Die geopolitischen Veränderungen der vergangenen Jahre verdeutlichen die Notwendigkeit, Streitkräfte für Multi-Domain Operations (MDO) zu befähigen. Als technisches Rückgrat hierfür ist eine Cloud-Infrastruktur erforderlich, um reibungslose, sichere Datenverarbeitung in Echtzeit zu ermöglichen, große Datenmengen agil zu verarbeiten und zwischen Sensoren, Waffensystemen und Führungsstellen auszutauschen. Cloud-(Infra-)Strukturen in der Verteidigungswirtschaft stellen erhebliche Anforderungen an die Data Governance – also das rechtssichere und verantwortungsvolle Verwalten von Daten – sowie die digitale Souveränität, mithin die Kontrolle über die Cloud-Strukturen. Zudem sind MDOs eng verknüpft mit den Themen Cybersicherheit und Software Defined Defence.
Digitale Souveränität: Datenstandorte und Datenzugriffe
Für staatliche Stellen – insbesondere Militär und Sicherheitsbehörden – ist der Standort der Datenverarbeitung ein kritischer Faktor. Sensible militärische Daten müssen in nationalen oder (bei nicht exportbeschränkten Informationen) auch in EU-basierten Rechenzentren gespeichert und verarbeitet werden, um sie dem Zugriff fremder Jurisdiktionen zu entziehen.
D.h., MDO geeignete Cloud-Strukturen sollten in eigenen Rechenzentren betrieben werden und technisch externe Zugriffe oder Datenabflüsse ausschließen.
Exportkontrolle und Cloud
Datenstandorte sind auch deswegen entscheidendes Kriterium für Cloud-Infrastrukturen, da Unternehmen im Verteidigungssektor strikt auf die Exportkontroll-Vorgaben achten müssen. Exportkontrollrechtlich gilt neben dem Verbringen ins Ausland bereits das elektronisch Verfügbarmachen von technischen Daten für Empfänger im Ausland als Ausfuhr. Nach der Dual-Use-Verordnung (Verordnung (EG) 428/2009) umfasst „Ausfuhr“ explizit „die Übertragung von Software oder Technologie mittels elektronischer Medien [...] an ein Bestimmungsziel außerhalb der EU“ und adressiert damit auch den reinen Zugriff auf die Technologie, unabhängig vom physischen Serverstandort.
Wenn ein Rüstungsunternehmen Konstruktionspläne (Dual-Use-Technologie oder Rüstungsgut) in eine Cloud hochlädt und Mitarbeiter oder Unterauftragnehmer außerhalb Deutschlands oder der EU darauf zugreifen können, ist das – je nach konkretem Fall – ein genehmigungspflichtiger Exportvorgang. Auch der Fernzugriff eines eigenen Entwicklers aus einem Drittstaat auf den Firmenserver in Deutschland kann in diesem Szenario als Ausfuhr zählen.
Vertraulichkeit, Geheimschutz und VS-Daten
Geheimschutz hat in militärischen IT-Systemen oberste Priorität. In Deutschland regelt das Geheimschutzhandbuch (GHB) der Bundesregierung die Behandlung von Verschlusssachen (VS) – inklusive Vorgaben für IT-Systeme (Anlage 4 „VS-NfD-Merkblatt“). Cloud-Lösungen, die Verschlusssachen verarbeiten, müssen diese strengen Auflagen erfüllen. Schon der unbefugte Umgang mit Informationen, die der niedrigsten VS-Stufe VS-NfD unterliegen, kann strafrechtliche Konsequenzen nach sich ziehen. Folglich verlangen Behörden von Unternehmen, die VS-Daten handhaben, eine Selbstakkreditierung ihrer IT-Systeme: Bis spätestens 01.09.2025 mussten alle betroffenen Firmen gegenüber dem Auftraggeber nachweisen, dass ihre Systeme den Anforderungen des VS-NfD-Merkblatts genügen – allem voran technische Isolierung und robuste Segmentierung sowie die Einhaltung von Verschlüsselungsstandards.
Zudem müssen organisatorische Maßnahmen implementiert werden, etwa die obligatorische Sicherheitsüberprüfung von Mitarbeitern nach dem Sicherheitsüberprüfungsgesetz (SÜG).
Datenschutzrechtliche Anforderungen
Wenn auch eingeschränkt, können personenbezogene Daten bei MDO eine Rolle spielen. Grundsätzlich gelten die Anforderungen der Datenschutz-Grundverordnung (DSGVO), wobei Tätigkeiten zur Wahrung der nationalen Sicherheit oder staatliche Aktionen im Verteidigungsfall nicht unter die DSGVO fallen. Routinemäßige Datenverarbeitungen sind hiervon ausgenommen, so dass für Teilaspekte bei Cloud-Infrastrukturen in MDO-Szenarien der Datenschutz einzuhalten ist.
Wenn z.B. ein externer Cloud-Anbieter für nicht-geheime Anwendungen der Bundeswehr genutzt wird (etwa Office-Services), müssen Auftragsverarbeitungsverträge nach Art. 28 DSGVO geschlossen werden. Zudem müssen datenschutzrechtliche Grundvoraussetzungen eingehalten werden, sei es direkt oder indirekt als Industry Best Practices. Die positive Kehrseite: Hohe Schutzstandards für VS-Daten führen meist automatisch dafür, dass personenbezogene Daten mitgeschützt sind (da z.B. alle Transportwege verschlüsselt, alle Zugriffe protokolliert etc. werden).
Internationaler Rahmen
Bei multinationalen MDOs, etwa im NATO-Rahmen, steigen die Herausforderungen an sichere Cloud-Infrastukturen nochmals. Unterschiedliche nationale Geheimhaltungsstufen müssen harmonisiert und sichere Datenbrücken geschaffen werden. Voraussetzung für die Erfüllung internationaler Vorgaben ist die Einhaltung nationaler Standards.
Mit sicheren Cloud-Infrastrukturen zur MDO-Fähigkeit
Unternehmen, die IT-Services oder Cloud-Lösungen für den Verteidigungssektor anbieten, müssen also einen erheblichen Kanon regulatorischer Vorgaben und Prozesse einhalten können, sinnvollerweise „by Design“.
Zu den Basics zählt ein funktionierendes Compliance-Management für Geheimschutz und Exportkontrolle. Dazu zählt, dass das Informationssicherheits-Managementsystem (ISMS) um Module für VS-Daten erweitert wird. Ein wesentliches Kriterium ist zudem die Einhaltung der technischen Souveränität. Hierzu zählen neben dem Ort des Hostings die Anwendung entsprechender Verschlüsselungsstandards und den Zugriff ausschließlich durch befugtes Personal (mit ggf. Sicherheitsüberprüfung). Interoperabilität sichert zudem die Kompatibilität mit europäischen Cloud-Plattformen (GAIA-X kompatibel o.Ä.). Die Cloud sollte zudem technisch gewährleisten, dass durch eine vorausschauende Data Governance Ausfuhrbestimmungen „by Design“ umgesetzt werden, etwa durch Zugriffssperren für Nutzer aus bestimmten Ländern. Robuste SLAs zur Datensicherheit und der Nachweis, Lieferkettenrisiken zu managen, sichern für Cloud-Infrastrukturen die erforderliche Cyber-Resilienz.
