Vorgabe: «My data is secure in the cloud», (created by DALL·E mini/craiyon.com)
Von Thomas Reitze
Die Public Clouds der Hyperscaler erfreuen sich grosser Nachfrage. Doch Compliance- und Datenschutzbedenken lassen viele Schweizer Unternehmen und Institutionen zögern. Diese Lücke füllen souveräne Schweizer Clouds. Die Souveränitätsbedingungen erstrecken sich auf mehrere Ebenen.
Den IT-Verantwortlichen in Schweizer Unternehmen oder Institutionen der öffentlichen Hand wird zunehmend bewusst, dass eine eigene Infrastruktur mit der Dynamik in der Technologieentwicklung und dem steigenden Bedarf an Rechenressourcen nicht Schritt halten kann. Zudem sind sie damit konfrontiert, dass einzelne Fachabteilungen oftmals mit Anwendungen arbeiten, die mehr und mehr (nur noch) cloudbasiert angeboten werden. Gegen den Wildwuchs in der IT helfen einheitliche Guidelines für Cloud-first- oder gar Cloud-only- Umgebungen. In der Regel gilt: Personenbezogene Daten und kritische Applikationen werden in einer datenschutzrechtlich unbedenklichen Private Cloud verarbeitet und gespeichert, während der Public Cloud Workloads vorbehalten bleiben, die mit keinen regulatorischen oder rechtlichen Vorbehalten verbunden sind.
Ruf nach digitaler Souveränität
Da eine Private Cloud bei weitem nicht mit der Skalierbarkeit und Effizienz einer Public Cloud der grossen Hyperscaler mithalten kann, wurden Rufe laut, die Schweiz sollte in eine eigene souveräne Cloud investieren. Vor diesem Hintergrund erscheint es notwendig, überhaupt zunächst zu definieren, worin die Souveränität einer solchen Umgebung besteht.
Vereinfacht gesagt, sind es folgende drei Parameter, die erfüllt sein müssen, damit eine Cloud als digital «souverän» gelten kann.
- Datensouveränität
Der Eigentümer der Daten muss sich vollumfänglich darauf verlassen können, dass keine Unberechtigten – worunter auch der Cloud-Betreiber selbst fällt – Zugriff darauf haben. Niemand ausser dem Unternehmen oder der Institution, denen die Daten gehören, dürfen diese einsehen, geschweige denn kopieren, löschen oder in sonst einer Form manipulieren. Datensouveränität bedeutet zudem, dass die Verschlüsselung von Informationen ausserhalb der Cloud-Plattform erfolgt oder dass die Schlüssel in einem Cloud-externen Key Management verwaltet werden. Für viele Unternehmen, und dies nicht nur in regulierten Branchen, ist es darüber hinaus wichtig zu wissen, wo ihre Daten verarbeitet werden, und wo sie liegen. Respektive, dass sie die Schweiz nicht verlassen.
- Betriebliche bzw. operationelle Souveränität
Cloud User müssen darauf vertrauen können, dass der Betreiber des Public-Cloud-Dienstes bei Weiterentwicklungen des technischen Unterbaus der Plattform das Souveränitätsprinzip im Auge hat. Anpassungen der Plattform müssen im Einklang mit dem Prinzip der uneingeschränkten Datensicherheit und bei fortwährender voller Leistungsfähigkeit vorgenommen werden. Unbefugte dürfen sich zu keiner Zeit Zugriff auf originäre Funktionen der Plattform verschaffen können.
- Software-Souveränität
Völlig souverän sind Cloud User nur dann, wenn sie nicht auf Gedeih und Verderb von einer bestimmten Cloud bzw. einem bestimmten Anbieter abhängig sind. Applikationen und Dienste müssen daher jederzeit und einfach auf eine beliebige andere IT-Infrastruktur (beispielsweise auch inhouse) migrierbar sein.
Attraktive Partnerschaftsmodelle «verheiraten» Skalierbarkeit und Sicherheit
Aus den obigen Souveränitätsbedingungen lässt sich schliessen, dass es nicht zwingend einen politischen Eingriff braucht, um die Cloud rechtskonform einsetzen zu können. Ein gut spielender Markt und Partnerschaften zwischen den verschiedenen Playern, gemeinschaftliche Interessensvertretungen und Initiativen (wie etwa Gaia-X) führen dazu, dass es bereits heute verschiedene Ausprägungen souveräner Schweizer Clouds gibt. Den Weg durch den «Cloud-Dschungel» finden Schweizer Unternehmen und Institutionen am ehesten, wenn sie sich ihr Cloud-Angebot nicht einfach auf einer Hyperscaler-Plattform zusammenklicken, sondern einen anbieterneutralen Schweizer Ansprechpartner für die Transformation und Migration ausfindig machen. Idealerweise stellt dieser auch Managed Cloud Services für die Hyperscaler-Plattform und beherrscht das Management von Multi- und Hybrid-Cloudumgebungen. Denn je nach anstehendem Workload kann nicht nur die Public Cloud als solche, sondern auch die eines bestimmten Hyperscalers mit ihrem spezifischen Funktionsumfang am besten geeignet sein.
Noch weiter gehen souveräne Cloudpartnerschaften, bei denen der Hyperscaler die technologische Plattform stellt und ein lokaler Vertragspartner den Betrieb und die Zugangskontrolle gewährleistet. Google und T-Systems etwa haben eine souveräne Cloud entwickelt, die sich strikt an Sicherheits- und Compliance-Grundsätzen anlehnt, die mit der europäischen Datenschutz-Grundverordnung (DSGVO) kompatibel sind. Solche Hyperscaler-basierte souveräne Clouds stellen mittels Datenlokalisierung sicher, dass Daten nicht über die Schweizer Grenze verschoben werden können. Auch die Prozesse sind so designt, dass die nach den Souveränitätskriterien erforderliche Sicherheit, Transparenz und Zukunftsfähigkeit der Umgebung garantiert sind. Supportprozesse können beispielsweise nicht in die USA geroutet werden, sondern werden ausschliesslich von HR-validierten Mitarbeitenden mit geographischer Eingrenzung durchgeführt. Es kommen Verschlüsselungstechnologien zum Einsatz, bei denen nicht der Hyperscaler, sondern der Managed Partner den Schlüssel verwaltet. Beim «External Key Management» wird zudem jeder Ver- und Entschlüsselungsvorgang geloggt und kann verweigert, kontrolliert und transparent nachvollzogen werden.
Hyperscaler und lokaler Partner haben ein gemeinsames Interesse, in die souveräne Plattform zu investieren. Der lokale Partner bietet seine Beratungs- und Betriebsleistungen; der Hyperscaler wiederum gewinnt Zugang zu Use Cases, die ihm bis anhin aufgrund der Sensitivität von Daten und Applikationen verschlossen waren.