Zuerst zur Sachlage: Die Bundeswehr hat sich dafür entschieden, zwei Private-Cloud-Instanzen basierend auf dem Google Cloud Stack einzurichten. Die US-basierte Infrastruktur dient vor allem dazu, geschäftskritische SAP-Systeme zu betreiben. Beide Instanzen sind „Air-Gapped“, können also ohne Verbindung zu und Updates aus den USA von der Bundeswehr betrieben werden.
Warum wird die Entscheidung so stark kritisiert?
🔴 Die Software von Google ist weitestgehend proprietär.
🔴 Google könnte Updates verweigern, dadurch Sicherheitsprobleme erzeugen und den dauerhaften Weiterbetrieb der Cloud praktisch unterbinden.
🔴 Die Bundeswehr kann den Quellcode nicht detailliert kontrollieren und hinsichtlich möglicher Kill-Switches (Abstellvorrichtungen) kontrollieren.
Wieso nun entscheidet sich die Bundeswehr ausgerechnet in dieser Zeitfür so einen gewagten Schritt?
Nun, die Bundeswehr hat genau das getan, was alle Corporates tun sollten: eine strukturierte Risikoanalyse. Die geht wie folgt:
1️⃣ Asset-Analyse: Welche Hard- und Software wird aktuell genutzt?
2️⃣ Risiko-Analyse: Risiken nach Eintrittswahrscheinlichkeit und Schadenshöhe bewerten.
3️⃣ Szenario-Check: Risiken realistisch im Kontext der Gesellschaft durchspielen.
4️⃣ Vorsorge & Planung: IT-Landschaft so gestalten, dass man im Krisenfall handlungsfähig bleibt.
Was ist das Ergebnis eine systematischen Risikoanalyse der Bundeswehr?
1️⃣ Assets: Die Bundeswehr ist voll mit US-Komponenten. Panzer, Flugabwehr, Flugzeuge, Hubschrauber, Netzwerk-Komponenten, Server, Firewalls, Virtualisierungsumgebungen … die Liste ist schier unendlich lang.
2️⃣ Risiken: Die USA könnten neben Google auch noch alle anderen Lieferanten anweisen, keine Updates oder Ersatzteile zu liefern.
3️⃣ Szenario-Check: Sollten wir also keine Updates mehr von Google erhalten, dann erhalten wir wohl auch keine mehr von Cisco, VMware, Lockheed Martin, Raytheon, Northrup Grumman und Boeing.
Letztere Unternehmen sind deutlich näher am Kerngeschäft der Bundeswehr, der Schaden wäre wohl höher als ein nach längerer Zeit nicht mehr funktionierendes SAP-System. Ein Umstieg auf europäische Alternativen oder Open Source ist in den Kern-Bereichen der Armee deutlich aufwändiger – wenn nicht gar unmöglich. Boris Pistorius also, so scheint mir, ist nicht verrückt geworden. Er hat nur nach Lehrbuch seine Risikoszenarien durchgespielt.
4️⃣ Es bleibt dann noch zu hoffen, dass die Bundeswehr die geplanten Investitionen in Open Source und Multi-Cloud mit europäischen Providern nicht vergisst.
