Die souveräne Cloud ist eine Art von Cloud Computing, die Unternehmen dabei unterstützt, die Gesetze bestimmter Regionen und Länder einzuhalten.
Da sich immer mehr Unternehmen nach Hybrid-Cloud-Lösungen umsehen, um ihre Initiativen zur digitalen Transformation zu erreichen, werden Cloud-Umgebungen (und insbesondere die Art und Weise, wie Benutzer auf Daten zugreifen, sie speichern und verwenden) immer wichtiger. Mit der fortschreitenden Verbreitung von Cloud Computing rund um den Globus reichen traditionelle geografische Grenzen wie Grenzen nicht mehr aus, um sensible Daten zu schützen.
Hier kommt die souveräne Cloud ins Spiel, ein Konzept, das Datensouveränität, betriebliche Souveränität und digitale Souveränität umfasst. Die souveräne Cloud hilft Unternehmen, das Vertrauen ihrer Kunden aufzubauen und ihr Geschäft auszubauen, während sie gleichzeitig die Gesetze und Vorschriften in den Regionen, in denen sie tätig sind, einhalten.
Eine souveräne Cloud schützt hauptsächlich Verbraucher- und Unternehmensdaten. Viele Vorschriften konzentrieren sich in erster Linie auf den Schutz personenbezogener Daten, oder PPI. Je nach Branche, Region oder Anwendungsfall können sie aber auch geistiges Eigentum (IP), Software, Geschäftsgeheimnisse, Finanzinformationen und mehr schützen. Da die Vorschriften zum Datenschutz in der Cloud von Land zu Land und Region unterschiedlich sind, gibt es keine einheitliche, anerkannte Definition dessen, was eine souveräne Cloud schützen kann. Die Ansätze variieren in der Regel je nach Branche, Standort und Geschäftsbedarf.
Einige souveräne Cloud-Frameworks befassen sich mit der Datenresidenz, bei der Daten den Gesetzen und Vorschriften des Landes unterliegen, in dem sie gespeichert sind. Andere befassen sich mit der Datensouveränität, bei der die gespeicherten Daten den Gesetzen des Landes unterliegen, in dem sie erhoben wurden. Letztendlich helfen souveräne Cloud-Ansätze Unternehmen nicht nur dabei, die Gesetze zum Schutz ihrer sensibelsten Daten einzuhalten, sondern auch dabei, resilient zu bleiben.
Da Unternehmen immer mehr ihrer Anwendungen in die Cloud verlagern, wird die Cloud selbst schnell zu einer kritischen Infrastruktur.
Die Cloud-Umgebung eines Unternehmens wird heute als ebenso wichtig für seinen Erfolg angesehen wie eine Fabrik, ein Bürogebäude oder ein wertvolles Stück geistiges Eigentum. Und da stark regulierte Branchen sowohl im privaten als auch im öffentlichen Sektor ihre Kerndienste in die Cloud verlagern, wird es immer wichtiger, dass die Daten sicher sind.
Darüber hinaus zwingt das Aufkommen datenintensiver Technologien wie künstlicher Intelligenz (KI) und maschinellen Lernens (ML), die auf einen schnellen und sicheren Datenzugriff angewiesen sind, Unternehmen dazu, strategischere Entscheidungen rund um die Cloud-Technologie zu treffen. KI und insbesondere generative KI haben das Potenzial, wertvolle Geschäftsinnovationen voranzutreiben, aber ohne ein solides, souveränes Cloud-Ökosystem kommen sie nicht in Gang.
Unternehmen in stark regulierten Branchen wie dem Gesundheits- und Finanzdienstleistungssektor sind mit besonders starkem Gegenwind konfrontiert. In Europa gibt es beispielsweise ein Vorhaben namens European Cybersecurity Certification Scheme for Cloud Services (EUCS), das die bestehenden Vorschriften in den Mitgliedstaaten der Europäischen Union vereinheitlichen würde, und den Digital Operational Resilience Act (DORA), der darauf abzielt, IKT-Risiken anzugehen und Regeln für das IKT-Risikomanagement, die Meldung von Vorfällen, die Prüfung der Betriebsstabilität und die Überwachung von IKT-Risiken durch Dritte festlegt. Starke souveräne Cloud-Lösungen helfen Unternehmen, über Aufsichtsbehörden und neue Gesetze auf dem Laufenden zu bleiben und strategischere Entscheidungen in Bezug auf Risiken, Daten und eine sich entwickelnde Bedrohungslandschaft zu treffen. Werfen wir einen Blick auf einige der wichtigsten Vorteile der souveränen Cloud für Unternehmen.
Unternehmen, die bereit sind, in ein starkes, souveränes Cloud-Framework als Teil einer größeren digitalen Transformation zu investieren, erzielen in der Regel mehrere wichtige Vorteile. Von einer besseren Kontrolle über ihre Daten bis hin zu verbesserter Konnektivität, Datenstabilität und Anwendungsleistung — hier sind die fünf wichtigsten Gründe, warum Unternehmen einen souveränen Cloud-Ansatz verfolgen.
Eine starke, souveräne Cloud-Infrastruktur gibt Unternehmen Kontrolle darüber, wo ihre Daten gespeichert werden (Datenresidenz), beispielsweise in einer Region oder einem Land – oder sogar im Rechenzentrum eines bestimmten Cloud-Anbieters.
Souveräne Cloud-Lösungen können Unternehmen jeder Größe dabei helfen, die gesetzlichen Compliance-Anforderungen zu erfüllen und die sich rasch ändernden Gesetze zu Daten und digitaler Souveränität einzuhalten, unabhängig davon, in wie vielen verschiedenen Ländern oder Regionen sie geschäftlich tätig sind.
Ein souveräner Cloud-Ansatz ermöglicht es Unternehmen, den Zugriff ihrer eigenen Mitarbeiter, Geschäftspartner und sogar Cloud-Service-Provider (CSPs) auf Daten je nach Staatsbürgerschaft, physischem Standort und anderen Faktoren einfach einzuschränken.
CSPs, die souveräne Cloud-Ökosysteme betreiben, helfen Unternehmen, ihre betriebliche Ausfallsicherheit zu erhöhen, indem sie einen strategischen Ansatz verfolgen, der davon ausgeht, dass Disruption unvermeidlich ist. Indem sie hochverfügbare Dienste anbieten und kritische Daten auf einer souveränen Infrastruktur sichern, helfen CSPs Unternehmen, Schocks besser abzufedern und sich an sie anzupassen.
Die besten souveränen Cloud-Setups bereitstellen die höchste verfügbare Datensicherheit und stellen sicher, dass Anwendungen, Mitarbeiter, Klienten und Kunden bei Bedarf schnell und sicher auf die Daten zugreifen können.
Um effektiv zu sein, muss die Cloud-Souveränität drei entscheidende Ergebnisse für ein Unternehmen liefern: Datensouveränität, betriebliche Souveränität und digitale Souveränität. Werfen wir einen genaueren Blick auf jedes dieser Konzepte und warum sie wichtig sind.
Die Einhaltung der Datensouveränität — die Auffassung, dass Daten den Gesetzen des Landes oder der Region unterliegen, wo sie generiert wurden — ist eine grundlegende Anforderung der meisten souveränen Cloud-Lösungen. Eine starke Datensouveränität hilft Unternehmen, ihre Kundendaten vor Cyberangriffen und anderen Bedrohungen zu schützen und gleichzeitig sicherzustellen, dass kein Unbefugter Zugriff auf diese Daten hat. Zum Beispiel haben CSPs gemäß den meisten Anforderungen an die Datensouveränität keinen Zugriff auf Kundendaten, selbst wenn sie sich in einem von ihnen betriebenen Cloud-Rechenzentrum befinden.
Ein weiterer wichtiger Aspekt der Datensouveränität ist das Konzept der Datenresidenz, also die Auffassung, dass Daten den Gesetzen und Vorschriften der Region oder des Landes unterliegen, in dem sie gespeichert werden. Neben der Einhaltung des Datenschutzes müssen souveräne Cloud-Lösungen auch alle geltenden Gesetze und Vorschriften zur Datenresidenz einhalten.
Die betriebliche Souveränität trägt dazu bei, dass kritische Infrastrukturen, die mit datenintensiven Anwendungen verbunden sind, immer verfügbar und zugänglich sind. Darüber hinaus hilft die betriebliche Souveränität Unternehmen, die Kontrolle über ihre betrieblichen Abläufe zu behalten und Ineffizienzen zu erkennen. Mit einem soliden Ansatz für die operative Souveränität kann ein Unternehmen selbst wenn eine bestimmte Region von einer Katastrophe betroffen ist, durch einen Geschäftskontinuität/Notfallwiederherstellung (BCDR) oder Disaster-Recovery-as-a-Service (DRaaS) -Plan sicherstellen, dass seine kritische Infrastruktur resilient bleibt . Schließlich hilft die betriebliche Souveränität Unternehmen dabei, die lokalen Vorschriften für die Infrastruktur einzuhalten, die für die Unterstützung von Cloud-Umgebungen in einer bestimmten Region erforderlich ist.
So wie die betriebliche und Datensouveränität ist auch die digitale Souveränität innerhalb der Region ein Konzept, für das es keine einzige universelle Definition gibt. Im weitesten Sinne handelt es sich dabei um einen Überbegriff, der den Grad der Kontrolle eines Unternehmens über seine digitalen Assets, darunter Daten, Software, Inhalte und digitale Infrastruktur, beschreibt. Digitale Souveränität ist für das Konzept der souveränen Cloud vor allem im Zusammenhang mit Governance und Transparenz wichtig: Unternehmen, die die Zugriffskontrolle auf ihre digitalen Assets nutzen, müssen Regeln dafür aufstellen, wer welche Rechte hat. Diese Regeln müssen so eingerichtet werden, dass sie leicht durchsetzbar sind, wie zum Beispiel Policy-as-Code, ein Prozess, der es Unternehmen ermöglicht, ihre Infrastruktur und Verfahren auf wiederholbare Weise zu verwalten.
Transparenz, ein weiterer wichtiger Aspekt der digitalen Souveränität, bezieht sich auf die Fähigkeit eines Unternehmens, seine Prozesse und Ergebnisse zu überprüfen. Transparenz stellt sicher, dass Unternehmen Einblick in ihre wichtigsten betrieblichen Workflows erhalten, sodass sie erkennen können, was funktioniert und was geändert werden muss.
Wenn es um souveräne Clouds geht, gibt es keine Einheitslösung. Unternehmen möchten mit ihrem Hybrid-Cloud-Ansatz möglicherweise dasselbe Ergebnis erzielen (z. B. die digitale Transformation). Die Vorgehensweise beim Erreichen dieses Ziels hängt jedoch von der Größe, dem Standort, der Branche und den Geschäftsanforderungen ab. An dieser Stelle werden die Vorteile eines risikobasierten Ansatzes deutlich.
Ein starker, risikobasierter Ansatz für souveräne Clouds gleicht Wachstum – z. B. das Potenzial einer aufregenden neuen Technologie wie generativer KI – mit Risiken wie Reputationsschäden aufgrund einer Datenschutzverletzung aus. Bei kritischen Anwendungen und hochsensiblen Daten möchten Unternehmen möglicherweise ein höheres Maß an Kontrolle ausüben als bei anderen, weniger kritischen Anwendungen. Eine genaue Regelung in Verbindung mit einem normenbasierten Ansatz für Governance-Regeln und -Standards trägt dazu bei, dass die eingeführten Regeln auch technologisch verwaltet werden können.
Je nach den Anforderungen an ein Unternehmen, das Risiko gegenüber dem Wachstum, der Art der gespeicherten Daten und dem Speicherort dieser Daten gibt es zwei Optionen für die Bereitstellung und Durchsetzung souveräner Cloud-Richtlinien: Public oder verteilte Cloud. In den meisten Ländern helfenPublic-Cloud- und Multicloud-Bereitstellungen Unternehmen dabei, ihre Workloads in der Cloud bereitzustellen und gleichzeitig die Kontrolle über ihre Daten in einer bestimmten Region zu behalten. Eine typische Public-Cloud-Architektur umfasst eine Plattform-Cloud-Schicht, wie eine Hybrid-Cloud-Plattform, die eine stabile, konsistente Cloud-Bereitstellung ermöglicht.
Die zweite Option ist das verteilte Cloud-Bereitstellungsmodell, z. B. ein lokaler Infrastrukturanbieter oder ein lokales Rechenzentrum. Diese sind besonders attraktiv für Unternehmen, die mehr Kontrolle über ihre Infrastruktur und ihren Betrieb benötigen. Ein verteiltes Cloud-Bereitstellungsmodell gibt Ihnen im Wesentlichen die Möglichkeit, Workloads und Plattformen in einer beliebigen Infrastruktur Ihrer Wahl bereitzustellen.
Da Regierungen und Bürger auf der ganzen Welt weiterhin Bedenken hinsichtlich der Daten-, Betriebs- und digitalen Souveränität äußern, hilft die souveräne Cloud Unternehmen dabei, die Integrität ihrer Daten zu gewährleisten, unabhängig davon, wo sie Geschäfte tätigen.
In den kommenden Jahren wird die Art und Weise, wie Unternehmen ihre Daten erfassen, sichern, speichern und den Zugriff darauf kontrollieren – insbesondere, wenn sie neue, datenintensive Technologien wie KI und ML nutzen möchten – enorme Auswirkungen auf ihren Erfolg haben. Bei der Auswahl eines CSP, der sie bei der Einrichtung ihrer souveränen Cloud-Umgebung unterstützt, ist es für Unternehmen von entscheidender Bedeutung, zu verstehen, wie ein CSP ihre sensiblen Daten speichern und verarbeiten wird.
Darüber hinaus müssen sie wissen, wie ein CSP die Resilienz unterstützt und plant, Ausfälle durch Cyberangriffe, Naturkatastrophen und andere Bedrohungen zu minimieren. Schließlich müssen Unternehmen, die ein souveränes Cloud-Framework nutzen möchten, sicherstellen, dass die gesamte Cloud-Strategie des von ihnen gewählten CSP mit den Gesetzen der Länder oder Regionen, in denen sie tätig sind, übereinstimmt, sonst drohen ihnen empfindliche Geldbußen oder Strafen.
Hier sind einige wichtige Überlegungen, die Sie bei der Auswahl eines CSP für eine souveräne Cloud-Architektur berücksichtigen sollten:
Datenverwaltung: Der Ansatz eines CSP zur Datenverwaltung ist von entscheidender Bedeutung. Er zeigt, dass sie über die richtigen Richtlinien und Verfahren verfügen, um Ihre Daten erfolgreich zu verarbeiten und die notwendigen Einschränkungen anzuwenden. Sie sollten auch in der Lage sein, regelmäßige Audits durchzuführen, die belegen, dass die Richtlinien, die sie eingeführt haben, eingehalten werden.
Service Level Agreements (SLAs): Ein Service Level Agreement (SLA) mit einem CSP, das eine souveräne Cloud-Umgebung umreißt, sollte sich nicht wesentlich von einer Vereinbarung für eine öffentliche oder private Cloud-Umgebung unterscheiden. Wie bei Public Clouds und Private Clouds sind auch hier die drei wichtigsten Bereiche Kontrolle (Cloud Management), Verfügbarkeit und Leistung.
Einhaltung von Vorschriften: CSPs, die souveräne Cloud-Frameworks einsetzen, müssen über ein hohes Maß an Fachwissen über die Datengesetze in den Regionen, in denen sie tätig sind, sowie über ein tiefes Verständnis der sich ständig ändernden Datenhoheit und Compliance-Landschaft verfügen. Anbieter und Kunden teilen sich die Verantwortung dafür, sich über neue Vorschriften auf dem Laufenden zu halten und Strategien zu entwickeln, um damit umzugehen.
Datenverschlüsselung: Wenn es um Datenhoheit und Datenschutz geht, ist es wichtig, die Vertraulichkeit der Daten zu erreichen. CSPs müssen Unternehmen Mechanismen zur Verfügung stellen, um ihre Daten zu verschlüsseln und mit kryptografischen Schlüsseln zu verwalten. Im Wesentlichen bedeutet dies, dass die Daten in einen verschlüsselten Inhalt umgewandelt werden, der nur von einer Person mit den richtigen Berechtigungen und dem richtigen Schlüssel entschlüsselt werden kann. Durch die Gewährleistung des exklusiven Zugriffs auf diese Verschlüsselung erhalten Unternehmen vollständige technische Sicherheit und Kontrolle darüber, wer zu einem bestimmten Zeitpunkt auf ihre Daten zugreifen kann.
Resilienz: Wenn etwas schief geht, müssen Sie einen Plan haben, der Ihnen hilft, sich schnell zu erholen. Ziehen Sie nur CSPs in Betracht, die nachweislich Kunden bei ihren Bemühungen um Resilienz und Wiederaufbau in den betreffenden Ländern oder Regionen unterstützt haben. Alle souveränen Cloud-Implementierungen müssen über integrierte Wiederherstellungs- und Failover-Funktionen verfügen, die auf den jeweiligen Compliance-Bereich zugeschnitten sind, in dem die Daten gespeichert werden.
