Digitale Souveränität hat für Unternehmen, die sich mit regulatorischen Anforderungen auseinandersetzen, höchste Priorität. Cloud-Plattformen sind für moderne Unternehmen von größter Bedeutung und müssen daher Souveränitätsanforderungen erfüllen. Souveräne Clouds werden immer wichtiger und treiben die digitale Transformation voran. AWS unterstützt Partner mit dem nötigen Fachwissen, um diesen Bedarf zu decken und souveränitätsorientierte Lösungen bereitzustellen.
Die Kunden in der Europäischen Union (EU) haben eine eindeutige Sicht auf die souveräne Cloud: Sie möchten einerseits alle Vorteile der Cloud nutzen und andererseits Souveränität gewährleisten. Souveränität kann jedoch sehr unterschiedliche Bedeutungen haben. Für einige Unternehmen bedeutet sie Autonomie, Unabhängigkeit von Anbietern, Zuverlässigkeit und Transparenz. Für andere geht es um organisatorische und technische Sicherheitsmerkmale, um Compliance-Anforderungen zu erfüllen, oder schlicht um Datensouveränität. So gilt Verschlüsselung oft als eine Art Universalmittel in puncto Souveränität. Sicher ist: Im Zeitalter von künstlicher Intelligenz (KI) gewinnt Souveränität zusätzlich an Bedeutung.
In der Vergangenheit gab es verschiedene Ansätze, um den unterschiedlichen Souveränitätsanforderungen der Nutzer in Europa gerecht zu werden. Auf Plattformseite reichten sie vom Aufbau eigener (firmeninterner) Clouds über die Nutzung privater Clouds und die Schaffung nationaler, regionaler oder gemeinschaftlicher Clouds bis hin zu spezifischen Betriebsszenarien wie zum Beispiel mithilfe von Public Clouds. Diese Ansätze wurden von „kleinen“, begrenzten, souveränen Lösungen für spezifische Anwendungsfälle begleitet, erhältlich als Add-ons zu den großen Public Cloud Angeboten.
Zwei Beispiele von T-Systems sind Data Protection as a Service (DPaaS) und External Key Management (EKM). Mit DPaaS hat T-Systems ein Angebot auf den Markt gebracht, welches das AWS-Portfolio um Souveränitätselemente erweitert. Die Paketlösung kombiniert vier Komponenten:
Erstens eine Trusted Landing Zone, die auf dem Well-Architected Framework mit einer Reihe wesentlicher Sicherheitsmechanismen zur Vorbeugung und Erkennung basiert. Dies umfasst Least-Privilege-Zugriff, Sicherheitskontrollen wie Identitäts- und Authentifizierungsmanagement, Service Control Policies, GuardDuty und die Erkennung von Bedrohungen und Zwischenfällen.
Die zweite Komponente ist ein auditierbarer Nachweis der Datenresidenz im Europäischen Wirtschaftsraum, der gewährleistet, dass Daten nur in Einklang mit der DSGVO gespeichert werden. Die Vertraulichkeit der Daten, die dritte Komponente, wird durch die Verschlüsselung der Daten während der Speicherung, der Übertragung und – optional – auch während der Verarbeitung gewährleistet. Letzteres erfolgt in einem Rechenzentrum von T-Systems (nicht bei AWS). Schließlich die vierte Komponente: Das Support-Team von T-Systems ist ausschließlich in Europa ansässig.
Mit DPaaS und seinen Komponenten konnte T-Systems souveräne Lösungen für seine Kunden realisieren. Ein Beispiel ist ein europäischer Automobilhersteller, der AWS nutzt. Das Unternehmen war auf der Suche nach einer Verschlüsselungslösung, die unabhängig von AWS bereitgestellt und von einem vertrauenswürdigen lokalen Anbieter verwaltet werden kann. T-Systems hat EKM erfolgreich implementiert. Es läuft in den T-Systems-eigenen Rechenzentren in der EU und nutzt die externe Schlüsselspeicherfunktion AWS KMS (Key Management Service). So konnte der Kunde seine eigenen Kryptografieschlüssel einbinden, die während des Verschlüsselungs- bzw. Entschlüsselungsprozesses unter seiner alleinigen Kontrolle bleiben, ohne die Komplexität des Betriebs einer eigenen externen Schlüsselinfrastruktur.
Ein Fertigungsunternehmen wollte seine unternehmenskritischen und sensiblen Anwendungen auf AWS migrieren. Dafür benötigte es eine Neugestaltung seiner bestehenden Legacy-Landing-Zone mit dem Fokus auf digitaler Souveränität. Es gab drei Anforderungen:
Zur Vorbereitung der AWS Migration ordnete das T-Systems Team die digitalen Souveränitätsanforderungen den technischen Bausteinen zu. Eine neue Trusted Landing Zone wurde auf Basis von AWS Control Tower implementiert und stellte eine durchgehende Verschlüsselung sicher. Die Transaktionsprotokolle wurden zentral über Amazon CloudTrail erfasst und in die SIEM-Tools und -Prozesse von T-Systems integriert. AWS Service Control Policies und AWS Config Rules sowie Datenresidenzregeln wurden implementiert und in den AWS Security Hub integriert. Amazon GuardDuty wurde für die Erkennung von Bedrohungen aktiviert.
Der Konsolenzugriff erfolgte über eine Single-Sign-On (SSO)-Integration mit dem Active Directory des Unternehmens. Die Benutzer des AWS Accounts tragen die Verantwortung dafür, die erstellten S3-Buckets mit entsprechenden Datenschutzklassifizierungen zu versehen, wodurch die Verschlüsselungs- bzw. Zugriffsrichtlinie automatisch angewendet wird. Alle Dienstleistungen und Maßnahmen zusammen schufen eine Umgebung, die dem Fertigungsunternehmen zur gewünschten Souveränität verholfen hat.
Ein anderes Beispiel ist Toll4Europe, einer der führenden Anbieter im europäischen elektronischen Mautdienst (European Electronic Toll Service, EETS). Toll4Europe wollte fast 100 geschäftskritische Anwendungen und 15 Datenbanken von seinen eigenen Rechenzentren zu AWS migrieren. Vor dieser Umstellung suchte das Unternehmen nach einer vertrauenswürdigen Partnerlösung, um die von seinen Endkunden geforderte Datenhoheit jederzeit zu gewährleisten. Toll4Europe musste sowohl allgemeine als auch länderspezifische IT-Sicherheitsanforderungen von (nationalen) Mauterhebern in einer gemeinsamen Plattform zusammenführen. Dazu zählen zum Beispiel ISO 27001, BSI (Bundesamt für Sicherheit in der Informationstechnik) und ANSSI (Agence Nationale de la Sécurité des Systèmes d‘Information).
Eine Trusted Cloud Landing Zone Lösung stellte sofort einsatzbereite Leitplanken für Souveränität sowie Protokollierung, Überwachung und Alarmierung bei AWS-Verwaltungsereignissen über AWS CloudTrail und Amazon CloudWatch bereit. Darüber hinaus wurde sie durch den Privacy and Security Assessment (PSA)-Prozess der Deutschen Telekom AG validiert und in die DevSecOps- und SRE-Prozesse von T-Systems für Support und Incident Bearbeitung integriert. Ausschließlich EU-Personal unterstützt den Betrieb von Toll4Europe.
Geeignete kryptografische Verfahren, die AWS KMS nutzen, stellen die Vertraulichkeit der Daten in der AWS-Cloud sicher. AWS Config Rules und Service Control Policies stellen die Verschlüsselung aller übertragenen und gespeicherten Daten sicher. Zudem kamen auf Netzwerkebene bewährte Technologien von F5, Cisco und Palo Alto zum Einsatz. T-Systems implementierte AWS Service Control Policies und AWS Config Rules, um die Nutzung von AWS-Regionen einzuschränken und die Speicherung und Verarbeitung von Daten außerhalb der EU zu verhindern. Eine dedizierte Organisationsstruktur wurde eingerichtet, die zentral mit Hilfe von AWS Control Tower und AWS Organizations verwaltet wird.
Am 4. Dezember kündigte AWS auf der re:Invent eine neue Kompetenz für digitale Souveränität an. T-Systems gehört zu den ersten Dienstleistern, die diese Kompetenz erhielten. In den Monaten vor dieser Ankündigung hatte AWS die Fähigkeiten der Anbieter gründlich geprüft und erst dann die Kompetenz bescheinigt. Dies passt perfekt zu der strategischen Initiative von T-Systems, einer der anerkanntesten Anbieter souveräner Cloud-Services auf dem europäischen Markt zu werden. T-Systems war laut dem Analystenhaus ISG bereits in den Jahren 2023 und 2024 in Europa führend bei souveräner Cloud-Infrastruktur. Die neue AWS-Kompetenz stärkt die souveränen Fähigkeiten von T-Systems und ist eine Voraussetzung dafür, Innovationen in der EU voranzubringen.
