Künstliche Intelligenz
Kritik an BSI-Rahmen: Scheinsouveränität für die europäische Cloud?
Die Debatte über die digitale Souveränität in Europa macht vor den Rechnerwolken längst nicht mehr Halt. Im Zentrum der Kritik steht aktuell das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinem jüngst veröffentlichten Kriterienkatalog C3A (Cloud Computing Autonomy). Der europäische Cloudverband CISPE und mehrere Provider vom alten Kontinent erheben dagegen schwerwiegende Vorwürfe: Die Bonner Behörde verspreche zwar Unabhängigkeit, legitimiere letztlich aber den ununterbrochenen Einsatz von US-Hyperscalern als Subunternehmer. Sie öffne damit extraterritorialen Risiken sowie strukturellen Vendor-Lock-ins Tür und Tor.
Weiterlesen nach der Anzeige
Die heise online vorliegende CISPE-Analyse macht große Schlupflöcher im C3A-Katalog aus. So sehe das Framework zwar vor, dass der primäre Cloud-Anbieter unter europäischer Kontrolle stehen müsse. Bei den weitaus wichtigeren Subunternehmern weiche das BSI diese Linie aber drastisch auf: Für sie wird lediglich eine registrierte Hauptniederlassung in Deutschland oder der EU verlangt.
Eine tatsächliche Eigentumskontrolle durch europäische Unternehmen ist nicht vorgeschrieben. Europäische Anbieter können im Rahmen von C3A also problemlos auf US-Infrastruktur-Giganten setzen, die vollumfänglich dem Zugriff ausländischer Behörden und Gesetzen wie dem US Cloud Act ausgesetzt sind. Damit müssen sie gegebenenfalls Daten an Behörden in den USA herausrücken.
Bürokratie statt echtem Schutz
Diese extraterritoriale Offenheit wird in dem Regelwerk nicht unterbunden, sondern formalisiert. Der Katalog verlangt von den Anbietern lediglich eine jährliche Risikoanalyse solcher Auslandszugriffe. Die Kritiker bemängeln dies als Papiertiger-Bürokratie: Es gebe keinerlei Verpflichtung, die identifizierten Risiken technisch zu minimieren oder organisatorisch auszuschließen. Da sich die Betrachtung zudem nur auf kundengenerierte Informationen beziehe, blieben andere kritische Datentöpfe wie Metadaten, Telemetrie oder Account-Informationen völlig schutzlos.
Gleichzeitig baut das BSI Hürden auf, die für den breiten europäischen Mittelstand unüberwindbar scheinen. Der Katalog fordert etwa, dass Anbieter innerhalb der EU eine tägliche Kopie des Quelltextes vorhalten und eigene Build-Umgebungen betreiben müssen, um Software im Ernstfall unabhängig patchen zu können. Was nach maximaler Resilienz klingt, geht dem CISPE zufolge aber an der wirtschaftlichen Realität vorbei. Kein europäisches mittelständisches Unternehmen verfüge über die Verhandlungsmacht oder die Ressourcen, um von globalen Softwarekonzernen den Zugriff auf proprietären Source-Code zu erzwingen oder komplexe Drittsoftware in Eigenregie weiterzuentwickeln.
Wettbewerbsnachteil für den Mittelstand
Damit bewirkt das Framework das exakte Gegenteil seines Ziels: Es schließt den innovativen europäischen Mittelstand de facto aus und begünstigt jene Konstrukte, die ohnehin auf die Technologie der US-Hyperscaler aufsetzen. Als prominentes Beispiel nennen die Autoren der Stellungnahme das deutsche Cloud-Modell Delos von SAP und Microsoft. Solche Großprojekte könnten die extremen Anforderungen an die Quellcode-Hinterlegung erfüllen. Sie zementierten so aber genau jene technologische Abhängigkeit, die Europa eigentlich überwinden wolle.
Weiterlesen nach der Anzeige
Verschärft wird das Problem durch das Fehlen jeglicher Interoperabilitäts- oder Portabilitätsvorgaben, die einen Schutz vor unfairem Anbieterwechsel oder plötzlichen Kündigungen bieten würden. Das BSI fokussiere sich fast ausschließlich darauf, dass der Provider selbst im Krisenfall betriebsbereit bleibt, moniert der Verband. Die Freiheit des Kunden, seine Daten flexibel zu migrieren oder sich von proprietären Systemen zu lösen, spiele in dem Katalog keine Rolle.
Richtungsentscheidung für Europa
Angesichts des von der EU-Kommission im Kontext des Pakets für technologische Souveränität geplanten Cloud & AI Development Act (CADA) droht das BSI-Rahmenwerk einen gefährlichen Präzedenzfall zu schaffen. Die europäische Tech-Szene steht vor der Richtungsentscheidung, welche Definition von digitaler Souveränität künftig gelten soll: Eine echte operative und technologische Unabhängigkeit oder eine bürokratisch kontrollierte, aber fortwährende Interdependenz von den globalen Tech-Monopolen.
Demgegenüber unterstrich jüngst Luise Kranich, Leiterin der Abteilung Technologiestrategie beim BSI, dass Souveränität nicht mit Isolation gleichzusetzen sei: Völlige Autarkie und maximaler Einfluss auf die Anbieter sei nicht nur nicht möglich, sondern auch nicht gewünscht. Das Amt fokussiere sich mit C3A stattdessen darauf, Abhängigkeiten kontrollierbar zu gestalten. Dass der Entwurf US-Konzernen vorab zur Prüfung vorlag, verteidigte Kranich als strategischen Härtetest: „Wenn sie sagen: ‚Könnt ihr so machen‘, dann sind wir nicht streng genug.“ Die Hyperscaler müssten erkennen, dass mehr gefordert sei „als ein Projektchen in einem deutschem Rechenzentrum“.
Lesen Sie auch
(nie)
Künstliche Intelligenz
KI-Zusammenfassungen: Google und Perplexity unterliegen gegen Medienanstalten
Das deutsche Medienrecht greift auch bei KI-Angeboten. In einer aktuellen Entscheidung hat die Kommission für Zulassung und Aufsicht (ZAK) der Medienanstalten erstmals regulatorische Bescheide gegen die Suchmaschinenbetreiber Google und Perplexity erlassen. Damit stellen die Medienwächter klar, dass KI-Suchmaschinen und Chatbots rechtlich keine neutralen Vermittler sind. Vielmehr seien sie als Inhalteanbieter einzustufen.
Weiterlesen nach der Anzeige
Googles KI-Zusammenfassungen
Die von den Medienanstalten Hamburg-Schleswig-Holstein und Berlin-Brandenburg geführten Verfahren zielen auf Googles AI Overviews, die über Suchergebnissen von KI erstellte Zusammenfassungen anzeigen, sowie auf den KI-Chatbot von Perplexity. Dieser verknüpft KI-Antworten mit einer eigenen Nachrichtenseite. Die ZAK stellt mit den Beschlüssen die Anwendbarkeit des nationalen Medienrechts auf KI-Suche und Chatbots fest.
Streitpunkt ist die Präsentation der Informationen. Bei Googles AI Overviews rücken die KI-Texte so prominent in den Blick, dass die herkömmliche Liste aus weiterführenden Links in den Hintergrund gerät. Laut der ZAK führt das zu einer unzulässigen Diskriminierung journalistischer Angebote, da die klassische Link-Übersicht schlechter auffindbar sei.
Perplexity bindet Drittinhalte als Quellen oder in Linklisten ein und bestimmt dadurch maßgeblich die Sichtbarkeit fremder Angebote. Damit erfülle Perplexity den Aufsehern zufolge die Kriterien eines Medienvermittlers und müsse daher entsprechende Pflichten erfüllen. Gegen die Bescheide können beide Anbieter Rechtsmittel einlegen. Eine einheitliche Rechtsprechung zu KI-Übersichten gibt es noch nicht.
KI-Antworten bedrohen Vielfalt und Verlage
Das ZAK-Vorgehen beruht auf einem Gutachten der Professoren Jan Oster und Christoph Busch. Sie legen dar, dass generative KI die Informationssuche im Internet strukturell verändere. Der Substitutionsprozess lasse den Traffic zu Verlagsseiten einbrechen. So verschiebe sich die Verhandlungsmacht zugunsten der KI-Konzerne, die die Schnittstelle zur Sichtbarkeit im Netz kontrollierten.
Weiterlesen nach der Anzeige
Laut der Studie sind KI-generierte Texte grundsätzlich als eigene Inhalte des jeweiligen Anbieters zu qualifizieren seien. Das gelte für fehlerhafte, halluzinierte Inhalte ebenso wie für die Verdichtung und Vermischung vorhandener Quellen. Eine Ausnahme greife nur, wenn für User klar erkennbar sei, dass allein fremde Inhalte unverändert wiedergegeben würden.
(wpl)
Künstliche Intelligenz
Microsoft macht Passkeys zum Standard in Entra ID
Microsoft macht Passkeys zur Standard-Anmeldemethode in Entra ID. Ab dem 1. September 2026 führt das Unternehmen die Änderung schrittweise ein: Nutzer, die sich bislang per SMS oder Sprachanruf authentifizieren, werden dann automatisch für Passkeys freigeschaltet und bei der nächsten MFA-Anmeldung zur Registrierung aufgefordert. Microsoft empfiehlt Unternehmen, möglichst früh auf Passkeys oder andere Phishing-resistente Verfahren umzusteigen.
Weiterlesen nach der Anzeige
Passkeys sind kryptografische Anmeldeschlüssel, die Passwörter ersetzen. Statt eines Kennworts authentifizieren sich Nutzer zum Beispiel per Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Die Technik basiert auf den FIDO2- und WebAuthn-Standards und gilt als deutlich widerstandsfähiger gegen Phishing. Entra ID – früher Azure Active Directory – ist Microsofts Cloud-Dienst für Identitäts- und Zugriffsverwaltung.
SMS und Sprachanrufe laufen aus
Parallel baut Microsoft die Unterstützung für gerätegebundene und synchronisierte Passkeys aus und erweitert die Verwaltungsfunktionen für Administratoren. So sollen sich passwortlose Anmeldungen einfacher einführen und per Richtlinie steuern lassen.
Hintergrund ist nach Angaben des Unternehmens die wachsende Bedrohung durch KI-gestützte Phishing-Angriffe. Laut Microsoft erreichen solche Kampagnen Klickraten von bis zu 54 Prozent, während herkömmliche Phishing-Angriffe bei rund 12 Prozent liegen.
Im nächsten Schritt stellt Microsoft den eigenen SMS- und Sprachdienst für die Mehrfaktor-Authentifizierung ein. Ab dem 1. Februar 2027 werden diese Verfahren in Entra ID nicht mehr nativ angeboten. Unternehmen, die sie weiterhin benötigen, müssen dafür auf eigene Kosten einen Drittanbieter über den Microsoft Security Store einbinden.
(fo)
Künstliche Intelligenz
Video: Warum ihr bei Mini-PCs aus China vorsichtig sein solltet
Mini-PCs chinesischer Hersteller und Händler sind auf den großen Online-Marktplätzen längst allgegenwärtig. Etliche Portale preisen einzelne Modelle als günstige Alternative zu Geräten etablierter Marken an – und nehmen es mit der Prüfung offenbar nicht immer so genau. Wir haben den Bmax B6 Plus nach einem Leserhinweis bei Amazon gekauft und tiefer nachgeforscht.
Weiterlesen nach der Anzeige
Für rund 220 Euro wirkt der kleine Rechner zunächst wie ein echtes Schnäppchen. An Bord sind ein Core-i3-Prozessor, 12 GByte Arbeitsspeicher und eine 512 GByte große NVMe-SSD, dazu WLAN, Gigabit-Ethernet sowie drei Display-Anschlüsse. Obendrein liegt dem Kampfpreis Windows 11 Pro bei, für das im Handel sonst rund 150 Euro fällig werden. Doch der günstige Eindruck täuscht: Im Test stießen wir auf gleich mehrere Fallstricke – von Sicherheitslücken über eine ungültige Windows-Lizenz bis hin zu Schadsoftware, die direkt vom Hersteller stammt. Die gute Nachricht: Es gibt eine deutlich sinnvollere Alternative, die wir ebenfalls unter die Lupe genommen haben. Worin die Schwächen des Bmax B6 Plus genau liegen und welche Option wir stattdessen raten, seht ihr im Video:
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
(gho)
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
UX/UI & Webdesignvor 1 WocheRegional & mit Gefühl: Identity für Klimafonds Baden-Württemberg › PAGE online
-
Künstliche Intelligenzvor 3 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 3 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Künstliche Intelligenzvor 3 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
-
UX/UI & Webdesignvor 2 MonatenHornbach – und die anderen Gewinner der ADC Annual Awards New York! › PAGE online
-
Apps & Mobile Entwicklungvor 3 MonatenMutter Palit dementiert: Gerüchteküche beerdigt fälschlicherweise Galax/KFA²
