Watie2781 - stock.adobe.com
Kann Datensouveränität im Kriegsfall zur Schwäche werden?
Der jüngste Konflikt im Nahen Osten zeigt die Widersprüche moderner Datensysteme und dass nicht nur die Datenkontrolle, sondern auch der Schutz der Infrastruktur entscheidend ist.
Moderne Gesellschaften nutzen Daten nicht nur – sie sind von ihnen abhängig. Bankensysteme, Krankenhäuser, Logistiknetzwerke und Regierungen alle benötigen einen kontinuierlichen Zugang zur digitalen Infrastruktur. Doch jüngste Angriffe auf Rechenzentren im Nahen Osten weisen auf eine wachsende Verwundbarkeit hin. Die Systeme, die das tägliche Leben aufrechterhalten, sind nicht nur digital, sondern physisch und zunehmend Konflikten ausgesetzt.
Politische Debatten konzentrieren sich überwiegend darauf, wer die Kontrolle über Daten hat. Befürworter der Datenhoheit beziehungsweise Datensouveränität argumentieren, dass die Speicherung von Daten innerhalb nationaler Grenzen die rechtliche Autorität stärkt und die Abhängigkeit von ausländischen Akteuren reduziert. Andere betonen die Vorteile global verteilter Cloud-Infrastruktur, darunter Effizienz, Skalierbarkeit und Redundanz.
Beide Ansätze übersehen jedoch ein fundamentaleres Problem. Im Konfliktfall ist die Kontrolle über Daten weniger wichtig als die Frage, ob sie überhaupt zugänglich bleiben. Datenhoheit allein garantiert keine Schutz.
Tatsächlich kann sie neue Verwundbarkeiten schaffen. Wenn kritische Systeme – Finanzdienstleistungen, Gesundheitsunterlagen, Regierungsdatenbanken – innerhalb nationaler Grenzen konzentriert sind, können sie zu einzelnen Ausfallpunkten werden. In einem Konfliktszenario könnte eine gezielte Störung essentielle Dienstleistungen lahmlegen. Daten im eigenen Land vorzuhalten, mag die rechtliche Kontrolle stärken, aber es kann die Störung auch erleichtern.
Souveräne Systeme als gebündeltes Ziel – Cloud jenseits nationaler Kontrolle
Zugleich führt die Abhängigkeit von globalen Cloud-Anbietern zu einer anderen Art von Risiko.
Infrastruktur, die von Unternehmen wie Amazon, Google oder Microsoft betrieben wird, bietet Resilienz durch Verteilung, platziert aber kritische Daten außerhalb vollständiger nationaler Kontrolle. Während Krisen kann der Zugriff auf Daten, die über Gerichtsbarkeiten hinweg gespeichert sind, durch ausländische Gesetze, Unternehmensentscheidungen oder geopolitische Drucksituationen beeinflusst werden. Was technisch resilient erscheint, kann sich politisch als unsicher erweisen.
Beide Modelle sind überwiegend für Friedenszeiten optimiert. Sie priorisieren Effizienz, Skalierung und Kontrolle, aber nicht Resilienz unter Störbedingungen.
Ein nutzbringender Ausgangspunkt ist der Wechsel des Fokus von Kontrolle zu Resilienz. Die Frage ist nicht einfach, wo Daten gespeichert sind oder wer sie regiert, sondern ob Systeme weiter funktionieren können, wenn die Infrastruktur geschädigt, fragmentiert oder angegriffen ist.
Viele Systeme sind „dual use"
Ein vorgeschlagener Ansatz ist die Trennung militärischer und ziviler Datensysteme. Dies entspricht langjährigen Prinzipien der Genfer Konventionen, die darauf abzielen, Schäden an ziviler Infrastruktur zu begrenzen. Eine klare Trennung könnte theoretisch die Wahrscheinlichkeit verringern, dass zivile Rechenzentren als legitime Ziele behandelt werden.
Diese Unterscheidung ist jedoch in der Praxis schwer aufrechtzuerhalten. Digitalsysteme sind tief miteinander verzahnt. Zivile Infrastruktur unterstützt Logistik, Kommunikation und andere Funktionen mit militärischer Relevanz. Viele Systeme sind daher „dual use", was ihre Klassifizierung erschwert und sie unabhängig von formaler Bezeichnung potenziell angreifbar macht.
Es gibt zudem eine rechtliche Lücke. Das bestehende humanitäre Völkerrecht wurde in einem Kontext entwickelt, in dem Infrastruktur klar als zivil oder militärisch kategorisiert werden konnte. Rechenzentren passen nicht leicht in diesen Rahmen, insbesondere wenn sie privat betrieben und global integriert sind.
Infolgedessen befinden sich die Systeme, auf denen Krankenhäuser, Finanznetzwerke und öffentliche Dienste basieren, in einer Grauzone – sie sind für das zivile Leben unverzichtbar, genießen jedoch keinen eindeutigen Schutz als solche. Der Vormarsch der künstlichen Intelligenz wird diese Unklarheit nur noch verstärken. Systeme, die alltägliche Dienste ermöglichen – wie die Routenplanung für Lieferungen, das Verkehrsmanagement oder die Datenanalyse –, können in Echtzeit für die militärische Logistik oder strategische Entscheidungsfindung umfunktioniert werden.
Ein hybrider Ansatz für Entwicklungsländer?
Diese Herausforderungen sind besonders in kleineren und Entwicklungsländern ausgeprägt. In vielen solchen Kontexten sind Digitalsysteme bereits durch begrenzte Infrastruktur und institutionelle Kapazitäten eingeschränkt. Eine vollständige Datenlokalisierung ist unter Umständen nicht praktikabel, während eine vollständige Abhängigkeit von externen Anbietern das Risiko externer Störungen mit sich bringt. Bei der Ausfallsicherheit geht es weniger darum, die Kontrolle über den Datenstandort zu behalten, sondern vielmehr darum, die Kontinuität auch unter Belastungsbedingungen sicherzustellen.
Ein machbarerer Ansatz ist Diversifizierung: Begrenzte Inlandskapazität für essentielle Dienste aufrechterhalten, während zuverlässige Backup-Vereinbarungen mit vertrauenswürdigen Partnern gesichert werden. In diesem Kontext wird Souveränität nicht allein dadurch definiert, wo Daten residieren, sondern ob Zugang aufrechterhalten werden kann, wenn er am meisten benötigt wird.
Private Technologieunternehmen spielen ebenfalls eine zentrale Rolle. Als Betreiber kritischer Infrastruktur sind sie zunehmend Teil nationaler Resilienz. Dies wirft Fragen nach ihrer Verantwortung für Kontinuität, Transparenz und gerechten Zugang während Krisen auf, insbesondere wenn ihre Operationen über mehrere Gerichtsbarkeiten umfasst.
Eine Quelle der Stärke – eine Quelle der Schwäche
Aus technischer Perspektive erfordert die Stärkung der Resilienz ein Umdenken im Systemdesign. Während das Internet ursprünglich mit Redundanz im Sinn gebaut wurde, priorisieren zeitgenössische Cloud-Architekturen oft Effizienz und Zentralisierung. Hoch-verzahnte Systeme können Fehler verstärken als eindämmen.
Resilienz aufzubauen bedeutet, die Infrastruktur auf verschiedene Standorte zu verteilen, versteckte Abhängigkeiten zu verringern und sicherzustellen, dass Systeme bei Bedarf auch unter eingeschränkten Bedingungen funktionieren können.
Die Auswirkungen gehen über die Datenpolitik hinaus. Mit zunehmender Abhängigkeit von digitalen Systemen überschneiden sich Entscheidungen über Datenspeicherung, Infrastrukturanbieter und die Zuständigkeit für die Rechtshoheit immer stärker mit Außenpolitik, Handel und Sicherheitsstrategie.
Daten-Governance ist nicht länger nur Regulierung – sie ist Teil davon, wie Staaten Risiken managen. Als das Internet erstmals entwickelt wurde, wurden Sicherheit und Privatsphäre als sekundäre Bedenken behandelt und schrittweise adressiert, wenn neue Risiken auftraten. Eine ähnliche Verzögerung ist nun sichtbar in der Weise, wie wir Dateninfrastruktur im Konflikt managen.
Datensysteme sind heute ebenso wichtig – und ebenso anfällig – wie physische Lieferketten. Die zentrale Frage lautet nicht mehr nur, wer die Daten kontrolliert, sondern ob Gesellschaften noch funktionieren können, wenn der Zugriff darauf unterbrochen ist. Letztendlich sind Daten, auf die nicht zugegriffen werden kann, Daten, die nicht verwaltet werden können.
Über den Autor:
Dr. Moinul Zaber ist Research Fellow beim Institute of Development Studies. Er ist Sozialwissenschaftler mit Schwerpunkt auf Computerwissenschaften, der sich mit KI, maschinellem Lernen, Datenwissenschaft, Mensch-Maschine-Interaktion, Technologieregulierung und öffentlicher Politik befasst. Dr. Zaber verfügt über 20 Jahre Erfahrung in der Forschung mit Schwerpunkt auf Computerwissenschaften. Er promovierte in Ingenieurwesen und Public Policy an der Carnegie Mellon University in Pittsburgh, PA, USA. Zaber war unter anderem als Senior Academic Fellow an der Universität der Vereinten Nationen (UNU-EGOV) tätig. Er war ebenso Professor für Informatik und Ingenieurwesen an der Universität von Dhaka in Bangladesch.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
Dieser Artikel ist im Original in englischer Sprache auf Computerweekly.com erschienen.
