Die digitale Transformation ist in Ländern mit am weitesten entwickelter Wirtschaft sowie Schwellenländern in vollem Gang. Wichtige Ermöglicher für technologische Innovation und gleichzeitige Treiber der Transformation sind die Anbieter von Public Clouds. Doch wie können staatliche Organisationen von der technologischen Innovation profitieren und dabei gleichzeitig die digitale Souveränität behalten sowie ihre gesetzlichen Aufträge auch im Krisenfall erfüllen?
Das Internet – Segen und Fluch
Heute ist der Bezug von Dienstleistungen über das Internet in den entwickelten Wirtschaften zur Normalität geworden und selbst kleine Betriebe basieren immer stärker auf Internetservices in ihrer Wertschöpfungskette.
Das Internet wurde als ausfallsicheres Netzwerk im Ernstfall für Teilnehmer mit gleichen Interessen konzipiert. Sein offenes Design ermöglicht leichten Zugang und Austausch für alle. Mit dem Einsatz in allen Bereichen der Gesellschaft und Wirtschaft werden auch kritische Informationen und Funktionen leichter zugänglich. Dadurch steigt auch die Gefahr des Missbrauchs und der Sabotage aus den unterschiedlichsten Motiven. Dies zeigt die wachsende Anzahl von weltweiten Cyberangriffen [1].
Für kleinere Betriebe aber auch kleine Gemeinden ist es oft nicht möglich sich selbstständig vor diesen Angriffen zu schützen. Anders als in der physischen Welt, wo ein Staat seine Bürger und die Infrastruktur auf seinem Gebiet schützt, wird dieser Basisschutz im Internet zum (grossen) Teil durch Technologiekonzerne übernommen. Die Services der Public Cloud Anbieter bieten einen höheren Schutz als es sich ein kleiner Betrieb oder eine Gemeinde leisten kann, wenn sie denn überhaupt geeignetes IT-Personal finden und bezahlen können.
Dilemma für staatliche Organisationen
Doch was ist mit staatlichen Organisationen, die gesetzliche Auflagen und Aufträge erfüllen müssen? Für sie scheinen die Services der ausländischen Public Cloud Anbieter, auch Hyperscaler genannt, aus den USA und China auf den ersten Blick nicht nutzbar.
Die digitale Souveränität wird durch die Gesetzgebung der Heimatländer der Public Cloud Anbieter tangiert (z.B. CLOUD Act). Auch der erleichterte geheimdienstliche Zugriff in den Heimatländern oder weltweiten Standorten der Hyperscaler ist ein Risiko. Weiterhin führt die verlängerte Servicekette durch Data Center ausserhalb der Hoheit der eigenen Organisation zu höheren Risiken bei der Auftragserfüllung besonders im Krisenfall.
Gleichzeitig vollziehen immer mehr Softwareanbieter einen Wechsel hin zum Service Provider. Dabei nutzen sie die Public Cloud Technologie der grossen Hyperscaler, um ihre Services anzubieten. Oftmals werden lokale Funktionen der Software nicht mehr aktiv weiterentwickelt, während neue Funktionen nur noch in der Cloud angeboten werden. Wenn ein ganzes Marktsegment von diesem Trend betroffen ist, hat man nur noch zwei Möglichkeiten: die Funktionalität aus der Public Cloud als Service zu beziehen oder mit erheblichen Zusatzkosten selbst zu entwickeln und zu unterhalten.
Lichtblicke
Amazon [2] und Microsoft [5] bewegen sich mit ihren neuesten Sovereign Cloud Plänen auch auf europäische und schweizerische staatliche Organisationen zu. Und der Bund plant eine Swiss Government Cloud mit Unterstützung grosser Hyperscaler aufzubauen [3].
Das im Sommer ratifizierte Swiss-U.S. Data Privacy Framework ermöglicht einen angemessenen Schutz beim Austausch von Personendaten mit zertifizierten US-Unternehmen [4]. Auch die Public Cloud Anbieter lassen sich zertifizieren.
Microsoft hat sein Hybrid Cloud Angebot verbessert und ermöglicht nun den Betrieb von Azure Services im organisations-eigenen (On-Premise) Data Center mit zertifizierter Hardware und regelmässigen Updates [6].
Somit können staatliche Organisationen davon ausgehen, dass in den nächsten 1-2 Jahren die Angebote hinsichtlich Sovereign und Hybrid Cloud weiter reifen werden und sich auch die Rechtssicherheit verbessern wird.
Quellen
- Microsoft Threat Intelligence: Microsoft Digital Defense Report 2024, Okt 2024
- About Amazon Team: AWS plans to invest €7.8 billion into the AWS European Sovereign Cloud, Mai 2024
- Bundesamt für Informatik, BIT: Swiss Government Cloud, Aug 2024
- Der Bundesrat: Swiss-U.S. Data Privacy Framework: Zertifizierte US-Unternehmen bieten einen angemessenen Schutz für Personendaten, Aug 2024
- Microsft Learn: Einführung zu Datensouveränität – Microsoft Cloud for Sovereignty, Okt 2024
- Cosmos Darwin: Introducing Azure Local, cloud infrastructure for distributed locations enabled by Azure Arc, Nov 2024
