Monat: Juni 2025

Digitale Souveränität – Teil 2 Der Fall IStGH und die Herausforderungen für das Business Continuity Management Der politisch motivierte Eingriff bei US-Cloud-Diensten offenbart massive Risiken für das Business Continuity Management (BCM). Die Abhängigkeit von Anbietern aus politisch agierenden Staaten birgt kaum berechenbare Risiken auf die Geschäftaktivitäten der Unternehmen. Somit müssen im BCM nun auch geopolitische Risiken mit Blick auf bislang freundliche Staaten neu bewertet, Anbieterabhängigkeiten reduziert und durch Diversifizierung sowie Datensouveränität die Resilienz gegen plötzliche Dienstunterbrechungen gestärkt werden, damit Unternehmen Handlungsfähig bleiben. Business Continuity Management und Massnahmen Für Ausführende der Business Continuity Prozesse hat das unvermittelte Vorgehen des US Präsidenten je nach Unternehmen in Teilen massive Auswirkungen. Je nach geografischer Verteilung der Unternehmensbestandteile müssen folgende Faktoren neu bewertet und Handlungen und Massnahmen abgeleitet werden: Hervorhebung geopolitischer Risiken als kritischer Faktor Direkte Auswirkungen von Sanktionen: BCM muss geopolitische Risiken, einschliesslich unilateraler Sanktionen und politisch motivierter Eingriffe, explizit als potenzielle Ursache für Betriebsunterbrechungen berücksichtigen. Es zeigt sich, dass Dienstleistungen von Anbietern aus bestimmten Ländern (hier: USA) plötzlich und ohne direktes Verschulden des Nutzers eingeschränkt oder entzogen werden können. Extraterritoriale Rechtsdurchsetzung Die Anordnung verdeutlicht die extraterritoriale Reichweite von Gesetzen und politischen Entscheidungen bestimmter Staaten. Unternehmen müssen im Rahmen ihres BCM bewerten, inwieweit sie von solchen Rechtsräumen abhängig sind, auch wenn sie selbst nicht direkt dort ansässig sind. Verschärfung der Risikobewertung für Drittanbieter (insbesondere IT-Dienstleister) Abhängigkeit von Cloud-Anbietern: Die starke Abhängigkeit von globalen Cloud-Anbietern (wie Microsoft, AWS, Google) wird als signifikantes BCM-Risiko exponiert. Der Entzug des Zugangs zu Cloud-Diensten kann den Zugriff auf kritische Daten, Kommunikationskanäle und Geschäftsanwendungen blockieren. Beeinträchtigung von Cloud-Anbietern:  Cloud-Anbieter, die von solchen Handlungen betroffen, hindern unmittelbar die eigenen Kunden in ihrer Handlungsfähigkeit. Diese kann soweit eingeschränkt sein, dass im schlimmsten Fall Ihnen (den Kunden des Cloud-Anbieters) die Unfähigkeit Ihr Geschäftausübung aufrecht zuerhalten eintritt und der Dienstleister gegebenfalls mit Ersatzforderungen bedroht ist. «Single Point of Failure» durch Anbieterkonzentration: BCM-Strategien müssen die Gefahr einer zu starken Konzentration auf einzelne Anbieter, insbesondere solche, die unter der Jurisdiktion politisch handelnder Staaten stehen, neu bewerten und mitigieren. Notwendigkeit erweiterter Resilienzstrategien Daten- und Anbietersouveränität: Die Bedeutung von Datensouveränität (Wo werden Daten gespeichert und wer hat Zugriff?) und die Auswahl von Anbietern, die möglicherweise weniger anfällig für politische Interventionen sind (z.B. Anbieter aus neutralen Ländern oder der eigenen Rechtsordnung), rückt in den Fokus. Die Entscheidung des IStGH-Anklägers, zu einem Schweizer Anbieter (Proton Mail) zu wechseln, ist hierfür bezeichnend. Diversifizierung und Multi-Provider-Ansätze: BCM sollte verstärkt auf die Diversifizierung von IT-Infrastrukturen und -Dienstleistern setzen, um die Auswirkungen des Ausfalls eines Anbieters aufgrund geopolitischer Ereignisse zu minimieren. Hybrid-Lösungen und On-Premise-Optionen: Die Überlegung, kritische Systeme oder Daten zumindest teilweise wieder «On-Premise» (im eigenen Rechenzentrum) zu betreiben oder hybride Modelle zu nutzen, gewinnt an Relevanz für BCM-Planungen. Anpassung der Business Impact Analyse (BIA) Die BIA muss die potenziellen Auswirkungen von politisch motivierten Dienstunterbrechungen umfassender bewerten. Dies betrifft nicht nur den direkten finanziellen Schaden, sondern auch Reputationsrisiken und den Verlust des Zugangs zu kritischen Informationen. Überdenken von Ausweich- und Wiederherstellungsplänen Pläne müssen Szenarien abdecken, in denen der Zugriff auf primäre Systeme nicht aufgrund technischer Fehler, sondern aufgrund rechtlicher oder politischer Anordnungen verweigert wird. Dies erfordert möglicherweise andere Arten von Wiederherstellungsmassnahmen, wie z.B. die schnelle Migration zu alternativen Plattformen oder die Aktivierung von «Offline»-Prozessen. Sind Sie sicher, dass ihre Cloud-Strategie nicht schon morgen von Washington durchkreuzt werden kann? Lassen Sie uns reden bevor es brennt! Links:  

Digitale Souveränität – Teil 1 Der Fall IStGH und die Abhängigkeit von der Cloud US-Behörden können auf Cloud-Daten ausländischer Nutzer zugreifen – sogar ohne deren Wissen. Der Fall Karim Khan zeigt, wie unsicher US-Cloud-Dienste für europäische Kunden sind. Im Februar diesen Jahres (2025) hat laut eines Artikel der APNews US-Präsident Donald Trump Microsoft aufgefordert, dem Chefankläger des Internationalen Gerichtshofs, Karim Khan, die Anmeldung an seinem Microsoft-Konto in der Azure Cloud zu sperren und ihm somit den Zugang zu den Diensten wie seinem E-Mail-Konto zu verwehren. Karim Khan ist der Chefankläger des Internationalen Strafgerichtshofs (IStGH), der im Fall von mutmasslichen Kriegsverbrechen durch Israels Ministerpräsident Netanjahu und seinem ehemaligen Verteidigungsminister Yoav Gallant ermittelt. Diese Forderung verdeutlicht, wie wenig Sicherheit die von Brad Smith (VP Microsoft) gestartete Charme- und Beruhigungsinitiative den europäischen Kunden und Nutzern der Azure Cloud Microsofts tatsächlich bietet. Rechtliche Möglichkeiten der USA gegen ausländische Cloud-Kunden Die USA haben durch Gesetze wie den CLOUD Act, den Patriot Act, den Freedom Act und den FISA Act weitreichende Befugnisse, um auf Daten zuzugreifen, die von US-Unternehmen oder deren Tochtergesellschaften bereitgestellt werden – unabhängig davon, wo die Daten physisch gespeichert sind. Das bedeutet: Wenn ein ausländischer Kunde Cloud-Produkte von US-Anbietern (wie Microsoft, AWS, Google) nutzt, können US-Behörden im Rahmen strafrechtlicher Ermittlungen oder zur Gefahrenabwehr auf diese Daten zugreifen – auch wenn sich die Server im Ausland befinden. Informationspflicht gegenüber ausländischen Kunden Es besteht grundsätzlich keine Verpflichtung der US-Behörden, die betroffenen ausländischen Kunden über den Zugriff oder die Herausgabe ihrer Daten zu informieren.Viele Anfragen erfolgen sogar explizit geheim, insbesondere wenn sie sich auf Ermittlungen im Bereich der nationalen Sicherheit oder Strafverfolgung beziehen. Rechtliche Konflikte und Schutzmöglichkeiten Die Herausgabe von Daten kann in Konflikt mit lokalen Datenschutzgesetzen stehen, etwa der DSGVO in der EU oder revDSG der Schweiz US-Anbieter können im Einzelfall versuchen, rechtliche Einwände zu erheben, wenn die Herausgabe gegen das Recht eines qualifizierten ausländischen Staates verstösst – dies ist aber ein komplexes und selten erfolgreiches Verfahren Unternehmen, die keine Verbindung zu den USA haben, sind nicht verpflichtet, US-Behörden Zugriff zu gewähren Daraus resultiert, dass US-Behörden auf Daten ausländischer Cloud-Kunden zugreifen können, wenn diese US-Cloud-Produkte nutzen, ohne die Kunden darüber informieren zu müssen. Dies kann zu erheblichen Datenschutzkonflikten führen, insbesondere in Europa. Verwendung von externen Cloud Diensten Welche Rückschlüssen lassen sich auf die Verwendung von externen Cloud Diensten ziehen beziehungsweise welche Überlegungen sollten im Bezug auf die Verfügbarkeit, die Betriebsicherheit und das Business Continuity Management gezogen respektive angestellt werden?Zunächst gilt folgendes festzuhalten: Dieses Ereignis verdeutlicht, dass derzeit grosse Risiken für eine Nutzung amerikanischer Cloudangebote durch nicht-US-amerikanische Unternehmen bestehen, über die man sich wie in Zeiten voriger US-Regierungen, die mit sich reden liessen und ein vitales Interesse an guten Beziehungen zum ausländischen Marketeilnehmern hatten (Regierung sind genauso wie Unternehmer eine Teilgruppe dieser Marktteilnehmer) nicht mehr einfach in Kauf nehmen kann. Risiken für nicht-US-amerikanische Unternehmen Dienstunterbrechung: Nicht-US-Unternehmen, die auf US-basierte Cloud-Dienste (z.B. von Microsoft, Amazon AWS, Google Cloud) angewiesen sind, könnten von Dienstunterbrechungen oder -kündigungen betroffen sein, falls die US-Regierung Sanktionen gegen sie oder mit ihnen verbundene Personen verhängt. Dies kann auch dann geschehen, wenn das Unternehmen selbst nicht direkt an einem Fehlverhalten beteiligt ist. Datenzugriffsbeschränkungen: Der Zugriff auf Daten, die auf US-amerikanischen Cloud-Servern gespeichert sind, könnte blockiert werden. Dies kann zu erheblichen Betriebsstörungen und potenziellem Datenverlust führen, wenn keine angemessenen Sicherungs- und alternativen Zugriffsmethoden vorhanden sind. Abhängigkeit von Anbietern (Vendor Lock-in): Eine starke Abhängigkeit von einem einzelnen US-Anbieter kann eine erhebliche Schwachstelle darstellen. Wenn dieser Anbieter durch US-Gesetze oder eine Präsidialanordnung gezwungen wird, Dienste einzustellen, kann es für das betroffene Unternehmen schwierig und zeitaufwändig sein, zu einem neuen Anbieter zu wechseln. Geopolitischer Einfluss: Die US-Aussenpolitik und rechtliche Massnahmen können sich direkt auf die Dienstleistungen auswirken, die US-Unternehmen weltweit anbieten. Dies bedeutet, dass nicht-US-Unternehmen bei der Nutzung dieser Dienste den geopolitischen Entscheidungen der US-Regierung unterliegen. Unsicherheit und Unvorhersehbarkeit: Solche Anordnungen können ohne merkliche Vorwarnung erlassen werden, was zu einem instabilen und unvorhersehbaren Umfeld für nicht-US-Unternehmen führt, die von US-Technologiediensten abhängig sind. Wenn ihnen der Artikel gefallen hat – bleiben Sie dran. Im zweiten Teil werden wir auf die Herausforderungen für das Business Continuity Management eingehen. Sind Sie sicher, dass ihre Cloud-Strategie nicht schon morgen von Washington durchkreuzt werden kann? Lassen Sie uns reden bevor es brennt! Links: APNews – Trump’s sanctions on ICC prosecutor have halted tribunal’s work – https://apnews.com/article/icc-trump-sanctions-karim-khan-court-a4b4c02751ab84c09718b1b95cbd5db3 Atlantic Council – Brad Smith outlines Microsoft’s five new commitments for ‘digital stability’ in Europe Neues Datenschutzgesetz (revDSG) – Neues Datenschutzgesetz (revDSG), Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) – Basiswissen revDSG Bundesamt für Justiz BJ – Bericht zum US CLOUD Act Bundeskanzlei BK – Bundesarchitektur > Cloud datenrecht.ch – Public-Cloud-Bericht der Bundesverwaltung – datenrecht.ch – das Datenrechts-Team von Walder Wyss MLL News, www.mll.news.com – Gutachten des Bundesamts für Justiz zum US CLOUD Act – MLL News Portal www.rosenthal.ch – David Rosenthal, Publikationen: Anmerkungen zum Gutachten … 10. November 2023 Fisa Act – The Foreign Intelligence Surveillance Act of 1978 (FISA) | Bureau of Justice Assistance PARTIOT Act – USA PATRIOT Act | FinCEN.gov FREEDOM Act – H.R.2048 – 114th Congress (2015-2016): USA FREEDOM Act of 2015 | Congress.gov | Library of Congress CLOUD Act – Criminal Division | CLOUD Act Resources