T-Systems-Claim-Logo
Suchen
Weltkugel mit vielen weißen Linien

Die Suche nach Souveränität

2021 wurde Souveränität zu einem zentralen Thema der Digitalisierungsdiskussion. Doch was steckt hinter dem Schlagwort? 

16. Februar 2022Oliver Queck

Wozu eine Souveräne Cloud?

Mit der Diskussion um Souveräne Clouds hat GAIA-X ein Thema auf die Agenda gesetzt, das europäischen Unternehmen unter den Nägeln brennt. Doch warum? Und was verbirgt sich hinter Souveränität?

Das Internet – Lebensader der digitalen Welt

Handy mit WLAN Symbol in der Mitte sowie vielen weiteren Funktionen

Natürlich lässt sich vortrefflich darüber streiten, wann das Internet geboren wurde. 1969 mit dem Arpanet? Oder vielleicht eher 1974 als Vint Cerf und Robert Kahn das Internetprotokoll TCP/IP veröffentlichen? Oder doch eher 1989, als Tim Berners-Lee seine Idee des World Wide Web am CERN teilte? Tatsache ist: 2021 waren knapp fünf Milliarden Menschen über das Internet „verbunden“. Welch eine ungeheure Erfolgsgeschichte! Die Internet-Revolution hat die Welt verändert wie kaum eine andere technische Entwicklung. Und sie verändert sie immer weiter. Das Internet – eine Geschichte schier grenzenloser digitaler Möglichkeiten. Und das Fundament für Themen und Lösungen wie E-Commerce, Connected Cars, Künstliche Intelligenz und Internet of Things. 

Ungeheure Perspektiven der Digitalisierung

Die wilden Jugendtage, in denen Business-Entscheider darüber diskutierten, ob ihre Firma „ins Internet geht“, sind längst Geschichte. Durch das Internet und digitale Technologien ist die Welt kleiner geworden, Märkte sind sich nähergekommen, Wissen und Informationen (auch falsche) verbreiten sich digital immer schneller. Internet-Aktivitäten gehören zum Kanon moderner Unternehmen jeder Größenordnung. Und immer mehr Unternehmen diskutieren, welche Potenziale das Internet und seine technologischen Kinder wie die Cloud für die eigene Wertschöpfung bieten – diese Diskussion ist der Kern dessen, was wir Digitalisierung nennen.

Was ist erlaubt in der Digitalisierung?

Doch die Digitalisierung ist nicht nur eine technische Diskussion. Ihre technischen Möglichkeiten treffen immer wieder auf Fragen wie: Was dürfen wir tun? Unter welchen Bedingungen dürfen wir welche Daten verarbeiten? Können wir die technischen Möglichkeiten ausschöpfen? Eine Frage, die von Kultur zu Kultur, von Rechtsraum zu Rechtsraum unterschiedlich beantwortet wird. Denn so leicht sich Digitalisierung auch anfühlt – sie existiert nicht im rechtsfreien Raum. Und ganz nebenbei: Sie wirft auch moralische Fragen auf.

Digitalisierungspotenziale mit Compliance verbinden

Europäische Unternehmen müssen Wege finden, wie sie die (wettbewerbsrelevanten) Potenziale der Digitalisierung ausschöpfen und dabei gleichzeitig den in ihrem Rechtsraum geltenden Regularien genügen. Dazu gehört der Umgang mit anvertrauten fremden Daten, beispielsweise im Rahmen der EU-DSGVO (europäische Datenschutz-Grundverordnung), aber auch der Schutz von unternehmensinternen Daten in kollaborativen Wertschöpfungsnetzen, der Schutz der „Intellectual Property“. Die Digitalisierung stellt aufs Neue die Vertrauensfrage – auch an die für die Digitalisierung eingesetzten Plattformen, insbesondere die Cloud-Lösungen.

Erwartungen an Sovereign Clouds

Mit GAIA-X hat Europa eine klare Erwartung formuliert: Privatpersonen, aber ebenso Unternehmen und Behörden wollen volle Kontrolle über ihre Daten in Cloud-Infrastrukturen – sowohl hinsichtlich der Nutzung als auch der Realisierung von Services. Von Souveränitäts-Ansätzen erhoffen sich viele Unternehmen einen entscheidenden Innovationsschub. Von Sovereign Clouds erwarten sie, dass sie beides haben können: die Agilität und die Innovationspotenziale der Cloud-Umgebung plus Compliance mit den geltenden Regularien.

Was ist digitale Souveränität?

Blaue Weltkarte mit Orten die durch gelbe Linien verbunden sind

Doch was steckt eigentlich hinter digitaler Souveränität? Zunächst ist es nur ein Schlagwort – genauso wie Digitalisierung und Cloud. Souveränität zielt auf das Geschäftsumfeld eines Unternehmens. Sie kennzeichnet umfassende Entscheidungskompetenz darüber, wie sich das eigene Geschäft und das Unternehmen entwickeln. Geschäftliche Souveränität muss in digitale Souveränität abgebildet werden. Und diese hat mindestens drei technische Facetten – die insbesondere auch bei dem Einsatz einer Cloud-Lösung gelten.

Erste Komponente: Datensouveränität

Zur Datensouveränität gehört primär die völlige und souveräne Kontrolle über den Datenzugriff. Der Eigentümer der Daten muss die Gewissheit haben, dass seine Daten in Cloud oder Rechenzentrum nicht von Unberechtigten (auch dem Cloud-Betreiber) manipuliert, gelöscht, kopiert oder eingesehen werden. Der derzeitige Königsweg zur Datensouveränität besteht aus zwei grundlegenden Elementen: der Speicherung und Verarbeitung der Daten in einem erlaubten Rechtsraum und der Nutzung von Verschlüsselung. Dazu kommt am besten eine externe Verschlüsselung zum Einsatz – die Schlüsselverwaltung muss dazu außerhalb der Anbieter-Cloud erfolgen.

Zweite Komponente: Software-Souveränität

Die Souveräne Cloud muss vermeiden, dass ihre Nutzer in eine Abhängigkeit geraten. Applikationen und Dienste müssen jederzeit einfach auf eine andere beliebige Plattform (bspw. auch inhouse) migrierbar sein. Dies ist beispielsweise eine der BaFin-Vorgaben für die Exit-Strategie eines Finanzunternehmens. Mit Software-Souveränität sind Unternehmen frei in der Wahl ihrer businessprozess-unterstützenden Software. Diese Software kann unabhängig von spezifischen Infrastrukturen betrieben werden. Damit wird ein Vendor Lock-in wirksam verhindert. Open Source weist dafür den Weg.

Dritte Komponente: Betriebliche oder operationelle Souveränität

Was ist, wenn der Cloud-Anbieter sich entscheidet, Hintertüren einzubauen, bestimmte Sicherheitseinstellungen nicht anzubieten oder die Cloud-Plattform einfach abzuschalten bzw. nicht mehr im entsprechenden Rechtsraum anzubieten? Blindes Vertrauen reicht hier nicht. Der Cloud-Nutzer braucht die Garantie, dass der Cloud-Betreiber/Anbieter die Cloud-Umgebung so weiterentwickelt, dass die Plattform-Entwicklung selbst das Souveränitätsprinzip nicht unterhöhlt. Die Zukunftsfähigkeit der Plattform muss sichergestellt werden. Ebenso muss der Zugriff von Unbefugten über originäre Funktionen der Plattform unterbunden werden.

Sovereign Cloud: Kontrolle und Planungssicherheit

Unternehmen brauchen Kontrollhebel und Planungssicherheit. Sie müssen die Garantie haben, dass die IT-Infrastruktur als Ganzes (jenseits der Datenverarbeitung) sich so verhält, als ob die Ressourcen im eigenen Haus stehen bzw. unter ausreichender eigener Kontrolle sind. Und sie müssen die Garantie haben, dass sie ihre Workloads weiter betreiben können, auch wenn die Cloud-Plattform verschwinden sollte. Ein Cloud-Einsatz mit einem Mindestmaß an Abhängigkeit von der Cloud. Die Kombination aus Transparenz und Kontrolle der Vorgänge in der Cloud-Infrastruktur und Zukunftssicherheit bzw. Unabhängigkeit zeichnet eine wahre Sovereign Cloud aus.

Zero Trust für Sovereign Cloud?

Dazu muss die Souveräne Cloud ein konsequentes Zero-Trust-Modell implementieren. Entschlüsselungsvorgänge und administrative Zugriffe müssen zu 100 Prozent transparent sein, auditierbar für Kunden. Das gilt auch für Änderungen an Security-Konfigurationen. Nur Admins aus zugelassenen Rechtsräumen dürfen auf die Cloud-Ressourcen zugreifen. Zudem muss die Sovereign Cloud als offene Plattform konzipiert sein. Workloads müssen sich konsistent über Multi-Cloud-Landschaften hinweg orchestrieren lassen – und auch jederzeit von der Souveräne Cloud weg auf andere Plattformen verschieben lassen.

Souveräne Cloud als Teil der Multi-Cloud-Welt

Bei alledem darf aber nicht vergessen werden – die Sovereign Cloud wird kein „One size fits all“. Die Business-Realität wird die Multi-Cloud sein. Und Souveräne Clouds werden Teil dieser Business-Realität – überall dort, wo Unternehmen sicher sein wollen, dass sie in agilen Business-Projekten alle notwendigen Regularien erfüllen.  Oder dort, wo sie sich selbst ein hohes Sicherheitsniveau verordnen, beispielsweise beim sicheren Teilen von internen Daten in Wertschöpfungsnetzen. Oder in anderen Worten: Es spricht nichts dagegen, einen Webshop in einer Public Cloud zu betreiben. 

T-Systems Sovereign Cloud powered by Google Cloud

Strategische, langfristige Partnerschaft für eine Cloud-Lösung der nächsten Generation

Zum Autor
Oliver Queck

Oliver Queck

VP Google Powerhouse , T-Systems International GmbH

Profil und alle Artikel ansehen

Wir liefern Ihnen unsere Insights direkt in Ihre Mailbox

Erhalten Sie die besten Expertentipps rund um Events, Best Practices, Whitepaper und mehr. Individuell für Ihre Branche!

Das könnte Sie auch interessieren

Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.