Niederlande blockieren US-Übernahme eines kritischen digitalen Anbieters

 (politico.eu)
1 Punkte von GN⁺ 2 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Die niederländische Regierung hat die Übernahme von Solvinity durch das US-Unternehmen Kyndryl blockiert und reagiert damit auf Sorgen über ausländische Kontrolle über eine zentrale Infrastruktur für die digitale Identitätsprüfung
  • Solvinity betreibt die Plattform der DigiD-App, die für die Online-Identitätsprüfung bei Arztterminen, Wohnungskäufen und der Nutzung öffentlicher Stellen eingesetzt wird
  • Die Investitionsprüfungsbehörde kam zu dem Schluss, dass die Übernahme ein potenzielles Risiko für das öffentliche Interesse darstellen könnte, und die Regierung folgte der Empfehlung am Montag und blockierte den Deal
  • Die Niederlande betonen, dass sie den wirtschaftlichen Wert ausländischer Technologieunternehmen anerkennen, zugleich aber ein unabhängiges Investitionsprüfsystem anwenden, unabhängig von der Nationalität der Investoren
  • Die Entscheidung fällt kurz vor der Veröffentlichung des Pakets zur Technologiesouveränität der EU und steht im Zusammenhang mit der europäischen Debatte über die Abhängigkeit von ausländischer Technologie bei Cloud, Mikrochips und KI

Blockierte Übernahme von Solvinity

  • Die niederländische Regierung hat den Versuch des US-Unternehmens Kyndryl blockiert, den niederländischen IT-Anbieter Solvinity zu übernehmen
  • Solvinity betreibt die Plattform der niederländischen DigiD-App
  • Die DigiD-App dient der Online-Identitätsprüfung niederländischer Bürger und wird für Arzttermine, Wohnungskäufe und die Nutzung öffentlicher Stellen verwendet
  • Kyndryl hatte im November die Pläne zur Übernahme von Solvinity angekündigt, woraufhin die Sorge wuchs, dass ein zentrales Instrument zur Online-Identitätsprüfung unter ausländische Kontrolle geraten könnte

Investitionsprüfung und Risiko für das öffentliche Interesse

  • Die niederländische Staatssekretärin für digitale Wirtschaft Willemijn Aerdts teilte in einem am Dienstag veröffentlichten Schreiben an das Parlament mit, dass die für die Investitionsprüfung zuständige nationale Behörde der Regierung empfohlen habe, die Übernahme zu blockieren
  • Die Übernahme wurde als ein Geschäft eingestuft, das ein potenzielles Risiko für das öffentliche Interesse verursachen könnte
  • Die niederländische Regierung folgte dieser Empfehlung am Montag und beschloss, die Übernahme zu blockieren
  • Die Niederlande betonten, dass sie die Präsenz ausländischer, insbesondere US-basierter Technologieunternehmen und deren Mehrwert für die niederländische Wirtschaft und digitale Infrastruktur schätzen
  • Gleichzeitig halten sie ein unabhängiges Investitionsprüfsystem zum Schutz des öffentlichen Interesses aufrecht, das unabhängig vom Herkunftsland des Investors gleichermaßen angewendet wird

Debatte über Europas Technologieabhängigkeit

  • In ganz Europa wachsen die Sorgen über die Abhängigkeit von US-Technologie
  • Die Entscheidung kommt eine Woche vor der Veröffentlichung des Pakets zur Technologiesouveränität der European Commission
  • Das Paket ist ein Bündel von Vorschlägen, das Europas Abhängigkeit von ausländischer Technologie in den Bereichen Cloud, Mikrochips und KI verringern soll

Stellungnahme von Kyndryl

  • Kyndryl reagierte in einer Erklärung mit den Worten, man sei „zutiefst enttäuscht“ über die Entscheidung
  • Kyndryl kritisierte, „die Politisierung dieses Verfahrens habe den klaren und erheblichen Nutzen verdeckt, den diese Transaktion für die Kunden von Solvinity und für die niederländischen Bürger gebracht hätte“

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2 시간 전
Hacker-News-Kommentare

  • Endlich ist es passiert

    Das ganze Land hat das seit Wochen gefordert, und die Regierung hat komplett geschwiegen. Vor ein paar Wochen hat das gesamte Parlament mit nur einer Gegenstimme einen Antrag zum Ende des Vertrags mit Solvinity verabschiedet, aber die Regierung hat den Vertrag stattdessen sogar verlängert. Am Ende blieb nur noch, die Übernahme selbst zu blockieren, und das Vertrauen, dass die Regierung das tatsächlich tun würde, war ebenfalls nicht groß.

    Der Hauptgrund ist, dass Solvinity das niederländische elektronische Identitätssystem DigiD hostet. DigiD übernimmt die Authentifizierung für alle staatlichen Systeme und sensible Systeme wie das Gesundheitswesen. Wegen US-Gesetzen, nach denen die US-Regierung auf Daten zugreifen können muss, die sich im Besitz von US-Unternehmen befinden, unabhängig davon, wo sie gehostet werden, darf dieses System eindeutig nicht in amerikanische Hände geraten.

    Natürlich liegen weiterhin viele sensible Daten auch bei US-Unternehmen wie Microsoft und Amazon. Wann man sich darum kümmert, weiß ich nicht.

    • Es ist etwas komplizierter als das

      Logius besitzt und verwaltet den DigiD-Stack tatsächlich, und Solvinity wurde nur wegen seiner Fachkenntnis beauftragt. Soweit ich weiß, hat Solvinity keinen Zugriff auf die Daten.

      Ich finde es gerade nicht, aber auf Tweakers hat ein Insider einen langen Kommentar hinterlassen und erklärt, dass Logius kaum Wissen darüber hat, wie der aktuelle Stack funktioniert, und dass es viele kundenspezifische Elemente gibt. Das ist klassischer Vendor Lock-in. Die Regierung, genauer gesagt Logius, will jetzt von Solvinity weg, aber das wird vermutlich ein Prozess von mehr als fünf Jahren.

      Das klingt auch nach etwas, das die „schnelle Gruppe“ der EU gemeinsam angehen sollte. Etwa indem Sweden, Denmark, Finland und The Netherlands einen auf dem estnischen Stack basierenden Ansatz übernehmen und gemeinsam weiterentwickeln. Man könnte die jeweils nötigen länderspezifischen Anpassungen erweiterbar machen und alle paar Jahre prüfen, welche dieser Anpassungen verallgemeinert und modularisiert werden können. Das würde ein deutlich besseres Produkt ergeben. Träumen darf man ja :)

    • Bei manchen Funktionen verlangt DigiD selbst eine iOS- oder Android-App. Dafür muss man in einem Vertragsverhältnis mit Apple oder Google stehen, und sie entscheiden auch, ob die App installiert und genutzt werden kann.

      Ich verstehe, dass dieser Weg keinen zusätzlichen Zugriff auf sensible Daten erlaubt, aber trotzdem gibt das diesen Unternehmen die Macht, bestimmten Personen den Zugang zur DigiD-App zu verwehren.

      Für die meisten Funktionen braucht man die App nicht, aber bei einigen medizinischen Vorgängen geht es nur per App, ohne Alternative.

    • Für ein „endlich“ ist es einen Schritt zu spät. In zwei Jahren wird man sich wieder daran erinnern, dass man es zuerst hier gelesen hat.

      Wenn das Unternehmen Berufung einlegt, ist die Wahrscheinlichkeit groß, dass diese Entscheidung sowohl vor niederländischen als auch vor europäischen Gerichten aufgehoben wird. Besonders nachdem Mark Rutte Daddy angerufen hat. Der einzige Zweck dieser Maßnahme ist, dass die niederländische Regierung ihr Gesicht wahrt; sie ist für das Inland gedacht. Irgendwo haben sie sicher schon ein internes Rechtsgutachten versteckt, das genau das sagt. Und später heißt es dann: „Wir wollten es ja tun, aber die Gerichte haben uns gestoppt.“

      Das gesamte außen- und verwaltungsbezogene Gefüge der Niederlande, einschließlich des niederländischen Außenministeriums, nutzt im Tagesgeschäft, bei Cloud-Diensten und bei E-Mail in großem Umfang Microsoft-Infrastruktur. Und es leakt.

      „Microsoft Accused Of Sharing Dutch Officials’ Data with U.S. Government“ - https://www.yahoo.com/news/politics/articles/microsoft-accus...

      Das Unternehmen in der Berufung wird genau das als Kernargument verwenden. Es wird sagen, die Entscheidung sei politisiert, schlecht begründet und unverhältnismäßig, weil sich das Risiko auch durch verbindliche technische und rechtliche Schutzmaßnahmen hätte lösen lassen. Und als Beispiel wird es auf die umfassende Nutzung von Microsoft durch das Außenministerium verweisen :-)

      Am Ende ist das nur ein weiteres Beispiel niederländischer Polder-Heuchelei.

    • Nach dem, was wir aktuell wissen, wirkt dieser Ablauf ziemlich logisch. Nur wissen wir eben nicht, was hinter den Kulissen sonst noch passiert ist.

      Vermutlich gab es Verhandlungen über Dinge wie die getrennte Pflege der Daten, und ein vollständiges Verbot wurde als letztes Mittel in Reserve gehalten.

      Trotzdem ist das Ergebnis an sich gut.

    • Wenn mit „US-Gesetzen, nach denen die US-Regierung auf Daten zugreifen können muss, die sich im Besitz von US-Unternehmen befinden“ gemeint ist: Welches Gesetz ist damit genau gemeint?

  • „Die Politisierung dieses Prozesses hat die klaren und erheblichen Vorteile verschleiert, die diese Transaktion für die Kunden von Solvinity und die niederländischen Bürger gebracht hätte“

    Das ist wirklich dreist. Der Schutz der Privatsphäre und Interessen der Bürger ist Aufgabe von Politikern. Nach heutigen US-Maßstäben mag das seltsam klingen, aber so ist es.

  • Deshalb ist durch Architektur garantierte Privatsphäre wichtiger als durch Richtlinien garantierte Privatsphäre. Die Niederlande haben der Richtlinie „Solvinity hat keinen Zugriff auf die Daten“ vertraut, aber die Architektur hat es letztlich trotzdem ermöglicht.

    Die echte Lösung ist ein kryptographisch souveränes System, bei dem selbst der Anbieter mathematisch keinen Zugriff auf Nutzerdaten haben kann, egal was das US-Recht sagt. Nicht „wir versprechen, nicht hinzusehen“, sondern „wir können buchstäblich nicht hinsehen“.

    Ich baue in diese Richtung gerade etwas Kleines. Die Identität ist eine BIP-39-Seed-Phrase, und die Nachrichten laufen über ein Mesh-Netzwerk, das nicht auf Anwendungsebene, sondern auf Protokollebene Ende-zu-Ende-verschlüsselt ist. Das Ziel ist, dass selbst ich als Entwickler die Nachrichten der Nutzer nicht lesen kann. Es ist noch früh, aber genau das hier beschriebene Problem ist der Grund, warum so etwas existieren sollte.

    • Wenn „die Identität eine BIP-39-Seed-Phrase ist“,

      dann ist die Identität wieder nur ein einzelner wissensbasierter Authentifizierungsfaktor?

      Es gibt einen Grund, warum solche Ideen sich nicht durchgesetzt haben.

    • Oder man lässt die Daten von einem Unternehmen mit Niederlassung in unserem Land innerhalb unseres Landes hosten. Also eine Sovereign Cloud.

  • Als niederländischer Bürger verstehe ich nicht, warum man für 20 Millionen Nutzer und 30.000 Anfragen pro Stunde keine Open-Source-Identitätslösung selbst hosten kann. Wie schwer kann das schon sein?

    • Als US-Bürger frage ich mich ebenfalls, wie schwer es sein kann, qualifizierte Ingenieure zu finden, die bei einer Bank oder in der Regierung arbeiten.

      https://openwallet.foundation/staff/

    • Ich frage mich auch, wie schwer es sein kann, fähige Ingenieure für Jobs bei Banken oder Behörden zu gewinnen.

    • 30.000 Anfragen pro Stunde? Das lässt sich locker auf einem 5-Euro-VPS abwickeln.

  • Von ‘Kyndryl’ habe ich noch nie gehört

    https://en.wikipedia.org/wiki/Kyndryl

    „Kyndryl, das Ende 2021 offiziell gestartet wurde, entstand durch die Ausgliederung des Infrastruktur-Services-Geschäfts von IBM.“

„Kyndryl war mit Stand November 2021 in 63 Ländern tätig“

  • Ich wünschte, mehr Medien würden das korrekt schreiben. Kyndryl ist das frühere IBM und hat weltweit 73.000 Beschäftigte. Als diese Nachricht zuerst auftauchte, hatte noch nie jemand davon gehört, also klang es wie irgendein kleiner zufälliger Hosting-Anbieter, tatsächlich ist das Unternehmen aber riesig.

  • Niemand wird entlassen, weil man Kyndryl beauftragt hat.

  • Wenn das eine derart wichtige niederländische Infrastruktur ist, warum ist sie dann überhaupt in privater Hand?

    • DigiD selbst ist staatlich, aber die Infrastruktur wird vom privaten Unternehmen Solvinity betrieben. Das ist nicht viel anders, als wenn die US-Regierung die Hälfte ihres Stacks auf AWS laufen lässt.

    • Weil es viel zu wenige IT-Fachkräfte gibt, die unter den staatlichen Gehaltstabellen arbeiten wollen. In den meisten Fällen kann man in der Privatwirtschaft oder bei Unternehmen mehr verdienen.

      Deshalb gehen die meisten niederländischen IT-Projekte an private Firmen, und bei Dingen wie DigiD oder Sicherheits- und offiziellen Messaging-Plattformen können Hosting-Anbieter absurde Preise verlangen. Wusstest du, dass eine einzige Nachricht über die Berichtenbox 25 Cent kostet? Wenn die Regierung jedes Jahr die Nachricht „Es ist Zeit für die Steuererklärung“ verschickt, muss sie dafür Millionen Euro zahlen. Es sei denn, es gibt einen Vertrag mit Mengenrabatt.

    • Weil sehr mächtige private Venture-Capital-Firmen und Investmentbanken wollen, dass der Staat gegenüber dem Kapital machtlos bleibt. Willkommen in der westlichen Welt.

    • Wegen der Privatisierung.

  • Das ist zwar gut, aber besonders mit Blick auf die derzeitige US-Regierung wird das wohl nicht das letzte Mal gewesen sein. Auch ASML durfte 2013 das US-Unternehmen Cymer erst nach Zustimmung unter strengen Vereinbarungen zu Technologietransfer und Exportkontrollen übernehmen. Cymer verfügte tatsächlich über wertvolle EUV-Lichtquellen-Technologie.

    Dass die Niederlande aus Sorge um Technologiekontrolle eine Übernahme durch die USA blockieren, wird in Washington mit Sicherheit für Verstimmung sorgen.

    • Das hier ist keine Firma, die irgendeine proprietäre Technologie entwickelt, sondern ein Unternehmen, das mit einem Teil der wichtigsten Infrastruktur unserer Regierung zu tun hat. Datenschutzbedenken sind absolut naheliegend. Das ist ein völlig anderer Fall.

    • Wäre es 2013 gewesen, wäre derselbe Deal wahrscheinlich durchgegangen. Die Beziehungen zwischen den USA und den Niederlanden im Jahr 2013 unter Obama und die heutigen unter Trump in seiner zweiten Amtszeit sind völlig unterschiedlich. Sich heute auf Gegenseitigkeit zu berufen, gestützt auf etwas aus der Obama-Zeit, ist nicht überzeugend. Wir wissen alle, dass Trump gegen fast alles ist, was Obama getan hat.

    • Das ist ein großes Detail, das das Bild noch komplizierter macht. ASMLs Lithografie-Technologie hat stark von Forschung des US-Energieministeriums profitiert.

      „1997 begann ASML, den Wechsel zur Nutzung von extremem Ultraviolett zu untersuchen. Zwei Jahre später trat das Unternehmen einem Konsortium bei, zu dem Intel und zwei weitere US-Halbleiterfirmen gehörten, um Grundlagenforschung des US-Energieministeriums zu nutzen. Da die Cooperative Research and Development Agreement (CRADA), der dieses Konsortium folgt, mit Geldern der US-Regierung betrieben wird, müssen Lizenzen vom Congress genehmigt werden.“

    • ASML hat Cymer ins Unternehmen geholt, weil Cymer die benötigte Technologie nicht liefern konnte, und um tatsächlich die nötigen Ergebnisse zu erzielen, musste ASML Ressourcen und Ingenieure in Projekte bei Zulieferern stecken. Cymer schaffte nur eine 10W-EUV-Lichtquelle, ASML brauchte aber 250W, also kaufte man das Unternehmen, um umsetzen zu können, was man wollte. Es gab auch andere Lichtquellen-Anbieter, zu denen ASML hätte wechseln können.

      Wörtlich: Man hat das Unternehmen übernommen, weil es nicht liefern konnte, was gebraucht wurde. Aber viele US-Amerikaner wollen in typisch amerikanisch-exzeptionalistischer Manier die Welt so umschreiben, als sei ASML in Wahrheit nur ein magisches Gefäß, das US-Technologie unter dem Mantel versteckt. So als schulde irgendwie alles den Amerikanern etwas.

      Die US-Regierung hat alle US-Unternehmen gezwungen, nicht mit Richtern oder Mitarbeitern des ICC zu arbeiten, unter dem Vorwand, Israels Oberherrn USA zu verteidigen. Allein dafür sollten US-Unternehmen aus jedem ausländischen Staat hinausgeworfen werden. Die Idee, einem Unternehmen mit Sitz in den USA die technologische Kontrolle über heimische Infrastruktur zu geben, ist Wahnsinn und fast schon Verrat. Wer so etwas vorantreibt, sollte gründlich untersucht werden. Ebenso ist die Tatsache, dass das Vereinigte Königreich weiter den Müll von Palantir einführt, ein klarer Beleg dafür, dass dieses Land völlig kaputt ist und eine umfassende Neuordnung seines Beamtenapparats braucht.

      Und all das noch ganz abgesehen vom ständigen Trotzverhalten, einem bizarren Maß an Korruption und dem offenen Bedrohen von Verbündeten.

      Klar wird das „für Verstimmung sorgen“, aber die USA haben die Lage ohnehin schon so weit eskalieren lassen, dass es inzwischen niemanden mehr kümmert, worüber die pädophilen, idiotischen, eigennützigen kriminellen Cliquen dieses Idiotenstaats wieder toben. An diesem Punkt sollte man die USA aus der NATO werfen, alle Stützpunkte schließen und jeder sollte sich selbst atomar bewaffnen.

  • Gute Nachricht. Es wäre katastrophal gewesen, wenn ein so zentraler Teil unserer Gesellschaft den Launen eines anderen Landes ausgeliefert wäre, noch dazu eines instabilen und offen feindseligen.

  • Wir werden künftig wohl öfter erleben, dass US-Eigentümerschaft blockiert wird. Ganz gleich, wie gut die Beziehungen sind: Keine Regierung sollte einem ausländischen Käufer Zugang zu den Daten ihrer eigenen Regierung und ihrer Bürger geben, und sie kann es auch nicht.

    Unabhängig davon zeigt diese Angelegenheit ein klareres Bild der US-Kontrolle. Sie schwindet. Die USA wirken bedrohlich, und es zeichnet sich eine zwanghafte Praxis ab, Daten zu besitzen und sie dann als Kontrollinstrument zu nutzen.

    • Du scheinst anzunehmen, dass Bürgerdaten übertragen würden. Gibt es dafür Belege?

  • Wenn die Niederlande Informationsaustausch-Abkommen mit Five Eyes oder Fourteen Eyes haben, dann könnten all diese Daten weiterhin den USA und anderen Verbündeten zugänglich sein. Hoffentlich übernimmt die niederländische Regierung dabei aber die Rolle des Torwächters.

    • Es geht nicht nur um Daten. Das Problem ist zum Beispiel das Risiko, dass die USA im Rahmen eines Präventivangriffs auf Grönland faktisch Dinge wie den niederländischen Steuereinzug oder Krankenhausbehandlungen abschalten könnten.

      Natürlich ist das unwahrscheinlich. Aber in der aktuellen Stimmungslage sind die Leute nervös, und es ist besser, das Risiko gar nicht erst einzugehen. Die derzeitige Regierung hat bereits eine langfristige Strategie begonnen, um mehr kritische Software-Infrastruktur wieder ins Inland zu holen; die Software eines zentralen Identitätsanbieters ins Ausland zu verkaufen, würde der aktuellen Politik frontal widersprechen.

    • Es ging weniger um Datenschutzbedenken als um: „Lasst uns nicht einem potenziell feindlichen Staat einen der wichtigsten Teile unserer Infrastruktur überlassen.“ DigiD ist die Nutzer-Authentifizierungsplattform für fast alle Websites der niederländischen Regierung. Eine ausländische Regierung könnte niederländische Personen durch Zugangsbegrenzungen unter Druck setzen und gefügig machen.

    • Genau diese Torwächterrolle macht hier den Unterschied. Übergibt man alle Daten an ein anderes Land und bittet bei Bedarf darum, Stücke davon zurückzubekommen? Oder hostet man sie selbst und teilt nur den Teil, der für Ermittlungen dieses Landes relevant ist? Die Struktur darf nicht so sein, dass dieses Land jedes Mal blockieren kann, wenn jemand DigiD nutzen will.

    • Falls es heißt: „Wenn die Niederlande Informationsaustausch-Abkommen mit Fourteen Eyes haben“, dann ist das eine ziemlich sichere Annahme, denn die Niederlande sind Mitglied der Fourteen Eyes.

    • Es geht nicht um Datenschutz, sondern um Kontrolle.