Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.
Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.
Die Sicherheitslücken betrafen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.
„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.
Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.
Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.
„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.
So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.
Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.
Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.
Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.
In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.
Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“
Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.
Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.
Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).
Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.
Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.
Dieses Siegel macht die Daten allerdings auch überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrerer Sicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.
Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“. Und der Verbraucherschutz Bundesverband sprach sich im November 2024 in einem Gutachten ebenfalls klar gegen signierte Daten aus.
An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.
Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.
Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.
Die öffentliche Verwaltung steckt in einem Dilemma: Seit Jahrzehnten nutzen die meisten Behörden Microsoft-Produkte und Alternativen sind offenbar nur schwer vorstellbar. Nirgends zeigt sich das derzeit so deutlich wie in Bayern.
Im Oktober regte sich Kritik (PDF) an den Plänen des bayerischen Finanzministers Albert Füracker (CSU), Microsoft für fünf weitere Jahre in der Landesverwaltung einsetzen zu wollen. Seit 2023 besteht ein sogenannter Handelspartnervertrag zwischen der bayerischen Staatsverwaltung und dem US-Konzern. Er legt die Konditionen fest, zu denen das Bundesland Bürosoftware und Windows-Lizenzen bezieht. Dieses Vertragsverhältnis will Füracker nun verlängern.
Doch es regt sich breiter Widerstand gegen seine Pläne. „Wir reden hier nicht über den Kauf einzelner Excel-Lizenzen, sondern über eine Zementierung unserer kompletten digitalen Infrastruktur auf Jahre hinaus“, sagt Florian von Brunn (SPD) gegenüber netzpolitik.org.
Aber auch in der Landesregierung gibt es deutliche Kritik. Füracker und Digitalminister Fabian Mehring (Freie Wähler) stritten öffentlich um Datenschutz, Abhängigkeit – und um die Frage, ob die US-Regierung über Microsoft auf bayerische Daten zugreifen könnte. Die breite Medienberichterstattung über den Konflikt brachte Markus Söder (CSU) dazu, sich einzuschalten: „Solche Fragen gehören intern besprochen“, mahnte der bayerische Ministerpräsident.
Dass die öffentliche Verwaltung auch ohne Microsoft-Produkte arbeiten kann, zeigt das Beispiel Schleswig-Holstein. Das nördliche Bundesland gelang vergangenes Jahr der Umstieg auf einen Open-Source-Arbeitsplatz in der öffentlichen Verwaltung. Das Fazit fällt bisher positiv aus. Seit dem Umstieg habe man bereits rund 15 Millionen Euro an Lizenzkosten eingespart, sagt Digitalisierungsminister Dirk Schrödter auf Anfrage. Dagegen befürchten Fürackers Kritiker, dass der für seine Verhandlungen mit Microsoft einen dreistelligen Millionenbetrag veranschlagt. Auf Anfrage von netzpolitik.org will sich das Ministerium weder zu den Lizenzkosten noch dazu äußern, mit welchen Einsparungen es rechnet.
Auch in Bayern schaut man Richtung Norden. Er stehe im engen Austausch mit der SPD-Fraktion in Kiel, erklärt von Brunn. Er hofft offenbar darauf, dass die positiven Impulse von dort auch im Süden ankommen. „Es entbehrt nicht einer gewissen Ironie, dass die Regierung Söder in Bayern die Zeichen der Zeit nicht erkennt, während der CDU-Kollege Daniel Günther im Norden auf digitale Souveränität setzt.“
Als „Zeichen der Zeit“ sehen derzeit viele die dramatische geopolitische Lage, ausgelöst durch eine erratische Politik der US-Administration unter Präsident Donald Trump.
Die Auswirkungen zeigt etwa der Fall am Internationalen Strafgerichtshof in Den Haag. Mindestens zwei Richter verloren im Mai vergangenen Jahres jeglichen Zugriff auf digitale Dienste von US-amerikanischen Unternehmen, mutmaßlich infolge ihrer Rechtsprechung. Zu diesen Diensten gehören auch Microsoft-Produkte wie Outlook oder Office.
Seitdem stellen sich Politiker*innen zunehmend die Frage, wie viel Microsoft in der öffentlichen Verwaltung vertretbar ist – zumal diese in der Regel auch mit sensiblen Daten arbeitet. Zwar versichert das bayerische Finanzministerium gegenüber netzpolitik.org, dass die Daten dauerhaft „in mehreren staatseigenen Rechenzentren auf bayerischem Boden gesichert“ seien. Das schließt aber nicht aus, dass US-Behörden auch auf bayerische Verwaltungs- und Bürger:innendaten zugreifen.
Zu diesem Schluss kommt ein Gutachten vom März 2025, das im Auftrag des Bundesinnenministeriums (BMI) erstellt wurde. Demnach erlaube der US-amerikanische Clarifying Lawful Overseas Use of Data Act, kurz CLOUD Act, den dortigen Sicherheitsbehörden weitreichenden Zugriff auf Daten in europäischen Rechenzentren. Auch der Foreign Intelligence Surveillance Act (FISA) lasse einen solchen Datenzugriff zu. Die Gefahr, die von diesen Gesetzen für die Verwaltung ausgeht, diskutierte (PDF) auch der Landtag Baden-Württemberg im Sommer.
„Das hebelt europäisches Recht aus“, so von Brunn. Daher fordere die SPD in Bayern nicht nur „ein sofortiges Moratorium für den Microsoft-Deal“, sondern auch „einen verbindlichen Migrationsplan bis 2030 hin zu Open Source“. Diese Strategie sollte auch vorsehen, technologische Abhängigkeiten von einzelnen Konzernen überhaupt erst zu identifizieren, sagt Benjamin Adjei von den Grünen auf Anfrage. Um die „heimische Digitalwirtschaft“ zu stärken, brauche es außerdem jene finanziellen Mittel, die die bayerische Landesregierung in Lizenzkosten von Microsoft aufwende.
Inzwischen hat sich auch die SPD-Bundestagsfraktion in die Causa Microsoft eingeschaltet. In einem offenen Brief an Füracker positionieren sich deren digitalpolitischer Sprecher, Johannes Schätzl, der Landesvorsitzende der BayernSPD, Sebastian Roloff, und die Vorsitzende der SPD-Landesgruppe Bayern, Carolin Wagner, „gegen die Entscheidung, zentrale staatliche IT-Strukturen langfristig und ohne strategische Alternativenbewertung an einen einzelnen Anbieter zu binden“.
Füracker habe auf das Schreiben bislang nicht reagiert, sagt Carolin Wagner gegenüber netzpolitik.org, „ich bin mir aber sicher, dass er es gelesen hat“. An ihren Forderungen hält sie weiterhin fest: „Wir werden als Bundesrepublik nicht digital souverän, wenn die Bundesländer nicht souverän werden und dafür gilt es jetzt in München die Weichen zu stellen.“ Andernfalls setze Microsofts „monopolistische Stellung“ die öffentliche Verwaltung weiterhin „einer schutzlosen Preisgestaltung“ aus, warnt die SPD-Politikerin.
Von der Forderung nach digitaler Souveränität hält der Politikwissenschaftler Thorsten Thiel von der Universität Erfurt indes wenig. Der Begriff führe viele, teils widersprüchliche Interessen zusammen und verschleiere, worum es im Kern eigentlich gehen sollte: eine öffentliche digitale Infrastruktur, die Politik und Zivilgesellschaft demokratisch gestalten.
Eines der Hauptprobleme sieht er darin, dass die Politik digitale Souveränität bestellt und die Wirtschaft liefert. Amazon, Google und Microsoft bieten inzwischen vermeintlich souveräne Cloud-Lösungen an – ohne dass die darin gespeicherten Daten tatsächlich sicher vor einem Zugriff durch US-Behörden sind. Souveränität sei so längst zu einem Service geworden, den Tech-Konzerne anbieten, sagt Thiel. In der Forschung wird dies als sovereignty-as-a-service bezeichnet.
Gleichzeitig greifen die Unternehmen gezielt in die Debatte darum ein, was digitale Souveränität bedeutet. „Sie eignen sich die Bedeutungen des zivilgesellschaftlichen Konzepts gezielt an und höhlen es aus“, sagt Thiel gegenüber netzpolitik.org. In der Folge entkämen sie auch einer schärferen Kontrolle und Regulierung durch die Politik.
„Wir sollten daher nicht danach fragen, ob das betreffende IT-Produkt nach Standard XY souverän ist“, sagt Thiel. Viel wichtiger sei die Frage, wie sehr wir uns binden, wenn wir eine bestimmte Software in der öffentlichen Verwaltung einsetzen.
Bei den Plänen Fürackers geht es aus Sicht des Politikwissenschaftlers um die Frage, ob in Bayern damit Alternativen verhindert werden. Thiel fordert daher positive Gegenbegriffe wie jenen der Interoperabilität. Der Begriff beschreibt die Fähigkeit verschiedener digitaler Systeme, miteinander zusammenzuspielen und Daten auszutauschen. Proprietäre Software verhindere dies in der Regel.
Einer aktuellen Studie zufolge kann Künstliche Intelligenz bereits anspruchsvolle Aufgaben wie das Schreiben von Zero-Day-Exploits erledigen, die bisher von menschlichen Experten erledigt wurden. Das Papier sorgt in der Security-Community entsprechend für Aufsehen – und das auch verdient: Die Studie unterscheidet sich grundlegend von „Trust me, bro“-Berichten über irgendwelche chinesischen Angreifer, die unglaubliche Dinge tun sollen. Der Autor Sean Heelan dokumentiert genau, was er wie gemacht hat und warum. Dazu stellt er die dabei entwickelten Prompts und Tools als Open Source zur Verfügung. Schließlich diskutiert er im Rahmen seiner Analyse die Schlüsse, die er aus den Ergebnissen zieht, und auch deren Grenzen.
Weiterlesen nach der Anzeige
Die Kernaussage von Heelans Beitrag „On the Coming Industrialisation of Exploit Generation with LLMs“ ist: Das Finden und konkrete Ausnutzen von Sicherheitslücken mit Exploits wird mit KI komplett industrialisiert. Der begrenzende Faktor für „die Fähigkeit eines Staates oder einer Gruppe, Exploits zu entwickeln, in Netzwerke einzudringen, […] und in diesen Netzwerken zu bleiben“ wird nicht mehr die Anzahl der von ihnen beschäftigten Hacker sein. Die relevante Grenze ist der „token throughput over time“ – also letztlich, wie viel Geld man in KI-Ressourcen investiert. Und das ist keine ferne Zukunft, sondern offensichtlich bereits Realität. Der Autor der Studie konnte es in seinen Experimenten ganz konkret beobachten: „Als die Herausforderungen schwieriger wurden, konnte ich immer mehr Token ausgeben, um weiterhin Lösungen zu finden. Letztlich war mein Budget der begrenzende Faktor, nicht die Modelle.“
Heelan hatte einen Zero-Day-Bug in QuickJS gefunden (übrigens mit einer KI). QuickJS ist ein einfacher JavaScript-Interpreter mit diversen Einschränkungen, aber schon ein recht komplexes Stück Software. Dann baute er Agents auf Basis von Anthropics Opus 4.5 (Claude) und OpenAIs GPT-5.2 (ChatGPT), die die Aufgabe erhielten, eigenständig funktionierende Exploits für diesen Bug zu erstellen. Durch die Tatsache, dass die Lücke noch nirgends dokumentiert war, konnten die KI auch nicht irgendwo abschreiben und Heelan überprüfte das Ergebnis rigoros (und ertappte auch tatsächlich eine der KIs beim Versuch, zu cheaten).
Um das Ergebnis aussagekräftiger zu gestalten, fügte Heelan schrittweise zusätzliche Exploit-Mitigations wie eine Sandbox und Control Flow Integrity hinzu, die die Aufgabe schrittweise und teils drastisch erschwerten. Das Ziel war immer nachgewiesene Remote Code Execution – also etwa eine Verbindung zu einem externen Netzwerk-Port mit einer Shell mit den Rechten des ausführenden JS-Interpreters. Es handelte sich somit um reale und recht anspruchsvolle Aufgaben, für die man normalerweise mindestens einen versierten Security-Spezialisten benötigen würde – besser sogar ein Team. Die KIs bekamen keine Anleitung oder auch nur Hilfestellung, sondern lediglich eine Umgebung, in der sie nach möglichen Lösungen suchen, die evaluieren und dann verwerfen oder weiter verbessern konnten.
Und das Ergebnis war beeindruckend: ChatGPT löste tatsächlich alle Aufgaben; Claude schaffte es in allen Fällen bis auf zwei. Insgesamt erstellten die KIs 40 funktionierende Exploits. Dabei fanden sie keine bahnbrechenden Dinge heraus, sondern nutzten vielmehr bekannte Einschränkungen und Schwächen der jeweiligen Mitigations, um diese zu umgehen. Wie sie die im konkreten Fall ausnutzen konnten, erarbeiteten sie sich selbst. Und sie kamen dabei auf Tricks, die Sean bis dato nicht bekannt waren und die er auch nicht im Internet finden konnte.
Weiterlesen nach der Anzeige
Heelan demonstriert unter dokumentierten, verifizierbaren Rahmenbedingungen, dass und wie KIs die IT-Sicherheit unumkehrbar verändert: Man kann Angriffswerkzeuge für Tokens kaufen – und das skaliert unabhängig von der Ressource Mensch. In seinen Worten: „Du kannst Token gegen echte Ergebnisse eintauschen.“
Dass die Angriffsfähigkeit mit den Ressourcen des Angreifers skaliert, ist bereits bekannt. Nicht umsonst spielen staatlich finanzierte Advanced Persistent Threats in dieser Hinsicht in der höchsten Liga. Doch inzwischen ist nicht mehr von Millionen-Investments die Rede: Für das Lösen der anspruchsvollsten Aufgabe benötigte ChatGPT etwas mehr als drei Stunden; die Kosten für diesen Agenten-Lauf beliefen sich auf etwa 50 US-Dollar. Das ließe sich also leicht verzehn-, verhundert- oder gar vertausendfachen, ohne das Budget einer mittelgroßen Cybercrime-Bande zu sprengen. Damit skaliert das in einer Art und Weise, die bislang nicht für möglich gehalten wurde.
Es wäre somit erstmals realisierbar, mit einem überschaubaren Investment ein Arsenal von funktionierenden Zero-Day-Exploits für nahezu alle mit dem Internet verbundenen Geräte zu erstellen. Eine Verbindung mit dem Intervnet ist dann kein theoretisches Risiko mehr, das man managen kann. Es bedeutet vielmehr die Gewissheit, dass da draußen jemand direkt die Möglichkeit hat, Schwachstellen auszunutzen – und das im Zweifelsfall auch macht.
Für dieses Szenario müssen wir Security neu denken. Also nicht unbedingt neue Technik, wie wir IT sicher machen. Das wissen wir und die bekannten Methoden funktionieren auch gegen KI-unterstützte Angriffe. Die zentrale Herausforderung ist, wie wir diese Security in die Fläche bekommen, damit das Vorhandensein von Sicherheitslücken eine Ausnahme wird und nicht die Regel.
Was wir auf alle Fälle dringend benötigen, sind mehr Studien dieser Art und Qualität, die nicht nur unser Verständnis der Möglichkeiten von KIs verbessern, sondern weitere Forschung aktiv unterstützen. Insbesondere brauchen wir ähnlich konstruktive Ansätze, um die andere Seite der Medaille zu evaluieren – also wie man mit KI den Angreifern das Leben schwerer macht und den Verteidigern hilft. Und damit meine ich nicht noch knalligere Werbung für angebliche KI-Funktionen in Security-Tools oder mehr „vertraut uns – wir haben das im Griff“
(ju)
„Die Europäische Union ist von ausländischen Technologien abhängig, was erhebliche Risiken für sie birgt“, heißt es in einem Bericht, den das Europäische Parlament am Donnerstag mit großer Mehrheit angenommen hat. Einige wenige Unternehmen verfügten über eine „konzentrierte Macht“ über wichtige digitale Märkte. Außerdem hätten sie die Kontrolle über die Infrastruktur: Betriebssysteme, künstliche Intelligenz, Suchmaschinen, Zahlungsdienste, Werbung und soziale Medien.
„Die jüngsten geopolitischen Spannungen zeigen, dass die Frage der digitalen Souveränität Europas von enormer Bedeutung ist“, schreibt der liberale Abgeordnete Michał Kobosko in einem Post auf X. Die EU sei aufgrund der Abhängigkeiten gleich mehreren Bedrohungen ausgesetzt: der Erpressung durch die USA, der Spionage durch China, der Sabotage durch Russland oder Störungen in den Lieferketten.
Daher wendet sich das Parlament mit einer Reihe von Forderungen und Ideen an die Kommission und die Mitgliedstaaten. Erstens soll die Kommission die Abhängigkeiten Europas in der digitalen Infrastruktur ermitteln und die Risiken bewerten. Auf Grundlage einer solchen Bestandsaufnahme könnten dann die notwendigen Maßnahmen koordiniert werden.
Zweitens wünschen sich die Abgeordneten die Möglichkeit, manche öffentliche Aufträge exklusiv an souveräne europäische Unternehmen vergeben zu können. Unternehmen aus Drittstaaten würden dann ausgeschlossen werden. Solche Mechanismen gebe es etwa in China oder den USA, aber noch nicht in der EU, betonen die Abgeordneten.
Die Reform des Vergaberechts ist ohnehin für das zweite Quartal dieses Jahres geplant, wie im Arbeitsprogramm der Kommission für 2026 abzulesen ist. Die Präsidentin der Kommission, Ursula von der Leyen, hat schon mehrfach versprochen, dass die Reform auch die Bevorzugung von europäischen Unternehmen in „bestimmten strategischen Sektoren“ ermöglichen wird. Bei ihrer Rede zur „Lage der Union“ im September 2025 erklärte sie, das Kriterium „Made in Europe“ einführen zu wollen.
Drittens machen die Abgeordneten auf die besonders gravierenden Abhängigkeiten im Cloud-Bereich aufmerksam. Die Daten würden „zum Großteil“ außerhalb des EU-Gebiets gespeichert und gehostet. Daher verlangen sie eine Definition der souveränen Cloud in der Verordnung über Cloud- und KI-Entwicklung, die die Kommission am 25. März vorstellen will.
Außerdem wollen sie strengere Regeln für sensible Daten etablieren. Im europäischen System für die Cybersicherheitszertifizierung von Cloud-Diensten (EUCS), über das noch beraten wird, werde nicht ausreichend garantiert, dass Hosting-Anbieter nicht außereuropäischen Rechtsvorschriften unterliegen. Insbesondere der Cloud Act der USA dürfte hier gemeint sein. Der verpflichtet US-Unternehmen, Behörden aus den USA Zugriff auf von ihnen verarbeitete Daten zu gewähren, selbst wenn die Speicherorte außerhalb der Vereinigten Staaten liegen.
Im Bericht erwähnen die Abgeordneten auch die Wichtigkeit von „offenen und interoperablen Lösungen“, die ebenfalls durch die öffentliche Vergabe gefördert werden könnten. Insgesamt sprechen sie sich für Strategien wie Open Source als erste Wahl und „Öffentliches Geld – öffentlicher Code“ (Public Money, Public Code) aus. Dieser Grundsatz besagt, dass aus öffentlichem Geld finanzierte Software standardmäßig unter einer Open-Source-Lizenz veröffentlicht werden sollte.
Durch einen Änderungsantrag der liberalen Renew-Fraktion hat es darüber hinaus ein weiterer Punkt in den Bericht geschafft: Die EU müsse auch bei der Durchsetzung ihrer Regulierung souverän bleiben, heißt es dort.
Damit reagieren die Abgeordneten auf die von den USA im Dezember verhängten Reiseverbote gegen Vertreter:innen der Zivilgesellschaft, darunter HateAid, und den ehemaligen Digitalkommissar Thierry Breton. Das Parlament fordert die Aufhebung dieser Verbote und eine „entschlossene“ Reaktion der Kommission und der Mitgliedstaaten auf diese „beispiellosen Angriffe“.
Der Bericht wurde im Sommer 2025 durch den Industrieausschuss (ITRE) erarbeitet. Die zuständige Berichterstatterin, die Abgeordnete Sarah Knafo, ist Teil der rechtsextremen ESN-Fraktion. Bei der Abstimmung in Straßburg wurde der Text mit 471 zu 68 Stimmen bei 71 Enthaltungen angenommen. Dagegen stimmten Mitglieder der Fraktionen der Linken und der rechtsextremen sogenannten „Patrioten für Europa“ (PfE).
Kommandozeile adé: Praktische, grafische Git-Verwaltung für den Mac
Arndt Benedikt rebranded GreatVita › PAGE online
Schnelles Boot statt Bus und Bahn: Was sich von London und New York lernen lässt
Kommentar: Anthropic verschenkt MCP – mit fragwürdigen Hintertüren
Google „Broadwing“: 400-MW-Gaskraftwerk speichert CO₂ tief unter der Erde
Huawei Mate 80 Pro Max: Tandem-OLED mit 8.000 cd/m² für das Flaggschiff-Smartphone
Fast 5 GB pro mm²: Sandisk und Kioxia kommen mit höchster Bitdichte zum ISSCC
Die meistgehörten Gastfolgen 2025 im Feed & Fudder Podcast – Social Media, Recruiting und Karriere-Insights
