Wie sicher sind Cloudsysteme? Mit Gaia-X eine sichere Cloud für Europa?

Anbieter zum Thema

Arvato Systems

Fujitsu Technology Solutions GmbH

SEPPmail - Deutschland GmbH

Accenture

Gaia-X hat zum Ziel eine europäische Cloud-Infrastruktur zu schaffen. Die Initiative soll sogar über Europa hinausgehen, solange die europäischen rechtlichen Rahmenbedingungen eingehalten werden. Thomas Schumacher leitet für Accenture den Cybersecurity-Bereich in Deutschland und hat für uns einen Blick auf das Konzept geworfen und Antworten auf die sieben wichtigsten Fragen gefunden.

Seit dem Startschuss im Oktober 2019 ist Gaia-X, eine europäische Cloud-Infrastruktur, immer wieder Thema. Anfang Juni präsentierte Bundeswirtschaftsminister Peter Altmaier zusammen mit seinem französischen Kollegen Bruno Le Maire ein erstes technisches Konzept. So bedeutungschwer der Name, so ambitioniert ist das Projekt.

Wie gut wird mit Gaia-X das Thema Datenschutz und Datensicherheit im Vergleich zu anderen Cloud-Lösungen abgebildet?

In der erklärten Zielsetzung der Bundesregierung lassen sich folgende Prinzipien ablesen: Datenschutz, Transparenz, Authentizität, Souveränität, freier Marktzugang, Interoperabilität und Nutzerfreundlichkeit. Da sich das Projekt noch in einem konzeptionellen Stadium befindet, bleibt die Umsetzung abzuwarten. Allerdings hat man nun die Chance, von Beginn an Themen wie Security und Privacy by design im Aufbauprozess zu berücksichtigen. Dies könnte tatsächlich ein Differenzierungsfaktor gegenüber den etablierten Plattformen werden.

Warum ist eine europäische Variante für die deutsche (und europäische) Unternehmenslandschaft so wichtig?

Deutschland hat beim digitalen Wandel noch Nachholbedarf. Auch im Cloud-Umfeld agiert die lokale Wirtschaft langsamer als andere Unternehmen im globalen und auch im europäischen Vergleich. Um sich handlungsfähig für die Zukunft aufzustellen, bedarf es also eines Gamechangers.

Ein europäisches Digitalisierungsprojekt, welches insbesondere auf lokale Anforderungen stärker eingeht, könnte deshalb eine echte Alternative für europäische Unternehmen darstellen. Darüber hinaus kann es für die europäische Wirtschaft geopolitische Risiken reduzieren, da eine höhere Rechtssicherheit besteht und somit die digitale Souveränität erhöht werden kann.

Inwiefern ist Datensicherheit von Cloud-Systemen ein Wettbewerbskriterium auf dem globalen Markt?

Durch den europäischen Vorstoß mit GDPR/DSGVO scheint es oft, als ob das Thema auf dem globalen Markt keine übergeordnete Rolle spielt. Dabei sind Anwender auch außerhalb der EU-Grenzen daran interessiert, dass ihre digitalen Prozesse sicher gestaltet sind. Besonders in Hinblick auf ihre sensiblen Daten wie beispielsweise bei Finanztransaktionen. Das belegt auch die Tatsache, dass andere Länder zu GDPR vergleichbare Regularien verabschiedet haben, u.a. Kalifornien (CCPA) oder Brasilien (LGPD). All diese Aspekte spielen selbstverständlich auch im globalen Wettbewerb eine Rolle.

Warum sind Unternehmen bei Cloud-Angeboten US-amerikanischer oder chinesischer Firmen zögerlich/zurückhaltend?

Ich kann nicht bestätigen, dass europäische Unternehmen bei Cloud-Angeboten der Hyperscaler besonders zurückhaltend agieren. Allerdings kann ich mir vorstellen, dass individuelle Risikoabwägungen zu dem Ergebnis führen, besonders kritische Geschäftsprozesse oder -daten derzeit bewusst nicht in überregionale Cloud-Umgebungen zu migrieren.

Ein Punkt, der in diesem Zusammenhang sicherlich relevant ist, ist der US-amerikanische CLOUD-Act. CLOUD ist an dieser Stelle ein Akronym und steht für Clarifying Lawful Overseas Use of Data. Mit diesem Gesetz sind US-amerikanische IT-Dienstleister oder Internetfirmen dazu verpflichtet, Daten unabhängig vom Speicherort an US-Behörden auf behördliche oder richterliche Anweisung zu übermitteln – unabhängig von der lokalen Gesetzeslage. Das steht wiederum in Konflikt mit europäischen Datenschutzvorstellungen und schafft so für europäische Unternehmen mehr als eine rechtliche Unsicherheit.

Sicherlich überlegen sich manche Unternehmen derzeit ebenso, ob man strategische IT-Plattformen einem oder wenigen Vendoren anvertraut. Auch hier könnte Gaia-X eine echte, zusätzliche Alternative darstellen.

Steigt mit Gaia-X nun das Vertrauen in Cloud-Lösung in Europa und Deutschland?

Zum jetzigen Zeitpunkt lässt sich diese Frage noch nicht beantworten. Es gilt abzuwarten, bis weitere Informationen zu Gaia-X verfügbar sind.

Mit den kommunizierten Architektur-Grundsätzen Offenheit und Transparenz, Interoperabilität, Verbundenheit, Authentizität und Vertrauen sind sicherlich die richtigen Attribute benannt. Aber selbstverständlich wird die Nutzung von Gaia-X nicht nur von Security-relevanten Themen abhängen. Natürlich muss Gaia-X auch in puncto Servicequalität und Funktionalität die Anwender überzeugen. Hier ist der Vorsprung der Hyperscaler groß und die Innovationskraft immens.

Was können europäische und deutsche Unternehmen mit Gaia-X nun besser umsetzen als zuvor?

Erst einmal nichts. Gaia-X stellt im besten Falle eine Alternative zu etablierten Plattformen dar. Aus meiner Sicht kommt es auf die Positionierung und Differenzierung im Markt an, ob man beispielsweise auf Industrien zugeschnittene Mehrwertdienstleistungen anbieten kann.

Welche Cyberrisiken ergeben sich beim Aufbau eines Cloud-Ökosystems mit vielen verschiedenen Playern?

Komplexität ist der Security-Feind Nummer 1. Ein Cloud-Ökosystem von der Konzeption auf ein ähnliches Marktniveau etablierter Hersteller zu bringen, ist sicherlich ein Meisterstück und bedarf kluger und auch mutiger unternehmerischer Entscheidungen. Inwiefern die europäische Union und die agiernden Partner in der Lage sind, schnelle und dem Gesamtwohl der Idee dienliche Entscheidungen zu treffen, bleibt zu abwarten.

Hinsichtlich Cyberrisiken hat man die Chance, geeignete Kontrollen und Mechanismen von Anfang an zu berücksichtigen. Das könnte zum Beispiel differenzierend im Markt werden. Auf der anderen Seite haben die etablierten Anbieter bereits mehrere Jahre Erfahrungsvorsprung und es wäre dem Projekt zu wünschen, dass man aus den Erfahrungen anderer konsequente Maßnahmen ableitet und in die Entwicklung einfließen lassen kann.

Über den Autor: Thomas Schumacher leitet als Managing Director bei Accenture den Bereich Security in Deutschland, Österreich und der Schweiz.

(ID:46749422)