Mit Gaia-X eine sichere Cloud für Europa?

Wie sicher sind Cloudsysteme? Mit Gaia-X eine sichere Cloud für Europa?

31.07.2020 Von Thomas Schumacher |

Anbieter zum Thema

Gaia-X hat zum Ziel eine europäische Cloud-Infrastruktur zu schaffen. Die Initiative soll sogar über Europa hinausgehen, solange die europäischen rechtlichen Rahmenbedingungen eingehalten werden. Thomas Schumacher leitet für Accenture den Cybersecurity-Bereich in Deutschland und hat für uns einen Blick auf das Konzept geworfen und Antworten auf die sieben wichtigsten Fragen gefunden.

Gaia-X ist ein ehrgeiziges Projekt. Bevor der europäische Cloud-Dienst aber durchstarten kann gilt es noch einige Fragen zu klären.
(Bild: gemeinfrei / Pixabay)

Seit dem Startschuss im Oktober 2019 ist Gaia-X, eine europäische Cloud-Infrastruktur, immer wieder Thema. Anfang Juni präsentierte Bundeswirtschaftsminister Peter Altmaier zusammen mit seinem französischen Kollegen Bruno Le Maire ein erstes technisches Konzept. So bedeutungschwer der Name, so ambitioniert ist das Projekt.

Wie gut wird mit Gaia-X das Thema Datenschutz und Datensicherheit im Vergleich zu anderen Cloud-Lösungen abgebildet?

In der erklärten Zielsetzung der Bundesregierung lassen sich folgende Prinzipien ablesen: Datenschutz, Transparenz, Authentizität, Souveränität, freier Marktzugang, Interoperabilität und Nutzerfreundlichkeit. Da sich das Projekt noch in einem konzeptionellen Stadium befindet, bleibt die Umsetzung abzuwarten. Allerdings hat man nun die Chance, von Beginn an Themen wie Security und Privacy by design im Aufbauprozess zu berücksichtigen. Dies könnte tatsächlich ein Differenzierungsfaktor gegenüber den etablierten Plattformen werden.

Warum ist eine europäische Variante für die deutsche (und europäische) Unternehmenslandschaft so wichtig?

Deutschland hat beim digitalen Wandel noch Nachholbedarf. Auch im Cloud-Umfeld agiert die lokale Wirtschaft langsamer als andere Unternehmen im globalen und auch im europäischen Vergleich. Um sich handlungsfähig für die Zukunft aufzustellen, bedarf es also eines Gamechangers.

Ein europäisches Digitalisierungsprojekt, welches insbesondere auf lokale Anforderungen stärker eingeht, könnte deshalb eine echte Alternative für europäische Unternehmen darstellen. Darüber hinaus kann es für die europäische Wirtschaft geopolitische Risiken reduzieren, da eine höhere Rechtssicherheit besteht und somit die digitale Souveränität erhöht werden kann.

Inwiefern ist Datensicherheit von Cloud-Systemen ein Wettbewerbskriterium auf dem globalen Markt?

Durch den europäischen Vorstoß mit GDPR/DSGVO scheint es oft, als ob das Thema auf dem globalen Markt keine übergeordnete Rolle spielt. Dabei sind Anwender auch außerhalb der EU-Grenzen daran interessiert, dass ihre digitalen Prozesse sicher gestaltet sind. Besonders in Hinblick auf ihre sensiblen Daten wie beispielsweise bei Finanztransaktionen. Das belegt auch die Tatsache, dass andere Länder zu GDPR vergleichbare Regularien verabschiedet haben, u.a. Kalifornien (CCPA) oder Brasilien (LGPD). All diese Aspekte spielen selbstverständlich auch im globalen Wettbewerb eine Rolle.

Warum sind Unternehmen bei Cloud-Angeboten US-amerikanischer oder chinesischer Firmen zögerlich/zurückhaltend?

Ich kann nicht bestätigen, dass europäische Unternehmen bei Cloud-Angeboten der Hyperscaler besonders zurückhaltend agieren. Allerdings kann ich mir vorstellen, dass individuelle Risikoabwägungen zu dem Ergebnis führen, besonders kritische Geschäftsprozesse oder -daten derzeit bewusst nicht in überregionale Cloud-Umgebungen zu migrieren.

Ein Punkt, der in diesem Zusammenhang sicherlich relevant ist, ist der US-amerikanische CLOUD-Act. CLOUD ist an dieser Stelle ein Akronym und steht für Clarifying Lawful Overseas Use of Data. Mit diesem Gesetz sind US-amerikanische IT-Dienstleister oder Internetfirmen dazu verpflichtet, Daten unabhängig vom Speicherort an US-Behörden auf behördliche oder richterliche Anweisung zu übermitteln – unabhängig von der lokalen Gesetzeslage. Das steht wiederum in Konflikt mit europäischen Datenschutzvorstellungen und schafft so für europäische Unternehmen mehr als eine rechtliche Unsicherheit.

Sicherlich überlegen sich manche Unternehmen derzeit ebenso, ob man strategische IT-Plattformen einem oder wenigen Vendoren anvertraut. Auch hier könnte Gaia-X eine echte, zusätzliche Alternative darstellen.

Steigt mit Gaia-X nun das Vertrauen in Cloud-Lösung in Europa und Deutschland?

Zum jetzigen Zeitpunkt lässt sich diese Frage noch nicht beantworten. Es gilt abzuwarten, bis weitere Informationen zu Gaia-X verfügbar sind.

Mit den kommunizierten Architektur-Grundsätzen Offenheit und Transparenz, Interoperabilität, Verbundenheit, Authentizität und Vertrauen sind sicherlich die richtigen Attribute benannt. Aber selbstverständlich wird die Nutzung von Gaia-X nicht nur von Security-relevanten Themen abhängen. Natürlich muss Gaia-X auch in puncto Servicequalität und Funktionalität die Anwender überzeugen. Hier ist der Vorsprung der Hyperscaler groß und die Innovationskraft immens.

Was können europäische und deutsche Unternehmen mit Gaia-X nun besser umsetzen als zuvor?

Erst einmal nichts. Gaia-X stellt im besten Falle eine Alternative zu etablierten Plattformen dar. Aus meiner Sicht kommt es auf die Positionierung und Differenzierung im Markt an, ob man beispielsweise auf Industrien zugeschnittene Mehrwertdienstleistungen anbieten kann.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Welche Cyberrisiken ergeben sich beim Aufbau eines Cloud-Ökosystems mit vielen verschiedenen Playern?

Thomas Schumacher leitet als Managing Director bei Accenture den Bereich Security in Deutschland, Österreich und der Schweiz.
(Bild: Accenture)

Komplexität ist der Security-Feind Nummer 1. Ein Cloud-Ökosystem von der Konzeption auf ein ähnliches Marktniveau etablierter Hersteller zu bringen, ist sicherlich ein Meisterstück und bedarf kluger und auch mutiger unternehmerischer Entscheidungen. Inwiefern die europäische Union und die agiernden Partner in der Lage sind, schnelle und dem Gesamtwohl der Idee dienliche Entscheidungen zu treffen, bleibt zu abwarten.

Hinsichtlich Cyberrisiken hat man die Chance, geeignete Kontrollen und Mechanismen von Anfang an zu berücksichtigen. Das könnte zum Beispiel differenzierend im Markt werden. Auf der anderen Seite haben die etablierten Anbieter bereits mehrere Jahre Erfahrungsvorsprung und es wäre dem Projekt zu wünschen, dass man aus den Erfahrungen anderer konsequente Maßnahmen ableitet und in die Entwicklung einfließen lassen kann.

Über den Autor: Thomas Schumacher leitet als Managing Director bei Accenture den Bereich Security in Deutschland, Österreich und der Schweiz.

(ID:46749422)

Merkliste