Standardisierung: Fluch oder Segen für Europas digitale Souveränität?
Veröffentlicht am 28.06.2022
Wenn es um Standardisierung geht, macht Dr. Walter Fumy kaum jemand etwas vor. Der Informationssicherheits-Experte der Bundesdruckerei GmbH ist seit Jahrzehnten in der Gremienarbeit zu Hause. Im Interview erklärt er, wie ISO, ETSI und Co. Standards setzen, wie man in Komitees um Einfluss ringt und was die EU tut, um beim Thema Normung führend zu bleiben.
Normung und Standardisierung als Machtinstrument
Herr Fumy, es heißt sinngemäß: Wer den Standard setzt, der hat die Macht. Wie viel Wahrheit steckt in diesem Satz?
Er wird in jedem Fall häufig zitiert. Meines Wissens geht er zurück auf Werner von Siemens, der Anfang des vergangenen Jahrhunderts gesagt hat: Wem der Standard gehört, dem gehört der Markt. Und da ist was dran. Man kann mit Standards Märkte schaffen oder Märkte regulieren, das gilt für traditionelle wie für digitale Technologien gleichermaßen. Das klappt mit reiner Marktmacht, aber eben auch über die klassische Arbeit in Standardisierungsgremien. Deren Mitglieder kämpfen untereinander immer um Vorteile oder im Extremfall um Vorherrschaft. Klar ist jedoch ebenso: Dominante Standards können größere Risiken bergen, weil sie ein attraktiveres Angriffsziel sind, gerade bei den digitalen Technologien. Cyberkriminelle suchen sich bevorzugt Plattformen oder Anwendungen aus, die weitverbreitet sind – so wie Schädlinge in der Natur gezielt Monokulturen befallen. Ein weiteres Argument für eine umfassende Behandlung aller Aspekte von Informationssicherheit.
Können Sie einen kurzen Überblick geben, wie der klassische Prozess der Normung und Standardisierung funktioniert?
Es ist gar nicht so einfach, diese Frage zu beantworten. Der Standardisierungsprozess an sich ist nämlich nicht einheitlich geregelt. Jedes Gremium, jede Organisation hat eigene Prozesse und Regeln. Ich kann zum Beispiel erläutern, wie der Ablauf bei der Internationalen Organisation für Normung (ISO) funktioniert: Mitglieder der ISO sind die National Bodies. Für Deutschland ist es das Deutsche Institut für Normung (DIN), für die USA das American National Standards Institute (ANSI), für Frankreich die Association française de normalisation (AFNOR) und für China die Standardization Administration of the People’s Republic of China (SAC). Die Mitglieder eines ISO-Gremiums können neue Projekte vorschlagen, über die dann abgestimmt wird. Man braucht einerseits eine qualifizierte Mehrheit und andererseits eine gewisse Anzahl an Mitgliedern, die sich verpflichten, sich aktiv an der Erarbeitung eines neuen Standards zu beteiligen. Ist dieser erste Schritt getan, gibt es verschiedene Reifegrade eines künftigen Standards.
Man steigt also gemeinsam eine Treppe hinauf, an deren Ende der Standard steht?
Genau. Alles beginnt mit einem New Work Item. Der erste Status eines Dokuments nennt sich bei der ISO dann Working Draft. Dieser wird innerhalb einer Arbeitsgruppe diskutiert, und man versucht, über Konsensbildung einen höheren Reifegrad zu erlangen. Die nächste Stufe nennt sich Committee Draft. Auf dieser Ebene wird dann formal abgestimmt, ob das Dokument annehmbar ist oder nicht. Bei der ISO gilt: „one country, one vote“. Das bedeutet, Deutschland, die USA oder China haben genauso je eine Stimme wie Luxemburg oder Malta. Bei anderen Organisationen wird dieses Prinzip nicht immer benutzt. Das Europäische Komitee für Normung (CEN) und das Europäische Komitee für elektrotechnische Normung (CENELEC) etwa haben eine gewichtete Abstimmung. Da haben Länder wie Deutschland ein höheres Gewicht im Vergleich zu kleineren Ländern. Aber zurück zur ISO: Die nächsten Stufen nennen sich Draft International Standard und schließlich Final Draft International Standard. Wenn all diese Stufen durchlaufen sind, kommt die ISO zu einem Standard. Das kann entsprechend lange dauern – es sei denn, der Konsens ist besonders groß. Dann kann auch der eine oder andere Schritt übersprungen werden.
Wie sehen die Zusammensetzungen der Arbeitsgruppen genau aus? Sind das Leute aus dem öffentlichen Bereich oder auch Personen, die Unternehmen vertreten?
Sowohl als auch. Mein persönlicher Hintergrund ist hauptsächlich die Standardisierung im Bereich von Informationstechnologien, speziell beim Thema Informationssicherheit. In diesen Gremien sind auch Industrie, Wissenschaft und Verbraucherinnen und Verbraucher relativ stark vertreten. Es gibt in diesem Umfeld zudem viele selbstständige Consultants, die ihre Expertise einbringen und durch das Netzwerk profitieren wollen.
In den Medien wurde zuletzt das Europäische Institut für Telekommunikationsnormen (ETSI) beleuchtet, weil dort Unternehmen ihren Einfluss geltend machen, die nicht aus einem EU-Mitgliedsstaat stammen ...
Eine ganz interessante Geschichte. Das ETSI führt das E im Namen, das für „europäisch“ steht. Und neben CEN und CENELEC ist es eine der drei anerkannten europäischen Standardisierungsorganisationen. Zugleich versteht sich das ETSI jedoch als globale Standardisierungsorganisation. Je nachdem, was für eine Art von Standard produziert wird, gibt es beim ETSI Abstimmungen, die auf Ebene der National Bodies laufen, auch hier mit gewichtetem Votum. Als Beispiel: Deutschland hat beim ETSI 29 Stimmen, Luxemburg hat vier, Norwegen sieben, Belgien zwölf. Bei diesen Abstimmungen sind nur europäische Organisationen beteiligt und es entstehen europäische Normen (EN). Einfluss von außerhalb Europas kommt dann zum Tragen, wenn ETSI beispielsweise Dokumente produziert, die ETSI Standard oder ETSI Guide heißen. Dann stimmen die ETSI-Mitglieder ab. Die kommen zwar mehrheitlich aus Europa, aber eben nicht nur. Und da einige Unternehmen mehrfach, das heißt über mehrere Landesgesellschaften, beim ETSI registriert sind, haben diese ein besonders hohes Stimmgewicht. Besonders auffällig ist diese Strategie bei einigen nicht europäischen Playern.
Die neue Standardisierungsstrategie der Europäischen Kommission scheint gegen genau solche Entwicklungen vorgehen zu wollen ...
Es gibt eine ganze Reihe konkreter Umsetzungsvorschläge für diese Strategie. So soll etwa ein hochrangiges Forum eingerichtet werden, das die Kommission dabei unterstützt, die künftigen Normungsprioritäten zu antizipieren. Möglicherweise sollen bestehende Normen überarbeitet oder neue erstellt werden. Man will die ISO stärker orchestrieren, das Arbeitsprogramm von CEN, CENELEC und ETSI stärker beeinflussen – zudem soll ein Exzellenzzentrum für Normen eingerichtet werden, um Fachwissen auf diesem als strategisch erkannten Feld zu bündeln.
Und wie bewerten Sie diese Strategie?
Überwiegend positiv, keine Frage. Wir müssen allerdings aufpassen, dass die Standardisierungsarbeit nicht aus den etablierten Gremien und Foren herauswandert. Zumindest kann man einige Aussagen in der Strategie entsprechend interpretieren. Das Thema Europe first ist zwar wichtig, darf meiner Meinung nach aber auch nicht überzogen werden. Momentan hat Europa bei ISO 27 Stimmen, China hat eine, die USA haben eine. Dieses Stimmengewicht ist ein enormer Vorteil für Europa. Wenn wir uns allerdings zu offensichtlich als ein Block präsentieren, könnte das auch zu einer Gegenreaktion und dem Verlust dieses Vorteils führen.
Aber bei der ETSI gestaltet sich die Situation ja anders …
Ja, und manche europäischen Institutionen erkennen das ETSI deswegen nur noch eingeschränkt als europäische Standardisierungsorganisation an. Ich gehe davon aus, dass das ETSI seine Verfassung unter dem Druck der neuen Standardisierungsstrategie anpassen oder ändern muss. Dennoch halte ich die Diskussion für schwierig: Was ist eine deutsche Firma, was ist eine europäische Firma? Aus meiner Sicht ist die bessere Wahl, die Wahrnehmung der strategischen Bedeutung von Standardisierung zu stärken. Das hat auch in Deutschland zu gewissen Reaktionen geführt, die ich durchaus positiv sehe.
Welche Reaktionen meinen Sie hier konkret?
Zum Beispiel existiert jetzt ein interministerieller Ausschuss zwischen Bundesinnen- und Bundeswirtschaftsministerium, der das Thema Cybersecurity-Standardisierung strategisch angehen möchte. Das hat es in der Vergangenheit einfach weniger gegeben. Heißt: Die Sichtbarkeit des Themas Standardisierung ist heute deutlich höher.
Wenn man sich die Sekretariatsposition in verschiedenen Komitees der ISO anschaut, dann dominiert immer noch Deutschland. Können wir irgendetwas besser als die anderen oder ist das historisch so gewachsen?
Ich meine, das ist historisch so gewachsen. Ich wundere mich manchmal selbst über diese Statistik. Bei der ISO gibt es insgesamt grob 750 technische Komitees und Subkomitees. Von den 750 haben wir 130 inne, das ist ein deutlich überproportionaler Anteil. Die USA haben 103, Frankreich 76, das Vereinigte Königreich 78, China 79, Korea 20, Japan 75, um ein paar weitere Beispiele zu nennen. Das mit Informationstechnik befasste technische Komitee bei ISO/IEC hat derzeit 23 Subkomitees und Deutschland hat hier zwei Sekretariate. Die Mehrzahl der Sekretariate auf diesem Gebiet haben die USA, gefolgt von Japan und Korea. China hat 2022 nach mehreren vergeblichen Anläufen sein erstes bekommen und sich dabei ein relativ neues Thema ausgesucht: Brain-Computer-Interface. Bei uns Deutschen ruft das noch ein wenig Stirnrunzeln hervor: Ist das wirklich ein Thema, das schon weit genug ist, um in die Standardisierung zu gehen? Aber das ist ein Teil der chinesischen Strategie: möglichst frühzeitig neue Technologiefelder besetzen, um ein Sekretariat zu gewinnen.
Wenn Sie auf den derzeitigen Stand der Standardisierungs- und Normungsarbeit schauen: Ist es um die digitale Souveränität Europas gut bestellt?
In Bezug auf die Standardisierung: Ja, da haben wir genügend Einfluss und Power. Das sehe ich jetzt nicht als Einfallstor für eine Gefährdung der digitalen Souveränität, das Einfallstor liegt ganz woanders.
Nämlich?
Bei den Lieferketten, bei der Abhängigkeit von Rohstoffen, bei Vorprodukten. Wir haben beispielsweise die Halbleiterindustrie für viele Jahre ausgelagert nach Ostasien/Südost- und Ostasien. Aber wie kann ein Staat digital souverän sein, wenn er nicht die Kontrolle von Anfang bis Ende hat?