Digitale Souveränität in der Cloud

Durch das exponentielle Wachstum von Daten haben Unternehmen vermehrt auf Cloud-Dienste zurückgegriffen, um ihre Datenspeicher zu erweitern und IT-Ressourcen zu schonen. Dabei verpflichten sich Anbieter durch Service Level Agreements (SLAs) zur Datenbewahrung und -bereitstellung. Die digitale Transformation hat jedoch ein komplexes Netzwerk von Abhängigkeiten geschaffen, in dem wir den Überblick über involvierte Parteien, Technologien und Schnittstellen verloren haben. Wir entwickeln individuelle Schnittstellen für Datenaustausch und Interoperabilität, doch wie sicher sind diese Lösungen wirklich? Die steigende Komplexität unserer digitalen Infrastrukturen kann zu schwerwiegenden Folgen führen, wenn ein Element versagt und den gesamten Betrieb beeinträchtigt.

Was versteht man unter digitaler Souveränität? 

In der aufregenden Reise der digitalen Transformation eröffnen sich für Unternehmen spannende Möglichkeiten. Doch während wir uns von den Chancen der Cloud und der Datenwelt begeistern lassen, sollten wir die damit verbundenen Herausforderungen nicht übersehen. Eine zentrale Frage in diesem Zusammenhang ist die digitale Souveränität – die Fähigkeit zur Selbstbestimmung und Kontrolle über unsere Daten, Technologien und Sicherheitsvorkehrungen.

Digital souverän zu sein bedeutet, die Informationstechnik in Gesellschaften, Staaten, Unternehmen und auch individuell selbstbestimmt zu nutzen und zu gestalten. Im digitalen Zeitalter ist Souveränität komplexer, da Regierungen im Cyberspace nur begrenzt Autorität haben. Dieser Umstand hat zu einer ungehinderten digitalen Globalisierung geführt, bei der Grenzen und Gesetze oft ignoriert wurden und einflussreiche Internet­akteure ihre eigenen Regeln aufgestellt haben.
Um diesen Rahmenbedingungen zu begegnen, ist es wichtig, die Themen Cloud-Souveränität und Daten-Souveränität genauer zu betrachten. Was bedeutet es, in der Cloud souverän zu sein, und wie können wir unsere Daten und Technologien schützen, ohne die Vorteile der Cloud und der Datenwelt aufzugeben? Dabei stellen sich entscheidende Fragen zur Sicherheit, zu Risiken und zu möglichen Schwachstellen in unserer digitalen Infrastruktur, die unsere operative Resilienz gefährden könnten.

Sicherheit in der Cloud muss neu gedacht werden

Die Sicherheit in der Cloud greift heute oft zu kurz. Unternehmen streben nach direkter Kontrolle über ihre Daten. Die Pandemie hat die Abhängigkeit von transnationalen Cloud-Lösungen weiter erhöht, weshalb eine digitale Unabhängigkeit entwickelt werden muss, um die Kontrolle über eigene Daten und Kundendaten zu behalten. Gesetze wie der Cloud Act (Clarifying Lawful Overseas Use of Data Act) erlauben es der Regierung in den USA, auf Daten zuzugreifen, die von nationalen Unternehmen gehostet werden, selbst wenn sich deren Server ausserhalb des Landes wie etwa in der Schweiz befinden. Dadurch sind Vertraulichkeit und Schutz der Daten grundsätzlich gefährdet, insbesondere bei sensiblen Informationen wie Bank- oder Gesundheitsdaten.

Die Bewegung für digitale Souveränität strebt danach, einen Teil der Macht zurückzugewinnen, die im digitalen Raum ausgeübt wird. Besonders auf europäischer Ebene hat die digitale Unabhängigkeit an Bedeutung gewonnen. Ziel ist es, unabhängige Lösungen zu entwickeln, insbesondere im Bereich der Cloud, um einen sicheren Umgang mit sensiblen Daten zu gewährleisten und nicht von grossen Technologieunternehmen abhängig zu sein. Digitale Souveränität soll die Grundlage für eine vertrauenswürdige und sichere digitale Zukunft bilden.

Hierzu besteht ein ambitioniertes Projekt, Gaia-X, das sich zum Ziel gesetzt hat, die Datensouveränität in Europa zu stärken und die Abhängigkeit von ausländischen Cloud-Anbietern zu verringern, indem es eine föderierte und sichere Dateninfrastruktur aufbaut. Dies mit dem Ziel, eine vertrauenswürdige und souveräne Cloud-Infrastruktur zu schaffen, die den europäischen Werten und Standards entspricht.

Wo steht die Schweiz in der Sicherstellung der ­digitalen Souveränität?

Die Schweiz befindet sich in einer entscheidenden Position, um die digitale Souveränität voranzutreiben. Mit einer starken Tradition der Neutralität und Diplomatie kann sie eine Brückenfunktion zwischen internationalen Interessengruppen einnehmen. Die Förderung von Innovation und Kooperation im Bereich der digitalen Infrastruktur kann die Glaubwürdigkeit der Schweiz als vertrauenswürdige Datenwirtschaft stärken. Eine Schlüsselrolle besteht darin, regulatorische Rahmenbedingungen zu schaffen, die Souveränität und Datenschutz respektieren, während sie gleichzeitig Innovation und wirtschaftliches Wachstum ermöglichen.

Die Schweiz hat eine wegweisende Strategie für das Jahr 2023 mit dem Titel "Digitale Schweiz" veröffentlicht, welche die Schwerpunkte und Ziele für die digitale Transformation des Landes setzt. Ein zentraler Aspekt dieser Strategie liegt in der Sicherung der digitalen Infrastruktur, um die Datenhoheit und Cybersicherheit zu gewährleisten. Die Förderung von Innovation, Forschung und Entwicklung im digitalen Bereich steht ebenfalls im Fokus, um die Wettbewerbsfähigkeit des Landes zu steigern. Die Schaffung von sicheren und vertrauenswürdigen Datenräumen spielt eine entscheidende Rolle bei der Unterstützung von Unternehmen und Bürgern bei der sicheren Verwaltung und Nutzung ihrer Daten. Im Zuge dieser Bemühungen plant die Schweiz auch die Entwicklung einer nationalen Datenstrategie, um die Kontrolle über ihre Daten zu behalten und die Interoperabilität mit internationalen Partnern zu fördern. 

In der Schweiz fehlen bislang konkrete Gesetze und Regulierungen sowie Initiativen zur Umsetzung einer souveränen Cloud-Infrastruktur. Bedauerlicherweise hat die Schweiz bisher auch keine aktive Rolle in Initiativen wie Gaia-X eingenommen, dem einzigen konkreten Innovationsprojekt in Europa, das die Gestaltung einer souveränen Cloud-Infrastruktur vorantreibt und die Möglichkeit bietet, schweizerische Anforderungen in diesem Bereich einzubringen.

Wie souverän sind die Cloud-Lösungen in der Schweiz?

Wie erwähnt, fehlen in der Schweiz derzeit die regulatorischen Voraussetzungen, um digitale Souveränität durch die Gesetzgebung konsequent umzusetzen. Wie in vielen anderen Ländern dominieren auch hier die meisten verfügbaren Cloud-Lösungen, die von US-amerikanischen und asiatischen Anbietern bereitgestellt werden. Zudem werden Plattformen und Lösungen angeboten, die von den 20 grössten Tech-Firmen ausserhalb Europas bereitgestellt werden, was langfristig eine Herausforderung für schweizerische und europäische Unternehmen darstellt. Sie sind von nicht-europäischen Anbietern abhängig und müssen sich mit Datenschutz- und Datenspeicherungsfragen auseinandersetzen.

Diese Abhängigkeit von proprietären Cloud-Lösungen birgt erhebliche Risiken. Unternehmen haben nur begrenzte Kontrolle über ihre Daten oder Datenabflüsse. Entsprechend treten Datenschutzprobleme auf, die Interoperabilität ist oft mangelhaft und die Kosten häufig hoch. Um diesen Risiken entgegenzuwirken und die digitale Souveränität zu stärken, setzen einige Schweizer Cloud-Anbieter vermehrt auf Open-Source-Lösungen da diese besser auf solche Fragestellungen überprüft werden können.

Selbst angesichts fehlender regulatorischer Voraussetzungen können Unternehmen durch den Einsatz von Open-Source-Lösungen proaktiv ihre digitale Souveränität stärken. Diese Lösungen bieten mehr Transparenz und Unabhängigkeit, da ihr Quellcode öffentlich zugänglich ist und von der Gemeinschaft überwacht wird. Dies erleichtert auch den Wechsel zu anderen Anbietern, was die Flexibilität erhöht und die Abhängigkeit von grossen Tech-Unternehmen verringert. Unternehmen haben somit die Möglichkeit, ihre digitale Resilienz zu stärken und ihre Abhängigkeit von einem einzigen Cloud-Provider zu reduzieren.