Exponentielles Datenwachstum und die Frage des korrekten SpeicherortsDigitale Souveränität in der Cloud erreichen
24. Oktober 2022Nach Angaben des World Economic Forums bedeutet digitale Souveränität „die Fähigkeit, die Kontrolle über das eigene digitale Schicksal zu haben – die Daten, Hardware und Software, auf die man sich verlässt und die man erstellt“.
Angesichts des exponentiellen Datenwachstums und der Tatsache, dass moderne Organisationen immer mehr auf digitale Plattformen angewiesen sind, wächst der Bedarf an digitaler Souveränität in allen Ländern. Aber warum ist es eine solche Herausforderung, digitale Souveränität zu erreichen?
Nach Schätzungen des World Economic Forums sind heute über 92 Prozent aller Daten in der westlichen Welt auf Servern von Unternehmen mit Hauptsitz in den USA gespeichert. Die Sorge der europäischen Regierungen um die Kontrolle und den Schutz dieser Daten war ein wichtiger Faktor bei der Einführung der Datenschutzgrundverordnung (DSGVO).
Doch erst als das EU-US Privacy Shield im Jahr 2020 durch das Schrems II-Urteil des Gerichtshofs der Europäischen Union für ungültig erklärt wurde, machte das die digitale Souveränität zu einem dringenden Diskussionsthema in großen Unternehmen und im öffentlichen Sektor.
Das EU-US Privacy Shield diente als allgemeiner rechtlicher Schutzschirm, unter dem globale Unternehmen sicher arbeiten und Daten zwischen der Europäischen Union und den Vereinigten Staaten übertragen konnten. Schätzungen zufolge waren über 5.000 Unternehmen, ihre Tochtergesellschaften und Zulieferer von dem Urteil betroffen, das einen Teil des jährlichen transatlantischen Handelsvolumens von 1,3 Billionen Dollar bedroht.
Der Streit um die digitale Souveränität zwischen der EU und den USA ist das sichtbarste Beispiel, aber bei weitem nicht der einzige Streitpunkt. Überall auf der Welt, sogar zwischen den EU-Mitgliedstaaten, wird die digitale Souveränität immer wichtiger.
Konsequenzen der digitalen Souveränität
Die digitale Souveränität wirft Fragen für CIOs auf, die über Cloud-Strategie, Governance und Risikomanagement nachdenken. Es stellt sich nicht nur die Frage, in welchem Land oder welcher Region sich die Server befinden, auf denen sensible Daten gespeichert werden, sondern auch, wer Zugriff auf diese hat. Aufgrund des amerikanischen CLOUD-Acts sind auch die Töchter von US-Unternehmen gezwungen, Daten, die auf europäischen Servern liegen, herauszugeben. Somit ist ein vergleichbares Schutzniveau wie im EWR nicht mehr gewährleistet.
Folglich müssen Organisationen die notwendigen zusätzlichen Maßnahmen ermitteln und ergreifen, um den Schutz der übertragenen Daten auf das von der europäischen Gesetzgebung geforderte Niveau zu bringen. Doch in der Cloud ist dies leichter gesagt als getan.
Unternehmen verlassen sich auf eine Vielzahl von Cloud-Diensten. Laut dem neuen Data Threat Report 2022, der von 451 Research für Thales erstellt wurde, nutzen 34 Prozent der Unternehmen weltweit mindestens 50 SaaS-Anwendungen und 17 Prozent 100 oder mehr SaaS-Anwendungen. Sensible Daten fließen durch die meisten dieser Plattformen und schaffen eine Umgebung, in der die Hälfte der Befragten angab, dass die Verwaltung von Datenschutzbestimmungen in der Cloud komplexer sei als im eigenen Rechenzentrum.
Daten-, Betriebs- und Softwaresouveränität
Für eine erfolgreiche Cloud-Strategie gibt es drei Hauptpfeiler, die die Ziele der digitalen Souveränität unterstützen: Datensouveränität, operative Souveränität und Software-Souveränität.
- Datensouveränität bedeutet, dass Unternehmen die Kontrolle über die Verschlüsselung und den Zugriff auf ihre Daten behalten. So wird sichergestellt, dass sensible Daten nicht ohne ausdrückliche Erlaubnis in die Hände einer ausländischen Einrichtung fallen, was einen Verstoß gegen die europäische Rechtsprechung bedeuten würde.
- Betriebssouveränität bedeutet, dass ein Unternehmen Transparenz und Kontrolle über den Betrieb des Providers erhält. Dadurch wird sichergestellt, dass kriminelle Akteure oder schadhafte Prozesse nicht auf wertvolle Daten zugreifen oder den Zugriff darauf verhindern können, z. B. im Falle eines privilegierten Benutzerzugriffs oder eines Ransomware-Angriffs.
- Software-Souveränität bedeutet, dass Workloads unabhängig von den Systemen eines Providers ausgeführt werden. Dies gibt Unternehmen die Freiheit, Daten dort zu speichern und Workloads dort auszuführen, wo sie es möchten, um die Leistung, Flexibilität und allgemeine Ausfallsicherheit zu optimieren.
Diese drei Säulen sind sehr wichtig, denn nur Unternehmen, die die Verantwortung für ihre digitale Souveränität selbst in der Hand haben, können sensible Workloads leichter in die Cloud verlagern und Compliance-Vorgaben erfüllen.
Armin Simon ist Regional Director Deutschland bei Thales.