Die Bedeutung der Cloud-Souveränität im Cloud-Computing
Cloud-Souveränität bezeichnet die rechtliche Aufsicht und das Eigentum an Daten und Informationen innerhalb einer Cloud-Computing-Umgebung. Sie ist entscheidend für den Schutz der Daten und die Wahrung der Privatsphäre.
Um die Relevanz der Cloud-Souveränität zu verstehen, betrachten wir einige Datenschutzverletzungen, die in der Vergangenheit aufgetreten sind.
#1. Der Epsilon-E-Mail-Vorfall
Ein bemerkenswerter Vorfall ereignete sich am 30. März 2011, als die Datensicherheit bei Epsilon, einem führenden Anbieter von E-Mail-Marketing-Diensten, gravierend kompromittiert wurde. Epsilon wickelt E-Mail-Marketing für über 2500 Unternehmen ab, darunter auch Fortune-500-Konzerne.
Anfang April wurden die Auswirkungen des Vorfalls spürbar. Kunden zahlreicher Fortune-500-Unternehmen beklagten sich über den Erhalt von Spam- und Phishing-E-Mails an Adressen, die sie diesen Unternehmen zuvor mitgeteilt hatten.
Am 2. April bestätigte Epsilon den Vorfall. Ein unbefugter Zugriff auf das E-Mail-System war am 30. März 2011 festgestellt worden.
Diese Datenschutzverletzung führte zum Diebstahl von über 40 Millionen Kundennamen und E-Mail-Adressen von Kunden verschiedener Unternehmen, die von Epsilon bedient wurden. Der Schaden belief sich auf geschätzte 4 Milliarden US-Dollar.
Der Fall Epsilon ist kein Einzelfall. Zahlreiche Unternehmen haben kostspielige Verstöße erlitten, bei denen sensible Daten in die Hände Unbefugter gelangten.
Man stelle sich die Folgen vor, wenn medizinische, finanzielle oder militärische Daten betroffen wären. Dies ist ein Szenario, mit dem sich Cloud-Computing-Nutzer ständig auseinandersetzen müssen.
Aufgrund der Kosten und Auswirkungen von Datenschutzverletzungen ist die Sicherheit und Transparenz von Cloud-Anbietern für viele Unternehmen ein wichtiges Anliegen.
#2. Der NSA-Prism-Vorfall
Ein weiteres Ereignis, das bei Organisationen, die Cloud-Computing nutzen, Besorgnis auslöste, war der Prism-Vorfall. 2013 wurde bekannt, dass die National Security Agency (NSA) der Vereinigten Staaten über das Prism-Programm direkten Zugriff auf Nutzerdaten hatte, die von führenden Internetunternehmen wie Microsoft, Yahoo, Google, Facebook und Apple gespeichert wurden. Es ist wichtig zu wissen, dass einige dieser Unternehmen führende Anbieter von Cloud-Lösungen sind.
Der Prism-Vorfall verdeutlichte, dass es keine „Cloud“ im eigentlichen Sinne gibt. Was als Cloud bezeichnet wird, sind in Wirklichkeit Rechenzentren, die den Gesetzen der Länder unterliegen, in denen sie sich befinden.
Wenn eine Organisation Cloud-Computing nutzt und das Rechenzentrum ihres Anbieters sich in einem anderen Land befindet, könnten unbefugte Stellen aufgrund der Gesetze des jeweiligen Landes auf ihre Daten zugreifen.
Infolgedessen legen immer mehr Unternehmen Wert darauf, wo ihre Daten gespeichert werden. Ein Bericht von Capgemini aus dem Juli 2022 zeigte, dass 69 % der Unternehmen besorgt sind, in einer Cloud-Umgebung extraterritorialen Gesetzen ausgesetzt zu sein.
Der Bericht „The Journey to Cloud Sovereignty“ ergab zudem, dass 66 % der Unternehmen weltweit und im öffentlichen Sektor lokale/regionale Rechenzentrumsangebote von Cloud-Anbietern als wichtiges Auswahlkriterium betrachten.
Diese Besorgnis ist auf die Möglichkeit zurückzuführen, dass ausländische Regierungen aufgrund des Standorts der Rechenzentren Zugriff auf Daten erhalten könnten.
All dies zeigt, dass Cloud-Souveränität einen Markt erschließen muss, der auf Datensicherheit, den Speicherort von Daten, den Zugriff auf Daten und unterschiedliche Datenschutzgesetze achtet.
Besonders in Europa streben Unternehmen aufgrund der Dominanz amerikanischer Cloud-Anbieter nach Cloud-Souveränität. Eine weltweite CEO-Umfrage der International Data Corporation ergab, dass 80 % der europäischen Unternehmen digitale Souveränität als höchste Priorität betrachten.
Was genau bedeutet Cloud-Souveränität?
Cloud-Souveränität basiert auf der Prämisse, dass ein Land oder eine Region das Recht hat, die Speicherung, Verarbeitung und Nutzung von Daten innerhalb seiner Grenzen zu kontrollieren und zu überwachen.
Sie verbindet die Vorteile des Cloud-Computing mit der Einhaltung lokaler Datenschutz- und Sicherheitsgesetze und trägt den kulturellen und gesellschaftlichen Werten der jeweiligen Region Rechnung.
Eine souveräne Cloud stellt sicher, dass Daten und Metadaten in der Region oder dem Land bleiben, in dem sie erhoben werden. Zudem gewährleistet sie den Schutz vor unbefugtem Zugriff und die vollständige Kontrolle der Eigentümer über ihre Daten.
Wie im Bericht „Der Weg zur Cloud-Souveränität“ erwähnt, schafft die Cloud-Souveränität eine Cloud-Computing-Umgebung, die lokal oder regional innerhalb einer einzelnen Nation oder Gerichtsbarkeit gehostet, bereitgestellt, verwaltet und kontrolliert wird.
Wie erreicht man Cloud-Souveränität?
Eine Cloud-Lösung erlangt Souveränität durch die Erfüllung folgender Kriterien:
Einhaltung lokaler Datenschutzgesetze
Viele Länder haben Gesetze, die die Erhebung, Verarbeitung und Nutzung von Bürgerdaten regeln. Diese Gesetze unterscheiden sich oft erheblich.
Deutschland hat beispielsweise ein Datenschutzgesetz, das die Datenübermittlung in Drittländer einschränkt, selbst wenn das datenverarbeitende Unternehmen nicht in Deutschland ansässig ist. Andere Länder, wie China und Russland, schreiben die Speicherung von Daten auf Servern innerhalb ihrer Landesgrenzen vor.
In Europa regelt die Datenschutz-Grundverordnung (DSGVO) den Datenschutz und die Privatsphäre und kontrolliert die Datenübertragung außerhalb der Europäischen Union. Daher muss eine souveräne Cloud die Datenschutzgesetze der jeweiligen Region einhalten.
Datensouveränität
Um Datensouveränität zu erreichen, ist Datenlokalisierung erforderlich. Hierbei werden in der Cloud gehostete Daten in einem bestimmten Land oder einer Region gespeichert und verarbeitet, unter Einhaltung der lokalen Datenschutzgesetze.
Darüber hinaus ist der Zugriff auf Daten auf autorisiertes Personal beschränkt, und die Dateneigentümer behalten die vollständige Kontrolle über die in der Cloud gespeicherten Daten.
Kontrolle und Zugriff auf Daten
Eine souveräne Cloud sollte eine umfassende regionale Kontrolle darüber ermöglichen, wie die erhobenen Daten gespeichert, verarbeitet und weitergegeben werden.
Dies kann bedeuten, dass Regionen der Zugriff auf Daten in lokalen Rechenzentren gewährt wird, sowie die Möglichkeit, zu überprüfen, zu auditieren und zu verlangen, dass Daten innerhalb ihrer Grenzen gespeichert und verarbeitet werden.
Eine Cloud erreicht Souveränität durch die Einhaltung der Datenschutzgesetze einer Region, Datensouveränität und Kontrolle des Datenzugriffs.
Warum sollten Cloud-Anbieter ihren Kunden Cloud-Souveränität anbieten?
Immer mehr Organisationen und Länder investieren in Cloud-Computing, und die Branche wird in den kommenden Jahren weiter wachsen. Bei diesem Wachstum wird die Cloud-Souveränität eine entscheidende Rolle bei der Auswahl von Cloud-Lösungen spielen.
Im Folgenden werden einige Gründe aufgeführt, warum Cloud-Anbieter in Erwägung ziehen sollten, ihren Kunden Cloud-Souveränität zu bieten:
- Kundenbedenken adressieren: Mit dem Aufstieg des Cloud-Computings wächst auch die Sorge von Organisationen und Ländern hinsichtlich der Sicherheit ihrer Daten, der mangelnden Kontrolle über in der Cloud gehostete Daten und der Gefährdung durch extraterritoriale Gesetze, die den Zugriff unbefugter Stellen auf sensible Daten ermöglichen könnten. Ein Cloud-Anbieter, der Cloud-Souveränität bietet, kann diesen Bedenken entgegenwirken.
- Einhaltung von Vorschriften: Unterschiedliche Länder und Regionen haben Datenschutzgesetze entwickelt. Organisationen, die ihre Daten und Dienste in die Cloud verlagern, müssen die geltenden Datenschutzgesetze ihrer Region einhalten. Cloud-Souveränität ermöglicht es Anbietern, Lösungen anzubieten, die es Unternehmen ermöglichen, von Cloud-Computing zu profitieren und gleichzeitig die Datenschutzbestimmungen ihres Landes einzuhalten.
- Anpassung an Marktanforderungen: Laut dem Capgemini-Bericht betrachten über 66 % der Unternehmen weltweit lokale oder regionale Rechenzentren als wichtiges Auswahlkriterium für eine Cloud-Lösung. Cloud-Anbieter müssen daher Cloud-Souveränität bieten, um einen großen Teil des Marktes zu erreichen.
- Leistung und Latenz: Durch die Speicherung von Daten in der Cloud-Umgebung in der Nähe ihres Ursprungsorts wird die Leistung optimiert und die Latenz reduziert. Dies ist vorteilhaft für Anwendungen, die schnellen Datenzugriff benötigen, wie z.B. Datenanalysen.
- Datensicherheit und -kontrolle: Cloud-Souveränität ermöglicht es Cloud-Anbietern, Daten und Privatsphäre besser zu schützen, indem sie die Speicherung, Verarbeitung und Weitergabe privilegierter Daten auf das Herkunftsland oder die Herkunftsregion beschränken. Dies garantiert Organisationen die vollständige Kontrolle und das Eigentum an ihren Daten und kann den unbefugten Zugriff aufgrund unterschiedlicher territorialer Gesetze verhindern.
- Kostensenkung: Die Speicherung von Daten in der Nähe ihres Ursprungs- und Verwendungsorts kann die Kosten für die Datenübertragung senken. Zudem können Anbieter durch die Einhaltung regionaler Vorschriften zusätzliche Compliance-Kosten vermeiden. Schließlich können bestimmte Standorte geringere Speicher- und Bandbreitenkosten bieten.
Cloud-Souveränität ist für Regierungen und Organisationen von entscheidender Bedeutung, da sie die Einhaltung von Vorschriften in verschiedenen Ländern gewährleistet und Organisationen die volle Kontrolle, das Eigentum und die Sicherheit ihrer Daten ermöglicht.
Fazit
Es wird erwartet, dass Cloud-Souveränität im kommenden Jahr bei der Auswahl von Cloud-Anbietern eine zentrale Rolle spielen wird. Cloud-Anbieter sollten daher beginnen, Cloud-Souveränität anzubieten, um wettbewerbsfähig zu bleiben, Kunden nicht zu verlieren und auf der richtigen Seite des Gesetzes zu stehen.
Sie können sich als Nächstes über Cloud-Hosting-Plattformen für Startups bis hin zu großen Organisationen informieren.