governance

Wenn der Verbündete zum Risikofaktor wird

Michael Mrak

Michael Mrak

3 Min. Lesezeit
Teilen
Wenn der Verbündete zum Risikofaktor wird
Photo by Tingey Injury Law Firm / Unsplash

.. was die European-Pulse-Umfrage für Governance und Compliance bedeutet

Eine im März 2026 durchgeführte Umfrage von Cluster17 für Politico Europe und beBartlet hat in sechs großen EU-Staaten ein bemerkenswertes Stimmungsbild erhoben.

Befragt wurden 6.698 Personen in Belgien, Deutschland, Frankreich, Italien, Polen und Spanien. Nur 12 Prozent sehen die USA noch als engen Verbündeten, 36 Prozent stufen sie als Bedrohung ein, China kommt auf 29 Prozent.

In Spanien (51 Prozent), Italien (46 Prozent), Belgien (42 Prozent) und Deutschland (30 Prozent) wird Washington kritischer gesehen als Peking; nur Frankreich und Polen liegen umgekehrt. Russland bleibt mit 70 Prozent der klare Bedrohungsfavorit.

Man kann über die Aussagekraft solcher Stimmungsbilder streiten. Für die Fachbereiche, in denen ich arbeite, ist das ohnehin nicht der entscheidende Punkt. Entscheidend ist: Ein wesentlicher Teil der europäischen Öffentlichkeit stuft die USA, eine zentrale Lieferantenregion der eigenen Wirtschaft, inzwischen als geopolitisches Risiko ein. Und das hat sehr konkrete Folgen für Governance, Compliance und Informationssicherheit.

Geopolitik ist eine Risikokategorie, keine Meinung

In jeder ordentlich aufgesetzten Risikoanalyse, ob nach ISO/IEC 27005, ISO 31000 oder im Rahmen eines DORA-Risk-Management-Frameworks gemäß Art. 6 Verordnung (EU) 2022/2554, gehören externe politische und regulatorische Faktoren zu den zu betrachtenden Bedrohungsquellen. Was lange als abstrakte Kategorie behandelt wurde, ist 2026 operativ geworden. Der CLOUD Act, FISA Section 702, exekutive Anordnungen mit extraterritorialer Wirkung, Zolldrohungen, NATO-Debatten und die Diskussion um die Annexion Grönlands sind keine Talkshow-Themen mehr, sondern Inputs für die Bedrohungsanalyse.

Für die Governance bedeutet das zweierlei.

  • Erstens muss geopolitisches Risiko explizit benannt und nicht in „höhere Gewalt" versteckt werden.
  • Zweitens braucht es Eigentümer im Sinne einer RACI-Logik.

Wer entscheidet bei einer plötzlichen Eskalation darüber, ob ein US-gehosteter Service abgeschaltet, migriert oder weiterbetrieben wird? Wer dokumentiert die Folgenabschätzung nach Art. 35 DSGVO, wenn sich die Rechtsgrundlage für einen Drittlandtransfer faktisch ändert? Wer informiert nach Art. 23 NIS-2-Richtlinie die zuständige Behörde, wenn ein Vorfall durch geopolitisches Handeln eines Anbieters ausgelöst wird?

Lieferantenstrategie: Konzentrationsrisiko ist messbar

ISO/IEC 27001:2022 Annex A.5.19 bis A.5.23, die ISO/IEC 27036er-Reihe und für Finanzentitäten Art. 28 ff. DORA verlangen ein strukturiertes Lieferantenmanagement.

Die Erhebung des obligatorischen Register of Information nach Commission Implementing Regulation (EU) 2024/2956 zwingt Finanzentitäten ohnehin dazu, ihre ICT-Drittparteibeziehungen vollständig offenzulegen, inklusive Konzentrationen und Substituierbarkeit. Wer diese Übung ernsthaft macht, stellt regelmäßig fest, dass die kritische Wertschöpfungskette auf zwei bis drei US-Hyperscaler und eine Handvoll SaaS-Anbieter konsolidiert ist.

Microsoft 365, AWS, Google Workspace, Salesforce, ServiceNow, GitHub, plus die jeweiligen KI-Layer.

Das ist KEIN moralisches Problem, sondern ein Konzentrationsrisiko. Und Konzentrationsrisiken werden in einer Welt, in der ein wesentlicher Teil der EU-Bevölkerung den Heimatstaat des Anbieters als Bedrohung wahrnimmt, politisch volatiler. Die EDPB hat in den Leitlinien zu Drittlandtransfers seit Schrems II hinreichend deutlich gemacht, dass die Bewertung des Rechtsschutzes im Empfängerstaat nicht statisch ist. Sie kann sich ändern, und sie ändert sich gerade.

Was konkret zu tun ist

Drei Dinge ohne Aktivismus, aber mit Methode:

  • Erstens: Geopolitisches Risiko explizit in der Risikoanalyse abbilden. Eigene Bedrohungskategorie, eigene Szenarien, eigene Eintrittswahrscheinlichkeits- und Auswirkungsbewertung. Trigger definieren, ab wann Eskalationsstufen greifen. Das ist keine politische Aussage, sondern ein Risikoassessment im Sinne von ISO 27005 Abschnitt 7.
  • Zweitens: Exit- und Multi-Vendor-Strategien für kritische Dienste durchexerzieren, nicht nur dokumentieren. DORA Art. 28 Abs. 8 und Art. 30 Abs. 2 lit. a fordern für Finanzentitäten explizit dokumentierte Exit-Strategien für kritische Funktionen. Außerhalb des Finanzsektors ist die Forderung weicher, aber sachlich identisch. Ein Exit-Plan, der nie getestet wurde, ist kein Plan. Sovereign-Cloud-Angebote, EU-basierte SaaS, Open-Source-Alternativen und Self-Hosting gehören in die Bewertungsmatrix, mit nüchterner TCO- und Risikoabwägung.

    Dazu gehört auch eine ehrliche Antwort auf die Frage, was „europäische Souveränität" technisch konkret heißt. Eine in Frankfurt gehostete Microsoft-Instanz unter US-Mutterkonzern erfüllt das Kriterium nicht. Eine deutsche Tochter mit deutschem Geschäftsführer auch nicht zwingend, solange der Konzern in den USA sitzt. Das ist im EuGH-Urteil C-311/18 schon ausführlich behandelt; neu ist nur die geopolitische Lautstärke.
  • Drittens: Governance-Strukturen anpassen. Compliance-Management-System (gerne entlang ISO 37301), ISMS und Datenschutzorganisation müssen geopolitische Trigger gemeinsam adressieren können. Das verlangt einen Vorfallbegriff, der über klassische Cyber-Incidents hinausgeht, und ein Berichtswesen an die Geschäftsleitung, das politische Risiken nicht als Randnotiz behandelt. Für NIS-2-pflichtige Einrichtungen ist die Geschäftsleitung nach § 32 NISG bzw. Art. 20 NIS-2-Richtlinie ohnehin persönlich in der Pflicht. Wer in seiner jährlichen Schulung das Thema Lieferantenkonzentration und Drittstaatsrisiko nicht behandelt, lässt eine Pflicht unerledigt.

Fazit für die betriebliche Praxis

Die European-Pulse-Umfrage ist kein Anlass für Alarmismus, aber ein guter Anlass für Hygiene. Governance und Compliance leben davon, dass aus diffusen Stimmungslagen strukturierte Risikoaussagen werden. Wenn 36 Prozent der Bevölkerung in sechs EU-Kernstaaten den größten Lieferanten ihrer eigenen Digitalwirtschaft als Bedrohung einstufen, ist das ein Signal an jeden CISO, DSB und Compliance Officer, das eigene Lieferantenportfolio nicht als gegeben, sondern als bewertungspflichtig zu behandeln. Verantwortung umgesetzt heißt in diesem Fall: hinschauen, dokumentieren, Alternativen bewerten, Exit-Pfade testen. Bevor die Politik die Übung erzwingt.

Transparenzhinweis: Dieser Beitrag wurde mit Unterstützung generativer KI (Claude Opus 4.7, Anthropic) erstellt und vor Veröffentlichung redaktionell geprüft.

Weiterlesen

ActivityPub vs. AT Protocol: Warum das neuere Protokoll mehr kann, als viele denken

ActivityPub vs. AT Protocol: Warum das neuere Protokoll mehr kann, als viele denken

Hinter dezentralen Plattformen wie Mastodon und Bluesky stecken grundlegend verschiedene Protokolle mit unterschiedlichen Designzielen. ActivityPub gilt als der bewährte Open Source Standard, das AT Protocol als der ebenfalls offene Newcomer mit Rückenwind aus dem Silicon Valley. Bei näherer Betrachtung zeigt sich aber: ATProto löst einige strukturelle Schwächen des älteren Protokolls,

Von Michael Mrak