Dunkle Wolken über Europas Cloud-Nutzern

Zeichen für IT stehen auf Sturm

Nach der Verhängung hoher Zollsätze durch die US-Regierung auf europäische Importe in die USA stehen die Zeichen auf Sturm, auch für die IT. Eine mögliche Reaktion der EU sind Gegenzölle auf US-Importe, die auch digitale Produkte und Services umfassen könnten, wie zum Beispiel Cloud-Services, IT-Hardware und Software-Lizenzen. Derartige Maßnahmen würden für viele Unternehmen zu einer massiven Steigerung ihrer IT-Kosten führen und damit ihre internationale Wettbewerbsfähigkeit empfindlich schwächen – zusätzlich zu bereits vorhandenen Belastungen durch gestiegene Energiekosten als Konsequenz des Ukraine-Konflikts.

Wesentlich gravierender, weil nicht mit Geld zu kompensieren, sind jedoch mögliche Verwerfungen bei den rechtlichen Rahmenbedingungen für die Nutzung von Cloud-Services US-amerikanischer Unternehmen. Ein erster Warnschuss war die "Bereinigung" des Privacy and Civil Liberties Oversight Board (PCLOB), einer US-Aufsichtsbehörde, die unter anderem die Einhaltung des Transatlantic Data Privacy Framework (TDPF) überwacht. 

Das TDPF sichert EU-Unternehmen seit 2022 die Beachtung erforderlicher Datenschutz-Standards durch US-Technologiekonzerne in den USA zu und ermöglicht regulierten Branchen wie beispielsweise der Finanzbranche erst die Nutzung von US-Cloud-Anbietern. Nach seinem Amtsantritt hatte US-Präsident Trump alle demokratischen PCLOB-Mitglieder zur Abdankung angewiesen. Ob das Board mit einer "linientreuen" Besetzung weiterhin vertrauenswürdig ist, erscheint fraglich. Ebenso fraglich ist, wie lange das Abkommen generell noch Bestand hat. Auch ein kurzfristiger Ausstieg der USA aus dem Datenschutzabkommen ist jederzeit möglich, beispielsweise als zusätzliches Druckmittel im Zollkonflikt. Der Bundesverband der Deutschen Industrie (BDI) hat bereits vor verheerenden Folgen einer einseitigen Aufkündigung durch die USA gewarnt. 

Man sollte erwarten, dass die USA ein wirtschaftliches Interesse haben, europäische Kunden nicht zu verprellen, denn nach Angaben der EU-Kommission fallen unter das TDPF inzwischen Leistungen im Wert von einer Billion US-Dollar. Wie jedoch im Zollkonflikt deutlich wird, schreckt die neue US-Regierung auch nicht vor Maßnahmen zurück, die für die eigene Wirtschaft mit empfindlichen Verlusten verbunden sind. 

Präventive Exit-Strategie?

Kanadas neuer Premierminister Mark Carney hat unlängst angeordnet, dass Regierungsbehörden ihre Abhängigkeit von US-Tech-Konzernen verringern sollen – ohne jedoch konkrete Alternativen parat zu haben. Bereits im März hatten die norwegische und die dänische Datenschutzbehörde vor US-Cloud-Anbietern gewarnt und Unternehmen empfohlen, präventiv eine Exit-Strategie zu entwickeln. 
Angesichts der neuen Unberechenbarkeit der US-Politik erscheinen vorbeugende Maßnahmen mehr als geboten. Die Bandbreite möglicher Risiken umfasst neben der Veränderung rechtlicher Rahmenbedingungen auch die Missachtung geltender US-Gesetze und Institutionen, wie die aktuellen Konflikte der US-Regierung mit Bundesrichtern, Supreme Court und Federal Reserve zeigen. Nicht auszudenken, welche Panik entstünde, wenn sich durch unvorhergesehene Aktionen schneller Handlungsbedarf ergeben würde. Eine Flucht aus IaaS-Lösungen beispielsweise würde das Angebot kurz- oder mittelfristig verfügbarer Rechenzentrums-Kapazitäten in Europa sprengen, ganz zu schweigen von der erforderlichen Hardware und dem Fachpersonal, um neue Infrastruktur physisch und logisch aufzubauen. 

Dramatischer allerdings wäre ein kurzfristig erforderlicher Exit aus Microsoft 365. Sicher gibt es bereits Alternativen zu einzelnen darunter subsumierten Diensten, eine vollwertige, integrale Alternative ist jedoch bisher nicht bekannt – und selbst wenn: Implementierung und Datenmigration wären nachfolgende Herausforderungen für betroffene Unternehmen. Hinzu kommen doppelte Kosten für bereits kontrahierte Cloud-Services und die neue Infrastruktur zu deren Ablösung. 

Wer sich heute schon auf Veränderungen vorbereiten möchte, kann im ersten Schritt seine Cloud-Services nach verschiedenen Kriterien kategorisieren:

• Sollen neue Anforderungen weiterhin präferiert auf US-Clouds realisiert werden oder, soweit möglich, künftig direkt auf dieser Seite des Atlantiks umgesetzt werden?
• Welche Workloads bzw. Anwendungen könnten ohne nennenswerte Einschränkungen aus US-Clouds abgezogen werden?
• Welche Use Cases bzw. Workloads können nicht trivial on-Premises oder in eine EU-Cloud migriert werden, d.h. wo wären also höhere Kosten in einer Gesamtsicht zumindest mittelfristig günstiger als ein schneller Exit aus einer US-Cloud?

Empfehlung: Vorbereitung auf drohende Unwetter am Cloud-Markt

Auf diese Weise können IT-Verantwortliche das auf den ersten Blick monolithisch anmutende Drohszenario strukturieren, die identifizierten Handlungsfelder priorisieren, auf eine Zeitachse bringen und mit Kosten und Risiken belegen. So werden aus Bauchgefühlen konkrete Projekte, die Entscheidern vorgelegt, budgetiert und umgesetzt werden können. Wer sich rechtzeitig vorbereitet, ist im Ernstfall schnell handlungsfähig und steht in der Warteschlange um europäische RZ- und Cloud-Ressourcen weiter vorne. Wie lange diese Schlange wird, hängt dann davon ab, ob höhere Kosten oder Compliance-Bedingungen den Anlass geben werden. Wenn Europas Cloud-User nicht eines Tages aus allen Wolken fallen wollen, müssen Unternehmen bereits heute damit beginnen, sich auf die drohenden Unwetter am Cloud-Markt vorzubereiten. Der Klimawandel in der IT bringt keine globale Erwärmung, sondern eher eine neue Eiszeit. Nutzer von US-Clouds sollten sich darum bereits heute schon warm anziehen.