Die Nachricht verbreitete sich in der Security Community wie ein Lauffeuer: Das neue zentrale Meldeportal des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist online (https://portal.bsi.bund.de/). Es ist das Herzstück der NIS2 Umsetzung in Deutschland. Hier fließen künftig die sensibelsten Daten der kritischen Infrastrukturen zusammen. Doch die Wahl der zugrunde liegenden Infrastruktur sorgt für Kopfschütteln. Das Portal läuft auf Amazon Web Services (AWS).

Ein Signal in die falsche Richtung

Wir sprechen viel über digitale Souveränität. Wir wollen Abhängigkeiten reduzieren und die heimische Digitalwirtschaft stärken. Wenn jedoch eine Bundesbehörde wie das BSI, die als Leuchtturm für Sicherheit und Souveränität fungieren sollte, für eine gesetzlich verpflichtende Plattform auf einen US Anbieter setzt, konterkariert das diese Bemühungen.

Natürlich ist die Infrastruktur von AWS nach dem Stand der Technik sicher. Das ist unbestritten. Doch Souveränität ist mehr als reine IT Sicherheit. Es geht um die strategische Handlungsfähigkeit und die Stärkung des EU Marktes. Es gibt in Deutschland und Europa zahlreiche Anbieter, die in der Lage wären, ein solches Portal sicher und gesetzeskonform zu hosten. Warum diese Chance nicht genutzt wurde, bleibt ein Geheimnis der Beschaffer.

Die technische Vertrauensfrage

Besonders kritisch sehe ich die technischen Details. Das BSI vertritt die Strategie, dass internationale Produkte so eingebettet werden müssen, dass ein Datenabfluss technisch unmöglich ist. Das ist ein hoher Anspruch, der sich in der Praxis beweisen muss.

Ein zentraler Punkt ist der Einsatz der AWS Web Application Firewall (WAF). In der Regel terminiert eine WAF den verschlüsselten Datenstrom, um den Inhalt auf Angriffe zu prüfen. Das bedeutet: Die Vorfallsmeldungen eines KRITIS Unternehmens liegen dort im Klartext vor. Wenn gleichzeitig in der Datenschutzerklärung steht, dass IP Adressen in die USA übermittelt werden können, passt das Bild der „technischen Unmöglichkeit“ eines Datenabflusses nicht mehr ganz zusammen.

Zusätzlich irritiert, dass selbst einfache Standards wie die RFC konforme Implementierung der security.txt fehlen. Das ist ein Punkt, den das BSI selbst für Unternehmen empfiehlt. Solche Details wirken in der Summe wie kleine Risse in einem eigentlich soliden Fundament.

Zwischen Souveränität und Autarkie

Die BSI Präsidentin Claudia Plattner unterscheidet richtigerweise zwischen digitaler Souveränität und digitaler Autarkie. Wir können und müssen nicht alles selbst bauen. Aber wir müssen entscheiden können, wem wir unsere kritischsten Daten anvertrauen.

Vertrauen in staatliche IT Infrastruktur entsteht nicht durch Verordnungen, sondern durch konsequente Transparenz und eine Architektur, die keine Fragen offen lässt.

Wo wir jetzt ansetzen müssen

Wir brauchen eine ehrliche Debatte darüber, welche Kompromisse wir bei der Digitalisierung der Verwaltung bereit sind einzugehen. Effizienz und Skalierbarkeit sind wichtig, dürfen aber nicht die einzigen Entscheidungskriterien für hoheitliche Aufgaben sein.

Ich wünsche mir vom BSI eine klare Kommunikation dazu, wie die „technische Unmöglichkeit“ des Datenabflusses bei der Nutzung von AWS konkret sichergestellt wird. Nur so lässt sich das verloren gegangene Vertrauen in der Security Bubble und bei den KRITIS Betreibern wieder aufbauen.