„Datenkontrolle und Verfügbarkeit sind Imperative, nicht nur Empfehlungen.“

Die Bedrohungslage im Bereich von Überlastungsangriffen verschärft sich seit Jahren kontinuierlich. Besonders seit Beginn des Ukrainekrieges hat das Risiko durch Attacken politisch motivierter Akteure enorm zugenommen. Laut der Europäischen Agentur für Cybersicherheit (ENISA) sind inzwischen vier von zehn Cybervorfällen in Europa auf DDoS-Attacken zurückzuführen. Bei 41 Prozent dieser Angriffe wird eine politische oder aktivistische Motivation vermutet. Im Security Operations Center (SOC) von Myra wurde allein im vergangenen Jahr eine Zunahme schädlicher Anfragen um 25 Prozent festgestellt.

Im Interview mit dem Cybersecurity-Experten Prof. Dr. Dennis-Kenji Kipker sprechen wir darüber, welche Herausforderungen und Handlungsfelder sich daraus für Unternehmen ergeben und was insbesondere aus Compliance-Sicht zu beachten ist.

Herr Prof. Dr. Kipker, die DDoS-Attacken der vergangenen Wochen haben erneut gezeigt, wie verwundbar digitale Infrastrukturen in Deutschland sind. Was sind aus Ihrer Sicht die größten Herausforderungen für Unternehmen bei der Abwehr solcher Angriffe?

Dennis Kipker: Aus Sicht der Angreifer sind DDoS-Attacken eine einfache und gleichzeitig effektive Methode, um gezielt Onlineprozesse und Webseiten auszuschalten und für gesellschaftliche Verunsicherung zu sorgen. Die breite Verfügbarkeit von Cybercrime-as-a-Service-Diensten, bei denen Angriffe für wenig Geld gebucht werden können, verschärfen die Situation zusätzlich.

Auf der anderen Seite ist die Abwehr von DDoS-Angriffen äußerst komplex. Besonders auf der Anwendungsebene sind schädliche Datenströme nicht ohne Weiteres von validen Datenströmen zu unterscheiden. Aus diesem Grund werden für die Abwehr in der Regel spezialisierte Dienstleister eingesetzt.

Und hier beginnt die Herausforderung. Wir müssen beachten, dass DDoS-Schutz längst mehr als eine rein technische Frage ist – es geht um Lieferketten, es geht um Compliance, um Haftung und auch um digitale Souveränität. Denn zur Abwehr von Überlastungsangriffen – etwa durch Traffic-Analyse und Filterung – müssen Dienstleister tief in den Datenverkehr blicken und eingreifen. Das bringt nicht nur technische, sondern vor allem auch erhebliche Compliance-Risiken mit sich. Insbesondere, wenn personenbezogene oder geschäftskritische Daten betroffen sind. Als Unternehmen muss ich hier sicherstellen, dass die eingesetzten Dienstleister vertrauenswürdig sind und alle regulatorischen Vorgaben einhalten, um Haftungsrisiken zu minimieren und die Verfügbarkeit von Systemen zu gewährleisten. Grundlage hierfür ist ein sauberes Risikomanagement, auf dessen Basis der Dienstleister über eine Due Diligence auf Herz und Nieren geprüft wird.

Die Zusammenarbeit mit internationalen Dienstleistern wirft bei deutschen und europäischen Unternehmen oft Fragen auf. Speziell wenn die Anbieter aus den USA kommen, da hier unterschiedliche Rechtsräume und Rechtsverständnisse in Bezug auf Datenschutz und nationale Sicherheit aufeinandertreffen. Welche Compliance-Risiken ergeben sich daraus?

In der Praxis birgt die Zusammenarbeit mit US-Anbietern große Risiken, da diese Unternehmen in erster Linie der US-amerikanischen Jurisdiktion unterliegen. Selbst wenn Server in der EU stehen, können US-Behörden auf Daten zugreifen, oder besser gesagt, den Zugriff anordnen – Stichwort CLOUD Act, FISA 702 oder Patriot Act. Die politische Entwicklung in den USA, die wir nun in der zweiten Amtszeit von Donald Trump verfolgen können, spitzt diese Problematik weiter zu.

Gleichzeitig ist die rechtliche Basis für DSGVO-konforme transatlantische Datenübertragungen äußerst fragil. Der bestehende Angemessenheitsbeschluss zwischen der EU und den USA baut lediglich auf einer Executive Order von Joe Biden auf, die jederzeit durch seinen Nachfolger widerrufen werden kann. Und Trump hat schon im Rahmen seiner Agenda 47, also seiner US-Präsidentschaftsagenda, bekannt gegeben, dass er alles, was Biden gemacht hat, im Wesentlichen rückgängig machen will.

Mit der Entlassung der demokratischen Mitglieder des Privacy Oversight Boards – einem zentralen Bestandteil des EU-US Data Privacy Frameworks, das als Grundlage für den aktuellen Angemessenheitsbeschluss dient, hat dieser Prozess bereits begonnen. Unternehmen, die sich auf US-Dienstleister verlassen, setzen sich daher einem erheblichen Compliance- und Haftungsrisiko aus.

Vor diesem Hintergrund der Compliance-Unsicherheit: Wie sollten EU-Unternehmen mit Blick auf die Themen Verfügbarkeit und digitale Souveränität ihre Dienstleister auswählen, um regulatorische und operative Risiken zu minimieren?

Unternehmen sollten ihre digitale Lieferkette kritisch überprüfen und gezielt auf europäische Anbieter setzen, die sowohl regulatorisch als auch technisch auf die Anforderungen des europäischen Marktes ausgerichtet sind. Es reicht nicht aus, lediglich auf Serverstandorte in der EU zu achten; entscheidend ist, dass auch das Betreiberunternehmen europäischem Recht unterliegt.

Nur so kann sichergestellt werden, dass Daten nicht unkontrolliert abfließen und die Verfügbarkeit geschäftskritischer Systeme auch im Krisenfall gewährleistet bleibt. Digitale Souveränität bedeutet, Kontrolle über die eigenen Daten und Prozesse zu behalten – das ist zunehmend ein Imperativ, nicht nur eine Empfehlung. Wir haben in diesem Jahr erlebt, wie überraschende Änderungen in der US-Zollpolitik Unternehmen und Staaten vor unerwartete Herausforderungen stellen können. Eine vergleichbare Unberechenbarkeit kann sich keine Organisation in der digitalen Lieferkette erlauben: Wenn essenzielle Dienste von heute auf morgen wegzubrechen drohen, ist das keine Grundlage für eine vertrauensvolle Zusammenarbeit.

Welchen strategischen Rat geben Sie Compliance-Managern und Sicherheitsverantwortlichen, um sich angesichts der aktuellen Bedrohungslage und regulatorischen Entwicklungen zukunftssicher aufzustellen?

Mein Rat ist klar: Unternehmen müssen ihre Abhängigkeit von außereuropäischen Anbietern reduzieren und konsequent auf originär europäische Lösungen setzen. Das betrifft nicht nur DDoS-Schutz, sondern die gesamte digitale Lieferkette. Die regulatorischen Anforderungen – etwa durch die NIS-2-Richtlinie oder den Cyber Resilience Act – werden weiter steigen. Wer jetzt frühzeitig auf europäische Anbieter umstellt, minimiert nicht nur Compliance-Risiken, sondern fördert auch die digitale Souveränität und Resilienz des eigenen Unternehmens. Das ist kein optionaler Schritt mehr, sondern eine Notwendigkeit.