Die digitale Souveränität bei der Cloud-Nutzung sicherstellen
In der Schweiz wird das Interesse an souveränen Cloud-Lösungen immer grösser, und Anbieter bauen ihr Angebot laufend aus. Wie können diese Lösungen helfen, die datenschutzrechtlichen Rahmenbedingungen einzuhalten, und was sollte bei der Wahl des Cloud-Anbieters beachtet werden?
Alle Hyperscaler betreiben Clouds, die heute unter den US-Cloud-Act fallen. Diese Datenschutzregelung ermöglicht den amerikanischen Behörden mittels rechtsstaatlicher Verfahren, auf Daten von Cloud-Anbietern mit Sitz in den USA zuzugreifen. Mit dem kürzlich in Kraft getretenen EU Data Privacy Framework ist der Austausch von Daten mit zertifizierten US-Unternehmen möglich. Die regulatorische Ausgangslage ist jedoch komplex. Vor diesem Hintergrund wird immer wieder die Wichtigkeit einer digitalen souveränen Cloud-Lösung hervorgehoben.
Wie Cloud-Anbieter Souveränität gewährleisten können
Vereinfacht gesagt, handelt es sich bei souveränen Clouds um Lösungen, die Daten-, Betriebs- und Technologiesouveränität sicherstellen. Dabei kann aktuell zwischen drei unterschiedlichen Leveln von Souveränität unterschieden werden. 1. Einfache Souveränität: Ein Unternehmen lässt sich die Souveränität vertraglich zusichern. 2. Mittlere Souveränität: Daten liegen in Datenzentren in der Schweiz, diese werden jedoch von internationalen Teams betrieben. 3. Hohe Souveränität: Daten liegen in Schweizer Datenzentren, die auch vor Ort von lokalen Teams betrieben werden.
Erstens stellt sich also für Kunden die Frage, welches Souveränitätslevel sie haben wollen, ob eine Teil-Souveränität ausreicht oder eine vollständige Souveränität nötig ist. In der Schweiz gibt es Bestrebungen, für alle drei Souveränitätslevel Lösungen anzubieten. Diverse Anbieter wie etwa Oracle, Google/T-Systems und AWS bieten entsprechende Cloud-Services an oder sind daran, diese aufzubauen. Zweitens ist das Vertrauen in die Anbieter von zentraler Bedeutung. Wie kann ein Unternehmen sicher sein, dass die Daten auch wirklich in lokalen Datenzentren gespeichert werden? Vor allem für internationale Anbieter ist dies zukünftig ein wichtiges Verkaufsargument.
Lösungen müssen auf Bedürfnisse angepasst sein
Besonders im öffentlichen Sektor oder in hochregulierten Industrien besteht ein Interesse daran, vertrauliche Daten in der Schweiz zu lagern. Dennoch befindet sich der Sovereign-Cloud-Markt in der Schweiz aktuell noch in den Kinderschuhen. Es wird jedoch erwartet, dass die Nachfrage in den nächsten drei Jahren stark zunehmen wird. Bereits heute planen über 40 Prozent der Unternehmen in der Schweiz, innerhalb der nächsten zwei Jahre in die souveräne Cloud zu investieren.
Die Technologie für souveräne Clouds ist auf dem europäischen Markt verfügbar. Dabei ist wichtig, zu verstehen, dass selten alle Daten einer Institution in einer souveränen Cloud gespeichert werden. Entsprechend sind Hybrid- und Multi-Cloud-Lösungen von zentraler Bedeutung. Beispielsweise können im Cloud Continuum, einer Integration von Private, Public und Edge Cloud, kritische Verfahren oder Daten in privaten Clouds selbst betrieben werden, während weniger kritische Prozesse in flexible, souveräne Public-Cloud-Angebote ausgelagert werden. So entsteht eine komplexe Multi-Cloud-Umgebung, die anhand der spezifischen Bedingungen entwickelt werden muss.
Bei der souveränen Cloud besteht noch weiteres Potenzial. Zum einen braucht es weiterhin die Bereitschaft der Anbieter, solche Angebote kontinuierlich weiterzuentwickeln, was auch fortlaufend geschieht. Auf Kundenseite ist die richtige Auswahl der Cloud je nach Souveränitätsbedürfnissen zentral. Zusätzlich ist insbesondere eine starke Governance für Daten, Applikationen und die Cloud-Services nötig, die im Unternehmen auf gemeinsame Ziele und Standards setzt. Nur wenn dies gewährleistet ist, können Unternehmen souveräne Clouds effektiv nutzen und gleichzeitig die regulatorischen Aspekte und Nutzen herstellen. Die gute Nachricht: Die technischen und organisatorischen Lösungen, um die digitale Souveränität sicherzustellen, sind vorhanden und können genutzt werden.