Detail

«Sovereign Clouds bieten mehr als nur Kontrolle über Datenstandorte»

Das Bewusstsein für Datensouveränität in Unternehmen nimmt zu. Welche Möglichkeiten der ­Open-Source-Ansatz in dieser Hinsicht für Cloud-Anbieter eröffnet, erklärt Kurt Ris, CEO von ­EveryWare.

Welche Rolle spielt Open Source in der Entwicklung und Nutzung von Sovereign Clouds in der Schweiz? 
Kurt Ris: Auf Open Source basierende Systeme kommen auf allen technischen Ebenen zum Einsatz: beim Cloud-Orchestrator, bei den Systemen für Server- und Netzwerkvirtualisierung, bei Storage-Plattformen, bei Containern, bei Betriebssystemen und bei Middleware- und Applikationsservern oder DevOps-Frameworks. Also im gesamten Stack, der für den Aufbau und den Betrieb von Cloud-Plattformen benötigt wird. Der offene Quellcode ermöglicht es Unternehmen, die Sicherheits-, Compliance- und Datenschutzthemen umfassend zu prüfen und lokalen Anforderungen gerecht zu werden. Innovationen werden durch die Open-Source-Community getrieben, und Abhängigkeiten von proprietären Anbietern können minimiert werden. Der Einsatz von Open Source ist nur ein Aspekt im Kontext von Sovereign Clouds. Den Trend zu souveränen Clouds nehmen wir übrigens stark in der Romandie wahr und nun zunehmend auch in der Deutschschweiz.

Wie trägt der Open-Source-Ansatz konkret dazu bei, die Technologieabhängigkeit von ausländischen ­Anbietern zu reduzieren?
Open Source bezeichnet eine Art von Software, deren Quellcode frei zugänglich ist und von jedem eingesehen, geändert und weiterverbreitet werden kann. Der Begriff steht im Gegensatz zu proprietärer Software, bei der der Quellcode nicht offengelegt wird und Einschränkungen hinsichtlich Nutzung, Modifikation und Verbreitung bestehen. Die Open-Source-Community ist international, viele Entwicklerinnen und Entwickler arbeiten zusammen und bringen kreative Ideen ein. Der offene Code ermöglicht es, Sicherheitslücken oder Schwächen zu identifizieren, und bietet die Flexibilität, dass User die Software nach ihren Bedürfnissen anpassen können. Der Open-Source-Ansatz hilft somit, die technische und kommerzielle Abhängigkeit von einzelnen Anbietern zu reduzieren. Cloud-Anbieter können souveräne Cloud-Plattformen entwickeln und als Service anbieten, die auf nationale oder branchenspezifische Anforderungen zugeschnitten sind und die volle Verantwortung und Kontrolle der Systeme garantieren.

Können Sie dies noch etwas erläutern?
Durch die Sovereign Cloud verbleiben die Kontrolle über die Daten, Zugriffsrechte, Auditrechte etc. im eigenen Land und im eigenen Rechtssystem, was die direkte Abhängigkeit, respektive die Steuer- und Kontrollmöglichkeiten eines einzelnen internationalen Anbieters und damit verbundene geopolitischen Risiken, minimiert. Bei den Abhängigkeiten von ausländischen Cloud-Anbietern und deren Services geht es um mehr als nur um Software, die auf den eigenen Plattformen eingesetzt wird. Sämtliche Daten und Zugangs-, Autorisierungs- und Authentisierungsinformationen werden auf den Systemen dieser Anbieter verarbeitet und gespeichert. Aus dieser Optik spielen Rechtssysteme beziehungsweise die Vertragsbeziehung mit einem ausländischen Partner eine sehr zentrale Rolle. Sovereign Clouds bieten mehr als nur die Kontrolle über Daten­standorte; sie garantieren vollständige Datenhoheit und erfüllen branchenspezifische Vorgaben, etwa nach Schweizer Recht. Hyperscaler bieten nur globale, standardisierte Lösungen an. Denken Sie etwa an Lösungen für den Umgang mit sensiblen Gesundheitsdaten, die den strengen Datenschutzvorgaben des Schweizer Gesundheitssystems entsprechen müssen. Darüber hinaus ist der Open-Source-Ansatz auch für weniger regulierte Branchen attraktiv, da er hilft, Kosten zu kontrollieren. Anbieter könnten etwa unerwartet die Preise, wie bei Lizenzmodellen, erhöhen, was Unternehmen in eine Abhängigkeit bringt.

Wie wird sich die Technologiesouveränität im Cloud-Bereich weiterentwickeln?
Wir erleben ein steigendes Bewusstsein bei IT-Entscheidern bezüglich der diversen Souveränitätsdimensionen, dies auch bei der Technologiesouveränität, wo man eben auf Open Source setzt. Eine Abhängigkeit von internationalen Hyperscalern wird durch entsprechende Anbieter verringert, die Services ­anbieten, die auf nationale und branchenspezifische Anforderungen zugeschnitten sind. Diese Anbieter verwenden oft Open-Source-Technologien, um Flexibilität zu gewährleisten und einen Vendor-Lock-in zu vermeiden. Wir sind überzeugt, dass der Fokus auf lokale Anbieter weiter zunehmen wird.

Welche Rolle spielen lokale Compliance-Vorgaben und Datenschutzbestimmungen in Ihrer Servicearchitektur?
Im Kontext der Sovereign Cloud sind diese zentral. Wir integrieren diese Vorgaben in unsere Architektur, was uns ermöglicht, Sicherheit und Compliance durchgehend zu gewährleisten – von der Konzeption über die Entwicklung bis hin zum Betrieb unserer Services. Unsere Architektur ist so aufgebaut, dass sie flexibel auf regionale Unterschiede reagieren kann, und wir setzen auf lokale Rechenzentren und Technologien, die unsere Compliance-Standards erfüllen. So können unsere Kunden sicher sein, dass ihre Daten in einem rechtskonformen und geschützten Umfeld verarbeitet werden, was das Vertrauen stärkt und Risiken minimiert. Dieser Ansatz zeigt, dass Compliance und Datenschutz nicht nur als gesetzliche Pflicht verstanden werden, sondern als Grundpfeiler für die Vertrauensbasis gegenüber Kunden und Partnern.

Mit welchen Massnahmen gewährleisten Sie die Geschäftskontinuität in einer Sovereign Cloud und wie unterscheiden sich diese von Standardlösungen in Public Clouds?
Hier gibt es keine Unterschiede. Geschäftskontinuität kann nur durch regional verteilte und unabhängige Systeme und Betriebsstandorte erreicht werden.

Welche Argumente sprechen für eine Sovereign Cloud – trotz höherer Kosten im Vergleich zu Public-­Cloud-Anbietern?
Es gibt keine höheren Kosten bei Sovereign Clouds als bei Public Clouds. Vergleichbare technische Services müssen gleiche Preise haben. Hier spielen der Wettbewerb und die Konkurrenz zu gut. Teilweise werden meines Erachtens Äpfel mit Birnen verglichen. Mehr Services in puncto Security etwa führen zu zusätzlichen Kosten. Jedoch ist die Cloud an sich nicht teurer. Sovereign Clouds können den Kunden die Art und Ausprägung der Souveränität bieten, die sie suchen und die spezifisch ihrem Businessmodell entspricht und deren Anforderungen abdeckt. Schweizer Unternehmen sollten sich überlegen, ob es für sie vertretbar ist, dass sich die US-Regierung, basierend auf dem Cloud Act, Zugang auf alle Daten ohne jegliche Transparenzanforderung erwirken kann.

Inwiefern stärken Sovereign Clouds die Cybersicherheit von Unternehmen, und wie unterscheiden sich diese Massnahmen von denen der globalen ­Hyperscaler wie AWS oder Microsoft Azure?
Technisch und prozessual sind die Massnahmen dieselben. Jedoch nehmen sich die Hyperscaler das Recht heraus, nationale Transparenz- und Auditrechte über Massnahmen und Vorfälle zu verweigern. Dass sie dies aus ihrer Sicht so machen, ist nachvollziehbar. Eine Sovereign Cloud bietet sensiblen Daten den Schutz vor internationaler Exposure, basierend auf den Organisations- und Gouvernance-Strukturen der Organisation des Anbieters.

Welche langfristigen Vorteile ergeben sich für Firmen, die sich für eine Sovereign Cloud entscheiden?
Unternehmen, die sich für eine Sovereign Cloud entscheiden, profitieren von langfristigen Vorteilen, die besonders im Hinblick auf Datenschutz sowie Kontrolle relevant sind. Unternehmen behalten die volle Verfügungshoheit über all ihre Daten. Vertraglich können mit dem Anbieter alle Anforderungen nach lokalem Recht vereinbart und abgesichert werden. Das ist insbesondere in Branchen mit sensiblen Daten wichtig. Kommt hinzu: Die souveräne Cloud ermöglicht es Unternehmen, digitale Prozesse zu optimieren und schneller zu innovieren. Dadurch können Unternehmen schneller auf Marktveränderungen reagieren und Wettbewerbsvorteile nutzen.

Der Artikel wurde ebenfalls in der Netzwoche publiziert.