Veröffentlicht: 3. Juni 2024
Mitwirkende: Mesh Flinders, Ian Smalley
Datensouveränität ist das Konzept, dass Daten den Gesetzen des Landes oder der Region unterliegen, in dem/der sie generiert wurden.
Manchmal auch als Datenhoheit bezeichnet, entwickelt sich die Datensouveränität schnell zu einem Kernbestandteil von Rechts-, Datenschutz-, Sicherheits- und Governance-Strategien für Unternehmen, die sich mit der Speicherung, Verarbeitung und Übertragung von Daten befassen. Ein solider Ansatz für das Datenmanagement und internationale Datenflüsse – eine Schlüsselkomponente der Datensouveränität – hilft Unternehmen, ihre sensibelsten Informationen vor Cyberangriffen und anderen Bedrohungen zu schützen.
Datensouveränität, -residenz und -lokalisierung sind eng miteinander verbundene Begriffe. Tatsächlich sind Datensouveränität und -residenz so eng miteinander verbunden, dass sie manchmal synonym verwendet werden. Es gibt jedoch einige wichtige Unterschiede, die Unternehmen, die Cloud Computing als Teil ihrer digitalen Transformation nutzen möchten, verstehen sollten.
Datensouveränität: Daten, die in dem Land gespeichert und verarbeitet werden, in dem sie generiert wurden.
Datenspeicherort: Daten, die in einem anderen Land gespeichert werden als dem, in dem sie generiert wurden.
Datenlokalisierung: Der Vorgang der Einhaltung aller geltenden Gesetze und Anforderungen im Zusammenhang mit dem Datenspeicherort.
Datensouveränität, -speicherort und -lokalisierung sind entscheidende Bestandteile eines Konzepts, das als souveräne Cloud bekannt ist, eine Art Cloud-Computing, das Unternehmen dabei unterstützt, die Datenschutzgesetze bestimmter Regionen und Länder einzuhalten, in denen sie Kundendaten sammeln, verarbeiten und speichern.
Da sich Cloud-Speicher weltweit immer weiter verbreiten, reichen traditionelle geografische Grenzen wie Landesgrenzen nicht mehr aus, um vertrauliche Daten zu schützen. Auch der Aufstieg datenintensiver Technologien wie künstliche Intelligenz (KI) und maschinelles Lernen (ML), die auf einen schnellen und sicheren Datenzugriff angewiesen sind, zwingt Unternehmen dazu, mehr strategische Entscheidungen in Bezug auf die Cloud-Sicherheit zu treffen. KI, insbesondere generative KI, hat das Potenzial, wertvolle Geschäftsinnovationen voranzutreiben, aber sie benötigt eine schnelle, sichere Cloud-Infrastruktur, um zu funktionieren.
Hier kommt die souveräne Cloud ins Spiel, ein Konzept, das Datensouveränität, betriebliche Souveränität und digitale Souveränität umfasst. Sovereign Cloud Frameworks helfen Unternehmen, das Vertrauen ihrer Kunden zu gewinnen und ihr Geschäft auszubauen, während sie die Gesetze zur Datenerfassung, Datenspeicherung und zum Datenschutz in den Regionen, in denen sie tätig sind, einhalten.
Der Bericht „Leadership Compass“ des Analystenunternehmens KuppingerCole bietet einen Überblick über den Markt für Datensicherheitsplattformen.
IBM Newsletter abonnieren
Die Bedeutung der Datensouveränität steht in engem Zusammenhang mit der wachsenden Bedeutung von Cloud-Computing-Umgebungen in den allgemeinen Wachstumsstrategien vieler Unternehmen.
Da immer mehr Unternehmensanwendungen in die Cloud verlagert werden, wird eine Cloud-Umgebung zu einer kritischen Infrastruktur, die für den Erfolg eines Unternehmens genauso wichtig ist wie eine Fabrik, ein Bürogebäude oder ein wertvolles Stück geistiges Eigentum.
Die Anforderungen an die Datensouveränität hängen in der Regel mit den Datenschutzbestimmungen in einem bestimmten Land oder einer bestimmten Region zusammen. Zu den Hauptanliegen von Unternehmen, die lokale Gesetze einhalten wollen, gehören in der Regel Cybersicherheit, Datensicherheit und Datenschutz sowie der Schutz sensibler Daten vor Verstößen und Malware schützen und kontrollieren, welche Personen, Unternehmen und Anwendungen auf Daten zugreifen können.
Die Europäische Union (EU) hat beispielsweise eine Datenschutz-Grundverordnung (DSGVO) erlassen, die von Unternehmen, die auf dem Gebiet der EU tätig sind und mit Daten von EU-Bürgern arbeiten, verlangt, einen sogenannten Datenschutzbeauftragten (DSB) zu ernennen, um sicherzustellen, dass Organisationen die Vertraulichkeit, Integrität und Zugänglichkeit der von ihnen erzeugten, verarbeiteten und gespeicherten Daten strikt wahren.
Die Datensouveränität wird durch die spezifischen Gesetze und Vorschriften bestimmt, die in der Region oder dem Land gelten, in der/dem die Daten generiert wurden.
Diese Gesetze variieren von Gebiet zu Gebiet, aber in der Regel bedeutet die Aussage, dass ein Land die „Souveränität über“ einen Teil der Daten hat, dass es die Zuständigkeit und Autorität darüber hat, wie diese Daten verwendet werden können und wer darauf zugreifen kann. Allerdings unterliegen Daten oft den Gesetzen mehrerer Länder (Datenresidenz und Datenlokalisierung), was die Verwaltung, Speicherung und Verarbeitung der Daten komplizierter macht.
In Fällen, in denen Daten in einem Land oder einer Region generiert, aber an einem anderen Ort gespeichert und/oder verarbeitet werden, muss die für die Daten verantwortliche Organisation sicherstellen, dass sie alle rechtlichen Anforderungen für den Umgang mit Datensätzen an beiden Orten erfüllt. Zum Beispiel könnten Unternehmen es für notwendig erachten, spezifische Datenschutzvereinbarungen zu erstellen oder spezifische Datenübertragungsprotokolle zu entwerfen und umzusetzen, um die Einhaltung von Vorschriften zu gewährleisten und potenzielle Konflikte in einem oder mehreren Gebieten zu vermeiden. Außerdem sollten Unternehmen, die Daten in mehreren Regionen oder Ländern speichern und verarbeiten, über alle relevanten Datenschutzgesetze, grenzüberschreitende Beschränkungen oder andere Bedenken informiert sein, die für die Wahrung des Datenschutzes und der Datenintegrität erforderlich sind.
Um effektiv zu sein, muss der Ansatz eines Unternehmens in Bezug auf die Datensouveränität auch zwei weitere entscheidende Komponenten umfassen: die betriebliche und die digitale Souveränität. Zusammen sind Daten, betriebliche und digitale Souveränität die drei wichtigsten Komponenten für eine souveräne Cloud-Infrastruktur. Die operative Souveränität stellt sicher, dass kritische Infrastrukturen für Einzelpersonen, Unternehmen und Anwendungen, die sie benötigen, immer verfügbar sind, während die digitale Souveränität sicherstellt, dass ein Unternehmen immer die Kontrolle über seine digitalen Assets hat. Sehen wir uns beide Begriffe genauer an und warum sie wichtig sind.
Betriebliche Souveränität
Die betriebliche Souveränität stellt sicher, dass kritische Infrastrukturen, die mit datenintensiven Anwendungen verbunden sind, immer verfügbar und zugänglich sind. Außerdem hilft die betriebliche Souveränität Unternehmen dabei, Transparenz und Kontrolle über ihre betrieblichen Prozesse zu wahren und Ineffizienzen zu erkennen.
Mit einem soliden Ansatz für die betriebliche Souveränität kann ein Unternehmen sicherstellen, dass seine kritische Infrastruktur widerstandsfähig ist, selbst wenn eine bestimmte Region von einer Katastrophe betroffen ist. Zu diesem Zweck beinhalten viele Ansätze zur operativen Souveränität einen Business Continuity Disaster Recovery (BCDR)- oder Disaster Recovery as a Service (DRaaS)-Plan. Schließlich hilft die betriebliche Souveränität Unternehmen dabei, die lokalen Vorschriften für die Infrastruktur einzuhalten, die für die Unterstützung von Cloud-Umgebungen in einer bestimmten Region erforderlich ist.
Digitale Souveränität
Digitale Souveränität beschreibt den Grad der Kontrolle eines Unternehmens über seine digitalen Assets, einschließlich Daten, Software, Inhalte und digitale Infrastruktur. Die digitale Souveränität ist für das Konzept der souveränen Cloud vor allem im Zusammenhang mit der Governance und Transparenz von Bedeutung. Unternehmen, die die Zugriffskontrolle für ihre digitalen Ressourcen nutzen, müssen Regeln festlegen, wer über Berechtigungen verfügt und wer eingeschränkt ist. Diese Regeln müssen so eingerichtet werden, dass sie leicht durchsetzbar sind, wie zum Beispiel Policy-as-Code, ein Prozess, der es Unternehmen ermöglicht, ihre Infrastruktur und Verfahren auf wiederholbare Weise zu verwalten.
Transparenz, ein weiterer wichtiger Aspekt der digitalen Souveränität, bezieht sich auf die Fähigkeit eines Unternehmens, seine Prozesse und Ergebnisse zu überprüfen. Transparenz stellt sicher, dass Unternehmen Einblick in ihre wichtigsten betrieblichen Workflows erhalten, sodass sie erkennen können, was funktioniert und was geändert werden muss.
Im Großen und Ganzen haben Unternehmen, die einen souveränen Cloud-Ansatz für die Datenhoheit in einer Cloud-Computing-Umgebung verfolgen möchten, zwei Möglichkeiten: Public Cloud oder Distributed Cloud. In den meisten Ländern helfen Public-Cloud- und Multicloud-Bereitstellungen Unternehmen dabei, ihre Workloads in der Cloud bereitzustellen und gleichzeitig die Kontrolle über ihre Daten in einer bestimmten Region zu behalten. Eine typische Public-Cloud-Architektur umfasst eine Plattform-Cloud-Schicht, wie eine Hybrid-Cloud-Plattform, die eine stabile, konsistente Cloud-Bereitstellung ermöglicht.
Die zweite Option ist das verteilte Cloud-Bereitstellungsmodell, z. B. ein lokaler Infrastrukturanbieter oder ein On-Premises-Rechenzentrum. Diese sind für Unternehmen attraktiv, die mehr Kontrolle über ihre Daten benötigen. Ein verteiltes Cloud-Bereitstellungsmodell gibt Ihnen im Wesentlichen die Möglichkeit, Workloads und Plattformen in einer beliebigen Infrastruktur Ihrer Wahl bereitzustellen.
Um einen effektiven Ansatz zur Datensouveränität zu implementieren, sollten Unternehmen die folgenden Schritte unternehmen:
Unternehmen, die in mehr als einer Region oder einem Land lokale oder cloudbasierte Datenfunktionen entwickeln möchten, müssen sich zunächst über die Gesetze und Vorschriften informieren, die die Datensouveränität in diesen Gebieten regeln.
Es ist wichtig, sich an die Behörden zu wenden, die für die Durchsetzung der Gesetze zur Datensouveränität in den Ländern oder Regionen zuständig sind, in denen Sie Geschäfte tätigen möchten. Kommunizieren Sie Ihre Pläne zur Datenspeicherung, -verarbeitung und -übertragung, um sicherzustellen, dass Sie die Gesetze einhalten, deren Durchsetzung ihre Aufgabe ist.
Die Compliance-Gesetze in vielen Regionen, in denen Cloud Computing beliebt ist, können sich schnell ändern. Es ist immer eine gute Idee, jemanden in dem Land oder der Region zu haben, in dem Sie Daten speichern und verarbeiten, der sich mit den regulatorischen Vereinbarungen der Region auskennt. Cloud-Service-Provider (CSPs), die in einem bestimmten Gebiet tätig sind, sollten bereits Vereinbarungen mit den lokalen Behörden haben.
Da Bürger und Aufsichtsbehörden weltweit weiterhin Bedenken hinsichtlich der Datensouveränität äußern, helfen souveräne Cloud-Ansätze Unternehmen dabei, die Integrität ihrer Daten zu gewährleisten, unabhängig davon, wo sie gespeichert und verarbeitet werden.
In den kommenden Jahren wird die Art und Weise, wie Unternehmen ihre Daten erfassen, sichern, speichern und den Zugriff darauf kontrollieren – insbesondere, wenn sie neue, datenintensive Technologien wie KI und ML nutzen möchten – enorme Auswirkungen auf Wachstum und Sicherheit haben. Die Souveränität der Daten steht im Mittelpunkt dieser Bedenken. Daher hilft die Wahl eines Cloud-Anbieters, der über ein tiefes Verständnis dafür verfügt, Unternehmen bei der Umsetzung eines starken souveränen Cloud-Ansatzes und bei der Erreichung ihrer Ziele für die digitale Transformation. Partner in Regionen und Ländern, in denen Unternehmen eine Cloud-Umgebung einrichten möchten, müssen über Strategien zur Minderung gängiger Risiken wie Cyberangriffe, Naturkatastrophen und Ausfallzeiten verfügen.
Schließlich müssen Unternehmen, die einen starken Ansatz für Datensouveränität und souveräne Cloud-Services entwickeln möchten, sicherstellen, dass ihr Cloud-Anbieter über eine starke Gesamtstrategie für Cloud-Services verfügt, die mit den Gesetzen der Länder oder Regionen übereinstimmt, in denen sie tätig sind. Hier sind einige der wichtigsten Merkmale, auf die Unternehmen achten sollten, wenn sie CSPs und andere potenzielle Partner in Betracht ziehen, um einen starken Ansatz für die Datensouveränität zu entwickeln.
Data-Governance-Fähigkeiten: Der Data-Governance-Ansatz eines CSP zeigt, dass er über die richtigen Richtlinien und Verfahren verfügt, um mit sensiblen Daten erfolgreich umzugehen und die erforderlichen Einschränkungen anzuwenden. Sie sollten auch regelmäßige Audits bereitstellen, die belegen, dass die Richtlinien, die sie eingeführt haben, eingehalten werden.
Service Level Agreements (SLAs): Wenn es darum geht, ein SLA für die Datensouveränität in einer souveränen Cloud-Umgebung zu erstellen, sollten die drei wichtigsten Bereiche, die das SLA abdecken sollte, Kontrolle (Cloud-Management), Verfügbarkeit und Leistung sein.
Compliance: CSPs und andere Partner, die Unternehmen bei der Einhaltung der Anforderungen an die Datenhoheit unterstützen, sollten über ein hohes Maß an Fachwissen in allen Datenschutzgesetzen der Regionen verfügen, in denen sie tätig sind. Im Idealfall sollten Unternehmen und ihre CSPs gemeinsam dafür verantwortlich sein, sich über neue Vorschriften auf dem Laufenden zu halten und Strategien zu deren Umsetzung zu entwickeln.
Datenverschlüsselung: Es ist von entscheidender Bedeutung, dass CSPs im Bereich der souveränen Cloud über robuste Datenverschlüsselungsfunktionen wie kryptografische Schlüssel verfügen, um sicherzustellen, dass sie sensible Daten sicher und zugänglich halten können. Kryptografische Schlüssel wandeln Daten in einen Verschlüsselungsalgorithmus um, der nur von jemandem mit den richtigen Berechtigungen (Schlüssel) entschlüsselt werden kann. Dies gibt Unternehmen vollständige technische Sicherheit und Kontrolle darüber, wer wann auf ihre Daten zugreifen kann.
Resilienz: Ein starker Ansatz für die Datensouveränität und souveräne Cloud-Umgebungen sollte starke Ausfallsicherheitsfunktionen beinhalten. Unternehmen sollten nur CSPs in Betracht ziehen, die nachweislich Kunden bei ihren Bemühungen um Widerstandsfähigkeit und Wiederaufbau in den betreffenden Ländern oder Regionen unterstützt haben. Wenn es um eine souveräne Cloud-Umgebung geht, sollten alle Cloud-Bereitstellungen über integrierte Wiederherstellungs- und Failover-Funktionen verfügen, die auf jeden spezifischen Compliance-Bereich zugeschnitten sind, in dem Daten gespeichert werden.
IBM Cloud Hyper Protect Crypto Services ist eine As-a-Service-(aaS-)-Lösung für Schlüsselmanagement und Verschlüsselung, die Ihnen die volle Kontrolle über Ihre Verschlüsselungsschlüssel zum Schutz Ihrer Daten gibt.
Reibungslosere Abläufe durch Bereitstellungsoptionen für jede Workload. Das IBM-Netzwerk ist belastbar, redundant und hochverfügbar.
Einheitliche Sicherheit, Compliance und Risikotransparenz in hybriden Multicloud-Umgebungen.
Erfahren Sie mehr über Hybrid Cloud, ein Cloud-Framework, das Public Cloud, Private Cloud und lokale Infrastruktur kombiniert und vereint, um eine einzige, flexible und kostenoptimale IT-Infrastruktur zu schaffen.
Schauen Sie sich an, wie die rasanten Fortschritte in den Bereichen Cloud Computing, Datenverwaltung und KI die Hybrid Cloud zur Schlüsselkomponente in der IT-Infrastruktur der nächsten Generation machen.
Entdecken Sie, wie die Hybrid-Cloud-Architektur, eine Umgebung, die On-Premises, Private Cloud, Public Cloud und Edge-Einstellungen kombiniert, Unternehmen dabei unterstützen kann, eine einzige, flexible verwaltete IT-Infrastruktur zu erstellen.
Erfahren Sie mehr über das Thema Datensouveränität. Da die Welt immer mehr zu einem global vernetzten Ökosystem wird, hat der Datenfluss nationale und internationale Diskussionen über den Begriff der Daten- und digitalen Souveränität ausgelöst.
Erfahren Sie mehr über die Datenverwaltung, eine Reihe von Prozessen, die die Verfügbarkeit, Qualität und Sicherheit der Daten eines Unternehmens durch verschiedene Richtlinien und Standards fördern.
Dieses Webinar zielt darauf ab, Unternehmen durch die Feinheiten der Datenresidenz zu führen und ihnen umsetzbare Erkenntnisse zu vermitteln, damit sie die gesetzlichen Anforderungen effektiv erfüllen können.