Wie digital souverän ist der ORF?

Im Vorfeld des Eurovision Song Contests (ESC) in Wien bekommen wegen der großen internationalen Aufmerksamkeit auch Fragen rund um die Stabilität und Sicherheit öffentlich-rechtlicher Digitalinfrastrukturen mehr Aufmerksamkeit als sonst. Für mich ist das aber primär ein Anlass, über Beitrag und Rolle des ORF in Sachen digitaler Souveränität ganz allgemein zu diskutieren.

Deshalb habe ich zu diesem Thema mit Cornelius Granig ein Interview geführt. Der Cybersecurity-Unternehmer arbeitet zusammen mit der Gründerin von EuroStack (Si apre in una nuova finestra), Christina Caffarra, zum Thema "Europäische Digitale Souveränität" und leitet bei Transparency International Austria die Arbeitsgruppe zu Medien und Journalismus (Si apre in una nuova finestra).

Anfang des Jahres haben Sie in einem Interview mit der Kronen Zeitung (Si apre in una nuova finestra) davor gewarnt, dass der ORF mit dem ESC "im Visier von Cyber-Angreifern" stehen würde. Wie hat sich diese Bedrohungslage seither entwickelt und ist der ORF gut darauf vorbereitet?

Cornelius Granig: Die Bedrohung ist sehr groß, da gerade internationale Veranstaltungen wie der ESC ein ideales Ziel für Angreifer sind, die nach maximaler Medienöffentlichkeit trachten.

Die Song Contests der letzten Jahre waren begleitet von Überlastungsangriffen und Desinformationskampagnen von kriminellen Akteuren. Dazu zählen vor allem staatliche als auch nichtstaatliche Akteure aus dem russischen Raum, nicht zuletzt wegen des Ausschlusss Russlands vom Eurovision Song Contest infolge des Überfalls auf die Ukraine. 

Der ORF hat gemeinsam mit den österreichischen Behörden grundlegende Maßnahmen für die Cyber Security für diese Veranstaltung umgesetzt. Entscheidend ist jedoch nicht allein die Technik, sondern vor allem, ob die Organisation im Ernstfall funktioniert, potenzielle Schwachstellen frühzeitig erkannt werden und richtig reagiert wird, wenn der Ernstfall eintritt – zum Beispiel ein Angriff auf die Fernsehübertragung. Ich empfehle aus meiner eigenen Erfahrung die Zusammenarbeit mit Ländern, die große Kapazitäten im Bereich der Cyberabwehr haben, wie Rumänien oder die Ukraine, wo tausende Experten den Staat bei den rollenden Angriffen aus Russland unterstützen. 

Jenseits dieser akuten Bedrohungslage rund um den ESC stellt sich natürlich ganz allgemein die Frage, inwieweit öffentlich-rechtliche Medien eine kritische Infrastruktur mit besonderen Ansprüchen in Sachen "digitaler Souveränität" darstellen. Zunächst Mal ganz grundsätzlich: wie "souverän" kann eine Organisation wie der ORF im Zeitalter global-digitaler Vernetzung überhaupt sein?

Cornelius Granig: Es muss ganz klar gesagt werden: Komplett souverän ist heute niemand mehr. Auch für den ORF ist das nicht möglich, da eine großes Medienunternehmen in irgendeiner Art und Weise immer mit internationalen Plattformen, Cloud-Anbietern und ausländischer Technologie konfrontiert ist.

Aber darum geht es auch nicht. Die Frage ist vielmehr, wie sehr man kritische Dinge selbst im Griff hat. Wie steht es um die Sicherheit der eigenen Daten, wie kann man senden und informieren, auch wenn es rundherum zu Ausfällen, Abschaltungen oder Angriffen kommt. 

Gerade hier haben öffentlich-rechtliche Medien eine besondere Rolle. Im Krisenfall verlassen sich die Menschen besonders auf sie.

Wo ist der Handlungsbedarf im ORF, soweit Sie das von Außen beurteilen können, in Sachen digitaler Souveränität am Größten?

Cornelius Granig: Ich glaube, der größte Handlungsbedarf liegt bei den Abhängigkeiten – und das betrifft ganz konkret die digitale Infrastruktur und Software. Beim Rechenzentrumsbetrieb und den verwendeten Clouds stellt sich die Frage: Wo werden die wirklich kritischen Systeme betrieben? Wie unabhängig ist man, wenn es zu Störungen oder politischen Spannungen kommt? Hat man selbst die Fähigkeit, den Sendebetrieb auch unter schwierigen Bedingungen stabil weiterzuführen?

Im Bereich der verwendeten Software kommt derzeit ein großer Teil der Lösungen von US-amerikanischen Anbietern, seien es Cloud-Lösungen, Datenbanken, Bürokommunikation oder Security-Tools. Das ist für die User oft sehr gut, aber es schafft eben auch Abhängigkeiten, die man aktiv managen muss, ganz abgesehen von den ständig steigenden Kosten, auf die man wenig Einfluss hat.

Aber wie lassen sich Abhängigkeiten von großen US-Anbietern reduzieren?

Cornelius Granig: Digitale Souveränität bedeutet hier, nicht alles selbst neu zu erfinden. Aber es heißt, Alternativen zu haben, Kontrolle über die eigenen Daten zu behalten und im Zweifel auch unabhängig handlungsfähig zu sein. Dazu gehört die Verwendung von Open-Source-Software und zumindest die Bereitstellung einer alternativen Software-Architektur. Und schließlich geht es auch um die Verbesserung der Organisation und die Zusammenarbeit mit Lieferanten. 

Ganz konkret, was sind die wichtigsten Stellschrauben, um auch unter dem vorhandenen rechtlichen Rahmen die digitale Souveränität des ORF zu verbessern?

Cornelius Granig: Mir erscheinen die folgenden Punkte als sehr wesentlich: Erstens, der ORF sollte die kritische Infrastruktur so weit wie möglich unter eigener Kontrolle haben. Rechenzentren, Sendeabwicklung, Archive, Kommunikation – alles, was für den Betrieb essenziell ist, muss auch im Krisenfall weiter funktionieren.

Zweitens ist es ist wichtig, die Abhängigkeiten bei Software und Plattformen aktiv zu reduzieren. Es braucht Alternativen und Exit-Strategien zu US-Anbietern sowie Klarheit darüber, wo die eigenen Daten liegen und wer Zugriff darauf hat. Die Verwendung von Open-Source-Software bringt viel mehr Klarheit und auch kommerzielle Vorteile wegen geringerer Herstellerabhängigkeit und Innovationsfähigkeit.

Drittens muss es in jeder Organisation im Bereich der digitalen Themenstellungen klare Verantwortungen und kurze Entscheidungswege geben. Das wird oft unterschätzt, weil der Schwerpunkt in der öffentlichen Debatte meist auf den ersten beiden Themen liegt – Infrastruktur und Software. In der Praxis zeigt sich jedoch, dass Souveränität stark davon abhängt, ob eine Organisation im Alltag überhaupt in der Lage ist, klar, schnell und verbindlich zu entscheiden: Wer legt fest, welche Plattformen genutzt werden, welche Abhängigkeiten eingegangen werden und welche Alternativen geprüft werden? Wenn solche Entscheidungen unklar verteilt sind oder in den falschen Händen liegen, entsteht keine strategische Linie, sondern ein schleichender Kontrollverlust. Abhängigkeiten entstehen dann nicht als bewusste und objektive Wahl, sondern als Nebenprodukt mangelnder Governance.

Gibt es Bereiche, in denen der ORF digital souverän unterwegs ist?

Cornelius Granig: Der ORF hat traditionell viel eigene Kompetenz in Produktion und Sendetechnik. Das ist ein großer Vorteil, denn Inhalte selbst zu produzieren und im eigenen Haus zu steuern, ist heute nicht mehr selbstverständlich. Überdies liegen viele kritische Daten und Systeme in Österreich, in heimischen Rechenzentren. Für die Kontrolle und Stabilität im Krisenfall ist das ein klarer Pluspunkt. Auch bei der Zusammenarbeit mit Behörden und im Sicherheitsbereich sieht man, dass gute Strukturen da sind.

Aber man muss eben dazu sagen: Die größten Abhängigkeiten liegen heute oft woanders – bei Plattformen, bei Software, bei der Distribution. Und genau dort wird es schwieriger mit der Souveränität. 

Jetzt ist der ORF nicht nur in Sachen digitaler Souveränität kein Vorreiter, gibt es auch an anderen Ecken Digitalbaustellen. Kennen Sie Beispiele aus anderen Ländern, die hier klar besser aufgestellt sind und wo sich der ORF etwas abschauen könnte?

Cornelius Granig: Man muss nicht weit blicken, um interessante Entwicklungen zu finden: In Deutschland haben die ARD und das ZDF ihre eigenen Plattformen wie die ARD Mediathek und die ZDFmediathek in den letzten Jahren stark ausgebaut. Hier sieht man, dass sie versuchen, die Distribution stärker selbst in der Hand zu behalten und nicht noch mehr von internationalen Plattformen abhängig zu werden.

Die deutschen öffentlichen Sender nutzen dabei vielerorts Open-Source-Technologien für ihre Streamingplattformen (Si apre in una nuova finestra), Produktionssysteme und den Betrieb der IT-Infrastruktur und beteiligen sich aktiv an europäischen Open-Source-Initiativen. In der Schweiz ist die SRG SSR interessant, die sehr klar in den Strukturen ist, was Krisenfähigkeit und technische Eigenständigkeit betrifft. Es wird viel Wert darauf gelegt, dass kritische Systeme so weit wie möglich im eigenen Einflussbereich bleiben und Open-Source-Technologien zum Einsatz kommen.

Diese Beispiele illustrieren, wie ernst die eigenen Plattformen genommen und damit Abhängigkeiten bewusst gesteuert werden. Im Hinblick auf die anstehende Neuwahl der ORF-Spitze denke ich, dass es sehr wichtig wäre, dass die Verantwortlichkeit für die digitale Souveränität des Unternehmens direkt bei der neuen Generaldirektorin oder dem neuen Generaldirektor angesiedelt ist.