Gastbeitrag von Pantelis Astenburg*
Digitale Souveränität ist mittlerweile weit mehr als ein politisches Ziel, sie ist eine operative Notwendigkeit. Souverän bedeutet unabhängig und selbstbestimmt. Davon sind viele deutsche Unternehmen leider noch meilenweit entfernt.
Der Druck durch europäische Gesetze und Regularien zum Thema Digitale Sicherheit wie NIS-2, DORA und den Cyber-Resilience-Act, geopolitische Spannungen sowie die anhaltenden Zugriffsmöglichkeiten US-amerikanischer Behörden auf Daten in außereuropäischen Cloud-Umgebungen machen das Thema für CISOs und IT-Verantwortliche zunehmend geschäftskritisch. Während jedoch zahlreiche Anbieter mit dem Wort Souveränität werben, bleibt die tatsächliche Substanz oft unklar. Daher lohnt es sich, einen genaueren Blick darauf zu werfen, was eine SASE-Lösung tatsächlich souverän macht.
SASE – Secure Access Service Edge (SASE) beschreibt die Kombination von Sicherheits- und Netzwerkfunktionen in einem cloudbasierten Service. Dies wird meistens als Hardware vor Ort mißverstanden. Der Server im Keller ist kein Beweis für Souveränität. In der Branche kursiert der weit verbreitete Irrtum, dass Unternehmen, die eine physische Appliance in ihrem Rechenzentrum betreiben, bereits souveränes SASE nutzen. Das ist kurzsichtig.
Wesentlich ist nicht der Standort eines Geräts, sondern wo Regeln umgesetzt werden, wo das Management und die Steuerung erfolgen und wer die Daten während ihrer Übertragung tatsächlich kontrolliert. Eine lokale Box, die für Konfiguration, Updates und Betrieb auf Systeme außerhalb der EU angewiesen ist, bietet keine echte Souveränität. Das Problem wird dadurch nur verschoben.
Im übrigen haftet laut NIS2-Umsetzungsgesetz die Geschäftsführung persönlich bei schuldhaften Pflichtverletzungen mit ihrem Privatvermögen. Die persönliche Haftung betrifft primär das Innenverhältnis, d.h. die Geschäftsleitung haftet direkt gegenüber dem eigenen Unternehmen für Schäden, die aus einer mangelhaften Umsetzung von IT-Sicherheitsmaßnahmen entstehen.
Souveränität entsteht auf vier Ebenen erst wirklich
Eine vollumfängliche souveräne SASE-Architektur muss vier Ebenen umfassen, die zusammen betrachtet werden sollten:
Datenebene: Der Datenverkehr ist lokal zu prüfen, zu filtern und zu überwachen. Inhaltsinspektion, Bedrohungsabwehr und Richtliniendurchsetzung müssen innerhalb der eigenen Jurisdiktion erfolgen und dürfen nicht über Knotenpunkte außerhalb dieser laufen. In einer echten Sovereign-SASE-Umgebung bleibt der Datenverkehr im Land.
Steuerungsebene: In einer wirklich souveränen Umgebung müssen alle Funktionen – Zero-Trust-Zugriffskontrolle, Identitätsprüfung, kontinuierliche Authentifizierung und Zugriffsentscheidungen – komplett lokal durchgeführt werden. Jede Abhängigkeit von externen Identitätsanbietern oder Authentifizierungssystemen außerhalb der EU stellt eine potenzielle Schwachstelle dar.Managementebene:
Verwaltungsebene: Die Plattformverwaltung, Protokollierung, Konfigurationsmanagement und der operative Zugriff durch Administratoren müssen lokal und gemäß EU-Recht vollständig auditierbar sein. Eine Management-Konsole, die US-amerikanischen Mitarbeitern des Herstellers den Zugriff ohne ausdrückliche Genehmigung ermöglicht, erfüllt dieses Kriterium nicht.
Rechtliche Ebene: Die vertragliche Grundlage muss über eine Rechtsperson mit Sitz in der EU erfolgen. Mit dem US CLOUD Act können US-Behörden unter bestimmten Bedingungen auf Daten zuzugreifen, die von US-Unternehmen verwaltet werden, unabhängig davon, wo diese Daten physisch gespeichert sind.
Managed Service anstelle von Eigenbetrieb
Aufgrund der erheblichen operativen und finanziellen Aufwendungen können sich bislang nur große Unternehmen aus den Bereichen Verteidigung, Telekommunikation und kritische Infrastruktur den Aufbau einer eigenen souveränen SASE-Infrastruktur leisten. Dieser Aufwand kann auf ein Managed-Service-Modell übertragen werden, wenn man mit noris network zusammenarbeitet.
Die noris network betreibt hochverfügbare Rechenzentren ausschließlich in Deutschland, unterliegt den Gesetzen Deutschlands und Europas und schließt die Infrastrukturlücke, die viele Unternehmen von einer echten souveränen Lösung trennt. Der Dienst wird vertraglich über Versa Networks B.V., eine niederländische EU-Gesellschaft, abgewickelt, womit auch die vierte Souveränitätsebene durchgängig erfüllt ist.
Die digitale Souveränität kann nicht durch Marketing-Labels erreicht werden. Sie resultiert aus konsequenten Architekturentscheidungen auf allen vier Ebenen sowie aus der Auswahl von Infrastruktur- und Vertragspartnern, die sowohl juristisch als auch technisch in der EU verankert sind. Nur wer diese Kriterien konsequent anwendet, kann sicher davon ausgehen, dass seine SASE-Lösung wirklich souverän ist.
*Pantelis Astenburg ist Vice President Global Sales DACH bei Versa
![Lots of videos on my YouTube Channel](http://www.cole.de/Bilder/Youtube.jpg")
Lots of videos on my YouTube Channel
Meine Smartphonekamera macht sich manchmal beim Knipsen selbständig, und oft kommen dabei wirklich gute Bilder heraus, ohne dass ich etwas dafür kann.
