realistisch, notwendig noch wünschenswert, alle Elemente einer digitalen Infrastruktur von europäischen Herstellern entwickeln und fertigen lassen zu wollen. Eine erfolgversprechende und zielführende Strategie ist jedoch, ausgewählte Themenfelder durch europäische Anbieter zu besetzen. Die Wiedererlangung Digitaler Souveränität kann erreicht werden durch:

  • Reduktion digitaler Abhängigkeit von außereuropäischen Anbietern,
  • Abkehr von schädlichen Designparadigmen

 sowie

  • Begünstigung eines verantwortungsbewussteren Käuferverhaltens.

Dieses Positionspapier ist ein Aufruf des TeleTrusT-Arbeitskreises "Secure Platform", mit Handlungsempfehlungen gerichtet an die maßgeblichen Akteure, die für eine neue Digitale Souveränität sorgen können.