Souveränität und Cloud-Innovation schließen sich nicht aus

Die Cloud hat Ihnen nicht Ihre Souveränität genommen

Jahrelang kursierte digitale Souveränität in deutschen IT-Kreisen als nobles Streben – etwas, das man irgendwann anstreben würde, sobald die Cloud-Migration abgeschlossen sei. Dieser Moment ist nun da.

Souveränität darf nicht länger ein nachträglicher Einfall nach der Migration sein; sie muss von Anfang an in das Design integriert werden. Die Sorge ist nicht theoretisch. Europa ist bei der überwiegenden Mehrheit seiner Cloud-Infrastruktur von einigen Hyperscalern mit Hauptsitz in den USA abhängig. Wenn sich geopolitische Spannungen verschieben, sich der regulatorische Wind in Washington dreht oder ein Anbieter seine Servicebedingungen umschreibt, stellen europäische Organisationen fest, wie dünn ihr Konzept der Datenkontrolle wirklich ist. Für deutsche Unternehmen, Behörden und regulierte Branchen hat sich diese Abhängigkeit von einem Thema für die Vorstandsetage zu einem operativen Risiko entwickelt.

Anzeige

Architektur, nicht Beschaffung

Digitale Souveränität ist im Kern eine architektonische Frage – keine der Beschaffung. Daten auf einem Server in Deutschland abzulegen, macht sie nicht automatisch souverän. Was zählt, ist, wer die zugrunde liegende Infrastruktur kontrolliert, ob Unterauftragsverarbeiter auf Ihre Daten zugreifen können und ob Ihre Backup-Umgebung logisch und physisch von den Systemen getrennt ist, die sie schützt.

Nehmen wir Microsoft 365. Es ist das Produktivitäts-Rückgrat für die Mehrheit der deutschen Organisationen, doch der Datenschutz bleibt im Rahmen des Modells der geteilten Verantwortung (Shared Responsibility Model) von Microsoft die Aufgabe des Kunden. Wenn Ihr Backup innerhalb desselben Microsoft-Ökosystems liegt – auf Azure oder im selben Entra ID-Mandanten –, kann ein einziger Ransomware-Angriff oder ein versehentliches Löschen sowohl Ihre Live-Daten als auch Ihren Wiederherstellungspunkt gleichzeitig gefährden. Trennung ist keine Paranoia; sie ist Architektur.

Anbieterunabhängigkeit als Compliance-Fundament

Wahre Anbieterunabhängigkeit bedeutet, dass Ihre Backup-Infrastruktur nicht auf dem Hyperscaler läuft, dessen Dienste Sie sichern. Es bedeutet, dass keine Unterauftragsverarbeiter Ihre Daten im Hintergrund verarbeiten, dass Sie keiner extraterritorialen US-Gesetzgebung wie dem CLOUD Act ausgesetzt sind und dass Sie über unveränderliche Backups verfügen, die nicht von einem Angreifer verändert oder verschlüsselt werden können, der bereits in Ihre Produktionsumgebung eingedrungen ist. Für Organisationen, die sich mit NIS2, DORA und der DSGVO – sowie den noch kommenden Vorschriften – auseinandersetzen müssen, ist diese Unabhängigkeit ein Compliance-Fundament und kein Luxus.

Anzeige

Souveränität darf nicht länger ein nachträglicher Einfall nach der Migration sein; sie muss von Anfang an in das Design integriert werden.

Michael Heuer, Keepit

Ein Anbieter mit Hauptsitz in Europa zu sein, ist hier von Bedeutung – nicht als Marketingbehauptung, sondern als strukturelle Tatsache. Ein Unternehmen wie Keepit mit Hauptsitz in Dänemark, das seine eigenen Rechenzentren in Deutschland und europaweit nach EU-Recht betreibt und keine US-Muttergesellschaft hat, ist ein kategorisch anderer Vertragspartner als die lokale Niederlassung eines Hyperscalers. Die rechtliche Zuständigkeit ist überprüfbar und nicht nur vertraglich.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Souveränität ist eine Entscheidung, kein Ziel

Cloud-Innovation und digitale Souveränität stehen nicht im Widerspruch zueinander. Die Cloud bietet die Skalierbarkeit und Service-Bandbreite. Souveränität definiert die Grenzen, innerhalb derer diese Cloud betrieben wird – wer auf Daten zugreifen kann, nach welchen Gesetzen, in welchen Rechtssystemen und mit welchen Garantien für die Wiederherstellbarkeit. Beides richtig umzusetzen, ist kein Kompromiss. Es ist gute Architektur.

Michael

Heuer

Area VP DACH

Keepit

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.