IT-beveiliging | Digitale ‘soevereiniteit’ – nog een verre toekomst

Volgens het Bundesamt für Informationsschutz (BSI) zal Duitsland zijn afhankelijkheid van cloudoplossingen, AI-modellen en andere technische producten uit het buitenland niet snel kunnen overwinnen . Omdat de staat zijn digitale systemen en data voorlopig niet kan gebruiken zonder input van buiten Europa , ligt de prioriteit op korte termijn bij het implementeren van zoveel mogelijk controlemechanismen, aldus BSI-voorzitter Claudia Plattner. "Als het gaat om digitale soevereiniteit , oftewel het gebruik van Europese of Duitse fabrikanten en dienstverleners – ook voor satellieten of AI-toepassingen – dan moet je eerlijk zijn", aldus Plattner tegen het Duitse persbureau.

Hoewel hier vooruitgang zichtbaar is, is het toch duidelijk "dat sommige grote bedrijven, met name uit de VS, al tien jaar voorlopen op het gebied van overeenkomstige investeringen." Voor Duitse autoriteiten en bedrijven betekent dit dat er "op veel gebieden technologische afhankelijkheden bestaan." Het is onrealistisch om te geloven "dat we op korte termijn alles zelf kunnen doen", zegt Plattner, die al ruim twee jaar aan het hoofd staat van het Bundesamt.

De BSI is de centrale overheidsinstantie in Duitsland voor IT-beveiliging en valt onder het federale ministerie van Binnenlandse Zaken. Het agentschap, met hoofdkantoor in Bonn, ondersteunt federale overheidsinstanties bij het beveiligen van hun IT-systemen, waarschuwt voor risico's en ontwikkelt beveiligingsnormen die ook relevant zijn voor bedrijven. Bepaalde BSI-vereisten zijn zelfs wettelijk verplicht voor bedrijven die actief zijn in kritieke infrastructuren zoals energie, gezondheidszorg, telecommunicatie en transport.

Volgens Plattner hebben overheden een strategie nodig om te bepalen welke technologieën van buitenaf worden aangekocht "en hoe we daar een zekere mate van controle over krijgen". De samenwerking van het BSI met Google, die in het eerste kwartaal van dit jaar werd afgerond, is zo'n constructie. Google Cloud en het BSI tekenden in februari een overeenkomst ter ondersteuning van de ontwikkeling en levering van veilige cloudoplossingen voor overheden op federaal, staats- en lokaal niveau. Een "bijzondere focus" ligt op "het garanderen van datasoevereiniteit", aldus het BSI destijds.

De Duitse Informatica Vereniging (GfG) uitte scherpe kritiek op de overeenkomst. Ze noemde het "onverantwoordelijk dat de Amerikaanse overheid extra chantagepotentieel ontvangt – met name van een Duitse instantie die verantwoordelijk is voor IT-beveiliging – en dat gratis." Google, zo betoogde de organisatie, is vanwege de juridische situatie in de VS niet eens in staat een soevereine dienst aan te bieden. De "Cloud Act" reguleert de toegang van Amerikaanse autoriteiten tot gegevens die zijn opgeslagen door Amerikaanse bedrijven – zelfs als deze gegevens zich buiten de VS bevinden, bijvoorbeeld op servers in Europa.

Plattner erkent dat de Amerikaanse Cloud Act een van de vele wetten in de VS is die de overheid toegang verleent. Volgens de directeur van het BSI zou het antwoord op de vraag naar controle echter niet politiek, maar technologisch moeten zijn. "Het gaat erom ervoor te zorgen dat toegang technisch onmogelijk is", benadrukt ze. Dit geldt met name voor encryptie en de vraag of de gebruiker soevereiniteit heeft over deze sleutels.

In het voorjaar van 2024 kreeg de Duitse cloudprovider Ionos van de Duitse federale overheid de opdracht om een uiterst veilige computercloudoplossing te ontwikkelen. De "private enterprise cloud", gecertificeerd door het Bundesamt für Informationsschutz (BSI), zal worden beheerd in de datacenters van het Bundesamt für Informationstechnik (ITC). Het unieke aan de oplossing van Ionos is dat het platform niet is verbonden met het openbare internet.

Sinds 2 augustus gelden er EU-brede regels voor ChatGPT, Gemini en andere AI-modellen, die kunstmatige intelligentie transparanter en veiliger moeten maken. De rol die het Bundesnetzagentur en het BSI hierin zullen spelen, is nog niet definitief opgehelderd. Plattner is ervan overtuigd dat het BSI verantwoordelijk is voor cybersecurity, en dus ook voor AI-tools. Gezien het tempo waarin AI zich momenteel ontwikkelt, is de tijdsfactor van groot belang, waarschuwt de directeur van het BSI. dpa/nd