Wie ist der Schweizer Markt hinsichtlich Sovereign Clouds aufgestellt und warum braucht es sie?
Kurt Ris: Die souveräne Cloud ist die Antwort auf ein steigendes Bedürfnis nach vollständiger Datenhoheit und Unabhängigkeit. Hyperscaler können (oder wollen) nicht alle Dimensionen erfüllen, denn es geht bei Souveränität um weit mehr als Datenhaltung und Datenstandort. Dies wird Entscheidern immer mehr bewusst. Eine Sovereign Cloud kann hochregulierte und hochvertrauliche Workloads effektiv bewältigen und die geforderte Souveränität gewährleisten. Diese basiert auf einer geeigneten nationalen Organisationsform eines Anbieters inklusive deren Governance sowie der geeigneten Wahl der eingesetzten Technologien der Cloud-Plattform. Das heisst, spezialisierte Anbieter betreiben eine eigene private Cloud-Plattform, um die definierten länder- oder branchenspezifischen Anforderungen zu erfüllen und eine sichere und souveräne Umgebung für geschäftskritische Workloads anbieten und garantieren zu können. Hyperscaler bieten eine globale Skalierung mit zentralisierten globalen Organisations- und Prozessmodellen, aber keine individuellen Lösungen, abgestimmt beispielsweise auf das Schweizer Recht oder die Bedürfnisse von Steuerämtern. Wir beobachten den Souveränitätstrend in der Romandie schon ausgeprägter. Nun kommt die Nachfrage auch immer mehr aus der Deutschschweiz.
Für welche Unternehmen ist eine Sovereign Cloud sinnvoll?
Für private und öffentliche Unternehmen, die unter strengen regulatorischen Rahmenbedingungen arbeiten und/oder hochsensible Daten verarbeiten, bereitstellen oder migrieren, ist eine Sovereign Cloud ein Bedürfnis, wie zum Beispiel im Gesundheitswesen, bei Finanzdienstleistern oder staatlichen Institutionen. Dieser Trend spiegelt ein wachsendes Bewusstsein dafür wider, wie wichtig es ist, Cloud-Services auf spezifische gesetzliche Vorschriften und Compliance-Anforderungen zuzuschneiden.
Welche Dimensionen an Souveränität gibt es?
Bei der Souveränität ist es sinnvoll, nicht nur die gespeicherten Daten zu betrachten, sondern das ganze Bereitstellungsmodell einer Cloud. Die typischen Dimensionen der Cloud-Souveränität sind: Datenhoheit (Data Sovereignty), Technologie-Souveränität (Technology Sovereignty), Betriebssouveränität (Operational Sovereignty), vertragliche Souveränität (Contractual Sovereignty), Governance-Souveränität (Governance Sovereignty) sowie politische Souveränität (Political Sovereignty). Jede dieser Dimensionen trägt dazu bei, die Kontrolle und Sicherheit der Daten zu erhöhen und die Einhaltung der lokalen Vorschriften zu gewährleisten. Kunden sollten ihre Anforderungen und Prioritäten sorgfältig bewerten, um die passende Dimension der Souveränität für ihre Cloud-Dienste auszuwählen. Wegen der Technologiedominanz des Silicon Valley ist die Souveränitätsfrage in der Schweiz eine ganz andere als in den USA. Ein breit abgestützter Approach ist hier der Einsatz von Open Source. Wenn wir eine 100-prozentige Souveränität haben wollen, müsste alles direkt hier in der Schweiz entwickelt, aufgebaut und betrieben werden – das wird praktisch nie erreicht. Also ist die Gewichtung der Dimensionen entscheidend.
Was muss man bei der Wahl eines Sovereign-Cloud-Anbieters beachten?
Grundvoraussetzung ist folgende: Der Partner muss eine eigene private Cloud betreiben, mit voller Kontrolle über alle notwendigen Prozesse für den Aufbau und Betrieb der gesamten Plattform. Zudem muss der Partner der individuellen Gewichtung der Dimensionen von Souveränität entsprechen. Das bedeutet, er kann beispielsweise, wenn man die Technologiesouveränität sehr hoch gewichtet, das nötige Engineering-Know-how aufweisen. Natürlich muss ein Anbieter die Datenschutzgesetze und -vorschriften des Landes erfüllen. Dafür sollte er die entsprechenden Zertifizierungen und Audits vorweisen können. Die Daten müssen innerhalb der geografischen Grenzen des Landes gespeichert und verarbeitet werden. Man soll auch die Sicherheitsmassnahmen des Anbieters überprüfen, etwa Verschlüsselungstechniken, Zugriffskontrollen, Sicherheitsprotokolle und regelmässige Sicherheitsüberprüfungen. Nicht zuletzt sollte ein Anbieter die volle Transparenz über den Datenzugriff und die Datenverwaltung bieten. Ein Kunde muss jederzeit die Kontrolle darüber haben, wer auf seine Daten zugreift und wie sie verwendet werden.
Welche Herausforderungen und Risiken sind mit der Einführung und dem Betrieb einer Sovereign Cloud verbunden?
Für Unternehmen geht mit dem Einsatz einer Sovereign Cloud in gewissen Bereichen unter Umständen ein Verlust an Funktionalitäten einher. Es gilt also, abzuwägen, welche Dimensionen der Souveränität wie gewichtet werden sollen.
Welche Rolle spielen Managed Services bei der Implementierung und Verwaltung einer Sovereign Cloud?Managed Services spielen eine wichtige Rolle beim Betrieb, der Implementierung und der Verwaltung, wie bei allen Cloud-Modellen. Sie bieten Expertise, Sicherheit, Compliance, Kosteneffizienz und kontinuierliche Unterstützung. Sie ermöglichen es Unternehmen, sich auf ihre Kernkompetenzen zu konzentrieren, während sie die Komplexität und den Betrieb der Cloud-Infrastruktur dem spezialisierten Partner überlassen.
Inwiefern unterscheiden sich Service-Level-Agreements (SLA) für Managed Services in einer Sovereign Cloud von denen einer herkömmlichen Cloud-Umgebung?
Die Souveränitätsrechte müssen im SLA explizit abgebildet sein. Es muss vertraglich festgelegt werden, dass sie eingehalten und garantiert werden. Des Weiteren muss geregelt sein, was im Schadens- oder Missbrauchsfall (Datenverlust oder Datenschutzverletzung) zu tun ist. Ebenso soll eine Regelung für den Fall enthalten sein, wenn Souveränitätsrechte aufgehoben werden. Ausserdem müssen ein Eigentümerwechsel oder ein Kündigungsrecht beschrieben werden. Ein Service-Level-Agreement kann zusätzliche Elemente abbilden, wie etwa die Standorte der Bearbeitungs- und Operationsteams des Cloud-Betreibers.
Welche Trends und Entwicklungen zeichnen sich im Bereich der Sovereign Clouds ab, und wie könnten diese die zukünftige IT-Landschaft beeinflussen?
Durch den Mega-Trend KI gewinnt das Souveränitätsthema nochmals an Bedeutung. Denn vielen wird bewusst, dass sie durch den Einsatz der KI auch ihre Daten «öffnen» und einsehbar machen. Für hochregulierte und hochvertrauliche Workloads ergibt sich die Notwendigkeit, KI-Technologien in einer Weise zu entwickeln und zu betreiben, die den Anforderungen an Datensouveränität entspricht. Wenn Unternehmen oder staatliche Institutionen KI einsetzen, müssen sie sicherstellen, dass die Daten, die in diesen Prozessen verwendet werden, sicher und unter ihrer Kontrolle bleiben, besonders wenn diese Daten sensibel oder personenbezogen sind. Um mit den neuesten Entwicklungen Schritt halten zu können, ist es wichtig, den richtigen Partner an der Seite zu haben.
Der Artikel wurde ebenfalls in der August-Ausgabe 2024 der Netzwoche publiziert.