Die digital souveräne Cloud wird ein Mythos bleiben
Dieser Text war ursprünglich ein spontan geschriebener Beitrag auf meinem LinkedIn-Profil. Zudem wurde er in einem emotional sehr engagierten (lies: aufgeregten) Zustand verfasst. Für das Blog habe ich ihn etwas überarbeitet und vor allem die zahlreichen Tippfehler beseitigt.
Die digitale Souveränität ist derzeit in aller Munde. Als Nerd muss ich da schon etwas hochnäsig fragen: "Ach, endlich mal? Wieso nicht schon vor 20 Jahren? Spätestens 9/11 bzw. die daraus resultierenden Gesetze, spätestens aber die Snowden-Enthüllungen hätten ein Weckruf sein müssen."
Na ja, immerhin hat uns die Kanzlerin der Herzen dafür einen memwürdigen Spruch geschenkt. #Neuland
Aber zurück zum Thema. In letzter Zeit habe ich viel gehört. Viel Business-BlaBla und, pardon, viel Schwachsinn.
Entzückt war ich, als ein Kollege von einer Microsoft-Veranstaltung berichtete. Microsoft hat angekündigt, sein Geschäft in Europa nun separat zu führen. Wohl auch mit extra Firmen, die in Europa registriert sind, etc. Das Motto lautet: "Falls es hart auf hart kommt, könnten wir das Europageschäft komplett vom US-Mutterkonzern abspalten."
Klingt toll. Ich habe es aber nicht so richtig geglaubt. So etwas macht ein Tech-Gigant nicht einfach so. Und selbst wenn es rechtlich machbar wäre. Wer betreibt es dann? Aktuell fällt die IT-Branche ja durch Massenentlassungen auf. Es ist schwer vorstellbar, dass Microsoft dann mehrere hundert Leute in Deutschland anstellt, um die Sovereign Cloud und alles Rechtliche drumherum zu managen. Einfach nur, um für den Fall der Fälle die nötige Manpower zu haben. Denn Firmen im jeweiligen Land zu registrieren ist das eine, aber das nötige Know-how vor Ort zu haben, um die Sovereign Cloud dann auch betreiben zu können, das andere.
Microsoft war derweil mit seiner Microsoft Sovereign Cloud am Markt unterwegs und hat erzählt, wie toll alles ist. Ich hingegen habe nur ein handelsübliches Azure gesehen. Dafür jetzt mit blauem Schleifchen dran. 🥰
Und irgendwie gehen alle auf einmal davon aus: "Wenn wir unsere Daten da reintun, dann kommt der böse, fiese Trump nicht dran! Haha!"
Nein, sorry, das gehört eigentlich zusammen. Ja. In der Praxis sind Betrieb und Datenzugriff aber jeweils separat auf Souveränität zu überprüfen. Gerade bei Cloudanbietern.
Dass dem nicht so ist, hat Microsoft höchstpersönlich in Form von Anton Carniaux vor dem französischen Parlament bestätigt.
Auf die Frage, ob er bzw. Microsoft garantieren könne, dass die von Microsoft gehosteten Daten französischer Bürger niemals ohne die Zustimmung der französischen Behörden an ausländische Behörden weitergegeben würden, antwortete er: "Nein, das kann ich nicht garantieren."
Quelle: https://www.senat.fr/rap/r24-830-1/r24-830-11.pdf, Seite 23.
Aber ist es nicht genau das, was alle mit Souveränität erreichen wollen? Unabhängigkeit und Schutz des eigenen Technologiestacks und der Daten vor fremder – und politischer – Einflussnahme?
Was nützt mir also eine Microsoft Sovereign Cloud, wenn dort die exakt gleichen rechtlichen Bedingungen gelten wie bei der "Non-Sovereign Cloud"?
Verstehe ich da etwas nicht? Oder sehe ich das zu engstirnig/idealistisch?
Ich freue mich über Austausch.
Und bitte nicht vergessen: Selbst wenn Microsoft eine vollständig von den USA abgekoppelte "Sovereign EU Cloud" betreibt. Wo alle nötigen Systeme in der EU stehen. Und alle nötigen Mitarbeiter in der EU arbeiten. Dann kommt immer noch ein Großteil der Software aus den USA. Und was nützt eine souveräne Cloud, wenn man keine Sicherheitsupdates mehr erhält?
Insofern sollte man zuerst immer klären: "Wie unabhängig können wir überhaupt sein?" Und "Wie weit wollen wir unabhängig sein?" Von diesem Punkt aus sollten dann die Planungen starten.
Oder ... Einfach Business-BlaBla machen. Ist weniger anstrengend und weitaus kosteneffizienter.
EDIT: Golem hat just heute einen interessanten Artikel dazu veröffentlich wie man im eigenen Unternehmen vorgehen kann um digital Unabhängiger zu werden: Digitale Souveränität: Argumentationshilfe für resiliente IT-Entscheidungen