Cybersicherheitszertifizierung von Cloud-Dienstleistungen: Öffnet die deutsche Bundesregierung die Büchse der Pandora?

Teile der deutschen Wirtschaft äußern sehr große Bedenken hinsichtlich des Entwurfs für das Europäische Cybersicherheitszertifizierungsschema für Cloud-Dienste (EUCS) – ein Vorhaben, dass auf europäischer wie nationaler Ebene bislang weitestgehend hinter verschlossenen Türen verhandelt wurde.

Der Zertifizierungsrahmen, der eigentlich freiwillig sein sollte, sorgt bereits lange für Kontroversen. Unter der Führung des französischen EU-Kommissars Thierry Breton verfolgt die Europäische Kommission seit nunmehr drei Jahren das Ziel, sog. Souveränitätsanforderungen nach dem Modell der französischen Cloud-Sicherheitszertifizierung „SecNumCloud“ in Deutschland und anderen Ländern der EU einzuführen.

Die im Wesentlichen von Frankreich vorgeschlagenen Maßnahmen würden verhindern, dass Cloud-Unternehmen, die ihren Hauptsitz außerhalb Europas haben, die höchsten Sicherheitszertifizierungen in der EU erreichen können. Sie wären somit von großen Teilen des EU-Marktes ausgeschlossen.

Stark regulierte Unternehmen, etwa aus der Gesundheitsbranche, dem Finanzwesen oder dem Transportsektor, aber auch weite Teile der öffentlichen Verwaltung dürften die besten Cloud-Lösungen, die heute vor allem von Dienstleistern aus Nicht-EU-Ländern angeboten werden, nicht mehr nutzen. Deutschland droht somit, in diesen Bereichen technologisch abgehangen zu werden.

Cloud Computing ist heute nämlich viel mehr als nur die Speicherung von Daten auf externen Servern. Es umfasst ein breites Spektrum an Dienstleistungen, darunter Datenbanken, Netzwerkkapazitäten, ERP-Systeme, E-Mail, Kundenmanagement, Rechnungsstellung, Projektmanagement sowie diverse Office- und Kreativitätssoftware, und in jüngerer Zeit auch Künstliche Intelligenz, die maßgeblich Cloud-basiert angeboten und breit genutzt wird.

Ein freiwilliger Rahmen, der als Orientierungshilfe für Anbieter von Cloud-Diensten, Nutzer und Zertifizierer bei Auftragsvergaben dient, ist sicher sinnvoll und findet entsprechend auch breite Zustimmung sowohl in der Industrie als auch im öffentlichen Sektor. Es existieren bereits viele solcher Rahmenwerke oder “Lastenhefte”, wie man in Deutschland sagen würde.

Es wird jedoch problematisch, wenn ein solcher Rahmen per Gesetz für breite Teile der Wirtschaft und weite Teile des öffentlichen Sektors, wie zum Beispiel Schulverwaltungen, Krankenhäuser oder Krankenversicherungen, verpflichtend gemacht würde.

In einer ECIPE-Studie zeigen wir, dass Europa erhebliche Wohlstandsverluste erleiden könnte, die sich in die Zukunft fortschreiben und kumulieren, wenn der Zugang zu den besten Cloud-Diensten, die heute überwiegend von nicht-europäischen Unternehmen angeboten werden, unverhältnismäßig unter dem Deckmantel der „nationalen Sicherheit“ oder der „öffentlichen Ordnung“ beschränkt würde.

Mit dem „European Cybersecurity Certification Scheme for Cloud Services“ (EUCS) verfolgte die EU originär das Ziel, Cybersicherheitsstandards für Cloud-Computing-Dienste in Europa zu harmonisieren und so die digitale Infrastruktur besser zu schützen. Von Harmonisierung kann aber heute keine Rede mehr sein. Die Mitgliedstaaten der EU könnten, folgt man dem jüngsten Entwurf frei und unabhängig voneinander entscheiden, was ein Hochrisikosektor oder eine Hochrisikoorganisation ist.

Bei den Souveränitätsanforderungen, insbesondere dem Verbot für Unternehmen mit Hauptsitz in Nicht-EU-Ländern und bei Datenlokalisierungsvorgaben, geht es dabei, wenn überhaupt, nur nachrangig um Cybersicherheit. Experten meinen, dass Prozesse zur globalen Risikoidentifizierung, aufgebrochen werden, würden die global betrachtet sichersten Systeme in der EU nicht oder nur noch sehr eingeschränkt angewendet werden können.

Insbesondere die französische Politik, der die Europäische Kommission weitgehend zu folgen scheint, will mit dem öffentlichen Beschaffungswesen einerseits und strengen Vorgaben für private Unternehmen andererseits eine “versteckte” Industriepolitik betreiben, die den Binnenmarkt schwächen und rechtlich weiter fragmentieren könnte.

Die Regierungen der Mitgliedstaaten und die künftig zuständigen Behörden könnten gemäß des letzten EUCS-Entwurfs entscheiden, zahlreiche Unternehmen aus Deutschland und Europa von der Nutzung von Nicht-EU-Diensten auszuschließen, wenn diese „sensible Geschäftsmodelle“ betreiben oder wenn „Handelsgeheimnisse“ oder Patente nach Einschätzung von Behörden als schützenswert erachtet werden. Sogar der „drohende Verlust von Reputation, sollten Daten gestohlen werden“, kann als Tatbestand von den Behörden geltend gemacht werden, um ein deutsches Unternehmen als „Hochrisikoeinrichtung“ zu klassifizieren.

Das EUCS ist ein verstecktes Subventionsprogramm

Beim EUCS handelt es sich polit-ökonomisch betrachtet um ein Subventionsprogramm für Technologieunternehmen, die einen europäischem Pass haben, unabhängig davon, ob sie global operieren oder nicht.

Die Einschränkungen des EUCS würden insbesondere deutsche Unternehmen, darunter auch Start-ups, treffen, die auf die besten digitalen Lösungen setzen, um global und im Rahmen von internationalen Partnerschaften zu wachsen.

Die Frage, wie wir vor dem Hintergrund von Zugriffsrechten ausländischer Regierungen die Cybersicherheit in Deutschland und Europa stärken können, ist natürlich legitim. Ähnlich den Äquivalenzregelungen bei internationalen Datentransfers könnte entsprechend außerhalb des EUCS ein Normensystem etabliert werden. Dafür bräuchte es dann aber auch einen transparenten politischen Prozess auf EU-Ebene.

Mit Blick auf den Zugang zu modernen IT-Diensten ist es indessen entscheidend, dass Deutschland und Europa ein fruchtbarer Boden für Innovationen bleiben oder, realistischer betrachtet, ein fruchtbarer Boden für Innovationen werden.

Deutschland ist mit etwa 9 relativ großen Hardware- und Software-Unternehmen unter den 2.500 weltweit forschungsintensivsten Firmen vertreten. In der EU gibt es insgesamt etwa 40 dieser Unternehmen, die weltweit „mit“ führend sind.

Im Vergleich dazu stehen 267 – häufig global agierende – Unternehmen mit Hauptsitz in den USA, was einen erheblichen Vorsprung in Sachen Innovation, Forschung und Investitionen in IT-Infrastruktur darstellt.

Die 9 forschungsstärksten deutschen Unternehmen investierten im Jahr 2021 beachtliche 7,48 Milliarden Euro in Forschung und Entwicklung. Demgegenüber stehen die US-Unternehmen, die 231 Milliarden Euro in den technischen Fortschritt investierten – ein mehr als 30-faches Engagement. Diese Zahlen verdeutlichen die starke Präsenz und internationale Wettbewerbsfähigkeit der US-Anbieter in der IT-Hardware- und Softwarebranche.

Und es zeichnen sich Pfadabhängigkeiten ab: Wer heute stark investiert, wird wahrscheinlich auch in Zukunft stark investieren. Gerade vor diesem Hintergrund ist es besonders wichtig hervorzuheben, dass die Situation in der EU insgesamt nicht besser ist als in Deutschland. Daher ist es entscheidend, dass Deutschland und Europa die wirtschaftliche und technologische Integration mit den USA verstärken und nicht per Gesetz verringern, um nicht technologisch und in der internationalen Wettbewerbsfähigkeit dauerhaft – möglicherweise irreparabel – ins Hintertreffen zu geraten.

Nun zu den Ergebnissen unserer Studie: Wir haben diese Untersuchung durchgeführt, da wir uns eine realistischere Politikdebatte wünschen. Zudem hat die Europäische Kommission, trotz ihrer formellen Verpflichtung zu „Better Regulation Guidelines“, zu denen auch Gutachten bzw. Folgenabschätzungen gehören, bisher kein Gutachten zu den wirtschaftlichen Konsequenzen vorgelegt, und es scheint, als würde dies auch bis auf absehbare Zeit nicht geschehen.

Unser Gutachten stützt sich auf aktuelle Marktdaten, Prognosen und einige Annahmen über die Zukunft, die detailliert im Methodikteil nachzulesen sind. Wir gehen realistischerweise davon aus, dass europäische Cloud-Dienstleister nicht in der Lage sind, technologisch ausgereifte ausländische Dienste in derselben Menge und Qualität zu erbringen wie die führenden Anbieter aus Nicht-EU-Ländern.

Marktdaten zeigen nämlich, dass Unternehmen mit Sitz in der EU bei modernen Cloud-Diensten nur etwa 10% Marktanteil in der EU haben, was bedeutet, dass etwa 90% aller Cloud-Lösungen in der EU von Unternehmen außerhalb der EU angeboten werden.

Sogar in einem Szenario, in dem nur wenige kritische Bereiche des öffentlichen Sektors von der Nutzung ausländischer Cloud-Dienste ausgeschlossen würden, müssten EU-Anbieter ihren derzeitigen Marktanteil mehr als verdoppeln. Es stellt sich daher bereits vor diesem Hintergrund die Frage, woher das notwendige Geld für Investitionen und das erforderliche technische Fachpersonal kommen soll und wie lange dies dauern würde.

Sollte der EUCS kommen und zudem auch noch sehr restriktiv angewendet werden, wie es Teile der französischen Regierung in Brüssel immer noch etablieren wollen, wäre die EU in sämtlichen Bereichen, die von den nationalen Behörden als zu riskant für die Nutzung von Nicht-EU-Lösungen eingestuft werden, von den leistungsfähigsten globalen IT-Lösungen abgeschnitten.

In unserer Studie haben wir drei Szenarien betrachtet, die sich in der Breite der möglichen Klassifizierung von riskanten Industrien oder Unternehmen unterscheiden. In einem Szenario, das eine breite Abdeckung kritischer Sektoren vorsieht und den politischen Forderungen der französischen Regierung entspricht, könnte das jährliche BIP der EU kurz- bis mittelfristig um insgesamt etwa 3,9% sinken.

Selbst eine deutlich weniger restriktive Anwendung würde noch zu BIP-Verlusten von 0,2% führen, was die substanzielle Tragweite dieses Vorschlags verdeutlicht. Da sich die jährlichen Verluste kumulieren und die EU am weltweit weiter steigenden Produktivitätswachstum nicht mehr in dem Maße partizipieren kann, wie es ohne den EUCS der Fall wäre, wären die längerfristigen Wachstumseinbußen noch deutlich höher.

Vor dem Hintergrund der Auswirkungen eines möglichen EUCS ist es wichtig zu verstehen, dass der weitaus größte wirtschaftliche Wert von Innovationen – im Sinne von ermöglichter Wertschöpfung – vor allem dort entsteht, wo sie angewendet werden, und eben nicht ausschließlich dort, wo sie entwickelt werden.

Länder wie Deutschland, die im globalen Vergleich wenig in Forschung und Entwicklung im Bereich der Digitalwirtschaft investieren, können in Zukunft nur von globalen technologischen Entwicklungen profitieren, wenn sie offen für Innovationen bleiben. Diese Offenheit ist auch im Hinblick auf europäische Bestrebungen nach digitaler Souveränität und Cybersicherheit von entscheidender Bedeutung.

References

Bauer and Lamprecht (2023). The Economic Impacts of the Proposed EUCS Exclusionary Requirements: Estimates for EU Member States. Available at https://ecipe.org/publications/eucs-immunity-requirements-economic-impacts.