Wer aktuell in Deutschland an eine Cloud Transformation denkt, kommt nicht um die Souveräne Cloud herum. Doch was verbirgt sich hinter Souveränität und weshalb ist sie so wichtig?
Europäische Unternehmen benötigen die Public Cloud für ihr Wachstum, müssen sie jedoch in Einklang mit gesetzlichen Vorgaben bringen. Souveräne Clouds hingegen vereinen Daten-, Software- und betriebliche Souveränität, sodass Unternehmen selbstbestimmt handeln können. Und ebnen so den Weg zu selbstbestimmter Nachhaltigkeit in der Nutzung der gegebenen Ressourcen.
Es lässt sich darüber streiten, wann das Internet nun eigentlich geboren wurde. Tatsache ist: 2022 waren bereits 93 Prozent der Deutschen und rund 5,3 Mrd. Menschen weltweit darüber „verbunden“ – Tendenz steigend. Schätzungen zufolge wird schon 2025 das jährlich generierte Datenvolumen bei 181 Zettabyte liegen. Hatten anfangs selbst Experten geglaubt, das Internet sei eine Nischenanwendung mit nur wenigen Use Cases, ist es heute für die meisten Menschen integraler Bestandteil ihres privaten und beruflichen Alltags.
Das digitale Mindset hat Deutschland voll erfasst, gleich ob es um das Bezahlen an der Supermarktkasse oder behördliche Angelegenheiten geht: Befeuert durch die Einschränkungen der Corona-Pandemie ist heute gefragt, was flexibel, schnell und zuverlässig funktioniert. Ein wesentlicher Treiber dieser Entwicklung ist die Cloud, die über das Internet mit immer neuen Lösungen für E-Commerce, autonomes Fahren, Künstliche Intelligenz und das Internet of Things aufwartet. Doch was passiert mit den ganzen Daten und wer hat Zugriff darauf?
Die wilden Jugendtage, in denen Business-Entscheider darüber diskutierten, ob ihre Firma „ins Internet geht“, sind längst Geschichte. Internet-Aktivitäten gehören zum Kanon moderner Unternehmen jeder Größenordnung. Ganz selbstverständlich diskutieren sie tagein, tagaus darüber, wie sie das Internet und seine technologischen Kinder wie die Cloud wertstiftend für neue Geschäftsmodelle und technische Innovationen nutzen können. Neben der Suche nach mehr Effizienz und neuen Absatzmöglichkeiten rückt dabei auch der Aspekt der Nachhaltigkeit immer stärker ins Zentrum; Unternehmen und Nutzer wissen heute, dass im Internet (fast) alles möglich ist, daher suchen sie nach Lösungen, die zusätzlich auch noch ihre Anforderungen an Ethik, Datenschutz und Ressourcenschonung erfüllen. Und fordern diese zu Recht selbstbewusst ein.
Bei der Digitalisierung geht es nicht nur um technische Diskussionen. Denn technische Möglichkeiten treffen immer wieder auf organisatorische Fragen wie: Was dürfen wir tun? Unter welchen Bedingungen dürfen wir welche Daten verarbeiten? Können wir die technischen Möglichkeiten so ausschöpfen, dass sie uns vorwärtsbringen und gleichzeitig einen positiven Einfluss auf die Gesellschaft haben? Eine Frage, die von Kultur zu Kultur, von Rechtsraum zu Rechtsraum unterschiedlich beantwortet wird. Denn so selbstverständlich sich Digitalisierung auch anfühlt – sie existiert nicht im rechtsfreien Raum und ist kein Selbstzweck.
Europäische Unternehmen müssen Wege finden, wie sie die (wettbewerbsrelevanten) Potenziale der Digitalisierung ausschöpfen und dabei gleichzeitig den in ihrem Rechtsraum geltenden Regularien genügen. Dazu gehört der Umgang mit anvertrauten fremden Daten, beispielsweise im Rahmen der EU-DSGVO (europäische Datenschutz-Grundverordnung), aber auch der Schutz von unternehmensinternen Daten in kollaborativen Wertschöpfungsnetzen, der Schutz der „Intellectual Property“. Die Digitalisierung stellt aufs Neue die Vertrauensfrage – auch an die für die Digitalisierung eingesetzten Plattformen, insbesondere die Cloud-Lösungen.
Von Souveränitäts-Ansätzen erhoffen sich viele Unternehmen einen entscheidenden Innovationsschub. Von Sovereign Clouds erwarten sie, dass sie folgende Anforderungen vereinen: die Agilität und die Innovationspotenziale der Cloud-Umgebung, Compliance mit den geltenden Regularien und die Möglichkeit, selbstbestimmt auf ethische oder ökologische Faktoren Einfluss zu nehmen. Nutzer erwarten neben datenschutzrechtlicher Sicherheit, voller Kontrolle über ihre Daten und der Einhaltung rechtlicher Vorschriften auch hohe Zuverlässigkeit, Transparenz sowie Interoperabilität. Die Erfüllung dieser Erwartungen schafft bei Nutzern das Vertrauen, Kontrolle und Flexibilität in Bezug auf ihre Daten und den Betrieb ihrer Cloud-Dienste zu haben.
Doch was steckt eigentlich hinter digitaler Souveränität? Zunächst ist es nur ein Schlagwort – genauso wie Digitalisierung und Cloud. Souveränität zielt auf das Geschäftsumfeld eines Unternehmens ab. Sie kennzeichnet umfassende Entscheidungskompetenz darüber, wie sich das eigene Geschäft und das Unternehmen entwickeln. Geschäftliche Souveränität muss in digitale Souveränität abgebildet werden. Und diese hat mindestens drei technische Facetten – die insbesondere auch bei dem Einsatz einer Cloud-Lösung gelten.
Zur Datensouveränität gehört primär die völlige und souveräne Kontrolle über den Datenzugriff. Der Eigentümer der Daten muss die Gewissheit haben, dass seine Daten in Cloud oder Rechenzentrum nicht von Unberechtigten – und auch nicht vom Cloud-Betreiber – manipuliert, gelöscht, kopiert oder eingesehen werden. Der derzeitige Königsweg zur Datensouveränität besteht aus zwei grundlegenden Elementen: der Speicherung und Verarbeitung der Daten in einem definierten Rechtsraum und der Nutzung von Verschlüsselung. Dazu kommt am besten eine externe Verschlüsselung zum Einsatz – die Schlüsselverwaltung muss dazu außerhalb der Anbieter-Cloud erfolgen und auch extern verwaltet werden.
Das zentrale Prinzip einer souveränen Cloud ist es, Kunden vor Abhängigkeiten zu schützen. Wesentlich ist dabei die Fähigkeit, Applikationen jederzeit reibungslos auf andere IT-Infrastrukturen zu migrieren, einschließlich einer internen Infrastruktur. Dies ist beispielsweise eine der BaFin-Vorgaben für die Exit-Strategie eines Finanzunternehmens. Man denke etwa an ein Unternehmen, das seine Daten von einer externen Cloud auf seine eigenen Server übertragen will, um die volle Kontrolle und Flexibilität zu behalten. Oder: Ein Unternehmen migriert seine Daten von einer herkömmlichen Cloud auf eine nachhaltigere Server-Lösung, um den Einsatz erneuerbarer Energien zu fördern. Mit Software-Souveränität sind Unternehmen frei in der Wahl ihrer Anwendungen. So können ihre Use Cases unabhängig von spezifischen Infrastrukturen betrieben werden. Damit wird ein Vendor Lock-in wirksam vermieden. Für diesen offenen und transparenten Weg spielt der Open-Source-Ansatz eine maßgebliche Rolle..
Was passiert, wenn Cloud-Anbieter sich entscheiden, Hintertüren einzubauen? Wenn sie bestimmte Sicherheitseinstellungen nicht anbieten oder beschließen, ihre Cloud-Plattform einfach abzuschalten beziehungsweise nicht mehr im entsprechenden Rechtsraum anzubieten? Blindes Vertrauen kann Unternehmen hier nicht reichen. Cloud-Nutzer brauchen die Garantie, dass ihre Cloud-Anbieter die Umgebung so weiterentwickeln, dass die Plattform-Entwicklung selbst das Souveränitätsprinzip nicht unterhöhlt. Das bedeutet, dass die Plattform zukunftsfähig bleibt und volle Leistungsfähigkeit bietet, während gleichzeitig der Zugriff unbefugter Personen auf die originären Funktionen der Plattform verhindert wird.
Unternehmen brauchen Kontrollhebel und Planungssicherheit. Sie müssen die Garantie haben, dass sich die IT-Infrastruktur als Ganzes (jenseits der Datenverarbeitung) so verhält, als ob sich die Ressourcen im eigenen Haus befinden beziehungsweise unter ausreichender eigener Kontrolle sind. Und sie müssen die Garantie haben, dass sie ihre Workloads weiter betreiben können, auch wenn die Cloud-Plattform verschwinden sollte. Gefragt ist ein Cloud-Einsatz mit einem Mindestmaß an Abhängigkeit von der Cloud. Die Kombination aus Transparenz und Kontrolle der Vorgänge in der Cloud-Infrastruktur und Zukunftssicherheit beziehungsweise Unabhängigkeit zeichnet eine wahre Sovereign Cloud aus.
Dazu muss die souveräne Cloud ein konsequentes Zero-Trust-Modell implementieren . Entschlüsselungsvorgänge und administrative Zugriffe müssen zu 100 Prozent transparent sein sowie auditierbar für Kunden. Das gilt auch für Änderungen an Security-Konfigurationen. Nur Admins aus zugelassenen Rechtsräumen dürfen auf die Cloud-Ressourcen zugreifen. Zudem muss die Sovereign Cloud als offene Plattform konzipiert sein. Workloads müssen sich konsistent über Multi-Cloud-Landschaften hinweg orchestrieren lassen – und auch jederzeit von der souveränen Cloud auf andere Plattformen verschieben lassen.
Bei alledem darf aber nicht vergessen werden – die Sovereign Cloud gibt es nicht als „One size fits all“. Die Business-Realität wird die Hybrid-Cloud sein. Und souveräne Clouds werden Teil dieser Business-Realität – überall dort, wo Unternehmen sicher sein wollen, dass sie in agilen Business-Projekten alle notwendigen Regularien erfüllen. Oder dort, wo sie sich selbst ein hohes Sicherheitsniveau verordnen, beispielsweise beim sicheren Teilen von internen Daten in Wertschöpfungsnetzen. Oder in anderen Worten: Es spricht nichts dagegen, einen Webshop in einer Public Cloud zu betreiben.
