# taz.de -- IT-Sicherheitsbehörde warnt: „Wir haben viele technologische Abhängigkeiten“
> Digitale Souveränität ist für Deutschland vorerst unerreichbar, sagt
> BSI-Präsidentin Claudia Plattner. Es brauche deshalb mehr
> Kontrollmechnismen.
IMG Bild: „Große Firmen aus den USA haben schon zehn Jahre Vorsprung“, sagt Claudia Plattner, Präsidentin der IT-Sicherheitsbehörde BSI
Berlin dpa | Seine Abhängigkeit von Cloud-Lösungen, KI-Modellen und anderen
Tech-Produkten aus dem Ausland wird Deutschland nach Einschätzung des
Bundesamtes für Sicherheit in der Informationstechnik (BSI) so bald nicht
überwinden. Da der Staat seine digitalen Systeme und Daten bis auf weiteres
nicht ohne Input aus dem außereuropäischen Ausland nutzen könne, gehe es
kurzfristig darum, möglichst viele Kontrollmechanismen einzubauen, erklärt
[1][BSI-Präsidentin Claudia Plattner].
„Wenn es um die digitale Souveränität geht, also die Nutzung europäischer
oder deutscher Hersteller und Dienstleister – auch für Satelliten oder
KI-Anwendungen – dann muss man sich auch mal ehrlich machen“, sagt Plattner
der Deutschen Presse-Agentur. Fortschritte seien hier zwar sichtbar.
Dennoch sei klar, „dass manche der großen Firmen, vor allem aus den USA,
jetzt schon zehn Jahre Vorsprung haben, was entsprechende Investitionen
angeht“.
Das bedeute für Behörden und Unternehmen in Deutschland: „Wir haben
technologische Abhängigkeiten an ganz vielen Stellen.“ Es sei unrealistisch
zu glauben, „dass wir das kurzfristig alles selbst können werden“, sagt
Plattner, die seit gut zwei Jahren an der Spitze des Bundesamtes steht.
Das BSI ist die zentrale staatliche Stelle in Deutschland für Fragen der
IT-Sicherheit. Es gehört zum Geschäftsbereich des Bundesinnenministeriums.
Das Bundesamt mit Hauptsitz in Bonn unterstützt Behörden des Bundes bei der
Absicherung ihrer IT-Systeme, warnt vor Risiken und entwickelt
Sicherheitsstandards, die auch für Unternehmen relevant sind. Für
Unternehmen der sogenannten kritischen Infrastrukturen – dazu zählen etwa
Energie, Gesundheit, Telekommunikation und Transport – sind bestimmte
BSI-Vorgaben sogar gesetzlich vorgeschrieben.
## Kontrolle ist wichtig
Auf Behördenseite braucht es nach Einschätzung der BSI-Chefin eine
Strategie, nach der entschieden wird, welche Technologien von außen
eingekauft werden „und wie wir eine gewisse Kontrolle darüber gewinnen“.
Ein solches Konstrukt sei auch die im ersten Quartal dieses Jahres
geschlossene Kooperation des BSI mit Google.
Google Cloud und das BSI hatten im Februar eine Vereinbarung unterzeichnet.
Ziel sei es, die Entwicklung und Bereitstellung sicherer Cloud-Lösungen für
Behörden auf Bundes-, Landes- und Kommunalebene zu unterstützen. „Ein
besonderer Schwerpunkt der Vereinbarung liegt auf der Gewährung der
Datensouveränität“, hieß es damals in einer Mitteilung.
Harsche Kritik an der Vereinbarung kam im März von der Gesellschaft für
Informatik. Sie erklärte, es sei „unverantwortlich, dass die US-Regierung
zusätzliches Erpressungspotenzial – noch dazu von einer für IT-Sicherheit
verantwortlichen deutschen Behörde – frei Haus erhält“. Google sei aufgrund
der Rechtslage in den USA gar nicht in der Lage, einen souveränen Dienst
anzubieten. Der „Cloud Act“ regelt den Zugriff von US-Behörden auf Daten,
die bei US-Unternehmen gespeichert sind – auch dann, wenn diese Daten sich
außerhalb der USA befinden, etwa auf Servern in Europa.
## Updates ja, unkontrollierte Steuerbefehle nein
Jede Applikation, jedes Smartphone und jedes Betriebssystem sende eine
Menge von Daten, etwa Diagnosedaten, sagt Plattner. Bei der Kooperation mit
Google wolle man daher sicherstellen, „dass es keinen unkontrollierten
Datenabfluss gibt“.
Gleichzeitig gehe es darum, zu kontrollieren, was an Steuerbefehlen
hineinkommt. „Denn theoretisch wäre es ja sonst möglich, alle Clouds, alle
Solarpanels oder alle Elektrofahrzeuge eines Herstellers auf einen Schlag
abzustellen.“ Da es aber sehr wohl Zugänge für Updates geben müsse, sei die
Kontrollfrage nicht trivial. Das BSI kümmere sich daher intensiv um dieses
Thema.
Der US-Cloud-Act sei eines von diversen Gesetzen in den USA, die dem Staat
viele Zugriffsmöglichkeiten zubilligten, räumt Plattner ein. So etwas finde
man auch in China. Die Antwort auf die Frage der Kontrolle sollte aus Sicht
der BSI-Chefin aber nicht politisch sein, sondern technologisch. „Es geht
darum, sicherzustellen, dass ein Zugriff technisch nicht möglich ist“,
betont sie. Dabei gehe es insbesondere um Verschlüsselung und die Frage, ob
der Nutzer die Hoheit über diese Schlüssel habe.
Der deutsche Cloudanbieter Ionos hat im Frühjahr einen Auftrag von der
Bundesverwaltung für den Aufbau einer besonders strikt abgesicherten
Computer-Cloud-Lösung erhalten. Die „private Enterprise-Cloud“, die vom BSI
zertifiziert wurde, soll laut Unternehmen in den Rechenzentren des
Informationstechnikzentrums Bund betrieben werden. Das Besondere an der
Lösung der United-Internet-Tochter ist, dass diese Plattform nicht mit dem
öffentlichen Internet verbunden ist.
## Wer ist verantwortlich für KI-Sicherheit?
Für [2][ChatGPT], Gemini und andere KI-Modelle gelten seit dem 2. August
EU-weit Regeln, die Künstliche Intelligenz transparenter und sicherer
machen sollen. Doch wer trägt in Deutschland die Verantwortung dafür, dass
von KI-Modellen keine Risiken ausgehen – etwa weil von ihnen unbeabsichtigt
Schaden verursacht wird oder sie durch Hacker manipuliert werden können?
Welche Rolle hier jeweils die Bundesnetzagentur und das BSI spielen wird,
ist bislang nicht abschließend geklärt. Plattner ist überzeugt: „Wir als
BSI sind die Behörde, die für Cybersicherheit die Verantwortung trägt – und
damit müssen wir auch in puncto Künstliche Intelligenz entsprechende
Verantwortung tragen.“ Die Regelungen, die es für die Verteilung dieser
Aufgaben braucht, werden von der Bundesregierung aktuell ausgearbeitet.
Der Zeitfaktor sei hier angesichts des Tempos, mit dem sich KI aktuell
entwickelt, enorm wichtig, mahnt die BSI-Chefin. Zentrale Fragen seien
etwa: Wie verhindere ich Prompt Injections? Darunter versteht man das
gezielte Einschleusen manipulierter Eingaben in KI-Systeme, um ihr
Verhalten zu steuern. „Und wie kann ich verhindern, dass eine KI für
schlimme Zwecke eingesetzt wird?“
Die Leiterin des Bundesamtes legt dabei großen Wert darauf, dass Regeln für
sichere KI-Nutzung nicht blockieren sollen, sondern „Innovationen
begleiten“. Firmen könne sie derweil nur dringend raten, keine
sicherheitsrelevanten Daten hineinzugeben und „sich einen vernünftigen
Firmenaccount zuzulegen“, mit der Möglichkeit, die Privatsphäre-Funktionen
so einzustellen, dass die „Schatten-KI“ nicht zu weit eingreife.
12 Aug 2025
## LINKS
DIR [1] /Claudia-Plattner-wird-BSI-Praesidentin/!5910973
DIR [2] /Neue-Studie-zu-Chat-GPT/!6091901
## TAGS
DIR Technik
DIR Digitales Lernen
DIR Cybersicherheit
DIR Datenschutz
DIR Digitale Souveränität
DIR taz Plan
DIR Schwerpunkt Künstliche Intelligenz
DIR Schwerpunkt Künstliche Intelligenz
DIR Datenschutz
## ARTIKEL ZUM THEMA
DIR Bewegungstermine in Berlin: Cyber Insecurity muss nicht sein
Auch Aktivist:innen brauchen für ihre Aktivitäten Smartphones und
Laptops. Doch bleiben die Daten sicher? Die Bewegung weiß Abhilfe.
DIR Neue Studie zu ChatGPT: Potenzielle Propagandamaschine
Forscher:innen haben 900 Menschen zu politischen Fragen chatten lassen.
Teils miteinander, teils mit KI-Chatbots. Letztere überzeugten besonders.
DIR Big Tech und künstliche Intelligenz: Wettrennen ohne Rücksicht
Im Namen der Konjunktur wird der Datenschutz aufgeweicht. Einmal in den
Fängen der künstlichen Intelligenz, gibt es kein Entkommen mehr.
DIR Datenschutz im Alltag: Die Bequemlichkeitsfalle
Wir brauchen technische Lösungen zum Schutz unserer Privatsphäre. Was aber
auch nicht schadet: dass wir selbst ein bisschen Verantwortung übernehmen.