Das neue BSI-Meldeportal ist da, aber warum läuft es über die AWS-Cloud?

Seit Kurzem ist das zentrale Meldeportal des Bundesamts für Sicherheit in der Informationstechnik (BSI) online. Es soll Meldungen von KRITIS-Betreibern, NIS2-Einrichtungen und anderen Akteuren zur IT-Sicherheit zentral entgegennehmen und verarbeiten. 

Doch ein Punkt sorgt für Unverständnis in der Fachwelt: Das Portal läuft nicht auf nationaler Infrastruktur, sondern auf AWS, also der Cloud eines US-Konzerns.

Was auf dem Papier rechtskonform wirkt, wirft in der Praxis entscheidende Fragen auf:

• Wie passt eine solche Lösung zum Anspruch digitaler Souveränität?
• Warum wurde kein deutscher Anbieter gewählt, obwohl es Alternativen gibt?
• Wie lässt sich der Datenfluss in die USA wirklich ausschließen, wenn selbst die Datenschutzerklärung IP-Übertragungen erwähnt?

Besonders kritisch:

Es geht um extrem sensible Informationen, wie beispielsweise Sicherheitslücken, Schwachstellen und Störfälle in systemrelevanten Infrastrukturen. Und die sind nicht nur geschäftlich, sondern auch gesellschaftlich hochbrisant.

Selbst technisch bleiben Fragen offen:

Warum ist etwa die security.txt des Portals nicht RFC-konform, obwohl das BSI genau das in seinen eigenen Leitlinien empfiehlt? Und wenn eine Web Application Firewall (WAF) von AWS den verschlüsselten Datenstrom terminiert, wie genau wird dann verhindert, dass Daten einsehbar sind oder dauerhaft gespeichert werden?

Sicherheit ist nicht nur eine Frage der Verschlüsselung, sondern auch des Vertrauens in Infrastruktur, Betreiber und digitale Souveränität.

Quelle: https://www.heise.de/meinung/Das-Meldeportal-in-der-AWS-Cloud-Warum-nur-BSI-11142071.html