Glenfis Cloud Talk

Digitale Souveränität in der Cloud – wie soll das gehen?

Uhr
von Marc Landis und jor

Am 10. Mai hat in Zürich der 12. Glenfis Cloud Talk stattgefunden. Die rund 40 Teilnehmenden erlebten eine Reihe hochkarätiger Referate und eine angeregte Podiumsdiskussion zum Thema digitale Souveränität in der Cloud.

Die Podiumsdiskussion am Cloud Talk (v.l.): Martin Andenmatten, Lukas Hohl, Guido Greber und André Golliez. (Source: Netzmedien)
Die Podiumsdiskussion am Cloud Talk (v.l.): Martin Andenmatten, Lukas Hohl, Guido Greber und André Golliez. (Source: Netzmedien)

Am 10. Mai ist im Restaurant Clouds in Zürich der 12. Glenfis Cloud Talk über die Bühne gegangen. Das Thema der Vormittagsveranstaltung lautete "Digitale Souveränität in der Cloud – wie soll das gehen?" Hochkarätige Referate beleuchteten das Thema aus Provider-, Experten- und Kundensicht. Eine angeregte Podiumsdiskussion rundete den fachlichen Teil ab. Durch die Veranstaltung führte Joachim Görg, Deputy Managing Director von Glenfis.

Joachim Görg, Deputy Managing Director von Glenfis. (Source: Netzmedien)

Experten-Sicht

Netzwoche-Kolumnist und Präsident der Swiss Data Alliance André Golliez sprach über sein Kernthema "Datenräume". Er definierte, was Daten sind, wie sich Datenräume zusammensetzen und welche Akteure von Datenräumen betroffen sind. Golliez zitierte die 2012 verstorbene Volkswirtschafterin und Trägerin des Ökonomie-Nobelpreises von 2009, Elinor Ostrom, die den Begriff der Commons, also der Gemeingüter und die gemeinschaftliche Selbstverwaltung von Ressourcen, während ihrer Tätigkeit wissenschaftlich erforschte. Ihre Erkenntnisse können auch auf Datenräume angewendet werden, wenn man sie als Gemeingut konzipiert.

Damit es möglich wird, Ressourcen gemeinsam zu nutzen, ohne dass es zu Übernutzung oder Ausbeutung kommt, bedarf es laut Ostrom bestimmter Regeln. Etwa, dass es klar definierte Grenzen und Nutzungsbedingungen gibt, dass die Aneignungs- und Bereitstellungsregeln sowie lokale Bedingungen aufeinander abgestimmt sein und untereinander kongruent sein müssen. Die Betroffenen müssen ausserdem über die Änderung dieser Regeln mitbestimmen können. Die Einhaltung dieser Regeln muss überwacht werden, die Nichteinhaltung dieser Regeln wird mit glaubhaften und abgestuften Sanktionen belegt, Konflikte sollen in kostengünstigen und lokalen Institutionen gelöst werden können. Externe staatliche Behörden sollen das minimale Rechtssystem der lokalen Institution akzeptieren. 

André Golliez, Präsident der Swiss Data Alliance. (Source: Netzmedien)

Nach diesem Konzept sollen gemäss Golliez auch Datenräume definiert und reguliert werden. Eine entsprechende Motion zur Schaffung eines Rahmengesetzes für die Sekundärnutzung von Daten, das einen entsprechenden Schweizer Datenraum ermöglichen kann, ist im Parlament hängig.

Provider-Sicht

Guido Greber, Global Hybrid & Emerging Platforms Sovereign Cloud Offering Lead, Accenture, referierte aus Provider-Sicht zum Thema Sovereign Cloud und erklärte, warum sich Unternehmen, insbesondere solche aus regulierten Industrien, damit auseinandersetzen sollten. In der EU hat man z.B. festgestellt, dass mehr als 22'000 der europäischen Finanzdienstleister weltweit arbeiten mit den Cloudangeboten von drei amerikanischen Hyperscalern, und darauf entsprechend den Digital Operational Resilience Act "DORA" entwickelt, welcher 2024 in der EU in Kraft tritt Dieses Klumpenrisiko sollte vermindert werden. Greber sprach über die Anforderungen und Eigenschaften von sogenannten Sovereign Clouds, also in dedizierten geographischen Räumen betriebene Cloud-Infrastrukturen und lieferte sogleich folgende Definition dazu:

"Sovereign Cloud ist ein Ansatz, der Kunden die Kontrolle über Ort, Zugang und Verarbeitung ihrer Daten in einer Cloud-Umgebung ermöglicht. Dies geschieht als Reaktion auf Compliance-Anforderungen in spezifischen Ländern oder Industriebereichen." Zu den Gründen, warum eine regulierte Organisation eine solche souveräne Cloud-Lösung suchen könnte, sagte Greber, weil sie:

  1. Immunität gegenüber dem Zugriff ausländischer Gerichtsbarkeiten auf Daten bietet. Dies bedeutet, dass die Daten vor Zugriffen geschützt sind, die durch Gesetze ausserhalb des Landes, in dem die Daten gespeichert sind, ermöglicht werden.
  2. Alle personenbezogenen Daten innerhalb eines geographischen Gebiets aufbewahrt. Dies kann besonders wichtig sein, wenn Gesetze oder Vorschriften verlangen, dass bestimmte Arten von Daten innerhalb der Landesgrenzen bleiben.
  3. Den Standort aller Kunden und personenbezogenen Daten offenlegt. Transparenz über den Ort der Datenspeicherung kann für Kunden wichtig sein, um Compliance-Anforderungen zu erfüllen.
  4. Mit vorgeschriebenen nationalen Anforderungen für die Datenverarbeitung und die Sicherheitsüberprüfung des Personals konform ist. Dies kann bedeuten, dass die Cloud-Lösung spezifische Sicherheits- und Datenschutzstandards erfüllt und dass das Personal, das die Daten verarbeitet oder darauf zugreift, entsprechende Sicherheitsüberprüfungen durchlaufen hat.
  5. Den Betrieb auch im autonomen Modus aufrechterhält. Dies bedeutet, dass die Cloud-Lösung auch dann weiterhin funktioniert, wenn sie vorübergehend von anderen Teilen des Netzwerks getrennt ist.
  6. Die Portabilität und Wiederherstellbarkeit des Dienstes gewährleistet. Dies bedeutet, dass Kunden ihre Daten einfach von einem Anbieter zu einem anderen übertragen oder nach einem Datenverlust schnell wiederherstellen können.

Kunden-Sicht

Lukas Hohl, CEO und Gründer von TrustRelay, sprach über das Konzept von "Datenräumen-as-a-Service". TrustRelay wurde 2023 als Start-up aus der Swisscom ausgegliedert und bietet eine Plattform für Datenräume, um die Datenkollaboration zwischen Unternehmen zu ermöglichen. Hohl betonte die Notwendigkeit der Zusammenarbeit mit verschiedenen Partnern und dass es dafür Lösungen benötigt.