Es bedarf nur einer kurzen Eingabe in eine Suchmaschine, um dieser scheinbar paradoxen Frage Gewicht zu verleihen. Man muss sich nur an die mittlerweile über zehn Jahre alten Enthüllungen Edward Snowdens erinnern.¹

Hintertüren in der Rechtsprechung

Im März 2025 erklärte der Chefjustiziar von Microsoft France unter Eid, dass er Unternehmen, die Microsoft nutzen und ihre Daten ausschließlich auf europäischen Microsoft-Servern speichern und verarbeiten, keinen 100-prozentigen Datenschutz nach europäischem Recht garantieren kann. Microsoft ist ein US-Unternehmen und unterliegt somit auch dem US Cloud Act. Dieser fordert von US-Unternehmen, US-Behörden unter bestimmten Bedingungen Zugriff auf die Daten ihrer Kunden zu geben – egal, wo diese auf der Welt gespeichert sind. Die Behörden können sogar verfügen, dass die betroffenen Unternehmen nicht einmal darüber benachrichtigt werden.²

Im Juli 2025 kam ans Licht, das Cisco – ein Unternehmen, dass Cybersicherheit verspricht – auf ihrem Unified Communications Manager eine fest installierte Hintertür eingebaut hatten. Weder wurde diese für Kunden dokumentiert. Noch wurde Kunden die Möglichkeit gegeben, diese zu konfigurieren, also selbst abzusichern. Die Hintertür war hard-coded.³ Und das war nicht das erste Mal.

Verschwunden in der Cloud

Manuel Atug, bekannt als Gründer der AG KRITIS, antwortete in unserem Podcast auf die Frage “Können Systeme zur Angriffserkennung zum Sicherheitsrisiko werden?” mit ziemlich ernüchternden Erfahrungen:

“Wir haben auch schon Software von [Systemen zur Angriffserkennung] gesehen, wo man von einem einzigen Client auf irgendeiner Umgebung auf die komplette Kundenumgebungen zugreifen konnte.” und ergänzte: “Teilweise wird sich das rausgenommen, zu sagen: „Ja, dann wandern die Daten erst mal in die Cloud und von da aus analysieren wir weiter. Das heißt, man hat in der Produktionsumgebung, in der kritischen Infrastruktur […] die Agentensoftware auf sämtlichen Systemen ausgerollt, dann oftmals auch mit kompletten Systemrechten, und die zieht alle möglichen kritischen Produktionsdaten und Infos der Komponenten zusammen, lädt das irgendwo in der Cloud und dann [werden] die Daten beispielsweise in den USA oder Israel weiterverarbeitet".

Bei Produkten aus der anderen Himmelsrichtung sieht es nicht besser aus. Im November 2022 wurde in den USA bekannt, dass bestimmte Router von chinesischen Anbietern von Werk aus mit eingebauten Backdoors ausgeliefert werden. Diese erhalten mitunter gleich nach Anschluss Besuch aus Übersee⁴. Erst dieses Jahr wurden in chinesischen Wechselrichtern für Photovoltaikanlagen undokumentierte Kommunikationskomponenten entdeckt.⁵ Die Produkte sind übrigens auch in Deutschland Gang und Gebe.

Darüber hinaus sollte man stets bedenken, dass Technologieunternehmen sowohl in China als auch in den USA oft mehr als bereit sind, mit dem Militär- und Geheimdienstkomplex zusammenzuarbeiten oder direkt aus diesem Personal zu rekrutieren.⁶ Dies gilt nicht zuletzt für Cybersicherheitsunternehmen.⁷

Datenschutz und digitale Souveränität stärken

Mit OT Security Made in Germany^Ⓡ setzt Rhebo ein Zeichen für ein klares Commitment zu Datenschutz und digitaler Souveränität unserer Kunden. Bereits seit Mitte 2021 ist Rhebo Träger des Vertrauenssiegels Cybersecurity Made in Europe der European Cyber Security Organisation (ECSO)⁸. Wir folgen damit den strikten Datenschutzbestimmung der DSGVO und der European Union Agency for Cybersecurity (ENISA).

OT Security Made in Germany^Ⓡ erweitert diese Verpflichtung:

• Entwicklung und Testing erfolgt zu 100 % in Deutschland.

• Es gibt keine eingebauten Backdoors für Sicherheitsdienste und Regierungsbehörden.

• Dritte Parteien erhalten nie Zugriff auf das Backend unserer Lösung.

• Wir arbeiten auf Entwicklungsebene nicht mit Sicherheitsbehörden oder dem Militär zusammen.

• unser netzbasiertes System zur Angriffserkennung ist immer als On-prem-Lösung betreibbar und kommt ohne Internetanbindung aus.

Darüber hinaus bedeutet es für unsere deutschen und europäischen Kunden:

• kurze Wege bei Rückfragen und

• schneller, umfangreicher Support.

Als deutsches Unternehmen berücksichtigt Rhebo auch explizit die Anforderungen des IT-Sicherheitsgesetzes sowie der BSI Orientierungshilfe zum »Einsatz von Systemen zur Angriffserkennung«.

Unternehmen können mit den Lösungen von Rhebo deshalb sicher sein, ein OT-Monitoring mit Anomalieerkennung zu erhalten, das ihre Ansprüche an Compliance, Leistungsfähigkeit, Einfachheit und Souveränität erfüllt.

OT Security Made in Germany^Ⓡ ist eine eingetragene Marke der Rhebo GmbH.‍

¹ https://www.globaltimes.cn/page/202305/1290958.shtml

² https://www.heise.de/news/Nicht-souveraen-Microsoft-kann-Sicherheit-von-EU-Daten-nicht-garantieren-10494684.html

³ https://www.security-insider.de/cisco-backdoor-ermoeglicht-root-zugang-a-d69914eb428eecf2c705a339be3e2b41/

⁴ https://cybernews.com/security/walmart-exclusive-routers-others-made-in-china-contain-backdoors-to-control-devices/

⁵ https://www.pv-magazine.de/2025/05/14/reuters-versteckte-vorrichtungen-in-wechselrichtern-aus-chinesischer-produktion-in-den-usa-gefunden/

⁶ https://techcrunch.com/2022/02/05/the-rise-of-defense-tech-is-bringing-silicon-valley-back-to-its-roots/

⁷ https://www.govconwire.com/articles/former-nsa-cybercom-chief-michael-rogers-appointed-claroty-advisory-board-chair

⁸ https://rhebo.com/de/unternehmen/news/post/rhebo-ist-traeger-des-ecso-vertrauenssiegels-cybersecurity-made-in-europe/