Digitale Souveränität Cloud-First-Strategie? Ja, aber bitte richtig!

Autor / Redakteur: Yann Lechelle* / Julia Mutzbauer

Der Trend im öffentlichen Sektor geht hin zur Nutzung von Cloud-Diensten. Worauf es bei der Cloud-First-Strategie ankommt, erklärt unser Gastautor Yann Lechelle von Scaleway.

Firmen zum Thema

Die Nutzung von Cloud-Diensten erfordert einen Ansatz, der Transparenz und Vertrauen schafft, insbesondere im Hinblick auf den Standort der gespeicherten Daten
Die Nutzung von Cloud-Diensten erfordert einen Ansatz, der Transparenz und Vertrauen schafft, insbesondere im Hinblick auf den Standort der gespeicherten Daten
(© jirsak - stock.adobe.com)

Die französische Regierung hat kürzlich ihre „Cloud-Doktrin“ für den öffentlichen Dienst vorgestellt. Sie ebnet damit den Weg für die Einführung regulierter Cloud-Dienste in großem Maßstab, um die digitale Transformation der Verwaltungen zu beschleunigen. Diese „Cloud-first“-Strategie ist technisch sinnvoll und wird helfen, die Benutzererfahrung zu verbessern.

Das gilt allerdings nur, wenn die Voraussetzungen für einen gemeinsamen europäischen Ansatz erfüllt sind und so das Risiko minimiert wird, dass europäische Akteure in den Hintergrund gedrängt und auf die Rolle von Vermittlern zwischen der öffentlichen Hand und amerikanischen Hyperscalern reduziert werden, die so durch die Hintertür weiterhin den Markt dominieren würden.

Abhängigkeit von Anbietern

Auch in Deutschland gibt es Pläne, die Nutzung von Cloud-Diensten durch den öffentlichen Dienst zu fördern. Die Zielsetzung klingt zunächst lobenswert: Die Cloud-Dienste der Bundesverwaltung sollen über bundeseigene Dienstleister abgewickelt werden. Doch bei genauerem Hinsehen wird deutlich, dass eine hochgradige Abhängigkeit von einzelnen Softwareanbietern besteht, wie eine vom BMI in Auftrag gegebene Marktanalyse zeigt.

Das Risiko, welches mit der Abhängigkeit von amerikanischen Hyperscalern einhergeht, betrifft u.a. das Thema Datenschutz: Die persönlichen, sensiblen Daten der europäischen Bürger und die Daten unserer Unternehmen einer außereuropäischen Gerichtsbarkeit auszuliefern und gleichzeitig die Entwicklung eines unabhängigen, nationalen, digitalen Ökosystems langfristig zu behindern, wäre fahrlässig. Denn die bestehenden industriellen Abhängigkeiten von außereuropäischen Softwarelösungen werden voraussichtlich fortbestehen und in den nächsten Jahren sogar noch zunehmen, zusammen mit dem erwarteten Anstieg der Cloud-Nutzung auf unserem Kontinent.

Transparenz und Vertrauen

Dies erfordert einen Ansatz, der Transparenz und Vertrauen schafft, insbesondere im Hinblick auf den Standort der von den Verwaltungen in der Cloud gespeicherten Daten, die Einhaltung der europäischen Gesetzgebung (Schrems-II-Urteil) oder die Unterwerfung der Cloud-Service-Anbieter (und der Daten ihrer Kunden) unter außereuropäische Gesetze. Idealerweise wird dies auf europäischer Ebene umgesetzt, damit es eine echte Wirkung entfalten kann. Die europäische Öffentlichkeit sollte nach präzisen und detaillierten Kriterien beurteilen können, inwiefern Cloud-Dienste immun sind gegenüber extraterritorialen Gesetzen, von der physischen Basis der Dienste bis hin zu den Softwarekomponenten, aus denen die Cloud besteht.

Der Schlüssel zum Vertrauen sollte nicht im Abschluss von Partnerschaften zwischen lokalen und amerikanischen Akteuren liegen, die erstere als Wiederverkäufer von lizenzierter amerikanischer Softwaretechnologie positionieren. Eine solche Position zu fördern, ist problematisch und paradox, da sie weder eine langfristige Lösung noch Rechtssicherheit bietet.

Wie auch immer die Übereinkünfte mit außereuropäischen Lieferanten aussehen mögen, die Metadaten, die Bestandteil dieser Lösungen sind, werden immer die Durchsetzung von ausländischem (US-) Recht sowie juristische Maßnahmen zu den Daten oder Metadaten bestimmter Kunden über den Foreign Intelligence Surveillance Act (FISA) oder die Executive Order 12333 (US-Dekret mit dem die Befugnisse und Verantwortlichkeiten der nationalen Geheimdienste ausgeweitet wurden) ermöglichen.

Zudem ist der Quellcode solcher Lösungen in den seltensten Fällen durch Externe auditierbar. Er kann also beispielsweise Hintertüren enthalten oder sensible Informationen weiterleiten, ohne dass die ausgehenden Datenströme einfach durch externe Experten analysiert werden können. In Sachen Cybersicherheit besteht also ein völliger Mangel an Transparenz.

Mangel an Vorhersehbarkeit

Weiterhin wird der Erfolg dieser Partnerschaften von den (bekanntermaßen schwankenden) Bedingungen des US-Exportkontrollregimes zur Lizenzvergabe abhängen. Wie sich die Anforderungen des Cloud Acts nach US-Recht entwickeln werden, ist ebenfalls ungewiss. Dieser Mangel an Vorhersehbarkeit ist keine gute Basis für Vertrauen.

Weit davon entfernt, ein Problem der Souveränität zu lösen, würden solche Lösungen die europäische digitale Umgebung neuen Arten von Abhängigkeiten aussetzen. Besorgniserregend sind dabei unerwünschten Nebeneffekte, die dieses Label in seiner jetzigen Form auf dem Markt haben könnte. Es könnte vertrauenswürdige Angebote von einer bestimmten Anzahl von Anbietern ausschließen, die sich durch ihren souveränen Ansatz auszeichnen, der mit erheblichen Investitionen verbunden ist.

*Der Autor: Yann Lechelle, CEO von Scaleway

(ID:47527352)