Souveräne europäische Cloud: Einzige Chance für eine stringente Datensouveränität
Zürich – Die Cloud zählt mit den digitalen Infrastrukturen der Rechenzentren und der Telekommunikationsnetze zum Rückgrat der Digitalisierung. Dazu kommt die Informationstechnologie, mit Servern, die in Rechenzentren der Datenspeicherung dienen. Ebenso wichtig sind Netzverbindungen, die Daten über das Internet oder private Netz ein Clouds transportieren. Cloud Computing stiess in den ersten Jahren auf Ressentiments, da die Sicherheit für die Daten nicht überzeugte. Heute ist die Sachlage vergleichbar, nur sind die Indikatoren für Datensicherheit und die externen Risikotreiber anders gelagert. Um sicherzustellen, dass zukünftige Anforderungen an Datensouveränität erfüllt werden können, wird eine souveräne europäische Cloud unerlässlich.
Von Miki Mitric, Senior Director Business Development DACH bei NorthC
Zurückkommend auf die Evolution der Cloud: Public Clouds haben sich entgegen initialer Sicherheitsbedenken aufgrund von Kostenreduktion und Innovationskraft durchgesetzt. Die Marktanteile der US-Hyperscaler (Microsoft Azure, Amazon Web Services/AWS und Google) sind hoch. Auch ein chinesischer Cloud-Anbieter, Alibaba, hat sich in Europa etabliert – und weitere public Cloud-Provider werden folgen. In puncto Einhaltung von Datenschutz gilt es jedoch, ein Augenmerk auf europäische souveräne Ansätze zu haben.
Am 17. Juli 2020 hat der Europäische Gerichtshof ein entscheidendes Urteil gefällt, das die Regelung des Abkommens „Privacy Shield“ zwischen der Europäischen Union und den USA in Frage stellt, da die Daten europäischer Bürger nur unzureichend geschützt sind. Das Gerichtsurteil basiert darauf, dass Nutzerdaten, das heisst personenbezogene Daten von Menschen aus Europa, die auf den Plattformen der US-Konzerne gespeichert sind, nicht mehr vor dem Zugriff der US-Geheimdienste und weiterer Organisationen geschützt seien. Schon zu der Zeit gab es vermehrt Bestrebungen, Daten – hier insbesondere die personenbezogenen Daten – innerhalb der EU zu belassen.
Die Datenschutzgrundverordnung (DSGVO), die in Deutschland jedwede gesetzliche Rahmenbedingungen für den Datenschutz vorgibt und europäische Tragweite hat, befeuerte die Diskussion um die bevorzugten Länder. Daten europäischer Bürger müssen in Konformität mit der europäischen Datenschutzverordnung verarbeitet und transferiert werden.
Digitale Souveränität
Setzen wir den Fokus auf sensible und unternehmenskritische Daten, die es zu schützen gilt, haben Unternehmen eine Eigenverantwortung, die sich durch Compliance-Anforderungen verstärkt. Prävention ist gefragt, und die Sicherstellung des Betriebes wird immer zentraler für die Unternehmen. Dadurch gewinnt zum Beispiel Business Continuity- Management an Gewicht, welches u. a. nebst Daten- auch die Betriebssicherung im Fokus hat. Was nützen die Daten, wenn die Arbeitsplätze der Mitarbeiter nicht mehr funktionieren?
Die Datenhoheit innezuhaben, bedeutet, auch bei Outsourcing oder der Nutzung einer Cloud als Kunde die Entscheidungen zu treffen, was mit den Daten passiert und wer Zugang hat. Ein Unternehmen kann sich seine eigene digitale Souveränität aufbauen und als Nachhaltigkeitskomponente sichern. Hier klingen Autarkie und Vertrauen an! Beide Begriffe und zugleich Zustände haben mit Souveränität in Form von Selbstbestimmung über die IT, freier Anbieterwahl und der Datenverwendung zu tun.
Was ist digitale Souveränität?
Digitale Souveränität spielt für die öffentliche Hand – auch auf länderübergreifender EU-Ebene – und für Unternehmen diverser Branchen eine große Rolle. Das Bundesministerium des Inneren und für Heimat hat eine Definition veröffentlicht: „Demnach wird „Digitale Souveränität“ als die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können, definiert.
Damit geht die Forderung des Ministeriums einher, dass die Verarbeitung der für die Verwaltung notwendigen Daten durch zeitgemäße funktionale und vertrauenswürdige Informationstechnik (IT) zu gewährleisten ist.
Als einer der führenden regionalen Rechenzentrumsanbieter mit Standorten in Deutschland, den Niederlanden und in der Schweiz, kombiniert mit profunden Erfahrungen und generiertem Fachwissen, vertreten wir die Auffassung, Sicherheit holistisch zu betrachten. Physische Sicherheit für die IT-Infrastrukturen, für Daten und gehostete Anwendungen zu gewährleisten, ist eine Kernkompetenz. Dafür sind die Rechenzentren von NorthC ausgestattet.
Für NorthC bedeutet Souveränität in Bezug auf Datensicherheit weit mehr als das Vertrauen, sich auf das Funktionieren der IT verlassen zu können, und aus Kundensicht hohe Verfügbarkeit durch redundante Anbindung und Notfall-Aggregate für die unterbrechungsfreie Stromversorgung im Rechenzentrumsbetrieb.
Die digitale Souveränität und deren Teilbereich, Datensouveränität, fussen im Kern auf zwei Säulen:
- Die schon skizzierte Datensouveränität, bei der Organisationen autonom sind in Bezug auf die eigenen Daten und NorthC den Zugriffsschutz und Zugangsschutz vor unberechtigten Personen im Rechenzentrum für die Kunden regelt.
- Operationelle Souveränität, hier ist zu empfehlen, dass Unternehmen beim Softwarebetrieb unabhängig von nichteuropäischen Plattformen sein können. Auch hier gilt im besten Fall die Autarkie, d. h. den Anbieter frei wählen und wechseln zu können.
Die Erfahrung im Austausch mit den eigenen Kunden und das Wahrnehmen der Entwicklungen in der Wirtschaft und dem weltpolitischen Geschehen zeigen immer mehr, dass ein gesteigertes Bewusstsein für Cyber Security die Frage aufwirft, wie sicher die unternehmenseigenen Daten im Ausland wirklich sind. Das betrifft insbesondere Unternehmen wie die Pharmabranche, den Finanzsektor und die Forschung, die hochgradig sensible Daten speichern und auch in Clouds auslagern. Intellectual Property, mit urheberrechtlich geschützten Informationen, bedarf der höchsten Datensicherheit.
Teil der IT-Resilienz
Bei einer souveränen Cloud ist die sichere Infrastruktur im Rechenzentrum die Basis, abgerundet mit entsprechender Hardware und anderen Massnahmen. Die Cloud-Anbieter, regionale oder deutschlandweite Provider, werden so ausgesucht, dass die Ländervorgabe für den Datenschutz eingehalten wird.
Fazit:
- Eine souveräne Datennutzung gemäss der gesetzlichen Regularien, insbesondere DSGVO und die allg. Datenschutzverordnung (GDPR)
- Einen souveränen Betrieb der IT und der Anwendungen innerhalb der EU und mit EU-Mitarbeitern
- Eine technologische Souveränität, die ein hohes Maß an Transparenz und bei Open Source zudem Autarkie sichert für eine Portabilität von Workloads.
Die NorthC-Empfehlung: Keep data local! Entweder innerhalb Deutschlands oder je nach Geschäftsmodell und bei internationalen Unternehmen Datenspeicherung in der EU.