Bundeskanzler Friedrich Merz (CDU) und der französische Präsident Emmanuel Macron haben zu einem Gipfel geladen, dem „Gipfel zur Europäischen Digitalen Souveränität“. Entsprechend hoch waren die Erwartungen: Ein Aufbruchssignal sollte von dem Gipfel ausgehen – an Europa, aber auch in die USA und nach China. Im Fokus stand dabei das Bestreben, in der EU die digitale Souveränität zu stärken. Darunter verstanden alle Beteiligten das Ziel, im digitalen Sektor die wirtschaftlichen Abhängigkeiten zu außereuropäischen Anbietern zu reduzieren.

Um dieses Ziel zu erreichen, will das deutsch-französische Tandem nicht nur bestehende Schutzrechte abbauen, sondern Regulierung vom Kopf auf die Füße stellen. „Product first, regulation second“, lautete das Credo von Digitalminister Karsten Wildberger (CDU). Erst müsse man das Produkt bauen, so der Minister, und danach die Risiken evaluieren. Die KI-Verordnung verfolgt bislang den genau entgegengesetzten Ansatz: eine risikobasierte Regulierung, bevor eine neue Technologie auf den Markt kommt.

In seiner Keynote bestärkte Macron diese Stoßrichtung: „Wenn wir den USA und China das Feld überlassen, haben wir eine gute Regulierung, aber regulieren am Ende nichts mehr.“

Angesichts dieser Agenda verwundert es nicht, dass Vertreter:innen der Zivilgesellschaft nur einen Platz im Zuschauerraum erhielten. Und es ist sicher kein Zufall, dass die EU-Kommission just einen Tag nach dem Gipfel ihren „Digitalen Omnibus“ vorstellen wird – ein umfassendes Gesetzespaket, das darauf abzielt, Verbraucher:innenrechte und KI-Regulierung in der EU zu schleifen.

Die EU zum Spitzenreiter machen

Merz und Macron hielten zum Abschuss des Gipfels Reden, in denen sie ihre Vorstellungen der gemeinsamen Zusammenarbeit skizzierten. Auf den rund zehn Panels des Tages saßen unter anderem Bundesdigitalminister Wildberger, seine französische Amtskollegin Anne Le Hénanff und EU-Kommissions-Vizepräsidentin Henna Virkkunen. Daneben waren Vertreter:innen von großen europäischen Unternehmen wie SAP, Telekom, Mistral und Siemens vertreten.

Wildberger betonte, die EU gemeinsam mit Frankreich zum „Spitzenreiter bei Schlüsseltechnologien“ machen zu wollen. Und seine französische Amtskollegin Le Hénanff unterstrich, dass Frankreich und Deutschland „von dem Ehrgeiz getrieben“ seien, Unternehmen wettbewerbsfähiger zu machen. Und „digitale Souveränität geht nicht ohne KI“, betonte der Minister.

In diesem Sinne ging es auf dem Gipfel viel um Wertschöpfung und Innovationsgeist, Hochleistungsrechner und Quantenforschung. Und alle Seiten betonten, dass es nun wichtig sei, ins Machen zu kommen und das Tempo zu erhöhen. Das Rennen sei noch nicht vorbei, die Aufholjagd könne aber nur gelingen, wenn man „den Fuß von der Bremse“ nehme, so Wildberger.

Weniger Hürden, mehr Überholspur

Die Regierung verengt den Begriff der digitalen Souveränität dabei auf ökonomische Aspekte. Besonders deutlich wurde das in der Keynote von Bundeskanzler Merz. Der forderte nicht weniger als die „Innovationsführerschaft“ für Europa, um so der Dominanz der USA und Chinas zu entkommen. Die Staaten seien bereit, dafür einen entsprechenden Ordnungsrahmen zu schaffen, dann aber sei die Wirtschaft am Zuge.

Merz und Macron verwiesen beide auf den „Digitalen Omnibus“, den die EU-Kommission morgen vorstellt. Das umfassende Gesetzespaket verfolgt ebenfalls das Ziel, den Fuß von der Bremse zu nehmen. Laut Kommission soll es Regeln vereinfachen, überlappende Gesetze in Einklang bringen und Bürokratie abbauen. Der im Vorfeld von netzpolitik.org veröffentliche Zwischenstand lässt hier allerdings wenig Gutes erahnen.

Demnach will die Kommission die Datenschutzgrundverordnung erheblich schwächen und die Umsetzung zentraler Teile der KI-Verordnung für zwölf Monate aussetzen. Vor allem sensible personenbezogene Daten sowie Hochrisiko-Systeme bei sogenannter Künstlicher Intelligenz wären von den Änderungen betroffen. Das Ziel ist es also, Regulierung zu bremsen, damit Start-ups auf die Überholspur kommen.

Deklaration für mehr Deregulierung

Die Kommission treibt damit ebenfalls jene Umkehr an, die auch das deutsch-französische Tandem forciert: Erst mal machen, dann regulieren. Auf eine griffige Formel brachte das Vorgehen der Parlamentarische Staatssekretär im Digitalministerium, Thomas Jarzombek, am Gipfeltag. Er strebt eine Disruption „wie vor 150 Jahren“ an. Man müsse Dinge „einfach mal machen“ und „losmarschieren“. „Als die ersten Autos auf die Straße kamen, sprach auch niemand über die Verkehrstoten“, so der Staatssekretär.

Ins gleiche Horn stößt offenbar der Wortlaut der „Declaration for European Digital Sovereignty“. Die von Österreich initiierte Abschlusserklärung des Gipfels wird am Abend verabschiedet und ist rechtlich nicht bindend. Sie formuliert den Anspruch der EU, in kritischen Bereichen künftig unabhängig von Drittstaaten zu bleiben. Dafür brauche es langfristig auch private Investitionen in Hochleistungsrechner, Halbleiterfertigung oder Quantenforschung. Gleichzeitig aber müsse die EU private regulatorische Hürden abbauen, wie das Handelsblatt berichtet.

Zivilgesellschaft als fünftes Rad am Wagen

Nennenswerte Kritik am Deregulierungs-„Aufbruch“ der Bundesregierung war auf dem Gipfel nicht zu hören. Das könnte damit zusammenhängen, dass die Zivilgesellschaft auf den Panels nicht vertreten war, sagte Julia Pohle vom Wissenschaftszentrum für Sozialforschung in Berlin (WZB) gegenüber netzpolitik.org. „Die hätten womöglich über Gemeinwohl und Nachhaltigkeit gesprochen und das scheint nicht zum offiziellen Diskurs zu passen.“ Dass europäische digitale Souveränität demokratischen Werten und Grundrechten im Digitalen dienen soll, fiel damit hinten runter, so Pohle.

Auch Henriette Litta, Geschäftsführerin bei der Open Knowledge Foundation Deutschland, zeigte sich enttäuscht. Zwar begrüße sie, dass der Gipfel eine konsequente europäische Perspektive einnehme. „Ansonsten gab es aber keine Diskussionen und auf der Bühne kamen nur blumige Konsenspositionen vor“, sagte Litta gegenüber netzpolitik.org.

Rund 70 Vertreter:innen der Zivilgesellschaft hatten laut Digitalministerium zugesagt, zu dem Gipfel zu kommen. Insgesamt 150 Einladungen hatte das Ministerium zuvor an die Zivilgesellschaft verschickt. Einige Organisationen hatten bereits vor dem Gipfel die Sorge geäußert, dass der geplante Gipfel sich auf Großprojekte und KI fokussiere. Weder diese Sorge noch die Forderungen aus der Zivilgesellschaft wurden jedoch angehört.

So hatten das Bündnis „Offene Netzwerke und demokratische Öffentlichkeit. Dezentral, souverän und fürs Gemeinwohl!” und die Agora Digitale Transformation unter anderem öffentliche Investitionen in digitale Infrastrukturen gefordert. Als Beispiel nannten sie eine jährliche Förderung in Höhe von 30 Millionen Euro für das Fediverse sowie mehr Präsenz öffentlicher Behörden und Ministerien auf offenen Plattformen. Außerdem schlugen sie vor, dass freie und offene Software ohne Gewinnerzielungsabsicht gemeinnützig werden müsse, um die digitale Souveränität zu stärken.

Keine dieser möglichen Maßnahmen hat die Bundesregierung auf ihrem Gipfel aufgegriffen. Vielleicht wollte sie auch die Harmonie des Tages nicht stören.

Am 24. Oktober dieses Jahres hat Microsoft in seiner Azure-Cloud einen umfangreichen DDoS-Angriff mit mehreren Angriffsvektoren von 15,72 TBit pro Sekunde beobachtet. Die Last erzeugten 3,64 Milliarden Pakete pro Sekunde, was die derzeit größte beobachtete DDoS-Attacke auszeichnet, schreibt Microsoft in einem Blog-Beitrag.

Das Unternehmen führt aus, dass der Angriff vom Aisuro-Botnet ausging – das hatte im Mai etwa das Blog des IT-Sicherheitsjournalisten Brian Krebs attackiert. Es handele sich dabei um ein Mirai-artiges Botnet „mit Turbo“, das immer wieder rekordverdächtige DDoS-Angriffe ausführt. Dabei missbrauchten die kriminellen Drahtzieher kompromittierte Heimrouter und Kameras, die zum Großteil in Netzen von Internetprovidern für Privathaushalte in den USA und anderen Ländern stünden.

Bei einem DDoS-Angriff überfluten bösartige Akteure Server oder Systeme mit so vielen Anfragen, dass sie reguläre Anfragen etwa von echten Menschen nicht mehr beantworten können. DDoS-Angriffe nehmen sie somit quasi offline.

Der Angriff umfasste unter anderem UDP-Floods mit extrem hohen Raten, die auf eine bestimmte öffentliche IP-Adresse gerichtet waren – einem einzelnen Endpunkt in Australien. Sie gingen von mehr als einer halben Million Quell-IP-Adressen aus diversen Regionen aus. Die UDP-„Ausbrüche“ zeigten nur zu einem kleinen Teil Spoofing der Quelle und verwendeten zufällige Quell-Ports, was die Rückverfolgung erleichterte. „Angreifer skalieren mit dem Internet selbst“, schreibt Microsoft, „mit steigenden Geschwindigkeiten der Glasfaseranschlüsse und zunehmend stärkerer IoT-Hardware klettert auch die Grundlinie für Angriffsgrößen“.

DDoS-Angriff abgewehrt

Microsoft erklärt, dass der DDoS-Schutz von Azure den Angriff automatisch entdeckt und abgewehrt habe. „Bösartiger Verkehr wurde effektiv ausgefiltert und umgeleitet, was zur ununterbrochenen Dienstverfügbarkeit für Kunden-Workloads führte“, schreibt der Autor des Blog-Beitrags.

Im Juni hatte Cloudflare eine Spitzenlast von 7,3 TBit/s bei einem DDoS-Angriff beobachtet. Damit hat sich der der Spitzenwert in nicht einmal einem halben Jahr mehr als verdoppelt.

Anfang September hatte Cloudflare zuletzt eine DDoS-Attacke mit in der Spitze 11,5 TBit pro Sekunde gemeldet. Dafür hatten die Angreifer sogar 5,1 Milliarden Pakete pro Sekunde gesendet – deutlich mehr als die Angreifer jetzt an den von Microsofts Azure geschützten Endpunkt.

(dmk)