adaper

Digitale Souveränität – Teil 2

von

Alexander Nolting
in

Der Fall IStGH und die Herausforderungen für das Business Continuity Management

Der politisch motivierte Eingriff bei US-Cloud-Diensten offenbart massive Risiken für das Business Continuity Management (BCM).

Zuerst erschienen auf unserer Partner-Website: itnerds.ch.

Die Abhängigkeit von Anbietern aus politisch agierenden Staaten birgt kaum berechenbare Risiken auf die Geschäftaktivitäten der Unternehmen. Somit müssen im BCM nun auch geopolitische Risiken mit Blick auf bislang freundliche Staaten neu bewertet, Anbieterabhängigkeiten reduziert und durch Diversifizierung sowie Datensouveränität die Resilienz gegen plötzliche Dienstunterbrechungen gestärkt werden, damit Unternehmen Handlungsfähig bleiben.

Business Continuity Management und Massnahmen

Für Ausführende der Business Continuity Prozesse hat das unvermittelte Vorgehen des US Präsidenten je nach Unternehmen in Teilen massive Auswirkungen. Je nach geografischer Verteilung der Unternehmensbestandteile müssen folgende Faktoren neu bewertet und Handlungen und Massnahmen abgeleitet werden:

Hervorhebung geopolitischer Risiken als kritischer Faktor

Direkte Auswirkungen von Sanktionen: BCM muss geopolitische Risiken, einschliesslich unilateraler Sanktionen und politisch motivierter Eingriffe, explizit als potenzielle Ursache für Betriebsunterbrechungen berücksichtigen. Es zeigt sich, dass Dienstleistungen von Anbietern aus bestimmten Ländern (hier: USA) plötzlich und ohne direktes Verschulden des Nutzers eingeschränkt oder entzogen werden können.

Extraterritoriale Rechtsdurchsetzung

Die Anordnung verdeutlicht die extraterritoriale Reichweite von Gesetzen und politischen Entscheidungen bestimmter Staaten. Unternehmen müssen im Rahmen ihres BCM bewerten, inwieweit sie von solchen Rechtsräumen abhängig sind, auch wenn sie selbst nicht direkt dort ansässig sind.

Verschärfung der Risikobewertung für Drittanbieter (insbesondere IT-Dienstleister)
  • Abhängigkeit von Cloud-Anbietern: Die starke Abhängigkeit von globalen Cloud-Anbietern (wie Microsoft, AWS, Google) wird als signifikantes BCM-Risiko exponiert. Der Entzug des Zugangs zu Cloud-Diensten kann den Zugriff auf kritische Daten, Kommunikationskanäle und Geschäftsanwendungen blockieren.
  • Beeinträchtigung von Cloud-Anbietern:  Cloud-Anbieter, die von solchen Handlungen betroffen, hindern unmittelbar die eigenen Kunden in ihrer Handlungsfähigkeit. Diese kann soweit eingeschränkt sein, dass im schlimmsten Fall Ihnen (den Kunden des Cloud-Anbieters) die Unfähigkeit Ihr Geschäftausübung aufrecht zuerhalten eintritt und der Dienstleister gegebenfalls mit Ersatzforderungen bedroht ist.
  • «Single Point of Failure» durch Anbieterkonzentration: BCM-Strategien müssen die Gefahr einer zu starken Konzentration auf einzelne Anbieter, insbesondere solche, die unter der Jurisdiktion politisch handelnder Staaten stehen, neu bewerten und mitigieren.
Notwendigkeit erweiterter Resilienzstrategien
  • Daten- und Anbietersouveränität: Die Bedeutung von Datensouveränität (Wo werden Daten gespeichert und wer hat Zugriff?) und die Auswahl von Anbietern, die möglicherweise weniger anfällig für politische Interventionen sind (z.B. Anbieter aus neutralen Ländern oder der eigenen Rechtsordnung), rückt in den Fokus. Die Entscheidung des IStGH-Anklägers, zu einem Schweizer Anbieter (Proton Mail) zu wechseln, ist hierfür bezeichnend.
  • Diversifizierung und Multi-Provider-Ansätze: BCM sollte verstärkt auf die Diversifizierung von IT-Infrastrukturen und -Dienstleistern setzen, um die Auswirkungen des Ausfalls eines Anbieters aufgrund geopolitischer Ereignisse zu minimieren.
  • Hybrid-Lösungen und On-Premise-Optionen: Die Überlegung, kritische Systeme oder Daten zumindest teilweise wieder «On-Premise» (im eigenen Rechenzentrum) zu betreiben oder hybride Modelle zu nutzen, gewinnt an Relevanz für BCM-Planungen.
Anpassung der Business Impact Analyse (BIA)

Die BIA muss die potenziellen Auswirkungen von politisch motivierten Dienstunterbrechungen umfassender bewerten. Dies betrifft nicht nur den direkten finanziellen Schaden, sondern auch Reputationsrisiken und den Verlust des Zugangs zu kritischen Informationen.

Überdenken von Ausweich- und Wiederherstellungsplänen

Pläne müssen Szenarien abdecken, in denen der Zugriff auf primäre Systeme nicht aufgrund technischer Fehler, sondern aufgrund rechtlicher oder politischer Anordnungen verweigert wird. Dies erfordert möglicherweise andere Arten von Wiederherstellungsmassnahmen, wie z.B. die schnelle Migration zu alternativen Plattformen oder die Aktivierung von «Offline»-Prozessen.

Links

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert