US-Clouds: Nichts wie raus?

Potenzieller Ausstieg aus der Cloud

Banken und Versicherungen sind zu beneiden, weil ihr Geschäft so streng reguliert ist. Was sich wie ein Scherz anhört, wird bei einem Thema aktuell zum nüchternen Ernst: dem potenziellen Ausstieg aus der Cloud. Die Finanzindustrie ist seit geraumer Zeit durch die Regelungen der Finanzaufsicht, seit neuestem jetzt vor allem durch die DORA-Verordnung dazu gezwungen, auf Exit-Szenarien vorbereitet zu sein. Und dazu gehört "nicht nur der erwartbare, sondern auch der unbeabsichtigte oder unerwartete dauerhafte Wegfall der konkret genutzten Cloud-Dienste", so die Aufsichtsbehörden.
Und genau mit solchen Szenarien sehen sich angesichts der aktuellen geopolitischen Lage auch fast alle anderen Branchen konfrontiert – und diskutieren dieses hitzig unter dem Stichwort Digitale Souveränität. Was, wenn die USA die rechtlichen Rahmenbedingungen für die Nutzung von Cloud-Services US-amerikanischer Anbieter verändern?

Trumps Regierung untergräbt Aufsicht und Anbieter

Ein erster Warnschuss war die versuchte "Bereinigung" des Privacy and Civil Liberties Oversight Board (PCLOB), einer US-Aufsichtsbehörde, die unter anderem die Einhaltung des Transatlantic Data Privacy Framework (TDPF) überwacht. Das TDPF sichert EU-Unternehmen seit 2022 die Beachtung erforderlicher Datenschutz-Standards durch US-Technologiekonzerne in den USA zu und ermöglicht regulierten Branchen wie beispielsweise der Finanzbranche erst die Nutzung von US-Cloud-Anbietern. Nach seinem Amtsantritt hatte US-Präsident Trump alle demokratischen PCLOB-Mitglieder zur Abdankung angewiesen. Ob das Board mit einer "linientreuen" Besetzung weiterhin vertrauenswürdig wäre, erscheint zumindest fraglich. 

Eine präsidentielle Anordnung hat in einem anderen Szenario dazu geführt, dass der E-Mail-Account des Chefanklägers des Internationalen Strafgerichtshofs gesperrt wurde – ein erheblicher Eingriff in privatrechtliche Verträge, den Microsoft als Provider des Accounts jedoch nicht verhindern konnte. Was wäre, wenn das eigene Postfach auf einmal gelöscht würde?
Natürlich stehen hier ökonomische Interessen dagegen – sprich: die US-Tech-Konzerne verdienen in Europa viel Geld. Nach den Angaben der EU-Kommission fallen unter das TDPF inzwischen Leistungen im Wert von einer Billion US-Dollar. Und die Gewinne, die Microsoft mit seiner Office-Suite erlöst, dürften ebenfalls nicht geringfügig sein. Aber die genannten Konflikte zeigen, dass die US-Regierung auch nicht vor Maßnahmen zurückschreckt, die für die eigene Wirtschaft mit empfindlichen Verlusten verbunden sind.

Exit um jeden Preis?

Was also, wenn US-amerikanische Cloud-Anbieter vor diesem Hintergrund keine zuverlässigen Partner mehr sind, das Geschäft aber stark auf deren Services aufbaut? Ist angesichts der Tatsache, dass europäische Cloud-Kapazitäten und -Lösungen Mangelware sind, hier ausnahmsweise ein Vorstoß ins Ungewisse sinnvoll? Einfach, um sich einen vorderen Platz in der Warteschlange vor dem Rechenzentrum zu sichern?

Natürlich nicht – die möglichen Folgen eines missglückten Exits können gravierend sein. Wie man sich vorbereitet, können Unternehmen aber tatsächlich von Banken und Versicherungen lernen. Der wichtigste Schritt ist, das auf den ersten Blick monolithisch anmutende Drohszenario zu strukturieren, Alternativen zu finden, die identifizierten Handlungsfelder zu priorisieren, auf eine Zeitachse zu bringen und mit Kosten und Risiken zu belegen. Schließlich sind nicht alle Cloud-Services gleich: Einige könnten schon jetzt ohne nennenswerte Einschränkungen aus US-Clouds abgezogen werden. Andere Anwendungen sind nicht so trivial in ein eigenes Rechenzentrum oder in eine EU-Cloud zu migrieren. Ein naheliegendes Beispiel wäre ein kurzfristiger Ausstieg aus Microsoft 365. Einzelne Anwendungen aus diesem Paket könnte man zwar ersetzen, eine vollwertige, integrale Alternative ist jedoch bisher nicht bekannt. Und selbst wenn es sie gäbe: Implementierung und Datenmigration würden Unternehmen über Monate und Jahre beschäftigen. Hinzu kommen doppelte Kosten für bereits kontrahierte Cloud-Services und die neue Infrastruktur zu deren Ablösung.

"Souveräne Clouds" – ein Ausweg?

Was aber ist mit den "souveränen Clouds" mit regionaler Datenspeicherung, die unter anderem dieselben US-Unternehmen anbieten? Ihr Hauptargument ist ja Datenschutz-Kontinuität selbst bei einer Aufkündigung des TDPF durch die USA. Ob dann ein Abfluss von Daten in die USA weiterhin ausgeschlossen wäre oder ob man sich angesichts der fehlenden Rechtsgrundlage auf die Versprechungen der Anbieter verlassen müsste, ist noch eine offene Diskussion. Aber auch jenseits dieser Frage sind "souveräne Clouds" nicht für jede Anwendung geeignet.  Sie bieten zwar die Cloud-typischen Vorteile, wie Skalierbarkeit, hohe Verfügbarkeit und infrastrukturelle Sicherheit. Am Markt gibt es jedoch Sovereign-Cloud-Angebote, die im Funktionsumfang gegenüber "offenen Clouds" deutlich eingeschränkt sind. Beispielsweise kann es Beschränkungen für umfangreiche Datenanalyse-Funktionen oder auch Künstliche Intelligenz geben, da aufgrund der Datenmasse hier häufig Daten global verarbeitet werden müssen und eine Anpassung der Funktionen auf eine spezifische Region nicht möglich ist. Für Banken, Versicherungen, das Gesundheitswesen und den öffentlichen Bereich kommt das Konzept aber durchaus in Frage – wenn man denn eben den Anbietern vertraut.

Andererseits ist Angst wie immer ein schlechter Ratgeber, gerade wenn es um grundlegende strategische Entscheidungen geht, und das Bauchgefühl allein darf nicht entscheiden. Kopflose Flucht aus den US-Clouds schafft noch mehr Probleme, als sie löst. Unternehmen brauchen dafür konkrete Projekte, die budgetiert, entschieden und umgesetzt werden können. Die allerdings müssen schnell her – denn Warteschlangen bei den europäischen oder sonstigen Alternativen wird es geben. Banken und Versicherungen haben hier einen Vorsprung und werden sich vermutlich die vorderen Plätze sichern. Daher heißt es nun, auch in der zweiten Reihe noch einen der vorderen Plätze zu ergattern.