Digitale Souveränität und die Einschätzung der Sicherheit von Lieferketten. Eine Managementdisziplin?

Ramon Mörl, Geschäftsführer der itWatch, wurde mit dem Themenvorschlag „Digitale Souveränität und die Einschätzung der Sicherheit von Lieferketten“ von der hochrangig besetzten Jury des BSI für einen Vortrag auf dem 18. Deutschen IT-Sicherheitskongress des BSI und einen Buchbeitrag ausgewählt.
Inzwischen wurde dieser Vortrag von Ramon Mörl auf dem digitalen Kongress gehalten. Auch den Autorenbeitrag (PDF) können Sie nun direkt einsehen.
Herausgeber des kompletten Tagungsbandes ist das Bundesamt für Sicherheit in der Informationstechnik, Titel: „Cyber- Sicherheit ist Chefinnen- und Chefsache“, Tagungsband zum 18. Deutschen IT Sicherheitskongress 2022, SecuMedia-Verlag 2022. Sie können das Buch ab Ende Februar im Buchhandel und auf www.secumedia.shop erwerben, ISBN 978-3-922746-84-3.

Management Summary

Digitale Souveränität – im Folgenden D.S. – ist begrifflich nicht klar definiert. In diesem Beitrag wird ein Akteur im Cyber-Raum als digital souverän bezeichnet, wenn er seinen Willen eigenständig durchsetzen und das Ergebnis sicher kontrollieren kann.
Beispielsweise ist das Ausschalten eines Handys nicht als souverän zu bezeichnen, denn nicht nur die Erkenntnisse aus den Pegasus- und den Snowden Papieren haben gezeigt, dass auch im ausgeschalteten Zustand über Positionsmeldungen, Mikrofon und Kamera Überwachungsmöglichkeiten bestehen, die der Nutzer des Handys nicht mittels digitaler Mechanismen abschalten oder kontrollieren kann. Diese Einschränkung der Souveränität wird dem Nutzer auch nicht beim Kauf oder bei der Inbetriebnahme vermittelt.
In diesem Beitrag wird geklärt, welche Auswirkungen diese Erkenntnis auf verschiedene Akteure im Cyber-Raum haben könnte und welche Disziplinen notwendig wären, um in konkreten Handlungsszenarien die D.S. in geeigneter Weise den Anforderungen anzupassen.

In diesem Sinn ist D.S. ein Management-Prozess, dessen Ziel darin besteht, durch konkrete Verfahren Defizite in der D.S. erkennbar und die daraus resultierenden digitalen Abhängigkeiten kommunizierbar zu machen. Eine Prüfung unter Kosten-/Nutzen-Aspekten bildet die Grundlage für die Entscheidung, diese Defizite bei Bedarf zu minimieren oder ganz zu beheben und einem Controlling zu unterwerfen.
Da nicht jedem Akteur im Cyber Space das Know-how zur Verfügung steht, seine D.S. vollständig zu beurteilen, heutige Produkte zum großen Teil digitale Elemente enthalten und viele Produkte wie z. B. Autos, Züge oder Flugzeuge digitale Schnittstellen für potenziell Unbekannte anbieten, ergeben sich Abhängigkeiten, die die Komplexität signifikant erhöhen.
Die gesamte Lieferkette, alle Teilintegrationen, die beteiligten Betreiber können die D.S. eines Anwenders beeinflussen. Dadurch wird es notwendig, eine Vertrauenskette entlang der Lieferkette zu etablieren und die angebotenen Endprodukte bzgl. der D.S. auch mit zugesicherten Eigenschaften auszustatten und dafür mit einer Haftung zu unterlegen.