von Sally Beatty
Verwaltungen können ihren Bürgern heutzutage viel bessere und effizientere Dienstleistungen anbieten, weil ihnen moderne Cloud-Technologien Innovation und Automatisierung möglich machen. Dafür gibt es auch in Deutschland schon viele Beispiele: In Hamburg werden die Mitarbeiter der Stadtverwaltung durch den KI-Textassistenten LLMoin unterstützt; bei der Bundesagentur für Arbeit planen und kommunizieren die Mitarbeiterinnen und Mitarbeiter jetzt effektiver, dank Microsoft Teams.
Die Digitalisierung des modernen Lebens verändert, wie Menschen arbeiten und wie sich eine Gesellschaft im Alltag organisiert. Die Verwaltung und auch die Bürgerinnen und Bürgern sind daran interessiert, dass sie die Kontrolle über ihre sensiblen Daten behalten.
Die Idee, dass Verwaltungen und Gesellschaften die vollständige Hoheit über ihre eigenen Daten und digitalen Prozesse behalten versteht man als Souveränität. Regierungen müssen diese Datenhoheit so gestalten, dass sie ihre strategischen Ziele unterstützt und gleichzeitig zu den kulturellen Normen ihres Landes passt.
Dabei zeigt sich allerdings auch immer deutlicher, dass traditionelle IT-Systeme – also zum Beispiel die an eigenen Standorten unterhaltenen “On Premise”-Rechenzentren – technologisch nicht mit den Vorteilen der Public Cloud mithalten können. Ihre Leistung lässt sich nicht einfach skalieren, Innovationen werden verzögert eingeführt, und es ist eine große Herausforderung sich der ständig verändernden Cyber-Bedrohungslage anzupassen. Dadurch sind sie nicht nur teuer in Aufbau, Betrieb und Wartung, sondern oft auch nicht in der Lage, die neuesten digitalen Technologien zu hosten. Zahlreiche Studien belegen, wie wichtig neue digitale Technologien für die Innovation, Wettbewerbsfähigkeit und das nachhaltige Wirtschaftswachstum in Europa sind.
Public Clouds wie die von Microsoft sind effizienter und kostengünstiger, weil ihre Nutzer nicht ständig in die neueste Hardware investieren oder sehr gefragte IT-Fachkräfte anwerben müssen. Ein weiterer Vorteil ist, dass Unternehmen wie Microsoft viel mehr in die Sicherheit ihrer Systeme investieren, und damit Nutzern sowohl einen besseren Schutz als auch eine bessere Kontrolle über ihre Daten anbieten können. Dazu gehören etwa die Phishing-resistente Multi-Faktor-Authentifizierung, doppelte Verschlüsselung mit redundanten Sicherheitsmodulen („hardware security modules“, HSMs), automatisierte Updates für wichtige Patches und umfassende Bedrohungserkennung – alles in einem Maßstab, den eine private Cloud kaum leisten kann.
Microsoft prüft täglich die erstaunliche Summe von rund 78 Billionen Sicherheitssignalen, erklärt Jeff Bullwinkel, Vice President und Deputy General Counsel für die EMEA-Region bei Microsoft. „Das verschafft uns einzigartige Einblicke in die umfassende Bedrohungslage und wie sie sich in jedem Moment entwickelt – ein Knowhow, auf das nur ein Hyperscale-Cloud-Anbieter zurückgreifen kann“, so Bullwinkel.
Gleichzeitig muss man versuchen, die gewünschten Produktivitäts- und Effizienzgewinne der Cloud innerhalb der Vorgaben für die Daten-Souveränität jedes einzelnen Staates zu erzielen – die von Land zu Land unterschiedlich definiert sind. Das spiegelt sowohl wirtschaftliche und kulturelle Interessen als auch sicherheitspolitische Erwägungen und die bestehende technische Infrastruktur wider. Auf EU-Ebene zielen Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) darauf ab, den grenzüberschreitenden Datenfluss zu regulieren. Auf Landesebene können weitere Vorgaben hinzukommen, etwa Verschlüsselungsanforderungen für internationale Datenübertragungen. Zudem kann es länderspezifische Regelungen geben, wo und wie Daten verarbeitet werden dürfen.
Regierungen streben nicht nur nach Datensouveränität, erklärt Rahiel Nasir, Research Director für europäische Cloud-Strategie bei der International Data Corporation (IDC), einem globalen Anbieter von Marktanalysen und Beratungsdienstleistungen. „Das eigentliche Ziel ist, dass Organisationen nicht nur die volle Kontrolle über ihre Datenbestände haben, sondern auch über ihre gesamte digitale Infrastruktur in einer souveränen Cloud“, so Nasir.
Damit die digitale Souveränität aber Sinn macht, muss man die Vor- und Nachteile der verschiedenen Lösungen abwägen. Das Speichern von Daten an einem einzigen Standort oder in einer einzigen Region bedeutet nicht automatisch mehr Sicherheit – im Gegenteil: Es macht gezielte Angriffe auf ein Rechenzentrum attraktiver und leichter umsetzbar. Gleichzeitig muss man überlegen, ob eine eigene souveräne Lösung zukunftsfähig ist und Innovationen wie die neuesten KI-Modelle problemlos einbauen kann.
„Wir bieten das umfassendste Portfolio an Lösungen an, die sowohl Mehrwert bringen als auch Risiken mindern“, sagt Stefan Van Overtveldt, Ingenieur und General Manager für Global Clouds bei Microsoft. „Dabei gibt es allerdings keine einfache Patentlösung.“
Eine Lösung in Deutschland ist die Delos Cloud GmbH. Diese Tochtergesellschaft der SAP SE erfüllt die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI), die so genannten Cloud Platform Requirements, und nutzt dabei Microsoft als Lieferanten für modernste Hyperscaler-Technologie. Delos bietet eine sichere Multi-Provider-Cloud-Plattform, die speziell für die deutsche Verwaltung entwickelt wurde. Den Anforderungen des BSI entsprechend wird die Delos Cloud in das Netz des Bundes eingebunden und unter die Aufsicht deutscher Regulierungs- und Cybersicherheitsbehörden gestellt, was eine vollständige Kontrolle über die Speicherung und Verarbeitung der Daten gewährleistet. Damit wird die Plattform die hohen Sicherheits- und Souveränitätsanforderungen des öffentlichen Sektors in Deutschland erfüllen.
Mit dem Betrieb der Plattform hat Delos Cloud den langjährigen Microsoft-Cloud-Partner Arvato Systems beauftragt, ein Unternehmen, das zu Bertelsmann gehört. Delos bietet der öffentlichen Hand die Hyperscale-Technologie von Microsoft Azure sowie die Kollaborations- und Produktivitätslösungen von Microsoft Office 365. Die Delos Cloud wird vollkommen eigenständig betrieben.
In Zusammenarbeit mit Delos wird Microsoft souveräne Cloud-Lösungen für den deutschen öffentlichen Sektor ermöglichen, die den strengen Vorgaben zur Datenhoheit und Sicherheit folgen wie sie das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt hat. Das schließt die zentrale Anforderung ein, dass vertrauliche Daten und Verschlusssachen der deutschen Verwaltung auch nur in Deutschland verarbeitet werden dürfen und Teil der Dateninfrastruktur des Bundes ist. Zudem legen die Richtlinien zur Vertraulichkeit fest, dass der Betrieb nur von einem deutschen Unternehmen mit Mitarbeiterinnen und Mitarbeitern geführt werden darf, deren Qualifikation und Vertrauenswürdigkeit gesondert überprüft wurde.
„Wir verstehen klar und deutlich, wie wichtig es für die Verwaltung ist, ihre digitale Souveränität zu schützen – besonders in einer Zeit, in der Cloud Computing eine zentrale Rolle spielt und Cloud-Dienste in einigen Fällen gemeinsam mit lokalen Anbietern bereitgestellt werden“, sagt Bullwinkel. „Unser Ziel ist es, die Anforderungen der jeweiligen Regierungen an ihre Daten-Souveränität zu verstehen und dann unsere Dienste so zu gestalten und bereitzustellen, damit wir diesen Vorgaben gerecht werden.“
Für Kunden, deren Daten zum Beispiel keine Verschlusssachen sind und deren Daten darum nicht auf der Delos Cloud gespeichert werden müssen, hat Microsoft eine EU Data Boundary-Architektur für seine Cloud umgesetzt, die sicherstellt, dass Daten nur innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums gespeichert und verarbeitet werden. Dabei nutzt das Unternehmen sein großes Netzwerk an Rechenzentren in der EU. Für Kunden, die noch mehr Kontrolle über den Speicherort bestimmter Daten wünschen, bietet Microsoft zudem die Advanced Data Residency an – eine Lösung, die es ermöglicht, Daten gezielt in einer bestimmten geografischen Region zu speichern – wie zum Beispiel in Deutschland.
Microsofts Angebote zur Datensouveränität bieten Kunden sowohl eine hochgesicherte, technologisch aktuelle Cloud-Infrastruktur als auch die notwendige Flexibilität, um sich an sich verändernde regulatorische Vorgaben anzupassen. Damit können Kunden ihre individuellen Standards schnell und unkompliziert umsetzen.
„Unsere Technologien sind von Grund auf so entwickelt, dass sie sich flexibel an die individuellen Bedürfnisse jeder Organisation anpassen lassen“, sagt Alexander Britz, Public Sector Lead bei Microsoft Deutschland. „Wir arbeiten seit jeher eng mit unseren Kunden zusammen, um maßgeschneiderte Lösungen zu finden – ob es nun um den Standort des Rechenzentrums geht, um zusätzliche Sicherheitsmaßnahmen wie Confidential Computing oder darum, ob die Verschlüsselungs-Keys lieber bei uns, einem externen Partner oder direkt beim Kunden liegen sollen.“
„Es geht nicht nur darum, heute souverän zu sein“, sagt Nasir von IDC. „Es geht darum, auch in Zukunft souverän zu bleiben. Organisationen müssen alle regulatorischen Rahmenbedingungen im Blick behalten, und zwar nicht nur in der EU, sondern in jeder Region, in der sie tätig sind.“
