Nach Einschätzung der Bundesregierung gibt es „einige Technologiebereiche, in denen Deutschland von einzelnen ausländischen Anbietern abhängig ist“. Das gelte etwa bei Cloud-Infrastruktur, Betriebssystemen und Netzwerktechnik, schreibt das federführende Digitalministerium in einer jetzt veröffentlichten Antwort auf eine Anfrage der AfD-Bundestagsfraktion. Diese Abhängigkeit will die Exekutive demnach „reduzieren und europäischen Unternehmen die Chance geben, sich stärker im Wettbewerb um sichere und leistungsstarke Infrastrukturen zu positionieren“.

Die Regierung ist sich laut dem Bescheid auch bewusst, dass auf dem deutschen und dem europäischen Markt für Cloud-Lösungen einige US-Konzerne als Hyperscaler hohe Marktanteile verzeichnen. Daraus ergäben sich auch Abhängigkeiten von diesen Anbietern. Diese brächten, solange sie einseitig bestünden, „Risiken mit sich“. Daher sieht es die Exekutive als ihre Aufgabe an, diese Gefahren zu adressieren und zu vermeiden.

Selbst sind die Regierungsressorts aber eifrige Nutzer insbesondere von Cloud-Diensten von Amazon Web Services (AWS) und Microsoft, wie aus einer früheren Antwort der Exekutive auf eine Anfrage der Linksfraktion hervorgeht. Selbst sensible Bereiche wie die dem Innenministerium unterstellte Bundespolizei sind hier vertreten. Zudem hat das Beschaffungsamt erst unlängst vier Rahmenvereinbarungen mit Hyperscalern geschlossen, aus denen die Regierungsbehörden nun vereinfacht Cloud-Services von Amazon, Google und Microsoft beziehen können.

Neue Rahmenvereinbarungen mit Hyperscalern

Die Sicherheit der in den Rechnerwolken gespeicherten Daten gilt bei den genannten US-Unternehmen nicht grundsätzlich als gegeben. Denn diese sind vor allem durch den Cloud Act verpflichtet, die auch im Ausland verarbeiteten Kundeninformationen auf Anfrage den US-Sicherheitsbehörden zur Verfügung zu stellen. Ein richterlicher Beschluss ist dafür nicht nötig. Erkenntnisse, ob Daten deutscher Firmen auf Speicherplätzen der Hyperscaler hierzulande liegen, unter Bezug auf den Cloud Act etwa an US-amerikanische Polizeibehörden oder Geheimdienste gingen, hat die Regierung nach eigenen Angaben nicht.

Trotz der neuen Rahmenvereinbarungen betont die Regierung: „Die Stärkung der digitalen Souveränität Deutschlands und Europas, gerade auch im Bereich der digitalen Infrastruktur, ist ein Kernanliegen des Koalitionsvertrags und der Bundesregierung.“ Das schwarz-rote Bündnis hat sich vorgenommen: „Unsere Digitalpolitik ist ausgerichtet auf Souveränität.“ Dabei gehe es um „Machtpolitik“. Gefragt sei ein „digital souveränes Deutschland“. Kanzler Friedrich Merz und Digitalminister Karsten Wildberger (beide CDU) betonten wiederholt diesen Aspekt.

OpenDesk und OpenCode als Vorzeigeprojekte

Für das Haushaltsjahr 2025 sind der Antwort zufolge eine Reihe von Maßnahmen, Projekten und Investitionen vorgesehen oder bereits beauftragt, die „zur Stärkung der digitalen Souveränität geeignet sind“. Konkret verweist das Digitalministerium auf die Weiterentwicklung und Etablierung der cloudbasierten Lösung OpenDesk, die als Alternative für das Office-Paket Microsoft 365 gilt, den Grundbetrieb der Plattform OpenCode sowie eine Machbarkeitsstudie zur Integration der Deutschen Verwaltungscloud in dieses Portal zum Austausch von Open-Source-Software.

Im Zuständigkeitsbereich des Forschungsministeriums erfolgten Investitionen im Rahmen der KI-Servicezentren, der Initiative der AI Factories sowie des Ausbaus des Hoch- und Höchstleistungsrechnens, führt die Regierung weiter aus. Mittel für künftige Investitionen des Ressorts würden im Rahmen des laufenden Haushaltsaufstellungsverfahrens festgelegt. Das Wirtschaftsministerium bereite zudem ein „Vorhaben von gemeinsamem europäischem Interesse“ für Edge-Compute-Infrastruktur (IPCEI-ECI) vor, für das im laufenden Haushaltsverfahren Mittel aus dem Sondervermögen Infrastruktur und Klimaschutz bereitgestellt werden sollen. Ferner werde die Förderung im Rahmen des IPCEI-Cloud fortgesetzt. Dessen Ziel ist es, Softwarelösungen für Cloud-Infrastrukturen zu entwickeln und weitgehend als Open Source zur Verfügung zu stellen.

Die Open Source Business Alliance (OSBA) und andere deutsche Akteure fordern seit Längerem dringend Alternativen zu ausländischen IT-Diensten und -Infrastrukturen, „die wir kontrollieren und gestalten können“. Sie sehen die Bundesregierung in der Pflicht, mit Hochdruck daran zu arbeiten. Wirtschaftsprüfer verwiesen schon 2019 in einer Studie für das Innenressort auf „Schmerzpunkte bei der Bundesverwaltung“ aufgrund von Abhängigkeiten von Microsoft-Produkten.

(nie)

64 Prozent der Cybersicherheitsexperten sind laut einer mehrere Kontinente übergreifenden Studie mittlerweile der Ansicht, dass böswillige oder von außen gesteuerte Insider ein größeres Risiko für die IT-Security darstellen als externe Akteure. Das geht aus der Untersuchung „Von menschlichen zu hybriden Angriffen“ hervor, die das kalifornische Cybersicherheitsunternehmen Exabeam veröffentlicht hat. 53 Prozent der Teilnehmer geben demnach an, dass die Insiderbedrohungen im vergangenen Jahr zugenommen haben. 54 Prozent erwarten, dass sie in den nächsten zwölf Monaten weiter steigen werden.

Für die Studie befragte das Marktforschungsinstitut Sapio Research im Auftrag von Exabeam im Juni und Juli dieses Jahres insgesamt 1010 IT-Sicherheitsexperten inklusive Analysten, Teamleitern und Führungskräften aus Branchen wie Technologie, Finanzen, Industrie, Gesundheitswesen, Handel und dem öffentlichen Sektor. Die Teilnehmer stammten aus Nordamerika, Europa, dem Nahen Osten und dem Asien-Pazifik-Raum. Die Mehrheit arbeitet in Organisationen mit mehr als 500 Beschäftigten, was insgesamt eine gewisse Repräsentativität der Ergebnisse für die abgedeckten Gebiete nahelegt.

76 Prozent der Unternehmen berichten der Umfrage zufolge von unbefugter Nutzung von Systemen generativer Künstlicher Intelligenz (KI) wie ChatGPT, Gemini oder LLaMA durch ihre Mitarbeiter. 74 Prozent sind der Meinung, dass KI die Wirksamkeit von Insider-Bedrohungen – von Phishing und Identitätsdiebstahl bis hin zu Datenexfiltration und Betrug – bereits erhöht hat. Die Bedrohungsfläche wachse rasant, lauten geäußerte Befürchtungen. Die internen Sicherheitsteams seien oft unzureichend darauf vorbereitet.

Europa: Mehrheit fürchtet Insider-Angriffe

Im Nahen Osten herrscht weltweit die größte Besorgnis über Insider: 70 Prozent der Befragten sehen dort interne Akteure als Hauptbedrohung im Bereich IT-Security. Besonders häufig wird die Kompromittierung von Anmeldeinformationen (26 Prozent) genannt. Das lässt darauf schließen, dass der Fokus auf Identitätsmissbrauch und Herausforderungen bei der Zugangskontrolle liegt. In Nordamerika und Europa ist die Besorgnis relativ gleichmäßig zwischen externen und internen Akteuren verteilt, tendiert aber mehrheitlich zu Bedrohungen durch eigene Mitarbeiter (66 beziehungswese 64 Prozent). Die EU-Kommission sucht aufgrund der Lage händeringend nach IT-Experten.

Der asiatisch-pazifische Raum und Japan bilden eine Ausnahme: 48 Prozent der Teilnehmer nennen weiterhin externe Akteure als größte Gefahr. Dies deutet laut der Auswertung auf ein regionales Bedrohungsmodell hin, das sich stärker auf klassische Cyberattacken konzentriert und potenziell zu einer langsameren Verbreitung von Angriffen mithilfe von KI oder durch Insider führt.

KI-gestütztes Phishing stellt der Studie zufolge ein globales Problem dar. Regionale Unterschiede verdeutlichen aber eine differenzierte Risikowahrnehmung: Europa (32 Prozent) und die Region Asien-Pazifik (31 Prozent) sind führend bei der Besorgnis über KI-gestützte Mails zum Abgreifen von Login-Daten und Social Engineering. Der Nahe Osten (18 Prozent) ist die einzige Region, in der solche Angriffsformen nicht ganz oben auf der Liste stehen. Stattdessen bezeichnen 31 Prozent der Befragten dort die unbefugte Nutzung von ChatGPT & Co. als größte Sorge hinsichtlich Insider-Bedrohungen. Die Befragten aus dem Nahen Osten haben zugleich ein höheres Vertrauen in ihre Abwehrfähigkeit mithilfe von KI-Systemen.

KI-Agenten als besondere Bedrohung

„Dieses Jahr markiert einen Wendepunkt“, heißt es in der Studie. KI werde nun als „operativer Wegbereiter für Insider-Bedrohungen“ wahrgenommen. Von Identitätsdiebstahl bis zu Deepfake-gestützter Täuschung entwickelten sich Ausmaß und Raffinesse interner Angriffe rasant. Branchenübergreifend lasse sich feststellen: 93 Prozent der Befragten beobachten bereits, dass KI die Auswirkungen von Insider-Attacken verstärkt oder erwarten dies für die nahe Zukunft. Besonders betroffen sehen sich Technologiefirmen (40 Prozent), Finanzdienstleister (32 Prozent) sowie Behörden (38 Prozent). Insgesamt glauben nur noch 5 Prozent, dass KI keinen Einfluss in diesem Bereich haben wird.

Zugleich würden KI-Agenten zunehmend mit echten Zugangsdaten in Arbeitsabläufe integriert, warnen die Autoren. Diese Tools könnten autonom agieren, Aufgaben systemübergreifend ausführen und mit eingeschränkter Kontrolle arbeiten. Dadurch entstehe eine „neue Kategorie nicht-menschlicher Insider, die Unternehmen überwachen und managen müssen“.

97 Prozent der einbezogenen Firmen nutzen KI zur Abwehr interner Risiken. Allerdings fehlt es häufig an Kontrolle von oben und operativer Reife der eingesetzten Lösungen: Über die Hälfte der Führungskräfte geht von deren vollständiger Implementierung aus. Das bestätigen aber nur 37 Prozent der Teamleiter und 40 Prozent der Analysten. KI wirke bei Insider-Bedrohungen „wie ein Brandbeschleuniger“, warnt Exabeam-Europachef Egon Kando: „Angriffe laufen schneller, unauffälliger und sind schwieriger zu stoppen.“ Unternehmen müssten ihre Verteidigungsstrategien dringend an diese neue Realität anpassen.

(nie)

In einer in der Zeitschrift Science veröffentlichten Studie hat Elizabeth Holley, Professorin für Bergbauingenieurwesen an der Colorado School of Mines, zusammen mit Kollegen einen genauen Blick auf den Abraum geworfen, der bei der Rohstoffförderung in US-Minen anfällt. Dies berichtet das US-Medienportal Grist, das mit derzeit 40 aktiven Journalisten als Non-Profit in den USA über den Klimawandel berichtet.

Holleys Team fand heraus, dass in den 54 derzeit aktiven Minen in den USA das Potenzial für die Rückgewinnung von über 70 kritischen Rohstoffen sehr hoch ist. Es steckt zum Beispiel genug Lithium in einem Jahr US-Minenabfällen, um Batterien für etwa 10 Millionen Elektrofahrzeuge herzustellen. Auch Mangan ließe sich in relevanter Menge aus dem Abraum extrahieren. Kritische Rohstoffe sind entscheidend für die Produktion von Lithium-Ionen-Batterien, Solarpanels und anderen Technologien mit niedrigem oder null Kohlenstoffausstoß, die den Übergang zu sauberer Energie vorantreiben.

Sorge um Importabhängigkeit

Die überwiegende Menge des in den USA verarbeiteten Lithiums stammt derzeit aus Australien, Chile und China, während Kobalt überwiegend aus der Demokratischen Republik Kongo kommt. Die Sicherstellung einer inländischen Versorgung mit seltenen oder kritischen Rohstoffen steht verstärkt auf der politischen Agenda. Schon der unter Biden beschlossene „Inflation Reduction Act“ von 2022, beinhaltete Anreize für die inländische Produktion kritischer Rohstoffe. In diesem Jahr unterzeichnete Präsident Donald Trump dann ein Dekret, das den Abbau kritischer Rohstoffe auf bundeseigenem Territorium erleichtern soll: „Unsere nationale und wirtschaftliche Sicherheit ist jetzt akut bedroht durch unsere Abhängigkeit von der Mineralproduktion feindlicher ausländischer Mächte“. Der Zugriff auf kritische Rohstoffe wurde zu einer Frage der nationalen Sicherheit erklärt.

Die Studie gibt an, dass eine erhöhte Rückgewinnung von Nebenprodukten im Inland diese Abhängigkeit von Rohstoffimporten verringern könnte. Selbst eine Rückgewinnungsrate von 1 Prozent würde demnach die Abhängigkeit von Importen für die meisten Elemente „substanziell reduzieren“. Eine Rückgewinnung von 4 Prozent Lithium würde die derzeitigen Importe vollständig ausgleichen. „Wir könnten uns auf bereits bestehende Unternehmensminen konzentrieren und einfach zusätzliche Kreisläufe in ihren Prozess integrieren“, sagte Holley. „Das wäre ein wirklich schneller Weg, um ein benötigtes Mineral in die Produktion zu bringen.“

Die allgemeine Richtung der Studie in Science sei nicht neu, sagt Isabel Barton, Professorin für geologische Ingenieurwissenschaften an der Universität von Arizona: „Es ist ein heiß diskutiertes Thema im Bergbau.“ Die Studie trage vielleicht zu einem wachsenden Wandel im Denken bei, von einem intensiven Fokus auf das Zielmineral hin zu Überlegungen, was sonst noch produziert werden könnte, einschließlich kritischer Mineralien. „Es gibt einige, die wahrscheinlich relativ einfach zu extrahieren sind. Es gibt andere, die äußerst schwierig zu erreichen sind“, sagte Barton, und ob ein Mineral gewonnen wird, hängt letztlich von den Kosten ab. „Bergbauunternehmen sind da, um Gewinn zu machen.“

(sha)