Sovereign Cloud: Bereit für digitale Souveränität?

Bestmöglicher Schutz für hochsensible Daten

Für Unternehmen ist es entscheidend, sensible und hochsensible Daten bestmöglich zu schützen. Dies gilt besonders für den Finanz- und Versicherungsbereich, das Gesundheitswesen oder die öffentliche Verwaltung. Oft kommt die Nutzung cloudbasierter Plattformen nicht infrage, weil die Daten zu kritisch sind.

In der "souveränen Cloud" nutzt ihr moderne und innovative Technologien – und bewahrt zugleich die höchsten Schutzbedarfe eurer Daten.

Mehr erfahren     Whitepaper

Einführung einer Sovereign Cloud – aber sicher!

Die Sovereign Cloud ist eine Variante der Standard-Cloud-Modelle. Sie gibt euch mehr Souveränität über eure Daten, den Betrieb und die Software. In Abhängigkeit von der Kritikalität und den Schutzbedarfen bestimmt ihr, ob alle eure Unternehmensdaten oder nur ein Teil in der Cloud verarbeitet werden sollen. Für viele Unternehmen ist die Daten-Hoheit ein wichtiger Grund für die Nutzung einer Sovereign Cloud.

Wir helfen euch, die passende Sovereign-Cloud-Umgebung auszuwählen und prüfen, welches Angebot eure Anforderungen am besten erfüllt:

Entscheidung für Sovereign Controls

Ausgehend von eurer Cloud-Strategie klären wir mit euch, für welche Geschäftsbereiche und -Prozesse eures Unternehmens der Einsatz einer souveränen Cloud sinnvoll ist. Damit eng verbunden ist die Frage der Modellvariante - Private oder Public, Hyperscaler oder Partner?  Dies beeinflusst die euch dann jeweils zur Verfügung stehenden Sovereign Controls für Identitäts- und Berechtigungsmanagement, Schlüsselverwaltung, Zugriffskontrolle etc.

Auswahl des passenden Anbieters

Wir begleiten euch bei der Auswahl des Sovereign-Cloud-Anbieters. Dabei vergleichen wir die Anbieter nach verschiedenen Kriterien wie Datenlokation, Kostenstruktur, Leistungsspektrum, Sicherheitsstandards und Vertragsbedingungen. Selbstverständlich berücksichtigen wir dabei auch eure unternehmensspezifischen Bedürfnisse.

Sovereign Cloud Compliance

Wir prüfen im Rahmen einer Risikoanalyse, ob die Sovereign Controls aufsichtlichen, regulatorischen und datenschutzrechtlichen Anforderungen entsprechen. Dafür vergleichen wir sie beispielsweise mit Standards wie dem DSK „Kriterienkatalog für Souveräne Clouds“. So bekommt ihr einen umfassenden Überblick über mögliche Chancen und Risiken der für euch passenden Lösung.

Kostenoptimierung

Unsere Experten für Cloud Financial Management helfen euch dabei, die Kosten für eure Sovereign Cloud zu optimieren und zu überwachen. Wir untersuchen euren aktuellen Bedarf an Nutzung und Kosten und identifizieren Einsparpotenziale. Basierend darauf erstellen wir für euer Unternehmen einen Plan zur Kostenoptimierung mit Ratschlägen und bewährten Methoden zur Anpassung der Ressourcen, Services und Verträge der Sovereign Cloud.

Ausstiegskonzepte auf Grundlage der Software-Souveränität

Schon bei der Wahl eines Cloud-Anbieters solltet ihr euch Gedanken über einen eventuellen Ausstieg aus der Cloud-Lösung machen, in regulierten Branchen wie bei Finanzunternehmen ist es rechtlich zwingend. Wir unterstützen euch von Anfang an dabei, mögliche Szenarien zu planen, sodass ihr jederzeit Daten aus der Sovereign Cloud exportieren könnt. Wir analysieren gemeinsam mit euch die Risiken, die für eure Architektur-Landschaft relevant sind.

Finde mit uns die passende Lösung für dich

Lass dich unterstützen bei der Auswahl der passenden Sovereign Cloud. Wir freuen uns auf deine Nachricht.

Icon Cloud-Compliance

Let's go Sovereign Cloud!

So schützt ihr hochsensible Daten in der Cloud.

Modellvarianten der Sovereign Cloud

Quicklinks Sovereign Clouds von Google

Ein Beispiel für verschiedene Modelle der Sovereign Cloud findet sich bei Google – schaut rein und macht euren Check für die Souveränität eures Unternehmens.

Sovereign Cloud auf einen Blick

1. Unterschiedliche Sovereign-Cloud-Modelle

2. Schutz sensibler Daten für Unternehmen

3. Einhaltung von Datenschutz und Aufsichtsrecht

4. Vor- und Nachteile einer Sovereign Cloud

5. Sicherheit bei einem Exit-Szenario

  • Sovereign-Cloud-Modelle

    Unterschiedliche Sovereign-Cloud-Modelle

    Souveräne Clouds werden in unterschied­lichen Modellen angeboten. Sie können auf einer Public Cloud, aber auch auf einer Private Cloud aufbauen. Der Cloud-Anbieter kann die Sovereign Cloud selbst oder durch einen Partner anbieten.

    Alle Modelle haben gemeinsam, dass die Sovereign Controls, also die Kontrollen zur Sicher­stellung der Souve­rä­nität, von einem Dritten überwacht werden

  • Schutz sensibler Daten für Unternehmen

    Schutz sensibler Daten für Unternehmen

    An einer Sovereign Cloud sind Unternehmen unter­schied­licher Branchen inter­essiert, denn bei dieser Cloud-Variante liegt die Daten­hoheit bei den Unter­nehmen selbst.

    Dies ist vor allem für die Finanz- und Versi­che­rungs- und Gesundheits­branche ein starkes Argu­ment, da diese häufig sensible Daten verarbeiten. Es kann aber auch für Unter­nehmen aus dem privaten oder öffent­lichen Sektor gelten.

  • Datenschutz und Aufsichtsrecht

    Einhaltung von Datenschutz und Aufsichtsrecht

    Die Sovereign Cloud ermöglicht durch die Kontrolle über Unter­nehmens­daten, Betrieb sowie Soft­ware die Ein­haltung gesetz­licher und auf­sichtlich-regu­la­to­rischer Anfor­derungen.

    Die DSGVO betrifft alle Unter­nehmen mit Sitz in der EU, so dass diese ein hohes Interesse an der Erfüllung dieser Bestim­mungen haben. Für Finanz- und Ver­sicherungs­unter­nehmen werden durch die souveräne Cloud weitere Anfor­derungen berück­sichtigt, die sich auch mit der DSGVO über­schneiden können.

  • Vor- und Nachteile einer Sovereign Cloud

    Vor- und Nachteile einer Sovereign Cloud

    Die Nutzung einer Sovereign Cloud bietet verschie­dene Vorteile, wie die Kon­trolle über Daten, Betrieb und Software. Dadurch können gesetz­liche und aufsichtlich-regula­to­rische Bedin­gungen leichter erfüllt werden als bei einer Standard-Cloud.

    Allerdings gehen diese Vor­teile zulasten der Flexi­bilität von Standard-Cloud-Modellen und -Anbietern. Dadurch kann es einen Kosten­unter­schied zu einer gängigen Cloud geben. Hier muss jedes Unter­nehmen für sich ent­schei­den, welche Punkte des jeweiligen Cloud-Modells seine Anfor­derungen besser erfüllen.

  • Exit-Szenario

    Sicherheit bei einem Exit-Szenario

    Sollte ein Aus­stieg von einem Sovereign-Cloud-Anbieter notwendig sein, bietet die Software-Souve­ränität Unter­nehmen die Sicher­heit, leicht zu einem anderen Sovereign-Cloud-Anbieter zu wechseln. Mit der Aus­ge­staltung einer Private Sovereign Cloud können sich Unter­nehmen noch unabhängiger machen.

Mehr erfahren?

In unserem Whitepaper erfährst du, welche Chancen eine Sovereign Cloud für dich und dein Unternehmen bereithält. Jetzt downloaden!

Kontakt aufnehmen     Whitepaper

Auch interessant für dich

Aufsichtsmitteilung Cloud-Auslagerungen

Lies nach, welche Neuerungen es gibt und wie du heute schon starten kannst mit der Umsetzung der BaFin-Neuregelungen. Infos hier!

DORA-Tool: CloudGate

Kennst du CloudGate, unser RegTech-Tool für Governance, Risk & Compliance? Hier erfährst du mehr und kannst es kostenlos testen.

Deine Expertin für
die Sovereign Cloud

Clarissa Bent
Enabler und Consultant

Du hast Fragen zur Sovereign Cloud? Clarissa Bent hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt     Profil ansehen

×

Sovereign Cloud

Die Sovereign Cloud adressiert drei Eigenschaften, die bei den Standard-Cloud-Modellen vom Kunden oft wenig beeinflusst werden können. Dies kann eine Speicherung von sensiblen Daten in der Cloud erschweren. Die souveräne Cloud betrifft die Daten-Souveränität, die operationelle Souveränität und die Software-Souveränität.

Daten-Souveränität: Daten-Souveränität bedeutet, dass Daten vor Eingriffen, Löschungen oder Einblicken von Unbefugten geschützt sind. Außerdem bestimmt ihr selbst, wo, wie und von wem die Daten gespeichert, verschlüsselt und zugänglich gemacht werden.

Operationelle Souveränität: Die operationelle Souveränität legt die Aktivitäten des Cloud-Anbieters offen und gibt so die maximale Kontrolle. Das kann sich zum Beispiel auf die Protokollierung der Datenzugriffe durch Administratoren des Cloud-Anbieters beziehen.

Software-Souveränität: Die Software-Souveränität ermöglicht es, Anwendungen und Services mit einem offenen Quellcode über verschiedene Cloud-Umgebungen und -Infrastrukturen zu erstellen und zu verwenden. Dadurch wird die Abhängigkeit vom Cloud-Provider reduziert (kein Vendor-Lock-In). Ebenfalls ist so ein Wechsel des Cloud-Anbieters im Rahmen eines Exits möglich.

Durch diese Änderungen kann euer Unternehmen selbst darüber entscheiden, wo eure Daten gespeichert werden und wer darauf Zugriff erhalten soll. Dadurch werden in gewisser Weise auch dem Cloud-Anbieter seine bisherigen Zugriffs- und Bestimmungsrechte in einer Standard-Cloud-Umgebung entzogen, so dass dieser mit der Sovereign Cloud eher eine Plattform mit gewissen Werkzeugen zur Verfügung stellt.

×

Konstrukt Sovereign Cloud

Drei Eigenschaften machen die Sovereign Cloud aus: Daten-Souveränität, operationelle Souveränität und Software-Souveränität.

Die Sovereign Cloud wird entweder vom Cloud-Anbieter selbst oder von einem Partner angeboten. Dabei kann es eine Verbindung zur Standard-Cloud-Umgebung des Cloud-Anbieters geben oder die Sovereign Cloud besteht unabhängig von der Umgebung.

Die Verantwortlichkeiten bei einer Sovereign Cloud können unterschiedlich ausfallen.

  • Grundsätzlich seid ihr bei einem Standard-Cloud-Modell gefragt, mit den angebotenen Werkzeugen in der Cloud-Umgebung für die Datenkontrolle und Transparenz zu sorgen. Diese kann allerdings eingeschränkt sein: funktionell oder monetär.
  • Es gibt Sovereign Cloud-Modelle bei denen ein Partner für euch die Aufgaben zur Herstellung der Transparenz und Datenhoheit übernimmt. Hierfür werden ebenfalls die in der Cloud-Umgebung verfügbaren Möglichkeiten genutzt. Es kann bei diesem Modell vorkommen, dass dem Partner mehr Rechte als euch eingeräumt werden und ihr durch dieses Modell Vorteile nutzen könnt.
  • Als letzte Möglichkeit kann eine spezielle Sovereign Cloud durch den Cloud-Anbieter oder durch einen Partner angeboten werden. Die Sovereign Cloud ist in diesem Modell dann von der Standard-Cloud-Umgebung segregiert oder sogar abgeschnitten. Diese Variante kann auch in eigenen Rechenzentren des Partners oder bei euch im Unternehmen aufgebaut werden. Durch die Unabhängigkeit von der Standard-Cloud-Umgebung können auch weitere Funktionen durch den Partner eingebracht und übernommen werden.
×

Daten-Kritikalität

Die Einstufung der Kritikalität von Daten hängt von verschiedenen Faktoren ab. Ein Faktor ist z.B. der Personenbezug. Diese Kategorie kann euch in jedem Unternehmen begegnen und betreffen. Es handelt sich dabei beispielsweise um Daten der Personalabteilung.

Die Kritikalität kann auch in der Branche des Unternehmens begründet werden. Unternehmen in der Finanzbranche oder auch im Gesundheitswesen arbeiten tagtäglich mit sensiblen und hoch-sensiblen Daten. Gleiches gilt für Regierungsbehörden, die mit Daten mit noch höherem Schutzbedarf arbeiten. Betroffene aus diesen Branchen müssen sicher sein, dass die Daten vor unbefugten Zugriffen geschützt sind. Durch eine Sovereign Cloud können auch sensible Daten in einem kontrollierten Bereich in der Cloud gespeichert werden.

×

Daten-Hoheit

Nach einer Umfrage von Omdia im September 2023 betreffen die wichtigsten Aspekte einer Sovereign Cloud aus Sicht der Unternehmen den Umgang und die Speicherung von Daten.

Daten-Souveränität bei einer Sovereign Cloud bedeutet, dass Daten vor Eingriffen, Löschungen oder Einblicken von Unbefugten geschützt sind. Außerdem bestimmt ihr selbst, wo, wie und von wem die Daten gespeichert, verschlüsselt und zugänglich gemacht werden.

×

Sovereign Controls

Die Sovereign Controls beschreiben die Funktionen und Kontrollen, die für Souveränität der Cloud sorgen. Diese Kontrollen werden entweder vom Cloud-Anbieter oder von einem Partner übernommen.

Die Funktionen und Kontrollen können je nach gewähltem Sovereign-Cloud-Anbieter unterschiedlich angeboten werden.

Beispiele für Sovereign Controls sind:

  • Kontrolle der Einhaltung der Datenlokation,
  • Identitäts- und Berechtigungsmanagement,
  • Schlüsselverwaltung (Key Management) und
  • Überwachung der Zugriffskontrollen.
×

Sovereign-Cloud-Anbieter

Viele Cloud-Anbieter bieten neben ihrem Standard-Modell auch eine Sovereign Cloud an. Diese wird entweder direkt vom Anbieter alleine oder mit einem Partner angeboten. Die Sovereign Cloud kann entweder auf der bestehenden Public Cloud des Cloud-Anbieters aufsetzen oder davon getrennt angeboten werden. Die Trennung kann physisch und strikt erfolgen oder lediglich eine Segmentierung auf der bestehenden Cloud darstellen.

Durch die Modelle der Sovereign Cloud erhält der Kunde mehr Rechte und kann den Cloud-Anbieter somit besser kontrollieren. Das Machtverhältnis eines Standard-Cloud-Modell wird umgekehrt, so dass sich der Kunde in einer besseren Position als der Cloud-Anbieter befindet. Dies geht bei manchen Sovereign Cloud-Modellen soweit, dass der Kunde dem Cloud-Anbieter den Zugriff auf die Kundendaten ganz verbieten kann und der Cloud-Anbieter faktisch von seiner Cloud ausgeschlossen wird. Er bietet dann nur noch die Cloud-Umgebung an.

×

Regulatorik und Datenschutz bei Sovereign Cloud

Viele Cloud-Anbieter gewähren Unternehmen, die regulatorischen Anforderungen unterliegen, weiterführende vertragliche Zusicherungen, um diese erfüllen zu können. Dies trifft auf die Finanzmarkt- und auf die Gesundheitsbranche zu. Durch das Partnermodell der Sovereign Cloud können die Anforderungen der Aufsichten verstärkt durch die lokale Partnerwahl erfüllt werden. Die Aufsicht erhält somit gestärkte Rechte im Umgang mit den Vertragsparteien. Dies ist auch bei der Anwendung des Digital Operational Resilience Act (DORA) ab 17. Januar 2025 ein wichtiger Kernbaustein. Die Ketten der Weiterverlagerungen müssen von den Finanzunternehmen detailliert betrachtet und laufend untersucht werden.

Unternehmen in der EU müssen die Datenschutzgrundverordnung (kurz: DSGVO) beachten. Cloud-Anbieter mit Produkten in diesem Gebiet sind sich dessen bewusst und bieten ihren Kunden den Abschluss eines Auftragsverarbeitungsvertrages an. Somit werden bereits viele Anforderungen der DSGVO in dem Standard-Cloud-Modell erfüllt. Meist findet jedoch eine Verarbeitung von Daten außerhalb der EU statt. Dieses Risiko muss vor der Nutzung der Cloud-Lösung angemessen beurteilt werden. Bei den Sovereign Clouds kann der Ort der Datenspeicherung auf Regionen wie die EU festgelegt werden. Ebenfalls ist es möglich, den Zugriff auf die Daten durch Unbefugte zu beschränken, so dass mit der Sovereign Cloud mehr Anforderungen der DSGVO erfüllt werden.

Die einzelnen Anforderungen der Regulatorik und der DSGVO können ineinander übergehen.

×

DSK Kriterienkatalog für Souveräne Clouds

Die Datenschutzkonferenz (DSK) hat am 11.05.2023 ein Positionspapier zu Kriterien für Souveräne Clouds veröffentlicht. Dieses enthält Kriterien, wonach eine Cloud aus datenschutzrechtlichen Gesichtspunkten als souverän angesehen werden kann.

Insgesamt finden sich 25 Kriterien in dem Positionspapier. Diese Kriterien sind in 15 Mindest- bzw. Muss- und in 10 Soll-Kriterien unterteilt. Nach Ansicht der DSK können sich Angebote für Sovereign Clouds nur in den Soll-Kriterien unterscheiden.

Thematisch werden die Kriterien in die Kategorien

  • Transparenz,
  • Datenhoheit und Kontrollierbarkeit,
  • Offenheit,
  • Vorhersehbarkeit und Verlässlichkeit sowie
  • Regelmäßige Überprüfung der Kriterien

unterteilt.

×

Chancen und Risiken einer Sovereign Cloud

Die Sovereign Cloud, als weitere Form der Cloud, bringt Vor- und Nachteile mit sich:

Auf der positiven Seite erhaltet ihr als Kunde mehr Kontrolle über eure Daten und könnt somit Vorschriften wie die DSGVO besser einhalten. Ebenfalls werden in diesem Modell die Transparenz aber auch die Unabhängigkeit von den Vorgaben des Cloud-Anbieters gestärkt. Dadurch ist auch ein Wechsel über die Plattformen und Cloud-Anbieter möglich.

Auf der anderen Seite gehen diese Vorteile auch mit Einschränkungen einher: Es kann vorkommen, dass bestimmte oder nicht alle Funktionen aus dem Standard-Modell in der Sovereign Cloud (von Anfang an) nutzbar sind.

Außerdem bieten nicht alle Cloud-Anbieter ein Sovereign-Cloud-Modell an. Dieser Umstand führt auch dazu, dass die Kosten in diesem Modell meist höher liegen als bei dem weitverbreiteten Standard-Modell. Insbesondere, wenn zwischen dem Cloud-Anbieter noch ein Partner geschaltet wird, führt dies in der Regel zu Aufpreisen.

×

Ausstieg bzw. Exit

Ein Ausstieg kann geplant oder ungeplant durch das Unternehmen oder durch den Dienstleister erfolgen.

Geplanter Ausstieg: Der Beginn des Exits wird bei diesen Szenarien maßgeblich durch die Kündigungsfristen in dem Vertrag bestimmt. Gründe auf Seiten des Unternehmens und des Dienstleister können das geplante Vertragsende des Vertrages oder auch eine geplante strategische Neuausrichtung sein. Das Unternehmen kann auch einen geplanten Anbieterwechsel vornehmen, wenn es mit der Leistung nicht zufrieden war oder sich Rahmenbedingungen geändert haben, so dass die Dienstleistungen des Anbieters nicht weiter in Anspruch genommen werden können.
 

Ungeplanter Ausstieg: Diese Szenarien basieren auf plötzlichen und nicht vorhersehbaren Ereignissen. Hierbei sind die Parteien aufgrund der Kritikalität nicht an die Kündigungsfristen aus dem Vertrag gebunden. Hierfür gibt es häufig in den Verträgen außerordentliche Kündigungsrechte, die ein kürzeres Zeitfenster haben als bei einer normalen Kündigung. Gründe für ein solches Exit-Szenario sind finanzielle Schwierigkeiten auf Seiten des Dienstleisters oder eine schwerwiegende Einschränkung der Leistungserbringung. Dies kann auch auf Änderungen des Leistungsumfangs oder auf fehlenden Ressourcen bei dem Dienstleister beruhen.

Nicht nur regulierte Unternehmen müssen sich Strategien für eine mögliche zukünftige Trennung von dem Dienstleister überlegen. Im Rahmen von DORA müssen die Pläne sogar getestet werden. Dies ist ebenfalls für nicht-regulierte Unternehmen sinnvoll, um auch bei ungeplanten Szenarien vorbereitet zu sein

×

Daten-Souveränität

Daten-Souveränität bedeutet, dass Daten vor Eingriffen, Löschungen oder Einblicken von Unbefugten geschützt sind. Außerdem bestimmt ihr selbst, wo, wie und von wem die Daten gespeichert, verschlüsselt und zugänglich gemacht werden.

×

Operationelle Souveränität

Die Operationelle Souveränität legt die Aktivitäten des Cloud-Anbieters offen und gibt so die maximale Kontrolle. Das kann sich zum Beispiel auf die Protokollierung der Datenzugriffe durch Administratoren des Cloud-Anbieters beziehen.

×

Software-Souveränität

Die Software-Souveränität ermöglicht es, Anwendungen und Services mit einem offenen Quellcode über verschiedene Cloud-Umgebungen und -Infrastrukturen zu erstellen und zu verwenden. Dadurch wird die Abhängigkeit vom Cloud-Provider reduziert (kein Vendor-Lock-In). Ebenfalls ist so ein Wechsel des Cloud-Anbieters im Rahmen eines Exits möglich.