Die Public Cloud ist ein Game Changer – und die überwiegende Mehrheit der europäischen Unternehmen hat das erkannt. Das zeigen die inzwischen weit verbreiteten Digitalisierungs- und Cloud-First-Strategien. Denn deren Potenziale für die Flexibilisierung und eine erhöhte Reaktionsfähigkeit in einem zunehmend dynamischen Geschäftsumfeld sind unumstritten hoch. Doch wer Cloud-Angebote nutzen will, macht in der Regel auch die Erfahrung, dass Planung, Beratung und Vorbereitung wichtig sind. Manche Branchen tun sich zudem leichter als andere, die Public Cloud einzusetzen.
Ein Grund: Der Schutz sensibler Daten hat in Europa oberste Priorität – und ist entsprechend in Gesetzen und Vorschriften verankert. Branchen wie Banken, Versicherungen oder Gesundheitsunternehmen, aber auch der öffentliche Sektor stehen so vor erheblichen organisatorischen Herausforderungen, wenn der Einsatz der Cloud in Übereinstimmung mit gesetzlichen Vorgaben erfolgen soll.
Deutsche Unternehmen stehen damit schnell vor einem Dilemma. Denn sie wissen, dass sie digitale Technologien wie die Cloud für die Geschäftsentwicklung und ihre internationale Wettbewerbsfähigkeit brauchen. Gleichzeitig bedeutet ihr Einsatz jedoch einen enormen Arbeitsaufwand, so dass die Dynamik und die Einfachheit der Cloud verloren gehen. Europäische Clouds oder das Projekt GAIA-X sollen dieses Dilemma auflösen – auch für Unternehmen aus weniger regulierten Branchen.
Zunächst bedeutet Souveränität umfassende Kontrolle. Und die spiegelt sich in mehreren Aspekten wider.
Der Eigentümer von Daten muss die Gewissheit haben, dass seine Daten in der Cloud nicht von Unberechtigten (hierzu zählt auch der Cloud-Betreiber) manipuliert, gelöscht, kopiert oder eingesehen werden. Datensouveränität bedeutet zudem, dass die Verschlüsselung von Informationen außerhalb der Cloud-Plattform erfolgt oder dass die Schlüssel in einem cloud-externen Key Management verwaltet werden.
Der Kunde muss sich darauf verlassen können, dass der Betreiber/Anbieter von Public-Cloud-Diensten den technischen Unterbau der Cloud so weiterentwickelt, dass die Anpassungen der Plattform das Souveränitätsprinzip nicht untergraben. Heißt: Die Zukunftsfähigkeit sowie die volle Leistungsfähigkeit der Plattform müssen sichergestellt werden. Zugleich muss aber auch der Zugriff Unbefugter über originäre Funktionen der Plattform verhindert werden.
Wichtigstes Prinzip der souveränen Cloud: Vermeiden, dass ihre Kunden in eine Abhängigkeit geraten. Applikationen und Dienste müssen daher jederzeit einfach auf eine beliebige andere IT-Infrastruktur (beispielsweise auch inhouse) migrierbar sein. Dies ist etwa eine der BaFin-Vorgaben für die Exit-Strategie eines Finanzunternehmens.
Eine Sovereign Cloud stellt Cloud-Dienste bereit, welche keine Anbieterabhängigkeiten erzeugt („Vendor Lock-In“). Die Dienste sind entweder als „Open Source“ verfügbar oder es existiert ein entsprechendes anbieterunabhängiges Äquivalent, so dass jede Funktionalität unabhängig vom Anbieter zu jedem Zeitpunkt genutzt werden kann. Sie erfüllt die Anforderungen der in diesem Rechtsraum geltenden Regulatorik/Gesetzgebung. Daten und deren Nutzbarkeit verbleiben zu jedem Zeitpunkt beim Nutzer – auch ein administrativer Zugriff von außerhalb ist nicht möglich.
Auf dem Weg zur digitalen Souveränität werden verschiedene Ansätze verfolgt.
Neben dem klassischen Ansatz des Eigenbetriebs oder der Private Cloud werden derzeit auch Public Clouds wie Google Cloud, Azure und AWS mit Add-On Services ausgestattet, um Compliance zu gewährleisten. Eine wichtige Rolle bei solchen Vorhaben spielen unter anderem die Vertragsgestaltung und die Einbindung zuverlässiger und erfahrener Managed-Service-Partner, die internationale Rechtsgrundlagen wie die europäische Datenschutz-Grundverordnung, aber auch deutsche und branchenspezifische Compliance-Anforderungen kennen.
GAIA-X, die europäische Initiative für einen souveränen Datenraum, arbeitet hingegen an einer grundlegenderen Lösung für alle europäischen Unternehmen. Das Projekt GAIA-X setzt europäische Standards für die Realisierung von Souveränität, indem es zunächst grundlegend definiert, unter welchen Bedingungen Cloud-Lösungen souverän sind. Eine der Hauptvoraussetzungen: Die Cloud steht unter europäischer Kontrolle - etwa weil sie in Europa gebaut und betrieben wird. Ein Beispiel dafür ist die Open Telekom Cloud.
Das Ergebnis von GAIA-X wird keine (neue) Cloud sein. GAIA-X arbeitet auf eine föderierte und sichere Dateninfrastruktur hin – und will damit auch digitale Souveränität erzeugen, die Innovation fördert. Das Ziel der Initiative ist es, ein Ökosystem vieler Cloud-Service-Anbieter zu etablieren, das einen vertrauenswürdigen Datenaustausch ermöglicht. In diesem Ökosystem haben Nutzer volle Kontrolle über ihre Daten. Auf dieser Basis entsteht die europäische Daten-Ökonomie der Zukunft.
Einen anderen Ansatz verfolgt die gemeinsame Initiative von T-Systems und Google Cloud. Mit der T-Systems Sovereign Cloud powered by Google Cloud implementieren die Partner Souveränität als Teil einer bestehenden Hyperscaler-Plattform. Deutsche Unternehmen, die eine souveräne Cloud nutzen möchten, erhalten hier ein Rundum-Paket, das nicht nur das digitale Ökosystem und die komplette Bandbreite von (souverän abbildbaren) Google-Cloud-Diensten umfasst, sondern auch eine Cloud, die europäischen Compliance-Vorgaben entspricht. T-Systems stellt sicher, dass die Plattform die vereinbarten Souveränitätsbedingungen einhält. Unternehmen aus regulierten Branchen können damit das volle Potenzial des Public Cloud Computing nutzen – ohne Abstriche. Dieser Ansatz ist bislang einzigartig in Deutschland.
Die Sovereign Cloud wird so zu einem Erfolgsfaktor für die Digitalisierung Europas. Denn sie beseitigt die regulatorischen Hindernisse für den Cloud-Einsatz und gibt europäischen Unternehmen die Sicherheit einer „To-Go“-Cloud. Die Verfügbarkeit souveräner Clouds wird die Umsetzung zahlreicher digitaler Initiativen maßgeblich beschleunigen, weil sie vorhandene Compliance-Hindernisse aus dem Weg räumt. Sie kombiniert die technischen Erwartungen an die Cloud mit Innovationsfähigkeit und einem ruhigen Gewissen – „all inclusive“.
Die Sovereign Cloud löst das Dilemma zwischen Innovationsfähigkeit und Compliance. Vor allem, aber nicht nur für regulierten Branchen bietet sich so eine Möglichkeit, schnell die Möglichkeit der Public Cloud zu nutzen und Digitalisierungsprojekte zu realisieren. Data Sovereignty und Cloud sind kein Widerspruch mehr, die Erfüllung von Compliance-Anforderungen erfordert keine zusätzlichen Aufwände. Die Sovereign Cloud wird damit zu einem essenziellen Bestandteil der Multi-Cloud-Landschaften von Cloud-Anwendern.
