Viel ist von digitaler Souveränität die Rede. Das Konzept ist insbesondere relevant, wenn es um Daten in der Public Cloud geht. Was steckt dahinter und welche Modelle gibt es, um die Vorteile der Cloud souverän zu nutzen?
Die Public Cloud ist ein Game Changer. Und doch bleibt ein Unbehagen in derWirtschaft, was die Sicherheit und Compliance-Konformität von Unternehmensdaten angeht. Auch die Politik befasst sich je länger je intensiver mit dem Thema «Datensouveränität» bzw. «digitale Souveränität» der Schweiz.
Doch was steckt überhaupt hinter dem Schlagwort «digital souverän»?
Vereinfacht gesagt, sind es folgende drei Parameter, die erfüllt sein müssen, damit ein Unternehmen, eine Institution sich als «souverän» empfinden kann.
Datensouveränität
Der Eigentümer der Daten muss sich vollumfänglich darauf verlassen können, dass kein Unberechtigter – worunter auch der Cloud-Betreiber selbst fällt – Zugriff darauf hat. Niemand ausser dem Unternehmen oder der Institution, der diese Daten gehören, darf diese einsehen, geschweige denn kopieren, löschen oder in sonst einer Form manipulieren. Datensouveränität bedeutet zudem, dass die Verschlüsselung von Informationen ausserhalb der Cloud-Plattform erfolgt oder dass die Schlüssel in einem Cloud-externen Key Management verwaltet werden. Für viele Unternehmen, und dies nicht nur in regulierten Branchen, ist es darüber hinaus wichtig zu wissen, wo ihre Daten verarbeitet werden und wo sie liegen resp. darauf vertrauen zu können, dass sie die Schweiz nicht verlassen.
Betriebliche bzw. operationelle Souveränität
Ein Cloudnutzer muss darauf vertrauen können, dass der Betreiber des Public-Cloud-Dienstes bei Weiterentwicklungen des technischen Unterbaus der Plattform das Souveränitätsprinzip im Auge hat. Anpassungen der Plattform müssen im Einklang mit uneingeschränkter Datensicherheit bei fortwährender voller Leistungsfähigkeit vorgenommen werden. Unbefugte dürfen sich zu keiner Zeit Zugriff auf originäre Funktionen der Plattform verschaffen können.
Software-Souveränität
Völlig souverän ist ein Cloudnutzer nur dann, wenn er nicht auf Gedeih und Verderb von einer bestimmten Cloud bzw. einem bestimmten Anbieter abhängig ist. Applikationen und Dienste müssen daher jederzeit einfach auf eine beliebige andere IT-Infrastruktur (beispielsweise auch inhouse) migrierbar sein.
Verschiedene Modelle bieten eine Vielfalt an Sicherheiten
Unternehmen, die eine Nutzung der Public Cloud in Betracht ziehen, werden sich zuvor noch weitere Fragen in Bezug auf die am besten geeignete Roadmap für die Vorbereitung und Migration stellen. Da Unternehmen den Gang in die Cloud zumeist mit wenig geschäftskritischen Anwendungen und Daten starten und sukzessive «mutiger» werden, ist abzusehen, dass in ihren Infrastrukturen über kurz oder lang hybride Architekturen entstehen werden. Deren Management ist anspruchsvoll. Die grösste Herausforderung wird es in Zukunft sein, heterogene IT-Landschaften zu orchestrieren. Damit die Vorteile der Cloud – Dynamik und Einfachheit im skalierbaren Ressourcenbezug – nicht verloren gehen, lohnt es sich, vor allem auf Managed Services von Drittanbietern zu setzen bzw. Partner beizuziehen, die Erfahrungen mit dem Management von Multi-Cloud-Umgebungen mitbringen. Einen anderen Ansatz verfolgen Initiativen, in denen sich Hyperscaler mit Partnern zusammenschliessen. In diesem Modell stellt der Erstere die erwünschte Flexibilität, Skalierbarkeit und Leistungsfähigkeit sicher, während Letzterer die Verantwortung für die Einhaltung vereinbarter Souveränitätsbedingungen übernimmt, wie dies etwa bei der T-Systems Sourvereign Cloud powered by Google Cloud der Fall ist. Und wer ganz sicher gehen will, setzt auf einen Anbieter von Public-Cloudlösungen, der Datenhaltung in der Schweiz garantieren kann, wie dies beispielsweise bei der Swiss Open Telekom Cloud möglich ist. ■