Digitale Souveränität in der Cloud – wie soll das gehen?

Am 10. Mai ist im Restaurant Clouds in Zürich der 12. Glenfis Cloud Talk über die Bühne gegangen. Das Thema der Vormittagsveranstaltung lautete "Digitale Souveränität in der Cloud – wie soll das gehen?" Hochkarätige Referate beleuchteten das Thema aus Provider-, Experten- und Kundensicht. Eine angeregte Podiumsdiskussion rundete den fachlichen Teil ab. Durch die Veranstaltung führte Joachim Görg, Deputy Managing Director von Glenfis.

Joachim Görg, Deputy Managing Director von Glenfis. (Source: Netzmedien)

Experten-Sicht

Netzwoche-Kolumnist und Präsident der Swiss Data Alliance André Golliez sprach über sein Kernthema "Datenräume". Er definierte, was Daten sind, wie sich Datenräume zusammensetzen und welche Akteure von Datenräumen betroffen sind. Golliez zitierte die 2012 verstorbene Volkswirtschafterin und Trägerin des Ökonomie-Nobelpreises von 2009, Elinor Ostrom, die den Begriff der Commons, also der Gemeingüter und die gemeinschaftliche Selbstverwaltung von Ressourcen, während ihrer Tätigkeit wissenschaftlich erforschte. Ihre Erkenntnisse können auch auf Datenräume angewendet werden, wenn man sie als Gemeingut konzipiert.

Damit es möglich wird, Ressourcen gemeinsam zu nutzen, ohne dass es zu Übernutzung oder Ausbeutung kommt, bedarf es laut Ostrom bestimmter Regeln. Etwa, dass es klar definierte Grenzen und Nutzungsbedingungen gibt, dass die Aneignungs- und Bereitstellungsregeln sowie lokale Bedingungen aufeinander abgestimmt sein und untereinander kongruent sein müssen. Die Betroffenen müssen ausserdem über die Änderung dieser Regeln mitbestimmen können. Die Einhaltung dieser Regeln muss überwacht werden, die Nichteinhaltung dieser Regeln wird mit glaubhaften und abgestuften Sanktionen belegt, Konflikte sollen in kostengünstigen und lokalen Institutionen gelöst werden können. Externe staatliche Behörden sollen das minimale Rechtssystem der lokalen Institution akzeptieren. 

André Golliez, Präsident der Swiss Data Alliance. (Source: Netzmedien)

Nach diesem Konzept sollen gemäss Golliez auch Datenräume definiert und reguliert werden. Eine entsprechende Motion zur Schaffung eines Rahmengesetzes für die Sekundärnutzung von Daten, das einen entsprechenden Schweizer Datenraum ermöglichen kann, ist im Parlament hängig.

Provider-Sicht

Guido Greber, Global Hybrid & Emerging Platforms Sovereign Cloud Offering Lead, Accenture, referierte aus Provider-Sicht zum Thema Sovereign Cloud und erklärte, warum sich Unternehmen, insbesondere solche aus regulierten Industrien, damit auseinandersetzen sollten. In der EU hat man z.B. festgestellt, dass mehr als 22'000 der europäischen Finanzdienstleiter weltweit arbeiten mit den Cloudangeboten von drei amerikanischen Hyperscalern, und darauf entsprechend den Digital Operational Resilience Act "DORA" entwickelt, welcher 2024 in der EU in Kraft tritt. Dieses Klumpenrisiko sollte vermindert werden. Greber sprach über die Anforderungen und Eigenschaften von sogenannten Sovereign Clouds, also in dedizierten geographischen Räumen betriebene Cloud-Infrastrukturen und lieferte sogleich folgende Definition dazu:

"Sovereign Cloud ist ein Ansatz, der Kunden die Kontrolle über Ort, Zugang und Verarbeitung ihrer Daten in einer Cloud-Umgebung ermöglicht. Dies geschieht als Reaktion auf Compliance-Anforderungen in spezifischen Ländern oder Industriebereichen." Zu den Gründen, warum eine regulierte Organisation eine solche souveräne Cloud-Lösung suchen könnte, sagte Greber, weil sie:

1. Immunität gegenüber dem Zugriff ausländischer Gerichtsbarkeiten auf Daten bietet. Dies bedeutet, dass die Daten vor Zugriffen geschützt sind, die durch Gesetze ausserhalb des Landes, in dem die Daten gespeichert sind, ermöglicht werden.
2. Alle personenbezogenen Daten innerhalb eines geographischen Gebiets aufbewahrt. Dies kann besonders wichtig sein, wenn Gesetze oder Vorschriften verlangen, dass bestimmte Arten von Daten innerhalb der Landesgrenzen bleiben.
3. Den Standort aller Kunden und personenbezogenen Daten offenlegt. Transparenz über den Ort der Datenspeicherung kann für Kunden wichtig sein, um Compliance-Anforderungen zu erfüllen.
4. Mit vorgeschriebenen nationalen Anforderungen für die Datenverarbeitung und die Sicherheitsüberprüfung des Personals konform ist. Dies kann bedeuten, dass die Cloud-Lösung spezifische Sicherheits- und Datenschutzstandards erfüllt und dass das Personal, das die Daten verarbeitet oder darauf zugreift, entsprechende Sicherheitsüberprüfungen durchlaufen hat.
5. Den Betrieb auch im autonomen Modus aufrechterhält. Dies bedeutet, dass die Cloud-Lösung auch dann weiterhin funktioniert, wenn sie vorübergehend von anderen Teilen des Netzwerks getrennt ist.
6. Die Portabilität und Wiederherstellbarkeit des Dienstes gewährleistet. Dies bedeutet, dass Kunden ihre Daten einfach von einem Anbieter zu einem anderen übertragen oder nach einem Datenverlust schnell wiederherstellen können.

Kunden-Sicht

Lukas Hohl, CEO und Gründer von TrustRelay, sprach über das Konzept von "Datenräumen-as-a-Service". TrustRelay wurde 2023 als Start-up aus der Swisscom ausgegliedert und bietet eine Plattform für Datenräume, um die Datenkollaboration zwischen Unternehmen zu ermöglichen. Hohl betonte die Notwendigkeit der Zusammenarbeit mit verschiedenen Partnern und dass es dafür Lösungen benötigt.

Lukas Hohl, CEO und Gründer von TrustRelay. (Source: Netzmedien)

Hohl identifizierte vier Hauptprobleme, die Unternehmen davon abhalten, Daten zu teilen:

1. Unklarheit über die Auswirkungen des Datenaustauschs - Unternehmen sind unsicher, ob sie durch den Datenaustausch Wert verlieren.
2. Regulatorische Bedenken - Unternehmen sind besorgt über die potenziellen rechtlichen Konsequenzen des Datenaustauschs.
3. Datenschutzbedenken - Unternehmen sind besorgt über den Schutz der Privatsphäre der Individuen, deren Daten sie halten.
4. Technische Komplexität - Die technischen Herausforderungen des Datenaustauschs können abschreckend wirken.

Diese Probleme führen oft dazu, dass Unternehmen sich dagegen entscheiden, Daten zu teilen, was zur Bildung von Datensilos und zum Verlust enormer Potenziale für Organisationen führt.

Die Ursachen dieser Probleme liegen laut Hohl in einem Mangel an rechtlichem Wissen und/oder einer mangelnden Abstimmung zwischen den Rechts- und Ingenieurteams, in datenbezogenen Vorschriften mit unbekannten Konsequenzen für das Geschäft und in der fehlenden Interoperabilität von Technologielösungen.

Martin Andenmatten über Gaia-X

Martin Andenmatten, der Geschäftsführer von Glenfis und Präsident der Swico-Interessengemeinschaft EuroCloud Swiss, präsentierte Gaia-X, die European Association for Data and Cloud. Andenmatten erklärte, wie digitale Plattformen zu digitalen Zwillingen physischer ökologischer, wirtschaftlicher, politischer und gesellschaftlicher Ökosysteme werden.

Martin Andenmatten, Geschäftsführer von Glenfis und Präsident von EuroCloud Swiss. (Source: Netzmedien)

Die Mission von Gaia-X ist es, ein offenes, transparentes und sicheres föderiertes digitales Ökosystem zu schaffen. In diesem Ökosystem basieren Daten und Dienste auf gemeinsamen Regeln. Es wird offen und sicher aufgebaut und gemeinsam verteilt genutzt.

Andenmatten betonte, dass Gaia-X kein EU-Projekt oder eine staatliche Initiative sei. Es handle sich vielmehr um ein privatwirtschaftliche Initiative mit dem Ziel, die Datenwirtschaft anzukurbeln. Gaia-X ist offen für alle, die die gleichen Werte teilen und hat keinen protektionistischen Charakter.

Im Anschluss an die Vorträge diskutierten die Referenten Fragen aus dem Plenum. Mit einem Apéro riche klang der Glenfis Cloud Talk aus.

Der 12. Glenfis Cloud Talk ging im Zürcher Restaurant Clouds über die Bühne. (Source: Netzmedien)

Warum digitale Souveränität so wichtig und der Weg dorthin so schwierig ist, erklärte Martin Andenmatten übrigens im Interview, in dem er auch über die Bedeutung von Gaia-X für die Schweiz sprach. Lesen Sie hier mehr dazu.