Ein mittelalterlicher Schild aus blauen vernetzten Fäden, daneben steht in großen Lettern „Luxembourg Cyber Defence Cloud“ – so stellt Luxemburgs Verteidigungsminister François Bausch den nächsten Schritt in Luxemburgs Verteidigungsstrategie vor. „Wir wollen in Luxemburg einige Standbeine im Bereich der Verteidigung aufbauen“, sagt der Grünen-Minister auf einer Pressekonferenz am Montag. Dazu gehöre auch die „militärische Cybersicherheit“. Neben der bereits vorgestellten Cyber Range, auf der alle möglichen Trainingsaktivitäten zur Cyber-Abwehr durchgeführt werden können, sei die Defence Cloud ein weiterer Schritt. „Sie bettet sich in unsere digitale Verteidigungsstrategie ein, die auf zwei Ziele ausgerichtet ist: Luxemburg absichern und Expertise aufbauen, die national und international zur Verfügung gestellt werden kann.“
Die Cloud-Computing-Instanz, die 2027 komplett einsatzfähig sein soll, soll demnach nicht nur auf Luxemburger Bedürfnisse ausgerichtet sein, sondern auch EU- und NATO-Partnern zur Verfügung gestellt werden können. „Wir kommen unseren Verpflichtungen gegenüber unseren Alliierten nach – und sind eines der Länder, die als allererste in diese Tools investieren“, sagt Bausch. „Viele Länder können sich ein solches Investment nicht unbedingt leisten.“
Projektbeginn ab 2024
Das Verteidigungsministerium plant, ab 2024 mit dem Projekt beginnen zu können. Dann würde die nötige Infrastruktur aufgebaut und erste Verwendungszwecke implementiert werden. Von 2027 bis voraussichtlich Ende 2035 solle die Cloud dann genutzt werden. „Je nach Bedarf wollen wir die Kapazitäten ab 2031 noch einmal um 50 Prozent steigern.“ Über zwölf Jahre hinweg rechnet das Verteidigungsministerium mit einem Kostenpunkt von 250 Millionen Euro. „Wenn andere Länder oder die NATO auf unsere Plattform zurückgreifen wollen, müssen sie selbst für ihre Dienstleistungsprogramme, die Lizenzrechte und die Instandhaltung derer aufkommen“, sagt Fetler, Regierungsberater für Cyberverteidigung in der Verteidigungsdirektion. Auch der Anschluss müsse der Service-Nutzer selbst zahlen.
Fetler stellte anschließend die Details des neuen Verteidigungsprogramms der Regierung vor. Demnach stellt Luxemburg die Infrastruktur: Speicher- und Rechenkapazitäten werden auf Luxemburger Boden aufgebaut und sollen anschließend an andere Länder verkauft oder ausgeliehen werden. „Die Cloud wird in Luxemburg an verschiedenen Standorten gehostet“, sagt Fetler. Standorte, die das Verteidigungsministerium geheim halten wird, wie Bausch später präzisiert.
NATO als Projektpartner
Ganz bei null fängt das Luxemburger Verteidigungsministerium jedoch nicht an. „Wir sind bereits Host-Nation der NATO Maintenance and Supply Agency (NSPA), die in Capellen stationiert ist“, sagt Fetler. Mit der NATO-Dienstleistungsorganisation habe man seit 2019 ein Partnerschaftsabkommen. „Mit der NSPA werden wir dann auch dieses Projekt angehen.“ Ein Vorhaben, das finanz-, aber nicht unbedingt ressourcenintensiv ist. „Drei Mitarbeiter aus der Verteidigungsdirektion arbeiten derzeit an dem Projekt, dazu gesellen sich noch zehn bis 15 Mann von der NSPA.“ Mit externen Dienstleistern würde man auf rund 25 Personen kommen, die für Luxemburgs „Cyber Defence Cloud“ arbeiten werden. Man würde auch deshalb auf externe Dienstleister zurückgreifen, weil Luxemburg nicht unbedingt die Fülle an Experten zur Verfügung hat, um eine solche Cloud-Computing-Instanz selbst aufzubauen und auf die verschiedenen Wünsche der späteren Klienten zuzuschneiden. „Das würde nur unnötig Zeit kosten – ganz zu schweigen von den zahlreichen Fortbildungen, die wir organisieren müssten, um unsere Experten an den verschiedenen Systemen zu schulen.“
Insgesamt soll mit der Investition ins militärische Cloud Computing nicht mehr für jedes neue IT-Projekt auch die dafür nötige Infrastruktur aufgebaut werden müssen. „Wir können dann auf die bereits bestehende Infrastruktur zurückgreifen und diese nach Bedarf erweitern“, sagt Fetler. Nicht zuletzt könne dadurch der ökologische Fußabdruck verringert werden, denn: Neue Rechen- und Datenzentren würden mehr Energie und Kühlwasser benötigen. Zudem sollen für das Betreiben der Datenzentren lediglich „grüne Energien“ zum Einsatz kommen. „Die produzierte Wärme soll übers Fernwärmenetz dazu genutzt werden, Privathaushalte zu heizen“, so Fetler.
Absolute Sicherheit
Doch was sollte Luxemburgs Cloud-Computing-Instanz letzten Endes können? „In der Cloud sollen sensible und klassifizierte Dokumente gespeichert werden können“, sagt Fetler. Das würde bedeuten, dass besondere Sicherheitsmaßnahmen, physische wie auch digitale, getroffen werden müssen. „Wenn Dokumente der NATO darauf gespeichert werden sollen, dann müssen wir ein Audit der NATO bestehen, um eine Akkreditierung zu erlangen“, sagt Fetler. Zudem soll die Cloud so aufgebaut werden, dass verschiedene Länder ihre eigenen Bereiche zugesichert bekommen, ohne auf die jeweils anderen Instanzen zugreifen zu können. „Das geht sogar so weit, dass auch wir als Host-Nation nicht wissen, was die jeweiligen Länder mit ihrer Rechen- und Speicherkapazität machen.“ Der Anschluss wird über sogenannte „Dark Fiber“-Leitungen erfolgen. „Das sind Leitungen, die von Netzbetreibern verlegt wurden, jedoch noch ungenutzt sind“, erklärt Fetler. Will heißen: Wer in das Netz eindringen oder es lahmlegen will, muss physischen Zugang erlangen.
Im Gegenzug soll die multinationale Kooperation erleichtert werden, da ganze Projekte an einem Ort gebündelt umgesetzt werden können. „Bisher werden solche Vorhaben getrennt an mehreren Orten durchgeführt“, sagt Fetler. „Holland und Schweden aber haben beispielsweise bereits Interesse angemeldet, gemeinsame Projekte über die Luxembourg Cyber Defence Cloud abzuwickeln.“
Da Luxemburg dem jeweiligen Interessenten eine Blackbox an Rechen- und Speicherkapazität zur Verfügung stellt, kann nicht garantiert werden, dass diese nicht auch für offensive Zwecke genutzt werden, räumen François Bausch und Ben Fetler auf Nachfrage ein. Um einem solchen Fall vorzubeugen, würden die Nutzer der Luxemburger Dienstleistung eine Konvention unterzeichnen müssen. „Wenn wir jedoch einen Vertragsbruch feststellen sollten – beispielsweise, weil ein Cyber-Angriff auf unsere Cloud zurückverfolgt werden kann – können wir die Nutzung unserer Cloud natürlich komplett einschränken“, sagt Fetler. Innerhalb der EU und der NATO würde aber eine gewisse Vertrauensbasis herrschen, in dessen Rahmen man Rechen- und Speicherkapazitäten zur Verfügung stellen will. „In der Chamber-Kommission am Montagmorgen wurde die Frage gestellt, ob Luxemburg sich dadurch nicht noch mehr angreifbar macht“, greift Verteidigungsminister Bausch weiteren Fragen vor. „Theoretisch ja – jedoch greift im Cyberangriffsfall noch immer Artikel 5 der NATO-Vereinbarung.“ Das sei dann damit gleichzusetzen, als würden Panzer über die Grenze rollen, so Bausch. Und das hätte dann schon eine abschreckende Wirkung.
Cloud Computing
Ben Fetler, Regierungsberater in der Verteidigungsdirektion, erklärt Cloud Computing folgendermaßen: „Es gibt zwei Arten von Cloud Computing: privat und öffentlich.“ Öffentliches Cloud Computing kenne jeder, der in seinem Büroalltag auf Browser-basierte Software wie beispielsweise die Utensilien von Microsoft Office nutzen würde. Privates Cloud Computing funktioniere sehr ähnlich – nur dass eben nicht jeder auf die Dienstleistungen Zugriff haben würde. „Die Luxembourg Cyber Defence Cloud wird nur über dezidierte Leitungen und nur für akkreditierte Partner zugänglich sein.“
Ech fannen et wär méi wichteg eppes ze énnerhuelen fir dass d‘privat Leit net méi mat pishing-mailen zou geschwemmt, a belästecht gin.
Den Här Bausch ass op allen Terrain'en doheem, a keen jo keen kann him eng vier machen. Gutt dass mer de Moment nach esou Leit an der Regierung hun.