Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Informationssicherheit

Bedeutung und Management von Cloud Computing, Multi-Cloud und Cloud Brokerage in Unternehmen – Teil 1

1 Einleitung und Hintergrund zu Cloud Computing

1.1 Bedeutung und Einordung von Cloud Computing in Unternehmen

Der Bereich des Cloud Computing hat in den letzten Jahren eine anhaltend dynamische Entwicklung erlebt. Sowohl im Consumer- als im Businessbereich sind heute eine große Anzahl von IT-Anwendungen als Cloud-basierte Lösungen umgesetzt oder greifen zur Realisierung bestimmter Funktionen auf Cloud-Lösungen zurück. So nutzen mittlerweile 84 % der Unternehmen in Deutschland Cloud Computing. Das Spektrum des Cloud Computing reicht dabei von Anwendungen, die sich direkt an einzelne Endanwender richten bis hin zu komplexeren IT-Infrastrukturen, die Unternehmen aus der Cloud beziehen. So stehen beispielsweise mit Microsoft Office 365, Zoom oder Google Workspace verschiedene Anwendungen für Endanwender im Internet bereit, um die Produktivität und Zusammenarbeit ihrer Nutzer zu unterstützen. Mit Amazon Web Services (AWS) oder Microsoft Azure dagegen werden Unternehmen verschiedene Möglichkeiten eröffnet, um ganze IT-Infrastrukturen und drauf aufbauende Anwendungen umzusetzen und zu betreiben.

Die Grundidee von Cloud Computing besteht zunächst darin, IT-Ressourcen wie Rechenleistung, Speicher oder Anwendungen logisch zusammenzufassen und gemeinsam zu nutzen. Der Vorteil liegt in der höheren Flexibilität und Verfügbarkeit, da die Leistungsbereitstellung nicht mehr von einzelner Hardware abhängig ist, sondern die IT-Ressourcen im Hintergrund virtuell zusammengeführt werden. In aller Regel bleiben diese Virtualisierung und Zusammenführung dabei von Endanwender unbemerkt. Das National Institute of Standards and Technology definiert cloud computing als ein Modell „for granting users access to a shared pool of configurable computational resources including networks, servers, storage, applications, and services that can be rapidly provisioned (adapted for new services) with little management or service provider interaction“.

Im Cloud Computing wird in der Regel unterschieden zwischen verschiedenen grundlegenden Servicemodellen wie Software-as-a-Service (SaaS), Plattform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS). Dabei setzen die verschiedenen Servicemodelle an unterschiedlichen Abstraktionseben der zugrundliegenden gemeinsam genutzten IT-Ressourcen an. SaaS und PaaS setzt auf der Anwendungsebene an und ermöglichen direkt die Verwendung bereitgestellter Anwendungen wie bspw. SAP, Salesforce oder ähnlichen Anwendungen. Die technische Realisierung bleibt den Cloud-Nutzern dabei weitgehend verborgen und ist Aufgabe des Cloud Service Providers (CSP). Plattform-as-a-Service (PaaS) bildet dabei eine eher technische Schicht zwischen Anwendungen und Infrastruktur ab, auf deren Basis Anwendungen entwickelt werden können. Zielgruppe sind hauptsächlich Software-Entwickler. Infrastructure-as-a-Service (IaaS) dagegen umfasst vor allem eine technische und grundlegendere Ebene, die Server, Speicher, Netzwerke und /oder Virtualisierung beinhaltet. In der Regel greifen SaaS- und PaaS-Servicemodelle zur Realisierung ihrer Funktionen auf IaaS zurück.

Der Einsatz von Cloud Services erfolgt anhand unterschiedlicher Bereitstellungsmodelle. Zur Nutzung von Cloud Computing können Unternehmen entweder selbst die entsprechende Infrastruktur aufbauen und bereitstellen (sog „Private Cloud“), diese von entsprechenden Dienstleistern über das Internet beziehen (sog. „Public Cloud“) oder auch eine eigene und öffentliche Cloud-Lösungen miteinander verknüpfen („Hybrid Cloud“). Bei Nutzung einer Public oder Hybrid Cloud ist das Unternehmen nicht gezwungen, an einer zu erwartenden Maximallast ausgerichtete IT-Infrastruktur selbst vorzuhalten, sondern kann bedarfsgesteuert Ressourcen in der Public Cloud allokieren. In der Regel werden die angebotenen Public Cloud-Dienste dabei von verschiedenen Nutzern bzw. Unternehmen gleichzeitig genutzt (sog. „Multi-Tenancy“). Die Nutzer bzw. Unternehmen sind dabei jedoch voneinander abgegrenzt.

Cloud Computing spielt bei der strategischen Modernisierung der IT in Unternehmen eine wesentliche Rolle und bietet eine Reihe von Vorteilen. Durch ein flexibles, selbstgesteuertes und nachfrageorientiertes Zusammenführen und Virtualisieren der zugrundeliegenden IT-Ressourcen („On-Demand Self-Service“ & „Resource Pooling“) ermöglicht es eine schnellere und hoch verfügbare Bereitstellung von digitalen Diensten und Anwendungen sowie häufig eine einfache Mitnutzung Cloud-basierter IT-Innovationen. Darüber hinaus trägt Cloud Computing zu einer schnellen Ausrichtung an sich ändernden Anforderungen bei und kann den Erfordernissen entsprechend einfach skaliert werden („Rapid Elasticity“). Dabei werden durch entsprechende Dienste die in Anspruch genommenen Cloud Ressourcen nachfragegesteuert abgerechnet („Measuring Service“). Dies führt einerseits zu einer höheren Kostentransparenz bei Nutzern und gleichzeitig zu potenziell geringeren Kosten des IT-Betriebs durch Nutzung von Skaleneffekten, geringeren Kapitalbindungskosten und weiteren Folgeeffekten der Cloud Nutzung wie geringeren Personal- und Prozesskosten. Allerdings kann sich dieser vermeintliche Vorteil auch umkehren. Insbesondere bei der Nutzung datenintensiver Anwendungen, vor allem im KI-Umfeld, kommt es auf das gewählte Preismodell an, ob die angestrebten Kostenziele erreichbar sind, oder ob sich nicht der gegenteilige Effekt einstellt.

Den Vorteilen von Cloud Computing stehen jedoch auch Einschränkungen und Herausforderungen in verschiedenen Bereichen gegenüber. Unter den meistgenannten Punkten stehen dabei Sicherheit und Datenschutz sowie Kompatibilität und Interoperabilität.

Anfängliche Bedenken bezüglich des Datenschutzes und der Datensicherheit hielten Unternehmen häufig von der Nutzung von Public Cloud-Diensten ab. Wenn Cloud Computing in Form einer Public oder Hybrid Cloud genutzt wird, kommen bspw. der Verlust von Daten, unsichere Programmierschnittstellen oder Risiken durch unsichere Übertragungswegen als mögliche Risiken in Betracht. Diese anfängliche Einschätzung hat sich in den letzten Jahren jedoch sehr gewandelt. Vor dem Hintergrund zunehmender Bedrohungen der IT-Sicherheit in Unternehmen durch bspw. Hackerangriffe, Schadsoftware u. ä., fällt es CSPs zunehmend leichter, ihre Sicherheits-Zertifizierungen und -Überprüfungen als Qualitäts- und Alleistellungsmerkmal herauszustellen. Auch rechtliche Bedenken stellen bei der Nutzung von Cloud Services eine große Hürde dar, da die Umsetzung des Datenschutzes nicht vom physischen Speicherort und den dort rechtlichen Bedingungen des Datenschutzes getrennt werden kann. So setzen viele europäische Unternehmen auf die Nutzung von Cloud Computing-Ressourcen, die in Europa gehostet werden, um sicherzustellen, dass die verarbeiteten Daten nach europäischen Standards geschützt sind.

Neben rechtlichen können auch technische Herausforderungen auftreten. Unterschiedliche Cloud-Plattformen nutzen zur Realisierung gleicher Funktionen verschiedenen Programmierschnittstellen (sog. API) und/oder verschiedene Datenformate, so dass das Zusammenspiel oder gar die Migration von Cloud-Diensten zwischen verschiedenen Plattformen zu einer Herausforderung wird, der sich die Unternehmen gegenüber sehen. Interoperabilität ist von großer Bedeutung, da bestehende Anwendungen und Daten andernfalls nur mit großem Aufwand zwischen verschiedenen Anbietern gewechselt werden können und damit die Abhängigkeit von einzelnen CSPs sehr hoch ist („Vendor Lock-In“). Ebenso stellt die Anbindung und Integration zu den Legacysystemen und IT-Infrastrukturen durch die Bereitstellung geeigneter Schnittstellen eine weitere Herausforderung dar, die schon bei der Planung und Konzeption von Cloudvorhaben berücksichtigt werden muss.

1.2 Cloud-basierte Anwendungen im Bereich der Künstlichen Intelligenz

Ein spezieller Anwendungsfall von Cloud Computing, der zunehmend an Bedeutung in Unternehmen gewinnt, sind Cloud-basierte Anwendungen der Künstlichen Intelligenz (KI) oder auch Machine Learning as a Service (MLaaS).

Cloud-basierte KI bezieht sich auf die Verwendung von KI-Diensten, Anwendungen und Tools, die in einer Cloud gehostet und der Allgemeinheit on-demand-basiert durch den CSP zur Verfügung gestellt werden. Cloud Computing bietet eine relativ bequeme und kostengünstige Möglichkeit, leistungsstarke KI-Funktionen, ohne umfangreiche eigene Infrastruktur und Expertise zu nutzen. Ganz analog zu den bereits vorgestellten Vorteilen und Herausforderungen des Cloud Computing ermöglicht es Unternehmen somit Zugang zu komplexen Anwendungen und Systemen, ohne oder mit nur geringen Investitionsaufwand und eine einfache Mitnutzung von Innovationen. Die Notwendigkeit teurer Hardware oder Software-Investitionen, Wartung oder Zugang zu entsprechenden Spezialisten wird verringert, was KI für Unternehmen jeder Größe zugänglicher macht. Insbesondere klein- und mittelständische Unternehmen (KMU) werden in die Lage versetzt, auf aktuelle Technologien und Lösungen zugreifen zu können. Cloud-basierte KI-Services können darüber hinaus leichter skaliert werden, um sich ändernden Anforderungen gerecht zu werden.

In der Regel werden die benötigten Dienste über APIs bereitgestellt, die es Entwicklern ermöglichen, KI-Funktionen in ihre Anwendungen zu integrieren. Dabei kann es sich beispielsweise um Bilderkennung, natürliche Sprachverarbeitung oder Stimmungsanalyse (Sentiment Analyse) handeln. Solche KI-basierten Funktionen können damit einfach in bestehende Anwendungen integriert werden und deren Funktionalität erweitern.

Für viele Unternehmen stellt sich vor dem Einsatz von KI-Services die grundlegende Frage nach geeigneten Anwendungsfeldern und Use-Cases. Den Erfahrungen der Autoren zufolge, bestehen Herausforderungen insbesondere bei KMUs in der Entwicklung geeigneter Use-Cases und im Anschluss daran, in der Erhebung und Bereitstellung geeigneter Daten, die für die geplanten KI-Use-Cases benötigt werden.

Gleichzeitig bestehen – analog des Cloud Computing – weitere Herausforderungen, die vor allem die Bereiche Datenschutz- und Datensicherheit, ethischen Normen oder einem möglichen Vendor Lock-In betreffen. Die Nutzung von KI-Diensten in der Cloud erfordert in der Regel, dass die zu verarbeitenden Daten an die Cloud Services gesendet werden. Bei der Bilderkennung bspw. im medizinischen Bereich oder der Spracherkennung, kann es sich dabei um sehr sensible Daten handeln mit entsprechend strengen Vorgaben zur Einhaltung des Datenschutzes. Herausforderungen können hierbei bei Speicherung, Verarbeitung und Zugriff auf diese Daten bestehen. Wichtig bezüglich ethischer Normen ist, wie bei KI allgemein, dass klar ist, auf welchen Annahmen, Voreinstellungen und mit welchen Daten die Modelle trainiert sind, um Verfälschungen und möglichen Bias in der Verwendung und Interpretation der Ergebnisse ausschließen zu können. Ebenso führen spezifische Ausgestaltung von APIs und Funktionalitäten zu einer möglichen Abhängigkeit von bestimmten CSPs, so dass im Bedarfsfall der Service nur mit großem Aufwand gewechselt werden kann.

1.3 Schnittstellen des Cloud Computing zum IT-(Service)-Management

Ein effektiver und effizienter Einsatz von Cloud Services und Cloud-Lösungen bedarf neben allen technischen Voraussetzungen, insbesondere der Einbindung in das IT-Service-Management des Unternehmens.

Für das IT-Service-Management (ITSM) ist die Nutzung externer Ressourcen und die Integration externer Partner seit vielen Jahren gelebte Praxis (Goldberg et al. 2016). Mit der zunehmenden Nutzung von Cloud-Diensten ist es notwendig, diese im IT-Service-Management als entsprechende Management-Items mit in den jeweiligen Prozessen zu betrachten, um einerseits der steigenden Komplexität in der Steuerung der externen Dienstleister und andererseits dem (unbeabsichtigten) Entstehen einer Schatten-IT frühzeitig entgegenzuwirken. Hierfür bieten etablierte Frameworks für das IT-Service-Management, wie z. B. ITIL oder COBIT entsprechende Referenzprozesse bzw. Management Practices an. In beiden Ansätzen wird ein wertorientierter Ansatz für das IT-Service-Management zugrunde gelegt, welche sich auf die Ziele und die Zielerreichung der betreffenden Geschäftsprozesse der Servicenehmer konzentriert. Folglich gilt es, den Fokus auf den Wertbeitrag bzw. modifizierten Wertschöpfungsprozesse durch den Einsatz und die Nutzung von Cloud-Diensten zu legen. Prinzipiell können Cloud-Services wie andere IT-Services im Rahmen des Portfolio Managements, Architecture Management und Configuration Managements in bestehende Managementkonzepte wie z. B. ITIL oder COBIT einbezogen und gemanagt werden.

Um eine funktionierende Integration von Cloud-Services und CSP in das IT-Service-Management der Servicenehmer bewerkstelligen zu können, ist zunächst zu prüfen, ob sowohl die vorhandene IT-Strategie als auch die bestehende IT-Governance den angestrebten bzw. modifizierten Anforderungen genügen, die sich durch den Einsatz von Cloud Computing ergeben. Gegebenenfalls ist die grundlegende Ausgestaltung der IT-Governance und IT-Strategie zu überarbeiten, sowie die organisatorischen und technischen Rahmenbedingungen an die anzustrebende Zielsetzung anzupassen.

Ergänzend zur Anpassung der Führungs- und Managementprozesse sind die eigentlichen Service-Management-Prozesse und -Practices an die Cloud Nutzung anzugleichen, da sich aufgrund von Cloud Computing die Bedeutung und Relevanz vorhandener Prozesse und Practices verändern. Dabei nimmt tendenziell die Bedeutung derjenigen Practices ab, die die Service Value Chain von selbstentwickelten IT-Services betreffen, also für die Entwicklung, Transition, Betrieb und Support dieser Services. Dagegen steigt durch das Cloud Computing die Bedeutung und Relevanz derjenigen Practices, die sich auf die Themen Service Portfolio und Service Provider Management beziehen. Die Bedeutung der primären Handlungsbereiche bei den Unternehmen verschiebt sich somit, ohne dass man davon ausgehen kann, dass die Practices, die für eine Eigenentwicklung und Eigenbetrieb relevant sind, vollkommen unbedeutend werden.

Aufgrund der zunehmenden Bedeutung für eine wachsende Anzahl von Unternehmen wurde für das ITIL-Framework ein spezifischer Vorschlag für das Cloud Management erstellt. Es zeigt sich damit, dass das Management von Cloud-Services und die CSP in bestehende IT-Service-Managementansätze integriert werden können. Der Ansatz beschreibt ein Lebenszyklusmodell, das bei der Bestimmung und Auswahl möglicher Services unterstützt, die für eine Cloud-Lösung infrage kommen. Des Weiteren werden Auswahl- und Bewertungsprozesse sowie das Onboarding von CSP beschrieben. Der Lebenszyklus endet mit den Phasen der Co-Creation, bei der vor allem auf das Alignment der Betriebsmodelle zwischen Kunden und Service Provider abgezielt wird, sowie die Umsetzung mit dem entsprechenden Monitoring und Controlling. Ergänzend zu den beschriebenen Lebenszyklusphasen ist es auch angeraten, sich frühzeitig über das Verfahren zur Auflösung der Geschäftsbeziehung zum einem CSP Gedanken zu machen und Prozesse zu entwickeln, die ein Wechsel zu einem anderen Provider bzw. zur Eigenabwicklung ermöglichen.

2 Multi-Cloud als Weiterentwicklung von Cloud Computing

2.1 Definition und Bedeutung von Multi-Cloud Computing in Unternehmen

Aktuell sind Themen wie Multi-Cloud, Cloud Brokerage oder Cloud-basierte KI-Anwendungen im Mittelpunkt des Interesses. Unternehmen nutzen verstärkt verschiedene Cloud-Anbieter, um ihre vielfältigen Anforderungen besser und flexibler abdecken zu können. Der grundlegende Gedanke des Multi-Cloud-Ansatzes ist es, abhängig von den Anforderungen des Unternehmens verschiedene, in der Regel voneinander unabhängige Cloud-Service-Provider zur Realisierung dieser Anforderungen einzusetzen. Das Zusammenführen der verschiedenen Cloud-Lösungen zu einem einheitlichen, anforderungsgerechten Service obliegt dabei in der Regel dem Unternehmen, das diese Cloud-Lösungen einsetzen möchte. Dies ermöglicht mehrere Vorteile im Vergleich zu einem Single-Cloud-Ansatz: So ermöglicht Multi-Cloud die gezielte Nutzung verschiedener Technologien und Innovationen, die die verschiedenen CSPs bereitstellen und es erlaubt, auf Angebotsänderungen des CSPs flexibel zu reagieren. Dadurch wird es möglich, schnell technologische Innovationen aufzugreifen und im eigenen Unternehmen umzusetzen. Gleichzeitig sinkt durch die Nutzung mehrerer CSPs die Abhängigkeit von einem einzigen Cloud-Anbieter (sog. „Vendor Lock-In“) und es besteht die Möglichkeit, die Betriebskosten zu senken, indem Unternehmen die für sie günstigsten Cloud-Dienste für bestimmte Aufgaben auswählen. So können beispielsweise unterschiedliche Kostenmodelle der Cloud-Anbieter aufgabengerecht genutzt werden. Multi-Cloud kann auch dazu dienen, eine höhere Verfügbarkeit oder schnellere Antwortzeit von Diensten herzustellen oder im Notfall schnell auf andere Anbieter als Backup zurückgreifen zu können. Diese Aspekte werden um so bedeutender, desto größer der Umfang der Nutzung von Cloud Computing im Unternehmen wird.

Unterdessen stellt dies Unternehmen jedoch vor zusätzliche Herausforderungen hinsichtlich der Kompatibilität von Anwendungen und Daten, die zwischen verschiedenen Cloud-Anbieter genutzt werden sollen. Unterschiedliche Cloud-Plattformen nutzen zur Realisierung gleicher Funktionen verschiedenen Programmierschnittstellen (sog. APIs) und/oder verschiedene Datenformate, so dass das Zusammenspiel oder gar die Migration von Cloud-Diensten zwischen verschiedenen Plattformen einer wesentlichen Herausforderung wird, denen sich die Unternehmen bei der Nutzung unterschiedlicher CSP gegenübersehen.

Es gibt eine Vielzahl von Herausforderungen für die Kompatibilität beim Einsatz verschiedener CSP:

  • Interoperabilität bezeichnet die Herausforderungen, dass verschiedenen Systeme gemeinsam eingesetzt werden können. Hinderungsgründe für die Interoperabilität auf technischer Seite können sehr vielfältig sein und bspw. auf Ebene der verwendeten Programmiersprachen, APIs oder Datenbanktechnologien liegen: Verschiedene CSP verwenden häufig unterschiedliche Programmiersprachen unterstützen oder bevorzugen, wie beispielsweise Java, Python oder Ruby. Darüber hinaus unterschieden sich die APIs der verschiedenen CSP, um auf seine Dienste zuzugreifen. Wenn eine Anwendung oder Plattform auf die APIs eines bestimmten Anbieters angewiesen ist, führt die zu Inkompatibilitäten, wenn diese mit einem anderen Anbieter integrieren werden soll. Die Herausforderungen reichen von unterschiedlichen Protokollen bei der Kommunikation, unterschiedliche Funktionen und unterschiedliche Parameter, die die Funktionen verwenden. Dies kann eine wesentliche Herausforderung darstellen, verschiedene Cloud-Dienste zu integrieren und zu orchestrieren. Auf eben der Datenbanktechnologien setzen CSP zum Teil unterschiedliche Datenbanktechnologien ein, wie beispielsweise relationale Datenbanken, NoSQL-Datenbanken oder Graphendatenbanken. Dies verhindert, dass Daten und Anwendungen zwischen verschiedenen Anbietern einfach verschoben werden können.
  • Sicherheit und Datenschutz: Cloud Brokerage erfordert den Austausch von Daten und Informationen zwischen verschiedenen Cloud-Diensten und -Anwendungen. Dies kann jedoch zu vielfältigen Sicherheits- und Datenschutzproblemen führen. Zwar sind die Systeme grundsätzlich gegeneinander abgeschottet („Multi-Tenancy“), liegen letztlich aber dennoch physisch auf der gleichen Hardware vor, so dass theoretisch Sicherheitslücken dazu führen können, dass unbefugter Zugriff auf Daten möglich ist. Gleiches gilt für den Übertragungsweg. Die Daten werden in der Cloud gespeichert. Der Zugriff erfolgt über APIs und verschlüsselte Übertragungswege. Theoretisch ist es auch hier denkbar, dass über Sicherheitslücken an unterschiedlichen Stellen unbefugter Zugriff auf Daten oder das Abfangen von Daten möglich ist.
  • Compliance: Verschiedene CSP unterstützen unterschiedliche Sicherheits- und Compliance-Standards, die möglicherweise nicht miteinander kompatibel sind.

Gleichzeitig nehmen durch Multi-Cloud die Herausforderungen für die IT-Organisation des Unternehmens zu. Die Unternehmens-IT rutscht immer mehr in die Rolle eines Service Integrators in einer zunehmend komplexen IT-Landschaft, die von unterschiedlichsten Lieferanten mit unterschiedlichen Vertragskonstellationen zusammengeführt werden muss. Dies stellt an das IT-Service-Management hohe Anforderungen und adressiert in gleicherweise verschiedene Aspekte des strategischen und operativen ITSM sowie dem Management der Architektur. Unterschied ist jedoch der Grad an Komplexität.

Günther, J., Praeg, CP. Bedeutung und Management von Cloud Computing, Multi-Cloud und Cloud Brokerage in Unternehmen. HMD (2023).

https://doi.org/10.1365/s40702-023-00991-z

http://creativecommons.org/licenses/by/4.0/deed.de

Zur einfacheren Lesbarkeit wurden die Quellen- und Literaturverweise entfernt.

Kategorie: Datenschutz | Informationssicherheit | IT-Sicherheit

Unterseekabel als Kritische Infrastruktur und geopolitisches Machtinstrument

07/2023

Warum Unterseekabel besser geschützt werden müssen

Daten werden größtenteils durch die Ozeane über Unterseekabel transportiert. Tagtäglich werden Finanztransaktionen in Höhe von mehr als zehn Billionen US-Dollar über die Kabelinfrastruktur abgewickelt. Circa 95 Prozent des internationalen Datenverkehrs verläuft durch die Kabelinfrastruktur unter Wasser, bevor sie über Landungspunkte an Land weiter verteilt werden. Schätzungen gehen davon aus, dass sich die Datenmenge, die beispielsweise durch den Atlantik verläuft, alle zwei Jahre verdoppelt. Die Tendenz ist weiter steigend. Die digitale Transformation mit täglich steigenden Zahlen neuer Internetnutzerinnen und -nutzer und neuen digitalen Prozessen (wie Cloudangebote, Streamingdienste, soziale Medien, etc.) macht es möglich.

Unterseekabel sind Kritische Infrastruktur und derzeit alternativlos für Datenübertragungen

Im Jahr 2022 werden 530 Unterseekabel aktiv genutzt oder befinden sich in der Planung. Das Kabelnetz in den Tiefen der Meere beläuft sich derzeit auf eine Gesamtlänge von mindestens 1,3 Millionen Kilometer. Die in der Regel armdicken Kabel, vorwiegend aus feinen Glasfasern (früher aus Kupferdraht) bestehend, bilden damit ein weltweites Netz und eine Handelsroute für Daten aller Art, die durch Lichtimpulse übertragen werden.

Die interkontinentale Übertragung großer Datenmengen in kürzester Zeit mittels Unterseekabel ist aktuell alternativlos. Zwar findet Datenübertragung auch über Satelliten statt, jedoch nur da, wo es terrestrisch nicht möglich und der Bau einer Kabelinfrastruktur ausgeschlossen ist. Die höhere Paketlaufzeit durch die größere Distanz zu den Satelliten, höhere Kosten und größere Störanfälligkeiten der Satellitenübertragung sprechen – derzeit noch – gegen eine Alternativnutzung. Der Schutz der Unterseekabelinfrastruktur zur Gewährleistung der Datenübertragung ist daher auch in der Zukunft unerlässlich.

Bedrohungsszenarien wie Sabotage und Spionage nehmen weiter zu

Die Bedrohungen für die Kritische Infrastruktur unterhalb der Wasseroberfläche sind vielfältig. Seebeben, Wirbelstürme oder das Freischwemmen der Kabel sind realistische Szenarien, denen natürliche Erscheinungen zugrunde liegen und die auch nur schwerlich – durch eine Verstärkung der Ummantelung – verhindert werden können. So führte ein Seebeben vor der Küste Taiwans 2006 zu einem Kabelbruch und unter anderem dazu, dass Banken und Wertpapierhäuser in der Region zeitweise vom internationalen Handel abgeschnitten waren. Die häufigsten Ursachen für Beschädigungen an Unterseekabeln kommen jedoch aus der Fischerei (38 Prozent) und der Schifffahrt. In der Vergangenheit wurden zahlreiche Kabel durch Anker (25 Prozent) großer Schiffe zerstört.

Doch das sind längst nicht die einzigen möglichen Einwirkungen. Die Vorkommnisse in diesem Sommer in der Ostsee rund um die Gaspipelines Nordstream I und II haben gezeigt, dass die Infrastruktur unter Wasser vor manipulierender Einwirkung nicht gefeit ist. So ist eine Zerstörung durch Sprengstoffdetonationen oder anderen gezielten Angriffen (durch U-Boote, Unterwasserroboter oder -drohnen) auch für Unterseekabel nicht auszuschließen.

Auch die Datenspionage stellt eine zusätzliche Form der Bedrohung dar und keinesfalls eine neuartige. So überwachte der amerikanische Geheimdienst während des Kalten Krieges in den 1980er Jahren im Rahmen der Operation Ivy Bells ein Unterseekabel der Sowjetunion. Durch Abhörvorrichtungen an den russischen Unterseekabeln erhielt die US-Marine kritische Informationen über die Aktivitäten, Prozesse und Technologien der sowjetischen Marine.

Mit verhältnismäßig niedrigerem Aufwand verbunden ist der Zugang zum Datenverkehr über die Landungspunkte der Unterseekabel. So überwacht der britische Geheimdienst GCHQ an der zypriotischen Yeroskipos Submarine Cable Station den globalen Kommunikationsverkehr. Offiziell dient die Überwachung der Terrorismusbekämpfung. Die Enthüllungen von Edward Snowden rund um das Vorgehen der NSA von 2012 bis 2014, im Rahmen dessen europäische Spitzenpolitikerinnen und -politiker abgehört wurden, zeigen aber, dass dies oftmals nur ein Teil der Wahrheit ist. Der US-Geheimdienst nutzte damals unter anderem die Abhörstation Sandagergardan in Dänemark für die Überwachung. In Deutschland gibt es derzeit vier Landungspunkte (Sylt, Rostock, Markgrafenheide, Puttgarden), an denen insgesamt acht Kabel auf das Festland treffen.

Dateninfrastruktur ist Ziel der hybriden Kriegsführung

Ein Totalausfall des Datenverkehrs ist derzeit nicht realistisch. Die Beschädigung eines Kabels führt noch nicht zum Abbruch der Datenübertragung, sofern alternative Verbindungen innerhalb dieses Netzes vorhanden sind. Werden einzelne Kabelverbindungen zerstört, ,,suchen“ sich die Daten zunächst einen anderen funktionsfähigen Weg durch die Kabelinfrastruktur (Redundanzen), sodass es lediglich zu Verzögerungen kommen kann. Dabei steigt jedoch das Risiko einer Überlastung des Netzes.

Theoretisch ist zwar ein physischer Angriff auf mehrere Unterseekabel zeitgleich möglich, bedarf aber neben dem Wissen um die exakten Kabelverläufe weitreichender Vorbereitungen und eines großen Ressourcenaufwandes. Da die Kabelverläufe und Orte der Landungspunkte frei einsehbar, im Internet abrufbar und auf Seekarten eingezeichnet sind, kann die Kritische Infrastruktur unter Wasser für moderne Konfliktszenarien allerdings genutzt werden. Die Akteure kombinieren im Rahmen der hybriden Bedrohungen klassische Militäreinsätze, wirtschaftlichen Druck, Angriffe auf Kritische Infrastruktur, Cyberangriffe und Desinformation in (sozialen) Medien. Angriffe auf Unterseekabel können daher Gegenstand von Abschreckungsstrategien und Prozessverzögerungstaktiken werden.

Russland und die USA verfügen über militärisches Gerät zur Zerstörung und China baut die Entwicklung aus

Militärisch können Unterseekabel jederzeit zur Zielscheibe werden. So verfügt die Seekriegsflotte der Russischen Föderation über zwei nuklear betriebene U-Boote. Sie können als Mutterschiffe für kleinere U-Boote zu Spionage- und Sabotagezwecken für die Kriegsführung am Meeresboden (Seabed Warfare) zum Einsatz kommen. Neben dem Bergen von abgestürzten Flugzeugen und dem Installieren von Abhörsensoren ist das nuklearbetriebene U-Boot ,,Losharik“ auch für das Manipulieren oder den Beschuss von Unterseekabeln geeignet.

Außerdem ist das Forschungsschiff ,,Yantar“, das von der Abteilung für Tiefseeforschung im russischen Verteidigungsministerium betrieben wird, mit zwei unbemannten U-Booten aus- gestattet, die bis zu 6.000 Meter in die Tiefe gehen können und über hydraulische Greifarme verfügen. In Kombination mit Unterwasserrobotern oder -drohnen ließe sich nicht nur Aufklärung damit betreiben, sondern ebenfalls die Kabelinfrastruktur unter Wasser in wenig bis schlecht überwachten Gebieten (beispielsweise im Atlantik) zerstören. Die US-Marine entwickelt derweil im Rahmen des Projektes Cognitive Lethal Autonomous Weapons Systems (CLAWS) autonome Unterwasserwaffensysteme. Die bewaffneten ,,Roboter-U-Boote“ sollen durch künstliche Intelligenz gesteuert werden und potenziell ohne ausdrückliche menschliche Kontrolle Handlungen – darunter auch die Erzeugung kinetischer Effekte (Zerstörung von Gegenständen) – ausführen können.

Ihnen gleich tut es die Volksrepublik China. Bereits vor drei Jahren hat China sein erstes unbemanntes Unterwasserfahrzeug (UUV) ,,HSU001″ vorgestellt. Zugleich erklärte die Volksrepublik, sich in den kommenden Jahren vor allem mittels hochtechnologisierter UUVs und künstlicher Intelligenz den eigens ausgemachten militärischen Defiziten im Bereich der Unterwasserkriegsführung annehmen zu wollen.

Big Tech und China haben bald die Datenkontrolle

Doch Einwirkungsoptionen bieten sich auch auf einer anderen Ebene. Während die Unterseekabel früher noch vermehrt von Konsortien bestehend aus Telekommunikationsbetreibern (vor allem Orange, British Telecom, Alcatel, Norddeutsche Seekabelwerke) geplant, gebaut und betrieben wurden, dringen nun die großen Tech-Konzerne (Alphabet, Meta, Amazon, Apple, Huawei) auf den Markt. Für die Telekommunikationsunternehmen sind die Kosten für den Bau und die Instandhaltung mittlerweile zu hoch. Mit dem Ziel, die Bandbreite zunächst für eigene Angebote auszubauen, investieren die Tech-Konzerne hingegen beständig in neue Kabelnetze oder ersetzen alte durch schnellere, leistungsfähigere Leitungen. So erhöhen vor allem Alphabet und Amazon die Bandbreite für das eigene Cloudangebot und die Versorgung ihrer Rechenzentren. Prognosen zufolge könnte der Eigentumsanteil der Tech-Konzerne aus den USA an der Infrastruktur bis 2027 auf 80 Prozent anwachsen.

Alphabet hat mit den Leitungen ,,Curie“, ,,Dunant“, ,,Equitano“ und ,,Grace Cooper“ vier Unterseekabel in der Hand. Zudem plant das Unternehmen gemeinsam mit Meta zwei weitere Unterseekabel, ,,Echo“ und ,,Bifrost“, die 2023 beziehungsweise 2024 fertiggestellt werden sollen.

Aber auch die Volksrepublik China dringt auf den Markt. So hat China mit chinesischen Telekomkonzernen 2017 ein eigenes Unterseekabel gebaut, das Südostasien, den Mittleren und Nahen Osten mit Westeuropa verbindet.

Das neueste Projekt der Volksrepublik China nennt sich PEACE (Pakistan East Africa Connecting Europe), ist Teil der ,,digitalen Seidenstraße“ und seit August dieses Jahres in Betrieb. Mit einem 15.000 Kilometer langen Unterseekabel wird Pakistan über das Horn von Afrika, durch das Rote Meer und den Suezkanal mit Westeuropa (Landungspunkt: Marseille) verbunden. Zugleich stellt das Projekt eine Verbindung nach Ostafrika (Somalia und über die Africa-1 auch nach Kenia) her.

Mit einer Datenübertragungsrate von 96 Terabyte pro Sekunde ermöglicht es die Übertragung von so vielen Daten pro Sekunde, um 90.000 Stunden Netflix zu streamen. Neben den wirtschaftlichen Beweggründen für den Bau könnte diese Struktur die bestehende chinesische Militärbase in Dschibuti mit künftigen militärischen Stützpunkten der Volksrepublik China in Südasien (Pakistan) oder im Golf verbinden. Die Volksrepublik kokettiert bereits seit Längerem mit dem Ausbau der eigenen militärischen Stützpunkte weltweit. Eine Ausweitung des PEACE-Projektes auf Singapur über die Malediven wurde bereits angekündigt.

Zudem sind chinesische Unternehmen bereits heute Zulieferer für Bauteile der Infrastruktur. Mit dem chinesischen Unternehmen Hengtong Optic-Electric gehört ein chinesischer Hersteller zu den größten Glasfaserherstellern der Welt.

Russland hingegen hält seine Abhängigkeit gering, verfügt auf seinem Territorium nicht über wichtige Knotenpunkte und ist nur über vier internationale Unterseekabel (Verbindung mit Finnland, Georgien und zwei mit Japan) an das globale Datenverkehrsnetz angebunden. Über diese überschaubare Anzahl an Verknüpfungen behält sich die Russische Föderation zumindest die Möglichkeit der Kontrolle der eigenen Landungspunkte und des Datenverkehrs vor.

Eine ähnliche Tendenz, sich der möglichen ausländischen Einflussnahme zu entziehen, lässt sich in Brasilien beobachten. Vergangenes Jahr im Juni wurde ,,EllaLink“, mit einer Datenübertragungsrate von 100 Terabyte pro Sekunde, in Betrieb genommen: Ein Unterseekabel, das Brasilien und Lateinamerika mit Europa (Portugal) verbindet. Gebaut wurde es nach Angaben der brasilianischen Regierung, um die Neutralität des Datenverkehrs zu sichern und sich einer möglichen Überwachung durch US-Geheimdienste beziehungsweise der Datenkontrolle durch die US-Tech-Konzerne zu entziehen.

Geopolitischer Wettlauf ist nicht zu übersehen

Die geopolitische Bedeutung von Unterseekabeln haben die Großmächte längst erkannt. Wer die Kabelinfrastruktur kontrolliert, kann unter Umständen den Informationsfluss erfassen oder gar beeinflussen. 2020 verhinderten die US-Behörden den Bau einer Direktleitung zwischen den USA und Hongkong.

Vor fünf Jahren beabsichtigten damals noch Google und Facebook mit einer Tochtergesellschaft der China Soft Power Holdings zusammenzuarbeiten, um Los Angeles und Hongkong mit einem Hochkapazitätsunterseekabel zu verbinden. Das Pacific Light Cable Network sollte 12.800 Kilometer lang sein und den Pazifischen Ozean unterqueren. Mit etwa 120 Terabyte pro Sekunde sollte die Verbindung 80 Millionen hochauflösende Videokonferenzen gleichzeitig zwischen Los Angeles und Hongkong ermöglichen.

Die US-Behörden blockierten das Vorhaben und begründeten die Ablehnung damit, dass Hongkong als Landungspunkt auf chinesischem Territorium die nationale Sicherheit der USA gefährdet und Millionen von sensiblen personenbezogenen Daten von US-Bürgerinnen und US-Bürgern einer chinesischen Überwachung preisgegeben werden könnten. Das andere Teilstück zwischen den USA, den Philippinen und Taiwan wurde hingegen in Betrieb genommen.

Die Volksrepublik China sieht offenbar auch ein mögliches Angriffsszenario auf Taiwan über Unterseekabel. Auf einer chinesischen Plattform wurden mögliche strategische Ziele, zu denen auch der Zugriff auf die Halbleiterindustrie Taiwans über die Unterseekabelinfrastruktur gehörte, entdeckt. Wie realistisch und ernsthaft diese Überlegungen in Regierungskreisen sind, lässt sich jedoch nicht seriös bewerten.

Schnelle Leitungen entscheiden über die Datensouveränität

Zukünftig wird es – sofern die Staaten keinen Kontrollverlust hinnehmen wollen – immer entscheidender, von wem und mit welchen Bauelementen die Kabel gebaut werden, um die Einflusspotenziale anderer Staaten so gering wie möglich zu halten.

Auch könnte das Rennen um die größte Datenübertragungsrate perspektivisch noch mehr in den Vordergrund rücken. Wer schnellere Leitungen baut, die Datenübertragungsrate und tatsächliche Kapazität erhöht, kann in kürzerer Zeit mehr Daten durch seine Unterseekabel leiten und so den Datenfluss beeinträchtigen. Daten suchen sich immer den schnelleren Weg, ganz gleich, ob dieser über Landungspunkte in China, den USA oder Russland reicht.

Die Infrastruktur überwachen und verschlüsselt Daten übertragen

Angesichts der zu beobachtenden Entwicklung ist die Unterseekabelinfrastruktur als Kritische Infrastruktur besonders zu schützen – ganz im Sinne eines All-Gefahren-Ansatzes. In diesem Zusammenhang werden alle Arten von Gefahren (zum Beispiel Naturgefahren, technologische Gefahren, problematische Abhängigkeiten etc.) mitgedacht. Für Unterseekabel bedeutet das: Durch vollumfängliche Lagebilder mithilfe von Satellitenaufzeichnungen und Unterwasserüberwachung sowie Patrouillen können schädigende Einwirkungen, Manipulationsversuche oder Spionageeingriffe frühzeitig verhindert oder die Angreifer erkannt und zugeordnet (Attribution) werden. Landungspunkte sollten hierbei einer besonderen Beobachtung unterstellt werden. Darüber hinaus könnten Angriffe mit Unterwasserrobotern oder Unterwasserdrohnen notfalls auch abgewehrt werden. Dazu müssten zahlreiche internationale (Einzel-)Initiativen besser abgestimmt und koordiniert werden. Frankreich hat im Februar bereits eine Strategie für den Unterwasserkrieg publik gemacht. Teil dieser ist es, die Unterwasserfähigkeiten der französischen Marine auf bis zu 6.000 Meter Tiefe zu erweitern, gerade ausreichend, um die durchschnittliche Tiefe der Ozeane zu erreichen. Im März gab die britische Marine bekannt, dass ab 2024 das Schiff ,,Multi-Role Ocean Surveillance Ship“ die Überwachung des britischen und Teile der internationalen Gewässer übernehmen soll, ausgestattet mit einem ferngesteuerten Tauchboot und verschiedenen Sensoren. Die Telecom Italia Sparkle kündigte im Sommer 2022 an, mit der italienischen Marine bei der Aufklärung und Überwachung in den Gebieten rund um die Kabel von Sparkle zusammenzuarbeiten. Die Bundesregierung ist bisher untätig geblieben, auch eine europäische Institution, die für den Schutz und die Überwachung zuständig ist, gibt es bisher noch nicht. Die Europäische Union hat jedoch im Juni 2022 die Studie Security threats to undersea communications cables and infrastructure – consequences for the EU27, die sich mit dem Schutzbedürfnis der Unterseekabel befasst, veröffentlicht. Die Europäische Kommission hat die Errichtung einer Koordinierungsgruppe für die Widerstandsfähigkeit von Kabeln vorgeschlagen. Denkbar wäre auch der Aufbau einer Anti-Submarine-Warfare (ASW) im NATO-Verbund zum Schutz der Kritischen Infrastruktur. Das Joint Force Command Norfolk (JFC-NF) der NATO, das 2018 für den Schutz der Transport- und Kommunikationswege über den Atlantik aufgestellt wurde, ist allenfalls ein Anfang.

Auch die deutsche Polizei und Marine sollten zum Schutz der Infrastruktur die eigenen Kapazitäten aufstocken. Neben Polizeihubschraubern bedarf es einer Verdopplung der U-Boote der Bundeswehr von sechs auf zwölf, Flottendienstboote (kleine Spionageschiffe mit elektronischer Abhörfunktion), autonome Unterwasserfahrzeuge wie die ,,Seekatze“ und den Ausbau des akustischen Auswertungssystems der Bundeswehr. Eine Sonderrolle könnte das Territoriale Führungskommando innerhalb des Auftrages Heimatschutz für den Schutz der Kritischen Infrastruktur in Deutschland zukommen. Zudem müssten Back-up-Lösungen geschaffen werden. So sollte Satellitentechnik für die Aufrechterhaltung einer Notdatenübertagung zum Einsatz kommen. Darüber hinaus gibt es derzeit nur drei Reparaturschiffe, die für Wartung und Reparatur der Unterseekabel im Atlantik zur Verfügung stehen – bei Weitem nicht ausreichend. Akustische Sensorsysteme (Distributed Acoustic Sensoring DAS), die an den Kabeln angebracht werden, könnten diese zu einer Art Mikrofon machen. Die Sensorelemente ermöglichen die Erfassung von Geräuschen und Frequenzen in der Umgebung der Kabel und könnten so Hinweise auf ungewöhnliche Aktivitäten an diesen geben. Regulatorisch bedarf es auf nationaler Ebene besonderer Schutz- und Instandsetzungspflichten für die Betreiber und klarer fähigkeitsspezifischer Aufgabenverteilungen. International ist die Unterseekabelinfrastruktur bisher nicht völkerrechtlich geschützt. Das UN-Seerechtübereinkommen enthält kein Verbot, Unterseekabel im Konfliktfall anzugreifen.

Außerdem kann eine konsequente Verschlüsselung der Daten und der Echtzeit-Kommunikation die Spionage durch andere Staaten erschweren. Künftig gilt es, die Abhängigkeit von fremder Infrastruktur mehr denn je zu berücksichtigen. Auf europäischer Ebene wäre es daher ratsam, in eigene Unterseekabelinfrastruktur zu investieren und so die Abhängigkeit von Big Tech oder China zu verringern. Ansonsten werden beide zusammen künftig die Unterseekabelinfrastruktur beherrschen und so die Kontrolle über die Datenübertragung inne- haben. Ein erster Schritt wäre, sich dieser Abhängigkeit bewusst zu werden und strategische Schritte für die Verringerung der Abhängigkeit und Diversifizierung des Risikos einzuleiten.

Ferdinand Gehringer; Konrad Adenauer-Stiftung; Bonn

https://www.kas.de/de/analysen-und-argumente/detail/-/content/unterseekabel-als-kritische-infrastruktur-und-geopolitisches-machtinstrument

https://creativecommons.org/licenses/by-sa/4.0/legalcode.de

Zur einfacheren Lesbarkeit wurden die Quellen- und Literaturverweise entfernt.

Kategorie: Cybersecurity | Informationssicherheit | IT-Sicherheit
© Swiss Infosec AG 2026