Autor: Guy Bartram
Anbieter globaler Hyperscale Clouds in der IT-Branche haben in letzter Zeit für Unruhe gesorgt. Dabei ging es um ihre Bestrebungen nach Datensouveränität in der Cloud und die genauen Untersuchungen seitens der Regulierungsbehörden in Bezug auf grundlegende Compliance-Anforderungen, etwa die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union.
1. AWS veröffentlichte das AWS Digital Sovereignty Pledge mit dem Versprechen, den modernsten Satz an Kontrollen und Funktionen für Datensouveränität in der Cloud bereitzustellen. Das war angesichts der Zusammenarbeit von Google und T-Systems sowie dem Delos Cloud-Angebot von Microsoft, SAP und Arvato ein logischer Schritt für AWS. Diese Initiativen unterstreichen das wachsende Potenzial von Sovereign-Cloud-Services in einer Cloud-Welt, in der Wahlfreiheit und Kontrolle sowie komplexe Compliance-Anforderungen eine immer größere Rolle spielen.
Was bedeutet „Versprechen“ (im Englischen „Pledge“)? Das englische Wörterbuch definiert „Pledge“ als „feierliches Versprechen“. Kommt dies also einem Eingeständnis gleich, dass die aktuellen Angebote in puncto Souveränität zu wünschen übrig lassen? Warum wäre es sonst ein Versprechen? Ein Versprechen ist zukunftsorientiert, etwas, das noch nicht erfüllt oder geliefert wurde. Und sollte eine Ankündigung wie diese nicht idealerweise mit einer Roadmap untermauert werden? Wo ist die Garantie, dass die Punkte in diesem Versprechen erfüllt werden? Stattdessen beschreibt AWS, worum es allgemein geht: Kontrolle über den Datenspeicherort, nachprüfbare Kontrolle über den Datenzugriff, die Möglichkeit, alle Daten überall zu verschlüsseln sowie die Resilienz ihrer Cloud. Das klingt hervorragend, aber entspricht das auch den Mindeststandards der meisten Anforderungen an die Datensouveränität weltweit? Erst einmal scheint es, als biete keiner der Punkte eine Lösung für die kritischen Bedenken hinsichtlich der Nutzung von Hyperscalern, der Kontrolle der Gerichtsbarkeit, der Rechtsansprüche auf Datenzugriff und der Anforderungen an Datensouveränität zum Schutz vor dem U.S. CLOUD Act oder Section 702 des US Foreign Intelligence Surveillance Act (FISA).
2. Microsoft ist in Deutschland auf Grund gelaufen, da die DSGVO-konforme Nutzung von Microsoft 365 Berichten zufolge nicht möglich ist. Vor mehr als vier Jahren haben die meisten Unternehmen der DSGVO zugestimmt, um nicht von der EU sanktioniert zu werden. Das ist jetzt ein enormes Problem. Die deutsche Datenschutzkonferenz stellt die Kompatibilität von Microsoft 365 mit Datenschutzgesetzen in Deutschland und der EU in Frage. Da liegt die Befürchtung nahe, dass es auch anderen Unternehmen nicht gelingt, die Vorschriften zum Schutz von EU-Kundendaten einzuhalten. Und wie viele andere regulatorische Anforderungen
(z. B. Anforderungen an die Datensouveränität), die globale Public-Cloud-Anbieter zu erfüllen glauben, werden von den Aufsichtsbehörden wohl noch eingehend geprüft? Das regt natürlich zum Nachdenken an. Microsoft hat dies dementiert und die Datenschutzkonferenz in einer Stellungnahme um mehr Klarheit gebeten.
IT-Führungskräfte sollten diese Nachricht als wichtige Fallstudie begreifen, wenn es um die Wahl ihrer Cloud geht, da die regulatorischen Auflagen hinsichtlich der Datensouveränität noch viel komplexer und spezifischer sind als die DSGVO.
Vor diesen und weiteren Herausforderungen stehen US-amerikanische und globale Hyperscale-Cloud-Anbieter, wenn sie eine Sovereign Cloud oder eine andere regulierte Cloud-Lösung in Gerichtsbarkeiten wie der EU betreiben, in denen sie sowohl der DSGVO als auch US-Gesetzen unterliegen. Auch für die EU ist dies eine schwierige Lage, da im 2. Quartal 2022 72 % der EU-Ausgaben auf dem Cloud-Markt an AWS, Microsoft und Google flossen. Die EU will einen fairen Markt und eine geschützte europäische Cloud ohne Beeinträchtigung der Cloud-Funktionen. Tatsache ist jedoch, dass Kunden weiter in Hyperscaler aus den USA investieren und diese US-Unternehmen mit Investitionen im Bereich von 4 Milliarden US-Dollar expandieren. Das ist eine Herausforderung, der gegenwärtig kein europäisches Cloud-Unternehmen gewachsen ist. Die EU befindet sich zweifellos in einem Dilemma: Einerseits würde die Durchsetzung der Souveränität bedeuten, dass keine ausländischen Clouds genutzt werden können, was dem europäischen Cloud-Markt ernsthaft schaden würde. Andererseits stellt sich die Frage, wie genügend Gesetze erlassen werden können, um ein Maß an Souveränität zu erhalten, das ausländische Anbieter mit einem gewissen Umfang an externer Kontrolle der Gerichtsbarkeit nicht ausschließt. Es scheint, dass es in absehbarer Zukunft kaum eine Antwort auf dieses Dilemma geben wird. Der klügste Compliance-Ansatz scheint eine nationale, speziell erstellte Sovereign Cloud zu sein, wobei externe Clouds genutzt werden können, wenn die Datenklassifizierung den Anforderungen nicht regulierter oder nicht staatlicher Umgebungen entspricht. Das klingt Cloud smart!
Im Gegensatz zu den großen Hyperscale-Cloud-Anbietern in den USA sind europäische Cloud-Anbieter in der Regel spezialisierter und fast alle bieten Managed Services an. Ich bin überzeugt, dass das gut so ist. VMware hat immer wieder darauf hingewiesen, dass die Zukunft einer guten Cloud-smart-IT-Strategie in Multi-Cloud und Hybrid Cloud liegt und dass „Cloud smart“ bedeutet, dass Hyperscaler-Angebote nicht ignoriert werden können. Wir brauchen sie, zumal uns diese Clouds bedeutende Innovationen und marktführende Skalierbarkeit bieten. Darum ist die Strategie von VMware einzigartig: VMware fördert Multi-Cloud-Ansätze und unterstützt Unternehmen dabei, eine Cloud-Strategie zu verfolgen, die eine Anbieterabhängigkeit vermeidet, Qualität und Sicherheit aufrechterhält und die Performance überwacht. Die VMware Sovereign Cloud Initiative bietet nationalen und lokalen Cloud-Partnern die Fähigkeit, speziell entwickelte Sovereign Clouds zu erstellen, einschließlich solcher, die lokalspezifische Anforderungen in Bereichen wie Datensouveränität einschließlich Datenresidenz und Kontrolle der Gerichtsbarkeit, Datenzugriff und -integrität, Datensicherheit und Compliance, Datenunabhängigkeit und -mobilität sowie Dateninnovation und -analyse erfüllen.
Ein häufiges Missverständnis bei der Nutzung eines globalen Hyperscale-Cloud-Anbieters als Option für Workloads, die Datensouveränität erfordern, besteht darin, dass Compliance-Auflagen erfüllt werden, weil das Portfolio, die Daten und die Anwendungen auf eine bestimmte Region beschränkt werden. Das gewährleistet noch keine Souveränität – es ist lediglich eine Farce. In anderen Worten: Der physische Speicherort (die Datenresidenz) ist zwar wichtig, aber nicht die einzige Voraussetzung weltweit für Datensouveränität. Die Anforderungen an die Datensouveränität sind je nach zuständiger Gerichtsbarkeit unterschiedlich, beschränken sich aber niemals nur auf die Datenresidenz. Sie alle erfordern beispielsweise auch eine Kontrolle der Gerichtsbarkeit, die nicht automatisch durch die Datenresidenz gegeben ist, insbesondere bei US-amerikanischen oder globalen Cloud-Anbietern, die dem CLOUD Act oder FISA unterliegen. Es ist daher wichtig zu wissen, dass VMware Sovereign Cloud Provider unabhängige Drittanbieter auf der ganzen Welt sind, die auch umfangreiche Portfolios von Cloud-Funktionen verwalten. Sie nutzen VMware-Lösungen und Anbieter aus dem Ökosystem als Grundlage und verfügen so über Tools und Wettbewerbsvorteile, um hinsichtlich der Anforderungen an Datensouveränität und/oder anderen Vorschriften wie der DSGVO ein Höchstmaß an Compliance zu ermöglichen.
Was ist also richtig? Die Position von VMware hat sich nicht geändert. Daten in „Trusted“-Hyperscale-Clouds können zwar geschützt sein, z. B. durch Verschlüsselung, Bring Your Own Key (BYOK), Confidential Computing oder Privacy-Enhancing Compute (PEC), dennoch sollten Hyperscale Clouds nur für öffentliche Daten verwendet werden, die mit einem geringen Risiko verbunden sind, d. h. nicht streng geheim oder reguliert. Und die Hyperscale Clouds bemühen sich weiter um einen Sovereign-Status in Europa. Es gibt keine Universallösung und Kunden weltweit sollten nicht davon ausgehen, dass sie ihre Sorgfaltspflicht hinsichtlich regulatorischer Auflagen an irgendeinen Anbieter delegieren können. Ziehen Sie stattdessen eine Strategie in Betracht, bei der Sie vom Besten aus allen Multi-Cloud-Lösungen profitieren und die Clouds auf der Grundlage von Datenklassifizierung, Datenoperationen und Risiken auswählen.
Wie das Diagramm zeigt, sind nicht souveräne Cloud-Lösungen mit einem erhöhten Risiko verbunden, da die Kontrolle der Gerichtsbarkeit in einer Trusted- oder Hyperscale-Public-Cloud nicht gegeben ist. Die Datenmenge, die für nicht souveräne Services in Frage kommt, ist nach einer gründlichen Datenklassifizierung möglicherweise geringer. Denken Sie daran, dass ein Sovereign-Cloud-Anbieter auf Ihre Branche (Behörden, öffentliche Einrichtungen, Finanzdienstleister und viele andere) zugeschnittene Services sowie Managed Services bereitstellt, um Sie bei Ihrer Strategie für die Cloud-Einführung zu unterstützen. Einige bieten auch innovative Lösungen für den sicheren Datenaustausch an, um Ihnen die Monetarisierung Ihrer Daten zu ermöglichen – ein wichtiges Kriterium auf dem wachsenden Datenmarkt. Darüber hinaus sind VMware Sovereign Cloud Provider möglicherweise am besten geeignet, Sie beim Management von Datenschutz, Klassifizierungen und Risikoanalysen zu unterstützen, die an lokale Gegebenheiten angepasst sind, und die Einhaltung strengster Standards zu gewährleisten. Da es personenbezogene und nicht personenbezogene Daten gibt (z. B. Branchendaten und IoT), können Sie mit einer Klassifizierung Ihre Risiken besser einschätzen und entscheiden, wie Sie Ihre Daten in Übereinstimmung mit geltenden regulatorischen Auflagen am besten schützen, und sind besser auf neue Datenklassifizierungsstandards vorbereitet, die in Zukunft bestimmt eingeführt werden.
Die Datenmärkte entwickeln sich weiter und der Datenaustausch wird in puncto Lieferkette und Monetarisierung zu einer entscheidenden Komponente unserer Geschäftstätigkeit. Deshalb ist es enorm wichtig, von Beginn an die richtige Strategie zu wählen – mit einer Cloud, die das richtige Maß an Souveränität bietet. Darüber hinaus muss der von Ihnen gewählte Cloud-Anbieter die technologischen Fähigkeiten, Sicherheitsinfrastruktur und Daten-Governance-Prozesse bieten, mit denen Sie Ihre Daten schützen, Compliance-Standards erfüllen und eine sichere Plattform für Ihr Unternehmen bereitstellen können.
VMware Sovereign Cloud Provider in der Nähe finden
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn, Youtube & Podcast
