Cloud-Computing
Die Frage nach der digitalen Souveränität
Im Zuge der Cloud-Nutzung stellt sich die Frage der digitalen Souveränität – insbesondere für Unternehmen und Behörden mit Daten, die einen hohen Schutzbedarf aufweisen. Rechtliche, technische und operationale Souveränität versprechen vor allem Modelle der souveränen Cloud.
Die Nachfrage nach Cloud-Lösungen, die maximale Sicherheit und Datenhoheit bieten, steigt sowohl bei Unternehmen als auch bei Behörden. Das Konzept der souveränen Cloud greift diese Anforderungen auf. Aktuell gibt es verschiedene Initiativen in der Europäischen Union, die die Konzeption und Bereitstellung von Lösungen für die sichere Datenverwaltung europaweit aktiv vorantreiben. Dabei geht es etwa um Projekte und Pläne wie Gaia-X, die Deutsche Verwaltungscloud oder die nationale Cloud-Strategie in Frankreich.
Was aber muss eine solche souveräne Cloud im Detail bieten? Zunächst sollte klar sein, dass eine souveräne Cloud nur ein Teilaspekt einer souveränen IT-Infrastruktur ist. Das heißt, die digitale Souveränität inkludiert immer die gesamte IT-Infrastruktur mit Aspekten wie Risikomanagement oder Prozesskontrolle. Konkret kennzeichnen eine souveräne Cloud vor allem drei elementare Komponenten: Unabhängigkeit, Kontrolle und Eigenverantwortung.
Stichwort Unabhängigkeit
Unabhängigkeit bedeutet, dass keine Abhängigkeit von einzelnen Zulieferern bestehen darf und immer eine Exit-Strategie vorhanden ist. Ein Fehler in einem Produkt kann mitunter gravierende Auswirkungen für den einzelnen Anwender und potenziell auch für alle weltweiten Nutzer haben. Das Service-Angebot eines einzelnen Hyperscalers mag zwar Vorteile bieten wie „Alles aus einer Hand“, birgt jedoch auch die Gefahr eines Vendor-Lock-ins. Ein Ansatz, um diese Problematik zu vermeiden, ist die Umsetzung einer Multi-Cloud-Strategie. Dabei sollte der Nutzer auf eine Interoperabilität der gewählten Technologien achten. Nur so kann ein Unternehmen Anwendungen, Services und Daten relativ einfach zwischen verschiedenen Clouds verschieben. An diesem Punkt kommen Open Source, offene Standards und offene APIs ins Spiel. Die technologische Verfügbarkeit und Interoperabilität sind hier die eine Seite der Medaille, ebenso wichtig ist für den Nutzer sind die Zugriffsmöglichkeit auf das entsprechende Know-how. Open Source kann hier mit einer Vielzahl von Communities aufwarten, in denen das Wissen breit gestreut ist und die die Weiterentwicklungen aktiv vorantreiben.
Darüber hinaus bedeutet Unabhängigkeit, dass die eigenen Prozesse und eventuell selbst entwickelten Anwendungen auch von einem Anbieter einer souveränen Cloud abgebildet und betrieben werden können. Das heißt, proprietäre Applikationen müssen interoperabel und migrierbar programmiert sein – etwa unter Nutzung der Container-Technologie.
Nicht zuletzt heißt Unabhängigkeit, dass auch weniger Abhängigkeit von den einzelnen Mitarbeitern im Unternehmen besteht. Der Aufbau einer Wissensbasis, die allen Mitarbeitern der Firma zur Verfügung steht, kann dabei dienlich sein.
Stichwort Datenhoheit
Ebenso wichtig ist die Kontrolle über die Daten. Dabei geht es um den logischen Zugriff auf und den physischen Zugang zu den Daten sowie um die Datenhoheit. In diesen Bereichen sollte der Cloud-Provider technologische und organisatorische Maßnahmen wie Identitätsmanagement oder rollenbasierte Zugriffskontrolle ergreifen und belegen können. Der Zugriff ist auch bei Public-Cloud-Angeboten in der Regel relativ gut gesichert, etwa mit Passwörtern und Verschlüsselung. Allerdings steht der physische Zugang auf einem anderen Blatt. Das auslagernde Unternehmen hat hier wenig bis keine Kontrollmöglichkeiten, ob der Provider den physischen Datenzugang zuverlässig überwacht und gegebenenfalls unterbindet. Diese Zugangsthematik für den Nutzer vertrauenswürdig zu regeln, gehört somit zu den zentralen Aufgaben des Anbieters einer souveränen Cloud.
Datenhoheit bedeutet letztlich, dass der Anwender stets problemlos auf seine Daten zugreifen kann. Auch wenn ein hohes Vertrauen in den Provider vorhanden ist, ist eine Datenhoheit bei der Nutzung einer souveränen Cloud am ehesten gewährleistet, wenn eine Duplizierung der eigenen Daten in zusätzliche unabhängige technische Strukturen erfolgt. Dies kann ein Backup der Daten bei einem weiteren IT-Dienstleister mit ausreichend technischer und geografischer Separierung sein, aber auch ein Sichern der Daten auf Speicherbereiche in der eigenen Firma kann ein sinnvoller Weg sein, sofern diese Option ausreichend in puncto Zugang und Zugriff abgesichert werden kann.
- Die Frage nach der digitalen Souveränität
- Die Eigenverantwortung darf nicht unterschätzt werden
Lesen Sie mehr zum Thema
