Autor: Guy Bartram
IT-Geschichte wiederholt sich
Als in den frühen 2000ern das Interesse der CIOs am Konzept „Cloud-Computing“ wuchs, verwendeten viele IT-Anbieter den Begriff „Cloud“ bei der Benennung ihrer Angebote. Da es keine weltweit anerkannte Definition gab, konnte niemand genau wissen, was dahinterstand und ob Unternehmen den gerade populären Begriff einfach strategisch verwendeten, um die Aufmerksamkeit auf ihre Angebote zu lenken. Aus diesem Grund veröffentlichte das National Institute of Standards and Technology (NIST) eine Definition, die heute allgemein als Mindeststandard anerkannt ist, um Angebote im Bereich Cloud-Computing anzusiedeln.
Dasselbe passiert heute mit dem Begriff „Datensouveränität“. Das enorme Wachstum von Cloud-Computing und die Verbreitung von Daten hat zu einer noch nie dagewesenen Unsicherheit in Bezug auf die Klassifizierung von Daten und die Gerichtsbarkeit ausländischer Behörden geführt. Viele Kunden finden es außerdem sehr schwierig, die wachsende Anzahl an Cloud-Angeboten auf dem Markt zu bewerten, die alle den Anspruch der „Datensouveränität“ erheben. Genau wie es in der Anfangsphase des Cloud-Markts keine weltweit anerkannte Definition für „Cloud“ gab, gibt es jetzt keine solche Definition für „Datensouveränität“, auch wenn viele Cloud-Anbieter ihre Angebote als datensouverän bezeichnen.
In diesem Artikel wird erläutert, warum Kunden mit dem Konzept der Datensouveränität proaktiv und gewissenhaft umgehen müssen, da aufgrund der Eigenschaften des Konzepts selbst wahrscheinlich keine einheitliche Definition (ähnlich der NIST-Definition für „Cloud“) gefunden werden wird. Der Artikel verweist zwar auf die gemeinsamen Nenner weit verbreiteter Definitionen, doch die zugrunde liegende Annahme ist, dass die Anforderungen an die Datensouveränität je nach Quelle immer etwas unterschiedlich und somit einzigartig sind. Daher sollten Kunden sich in der Phase der Überlegungen zur Datensouveränität auf ihrem Weg zur Multi-Cloud nicht einfach auf Anbieterlabel verlassen, sondern zunächst einmal gründlich analysieren, welche speziellen Anforderungen aufgrund der geltenden Gesetze und Richtlinien für sie gelten. Auf der Grundlage der Ananlyseergebnisse können sie dann bewerten, ob die Angebote, die sie in Betracht ziehen, tatsächlich Datensouveränität bieten.
Schließlich wird in diesem Artikel erläutert, warum die VMware Sovereign Cloud Initiative ein Ökosystem ist, mit dessen Hilfe VMware Sovereign Cloud Provider – also Drittanbieter, die On-Premises-Software von VMware verwenden – speziell entwickelte gehostete Cloud-Angebote erstellen können, die mit den geltenden regionalen Gesetzen, Richtlinien und Rahmenbedingungen zur Datensouveränität übereinstimmen und den Kunden die technologische Zuverlässigkeit und Robustheit bieten, die für eine Cloud-smart-Multi-Cloud-Strategie erforderlich ist.
Definitionen von „Datensouveränität“ sind länderspezifisch
Einfach ausgedrückt und ungeachtet gegenteiliger Behauptungen auf diesem jungen Markt gibt es keine pauschale Definition für „Datensouveränität“. Diese Definition hängt für jeden Workload davon ab, welche Gesetze und Richtlinien für die Daten gelten, die zu diesem Workload gehören. Beispiel: Für einen Regierungskunden gelten jeweils andere gesetzliche Vorgaben und Richtlinien für die Datensouveränität, je nachdem ob er Cloud-Services für Workloads im Verteidigungsministerium, im Finanzministerium oder im Landwirtschaftsministerium erwirbt. Darüber hinaus kann das Verteidigungsministerium der einen Regierung andere Anforderungen haben als das Verteidigungsministerium einer anderen Regierung. Es können sogar im selben Verteidigungsministerium unterschiedliche Anforderungen für zwei verschiedene Käufe gelten, je nachdem, um welchen Workload es sich handelt. Es kann also sein, dass ein Cloud-Angebot die Anforderungen an die Datensouveränität für den Workload eines Kunden erfüllt, die Anforderungen eines anderen Workload desselben Kunden jedoch nicht.
Zusammenfassend lässt sich sagen, dass die Definition der Datensouveränität je nach Gerichtsbarkeit und Workload variiert, manchmal sogar innerhalb derselben Gerichtsbarkeit (je nach den geltenden Gesetzen und Richtlinien). Die meisten Definitionen haben jedoch eines gemeinsam: Die Daten unterliegen den Datenschutzgesetzen und Governance-Strukturen des Landes, in dem sie erstellt oder erhoben werden. Da der Datenspeicherort in vielen Ländern für viele ausländische Gerichtsbarkeiten kein Hindernis darstellt, um Ansprüche auf Daten geltend zu machen, erfordert die Datensouveränität oft, dass die Daten unter der Kontrolle und/oder dem Management von Entitäten und Einzelpersonen bleiben, die nicht von ausländischen Regierungen zur Übertragung der Daten an dieselben (oder, je nach Anforderungen, an bestimmte ausländische Regierungen) gezwungen werden können. Beispiel einer abweichenden Anforderung: Einige, aber nicht alle, haben die Anforderung, dass die Mitarbeiter des Cloud-Anbieters, die die zugrundeliegende Infrastruktur betreuen, die Staatsbürgerschaft besitzen und sicherheitsüberprüft sind. In dem Fall würde die Datenresidenz und die Kontrolle der Gerichtsbarkeit also nicht ausreichen.
Weitere wichtige Begriffe sind wie folgt zu definieren:
- Datenresidenz: Der physische Ort, an dem Kundendaten gespeichert und verarbeitet werden, ist auf eine bestimmte Region beschränkt. Viele Kunden und Anbieter verwechseln dieses Konzept mit der Datensouveränität.
- Datenschutz: Dieser Begriff bezieht sich auf den Umgang mit Daten in Übereinstimmung mit Datenschutzgesetzen, -vorschriften und allgemeinen bewährten Best Practices.
- Kontrolle der Gerichtsbarkeit für Daten: Eine Gerichtsbarkeit behält die volle Kontrolle über die Daten, ohne dass andere Nationen/Gerichtsbarkeiten auf diese Daten zugreifen oder Zugriff darauf verlangen können.
- Daten-Governance: Dies ist der Prozess des Managements von Verfügbarkeit, Nutzbarkeit, Integrität und Sicherheit der Daten in Systemen auf der Grundlage interner Datenstandards und -richtlinien, die auch für die Nutzung der Daten gelten.
- Globale Hyperscale Commercial Cloud: Dies ist eine Cloud-Infrastruktur im Besitz eines ausländischen Unternehmens, bei der die Daten von einem ausländischen Anbieter verwaltet werden und daher möglicherweise ausländischem Recht unterliegen.
„Datensouveränität“ im Rampenlicht aufgrund des Umstiegs auf die Cloud und der damit verbundenen Risiken
Bei der Cloud handelt es sich um eine globalisierte Technologie, die Computing-Ressourcen von jedem Ort der Welt aus über einen gemeinsamen Pool von Ressourcen zugänglich macht, die über verschiedene Regionen verteilt sein können. Dabei dürfen Sie nicht vergessen, dass Ihre Daten Ihnen gehören und Sie die rechtliche Verantwortung dafür tragen. Wenn Sie Ihre Daten in der Cloud ausführen oder das Rechenzentrum oder die IT-Infrastruktur eines anderen Unternehmens nutzen, müssen Sie immer die Gesetze berücksichtigen, die für Ihr und das andere Unternehmen gelten. Dabei sind die wichtigsten Überlegungen: Wer hat die Kontrolle der Gerichtsbarkeit über die Daten? Welche Gesetze und Gerichtsbarkeiten haben Vorrang? Welche Gesetze, Vorschriften und Standards müssen Sie und/oder Endkunden einhalten?
Durch die zunehmende Vorherrschaft der globalen Hyperscale Commercial Cloud, in der ein wachsender Teil der weltweiten Daten gespeichert ist, werden die oben genannten Probleme noch verschärft, einschließlich der wichtigsten Überlegungen zu Governance und Gerichtsbarkeit. Gelten regionale Gesetze für solche Cloud-Computing-Lösungen, die von Natur aus global und regionsübergreifend sind? Macht dieses Bereitstellungsmodell regionale Gesetze unwirksam? Ihre Computing-Umgebung mag in der lokalen Region beginnen, aber viele andere Überlegungen können bedeuten, dass Ihre Daten nicht in dieser Region bleiben. Daten über Daten – Metadaten – werden für den Support, die Buchhaltung und die Governance Ihrer Nutzung in der Cloud, das Management des Betriebs Ihrer Daten und Workloads in diesen Cloud-Umgebungen verwendet. Da darunter auch private Daten sein könnten, unterliegen auch Metadaten regionalen Gesetzen. Aufgrund des operativen Supports kann es bei einigen Cloud-Umgebungen sein, dass diese Daten über eine bestimmte Region hinaus übertragen werden. Darunter können auch persönlich identifizierbare Informationen (Personal Identification Information, PII) sein, z. B. IP-Adressen oder Hostnamen, oder bestimmte Sicherheitsprotokolle sein. Außerdem könnten Ihre Daten aufgrund einer Naturkatastrophe verlagert werden. Wer hat in diesem Fall die rechtliche Befugnis über Ihre Daten? Oder Ihre Daten werden von einem Cloud-Anbieter gehostet und verwaltet, dessen Unternehmen seinen Sitz innerhalb einer anderen Gerichtsbarkeit hat, die im Falle einer Gerichtsentscheidung den rechtlichen Vorrang über die Kontrolle der Gerichtsbarkeit beansprucht.
Die Gewährleistung der Integrität Ihrer Daten ist von größter Bedeutung. Der Zugriff auf Ihre Daten in Sovereign-Cloud-Umgebungen ist oft mit einem hohen Maß an Datenklassifizierung, Autonomie oder Kontrolle verbunden, da sichere oder streng geheime Daten für die Nation, in der sie erstellt und verwendet werden, äußerst wichtig sind. Selbst bei Private Clouds kommt es nicht selten vor, dass Daten über öffentliche und/oder gemeinsam genutzte Netzwerke übertragen werden, und immer häufiger sind Private Clouds oder dedizierte interne Clouds Teil einer Hybrid-Cloud-Lösung, die durchaus mit einer kommerziellen/hyperskalierten Public Cloud verbunden sein kann.
Sovereign-Cloud-Anbieter bieten Services an und halten sich dabei an Standards für Governance, Sicherheit und Zugriffsbeschränkungen, aber die rechtliche Haftung liegt letztlich beim Kunden. Wenn Ihre Daten von böswilligen Akteuren entwendet, manipuliert, verändert, ohne Zustimmung veröffentlicht oder anderweitig missbraucht werden, kann das erhebliche rechtliche Konsequenzen für Sie haben. Das wissen wir alle aus der Presse. Diese Zusammenhänge sind ebenso komplex wie die Technologie hinter den Cloud-Umgebungen, und Kunden müssen sicherstellen, dass die von ihnen bereitgestellte Multi-Cloud-Strategie gewissenhaft betrieben werden kann und die Compliance in allen für das Unternehmen wichtigen Aspekten sichergestellt ist.
Bisher wird die Datenlokalität (oder Datenresidenz) von vielen als entscheidendes Kriterium angesehen, wenn es darum geht, welchen Gesetzen Daten unterliegen. Dieses Missverständnis macht der Branche nach wie vor zu schaffen. Datenresidenz ist nicht dasselbe wie Datensouveränität. Letztere bietet einen robusteren Ansatz, die jeweils anwendbaren Gesetze klar abzustecken. In Anbetracht der Datenmobilität und der geografischen Lokalität der Daten ist es sehr schwierig, kontinuierlich das gleiche Maß an Governance für die Daten aufrechtzuerhalten. Eine über mehrere Regionen verteilte Cloud hat zwar oft Vorteile für Unternehmen. Oft ist es aber extrem kompliziert, nachzuvollziehen, welchen Gesetzen die Daten unterliegen und welche durch andere Gesetze ersetzt werden. Das ist eine Schlüsselfrage: Welche Gesetze haben Vorrang und wie können Sie Ihre Daten vor Zugriff aus dem Ausland schützen?
Ein Beispiel für ausländische Gesetze, die für Ihre Daten gelten können, ist der 2018 in den USA erlassene CLOUD Act (Clarifying Lawful Overseas Use of Data). Dieses Gesetz ermöglicht es der US-Regierung unter anderem, mit ausländischen Regierungen (derzeit lediglich das Vereinigte Königreich und Australien) Vereinbarungen über den gegenseitigen beschleunigten Zugang zu elektronischen Informationen zu treffen, die sich bei Anbietern im Ausland befinden. Dabei müssen alle Zugriffsbeschränkungen für die Daten aufgehoben werden. Gemäß dem CLOUD Act haben daher unter bestimmten Bedingungen die USA die Kontrolle der Gerichtsbarkeit für alle Daten, die von Einrichtungen verwaltet werden, die entweder ihren Hauptsitz in den USA oder eine Verbindung zu den USA haben, etwa globale Hyperscaler. Dabei spielt es keine Rolle, wo auf der Welt die betroffenen Daten gespeichert sind. Sind die Bedingungen für dieses Gesetz erfüllt, kann die USA den Zugriff auf die von dem US-Unternehmen kontrollierten elektronischen Daten gerichtlich anordnen und erzwingen, unabhängig davon, wo die Daten gespeichert sind. Das betrifft also auch Daten, die sich außerhalb der USA befinden. Dieses Gesetz hat daher Auswirkungen auf die Datensouveränität in allen Ländern außerhalb der Vereinigten Staaten.
Diese Situation ändert sich jedoch ständig. Derzeit zieht die EU neue Anforderungen in Betracht. Im Juni 2022 wurde beispielsweise ein Entwurf des von der Agentur der Europäischen Union für Cybersicherheit (ENISA) vorgeschlagenen „Cybersecurity Certification Scheme for Cloud Services“ (EUCS) veröffentlicht, das neue Anforderungen an die Souveränität enthält. Darin enthalten sind Maßnahmen für Daten der Sicherheitsstufe „hoch“, mit denen gewährleistet wird, dass zertifizierte Cloud-Services nur von Unternehmen mit Sitz in der EU und einer europäischen Mehrheitsbeteiligung betrieben werden, dass diese Anbieter keinen extraterritorialen Gesetzen von Nicht-EU-Staaten unterliegen und dass alle Daten in der EU gespeichert und verarbeitet werden. Damit würden US-Hyperscaler keine Cybersecurity-Zertifikate für die Sicherheitsstufe „hoch“ erhalten. Dies ist ein Beispiel dafür, wie unsicher die Situation für US-Hyperscaler in Europa ist und wie schnell sie sich verändert. Sie benötigen weitere Entwicklungen und Untersuchungen, um die sich verändernden Gesetze zu erfüllen.
Kann jede Cloud Souveränität bieten?
Wären nicht alle globalen Cloud-Anbieter in der Lage, Kunden in Ländern außerhalb der USA eine Sovereign-Cloud-Lösung für ihre Daten anzubieten? Diese Frage ist nicht leicht zu beantworten, da es hier auf die spezifischen Anforderungen des Kunden und die Klassifizierung der Daten ankommt. Angesichts der Erläuterungen zum U.S. CLOUD Act und den aktuellen zukunftsweisenden Rahmenbedingungen für eine Zusammenarbeit wird die Datenübertragung auf gerichtliches Ersuchen hin wohl weiter möglich sein, zum Beispiel zwischen der EU (im Rahmen eines Exekutivabkommens) und den USA. Momentan lautet die Antwort also: Nein, globale Cloud-Anbieter und die von ihnen gespeicherten Daten würden gemäß dem U.S. CLOUD Act unter der Gerichtsbarkeit der USA bleiben.
Im Zuge der Weiterentwicklung der Branche gehen einzelne Länder zunehmend innerstaatliche Partnerschaften mit Hyperscale-Anbietern ein, um ihre eigene Instanz der Public-Cloud-Umgebung zu betreiben und zu kontrollieren. Diese Art der „beaufsichtigten Cloud“ hat Potenzial und bietet den Ländern die betriebliche Kontrolle sowie die Datenresidenz in einem inländischen Rechenzentrum, unterliegt aber häufig regionalen Sicherheitsstrategien und wird sich deshalb wahrscheinlich von Region zu Region unterscheiden. Sie müsste aus juristischer Sicht für alle jeweils zuständigen Gerichte getestet werden, um ihre rechtliche Belastbarkeit zu gewährleisten. Auch die technische Entwicklung ist beachtlich, da SaaS-Plattformen, Buchhaltung, Messung, Support und viele andere gemeinsame Cloud-Funktionen vollständig getrennt und innerhalb einer Region isoliert ausgeführt werden müssen. Mit einem Supervised-Cloud-Modell haben Länder zwar die Kontrolle darüber, wo die Daten sich befinden und wer die Lösung betreibt. Bei Datensouveränität geht es aber auch um die Cloud-Daten, -Hardware und -Software. Die Daten in Supervised Clouds (einschließlich Messung, Fehleranalyse, Berichterstellung, Metadaten und Buchhaltung) können immer noch von einem Unternehmen betrieben werden, das der Gerichtsbarkeit des U.S. CLOUD Act unterliegt. Daher muss auch dieser Aspekt unter Berücksichtigung der Anwendungsanforderungen sorgfältig abgewägt werden. Momentan ist der Trend zur Lösung dieser Problematik die Gründung von Joint-Venture-Unternehmen, bei denen der nationale Partner die Mehrheitsbeteiligung an der Betreibergesellschaft halten muss. Außerdem wäre eine umfangreiche Softwareanalyse des Hyperscale-Codes erforderlich, um die Kontrollen und die Residenz zu validieren. Dieses Modell, das sich noch in der Entwicklungsphase befindet, werden wir voraussichtlich in den nächsten Jahren häufiger sehen.
Jede Cloud hat ihren Platz, aber nicht jede Cloud bietet Souveränität. In der heutigen Multi-Cloud-Welt haben globale Hyperscaler durchaus ihren Platz auf dem Sovereign-Cloud-Markt, allerdings lediglich als Erweiterung einer Multi-Cloud-Strategie. Sie sollten aktuell nur für das Hosting nicht klassifizierter Daten verwendet werden. Das oben erläuterte Modell einer „überwachten Cloud“ mit Gründung eines Joint-Venture-Unternehmens, bei dem der nationale Partner eine Mehrheitsbeteiligung hält, bietet eine vertrauenswürdige Cloud, bei der der Anbieter der hyperskalierten Cloud seine Lösung in einer national kontrollierten Umgebung anbieten kann. Ob dieses Modell sich durchsetzen wird, bleibt abzuwarten.
VMware Sovereign Cloud Initiative
VMware hat erkannt, dass regionale Cloud-Anbieter in einer hervorragenden Position sind, um auf ihren eigenen Sovereign-Cloud-Fähigkeiten aufzubauen und Branchenlösungen zu entwickeln, die auf unterschiedliche Datenklassifizierungen zugeschnitten sind und mit der Kontrolle der Gerichtsbarkeit des jeweiligen Landes konform sind.
Die Datenklassifizierung ist von zentraler Bedeutung, um zu verstehen, welchen Speicherort und welche Schutzmaßnahmen Sie für Ihre Daten benötigen, um ihre „Souveränität“ unter der jeweiligen Gerichtsbarkeit zu wahren. Die VMware Sovereign Cloud Initiative hat einen Vertraulichkeitsmaßstab geschaffen, der auf der Klassifizierung der Daten basiert und je nach Branche variiert. Je nach Branche und Region gibt es verschiedene Beispiele, z. B. die offiziellen Klassifizierungen der Regierung des Vereinigten Königreichs „Official“, „Secret“, „Top Secret“ usw. Beispiele aus dem kommerziellen Bereich sind „Vertraulich“, „Intern“, „Öffentlich“, „Sensibel“ und „Hochsensibel“. Welche Klassifizierungen ein Sovereign-Cloud-Anbieter standardmäßig in seine Plattform aufnimmt, hängt von einer Kombination aus lokalen Rechtsnormen und der Art der Kunden ab, für die die Plattform bestimmt ist.
Das Prinzip der Datenklassifizierung und Vertrauenswürdigkeit besteht darin, dass die Sicherheitsmaßnahmen des Sovereign-Cloud-Anbieters in verschiedene Vertrauenszonen (architektonisch als Sicherheitsdomänen bezeichnet) eingeteilt werden können. Je höher die Klassifizierung, desto vertrauenswürdiger und souveräner ist das Angebot. Je größer die Menge an nicht klassifizierten Daten, desto mehr Risikominimierungs- und Schutzmaßnahmen sind erforderlich (z. B. Datenverschlüsselung, Confidential Computing oder Privacy-Enhancing Computation). Es gibt jedoch einige harte Grenzen, z. B. bei der letzten Zone mit der höchsten Sicherheit, die sich immer innerhalb eines souveränen Staates befindet und der souveränen Kontrolle der Gerichtsbarkeit unterliegt.
Die Platzierung der Daten muss auf der am wenigsten vertrauenswürdigen/souveränen Dimension des Services basieren. Wenn Sie Ihre Datenklassifizierungsanforderungen unter Berücksichtigung der vorgeschlagenen Services bewerten, erfahren Sie, wo Sie Ihre Daten platzieren können, je nach erforderlichen Speicherorten und verfügbaren Maßnahmen zur Risikominimierung. Dies ist eine Gelegenheit für Overlay-Lösungen von VMware Sovereign Cloud-Partnern. In vielen Fällen kann eine bestimmte Datenklassifizierung auf einer bestimmten Plattform (oder Sicherheitsdomäne) platziert werden, wenn bestimmte Sicherheitskontrollen vorhanden sind. So können z. B. vertrauliche Daten auf Shared-Sovereign-Cloud-Infrastrukturen gespeichert werden, wenn sie verschlüsselt sind und der Kunde über seine eigenen Schlüssel verfügt.
Anhand der Analyse von Risiken und Datenklassifizierung können VMware Sovereign Cloud Provider erkennen, wo ihre vorgeschlagenen Sovereign-Cloud-Angebote im Vergleich zu ihren anderen Services angesiedelt sind, beispielsweise Hyperscale-Public-Cloud-Services. Dann haben sie die Möglichkeit festzulegen, wie die Daten mithilfe von Technologie und Prozessen in die Servicedimension mit der angemessenen Souveränität verlagert werden können, um den Souveränitätsschutz und die Cloud-Nutzung für den Kunden zu optimieren.
Aus den oben genannten Gründen sind VMware Sovereign Cloud Provider,
die On-Premises-Software von VMware verwenden, bestens ausgerüstet, um kompatible gehostete Sovereign-Cloud-Angebote zu erstellen, die mit den geltenden Datensouveränitätsgesetzen, – richtlinien und -rahmenbedingungen der zuständigen lokalen oder regionalen Gerichtsbarkeiten konform sind – in einem Modell, mit dem sich Kontrolle der Gerichtsbarkeit und Datensouveränität besser gewährleisten lässt.
Ich danke Ali Emadi für die Mitarbeit an diesem Artikel.
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn, Youtube & Podcast
