Sovereign Cloud: Kann die Cloud Effizienz und Datenschutz?

Sovereign Cloud - die Lösung?

Banken und Versicherungen, das Gesundheitswesen und die öffentliche Hand stehen vor einem Dilemma. Einerseits wollen sie die Produktivitätsvorteile und Innovationspotenziale nutzen, die die Datenhaltung in der Cloud bietet. Andererseits sind sie als Institutionen, die mit sensiblen Daten der Kunden und Bürger arbeiten, rechtlich und ethisch verpflichtet, diese Daten zu schützen. Angesichts der aktuellen geopolitischen Entwicklungen und der damit verbundenen drohenden Aushöhlungen im internationalen Datenschutz ein klassischer Zielkonflikt. Die sogenannte "souveräne Cloud" verspricht eine Lösung.  

Digitale Souveränität: Das soll die souveräne Cloud speziell Unternehmen mit (hoch)sensiblen Daten bieten. Dazu können die Anwender bei dieser Cloud-Variante zum Beispiel selbst bestimmen, wo, wie und von wem ihre Daten verarbeitet werden. Drei Eigenschaften muss so eine Cloud aufweisen: Daten-, Betriebs- und Software-Souveränität. Sie sollen sicherstellen, dass die Daten vor unbefugten Zugriffen geschützt, die Cloud-Aktivitäten transparent und kontrollierbar, und die Cloud-Anwendungen und -Services quellcode-offen und austausch- bzw. wechselbar sind. Nicht alle, aber immer mehr Anbieter versprechen in ihrem Sovereign-Design genau diese Möglichkeiten.

Was eine souveräne Cloud ausmacht

Teil dieses Versprechens (Daten-Souveränität) ist, dass das Unternehmen selbst in der Lage sein sollte zu bestimmen, an welchem Standort oder wenigstens in welcher Region die Daten in der Cloud gespeichert und verarbeitet werden – oder zumindest eine Option aus einer Liste an möglichen Datenresidenzen zu wählen. In bestimmten Modellen der Sovereign Cloud wird der Zugriff auf die Unternehmens-Daten vom eigentlichen Plattform-Anbieter entkoppelt und beispielsweise von einem Dritten in einer Partnerkonstellation überwacht und kontrolliert. Dieser übernimmt dann die Verantwortung für die sogenannten "Sovereign Controls", die sich vor allem auf Identifikations- und Authentifizierungsrechte, Verschlüsselung sowie die Beobachtung möglicher Schutzverletzungen fokussieren. Das souveräne Cloud-Konstrukt kann dabei so weit reichen, dass der Partner auch die seitens des Hyperscalers eingeräumte und vertraglich abgesicherte Befugnis hat, die Datenlokationen im Sinne der nutzenden Kunden zu auditieren. Zur Stärkung des Vertrauens in solche Konstellationen wählen US-amerikanische Hyperscaler vorzugsweise nationale IT-Dienstleister, die neben der erforderlichen technologischen Kompetenz auch über die notwendige Integritätsvermutung verfügen.

Betriebs-Souveränität heißt, dass die Unternehmen selbst bestimmen können, wie ihre Cloud-Aktivitäten durchgeführt und überwacht werden. Sie können sich dabei auf die Cloud-Anbieter selbst oder auch hier auf lokale Partner verlassen, die die Cloud-Umgebung betreiben und verwalten. Der Cloud-Anbieter stellt die eigentliche Plattform und die damit verbundenen Ressourcen und Services zur Verfügung und stellt deren regelmäßige Aktualisierung und Fehlerbehebung sicher, hat aber faktisch keine Ein- und Zugriffsmöglichkeit mehr auf die betriebliche Umgebung, die der Kunde nutzt. Dadurch können Unternehmen die operationelle Sicherheit und Transparenz gewährleisten, also die Einhaltung der technischen und organisatorischen Standards und Anforderungen. Außerdem können sie die Cloud-Leistung und -Verfügbarkeit steuern und optimieren, so dass sie den Geschäftszielen entsprechen.

Software-Souveränität bedeutet, dass die Unternehmen selbst bestimmen können, welche Cloud-Anwendungen und -Services sie nutzen und wechseln können. Diesem Prinzip folgend sollten sich Kunden einer souveränen Cloud dabei auf quellcode-offene Software verlassen können, die von verschiedenen Anbietern angeboten und weiterentwickelt wird, ganz unabhängig von dem Anbieter und Betreiber der zugrundeliegenden Plattform. Damit wird die Nutzung von Anwendungen auf der souveränen Cloud-Plattform flexibler und vermeidet bzw. reduziert mögliche Abhängigkeiten von Anbietern und Monopolisten. Zu beachten ist, dass nicht alle Angebote für eine souveräne Cloud die Nutzung von Open-Source beinhalten. Dieser Ansatz findet sich jedoch verstärkt in dieser Form der Cloud wieder.

Prädestiniert für Unternehmen mit hochsensiblen Daten 

Diese Risiken sind besonders für Unternehmen relevant, die hochsensible Daten verarbeiten. Das sind Daten, die einen hohen Schutzbedarf haben, weil sie personenbezogen oder für die Geschäftstätigkeit oder die Sicherheit des Unternehmens von existenzieller Bedeutung sind. Beispiele für solche Daten sind Kunden-, Finanz-, Gesundheitsdaten oder Daten, die von Behörden genutzt werden, wie beispielsweise Bürger- und Steuerinformationen.

Diese Daten unterliegen strengen gesetzlichen und aufsichtlichen Vorgaben, wie etwa der europäischen Datenschutz-Grundverordnung (DSGVO). Flankierende Vorschriften wie aktuell im Finanzsektor der Digital Operational Resilience Act (DORA) oder die Aufsichtsmitteilung zur Cloud-Nutzung der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der Bundesbank nehmen das Unternehmen ebenfalls in puncto Datenschutz und -sicherheit in strenge Verantwortung. Im Kontext von NIS-2 gilt Vergleichbares auch für nicht beaufsichtigte Unternehmen. Die Einhaltung dieser Vorgaben ist für die Unternehmen daher nicht nur eine Pflicht, sondern auch ein Wettbewerbsvorteil. Denn sie stärkt das Vertrauen der Kunden, Partner und Stakeholder in die Integrität und Zuverlässigkeit des Unternehmens.

…aber nicht nur für regulierte Branchen

Durch die aktuellen Entwicklungen steht der Data Privacy Framework, der Angemessenheitsbeschluss zwischen der Europäischen Union (EU) und den USA, in der Diskussion. Bei einer Aufkündigung durch die USA gäbe es für die Unternehmen zumindest auf dieser Grundlage formal keine datenschutzrechtliche Sicherheit mehr, Daten zu Cloud-Anbietern in die USA zu transferieren. Der Wechsel zu einer souveränen Cloud mit einer regionalen Datenspeicherung könnte hier Datenschutz-Kontinuität sicherstellen. 

Nicht für jeden Anspruch geeignet

Die souveräne Cloud bietet die Cloud-typischen Vorteile, wie Skalierbarkeit, hohe Verfügbarkeit und infrastrukturelle Sicherheit, zusammen mit den oben genannten Kernfunktionen. Am Markt gibt es jedoch Sovereign-Cloud-Angebote, die im Funktionsumfang gegenüber "offenen Clouds" deutlich eingeschränkt sind. Das betrifft Funktionalitäten, die durch die spezifische Konfiguration einer Sovereign Cloud nicht möglich sind. Hierbei kommt es auf den Anbieter selbst und seine angebotenen Funktionen an. Beispielsweise kann es Beschränkungen für umfangreiche Datenanalyse-Funktionen oder auch Künstliche Intelligenz geben, da aufgrund der Datenmasse hier häufig Daten global verarbeitet werden müssen und eine Anpassung der Funktionen auf eine spezifische Region nicht möglich ist. Wenn ein Unternehmen auf solche Anwendungen angewiesen ist, kommt ein Einsatz deshalb nicht in Frage.

Das Konzept der souveränen Cloud bietet sich also aktuell vor allem für Banken, Versicherungen, das Gesundheitswesen und den öffentlichen Bereich an. Allerdings ist das Konzept noch vergleichsweise jung – und mit steigenden Datenschutzrisiken durch internationale Irritationen könnte die zusätzliche Abschottung auch für weitere Branchen interessant und relevant werden.