Cloud-Computing: Grenzen für die Datenspeicherung: Technologiekonzerne bauen „souveräne“ Cloud-Dienste
Daten, die in der Cloud gespeichert werden, sollen künftig regional zugeordnet werden können.
Foto: IMAGO/NurPhotoDüsseldorf. Werden Daten in der Cloud gespeichert, ist oft unklar, wo genau sie liegen – Speicherplatz, Prozessorleistung und Anwendungssoftware sind häufig irgendwo über mehrere Server verteilt, womöglich sogar an verschiedenen Standorten in aller Welt. Und seit den Enthüllungen von Edward Snowden ist klar, dass amerikanische Geheimdienste das Internet mit großem Aufwand überwachen.
Angesichts von Datenschutzbedenken stellen immer mehr amerikanische Anbieter ihr Geschäft um – und wollen der Datenspeicherung klare Grenzen setzen. Nach Microsoft und Google hat am Montag Oracle ein „souveränes“ Cloud-Angebot angekündigt. Dieses beinhaltet eine separate Infrastruktur innerhalb der Europäischen Union (EU), die ausschließlich EU-Bürger betreiben sollen.
Für Kunden sei die digitale Souveränität in den vergangenen Jahren zu einer zentralen Voraussetzung für die Cloud-Nutzung geworden, sagte Oracle-Manager Regis Louis dem Handelsblatt. In der EU gebe es aufgrund der Regulierung hohe Anforderungen – daher habe der Konzern ein spezielles Angebot für die Region entwickelt. Der Start ist für 2023 geplant.
„Die Cloud-Anbieter erkennen, dass die Kunden und Aufsichtsbehörden in einigen Branchen für den Umgang mit Daten strengere Auflagen machen“, sagte Paul McKay, Analyst bei Forrester, dem Handelsblatt. Das gelte für den öffentlichen Sektor, das Gesundheitswesen und die Finanzdienstleistungsindustrie, aber auch für viele deutsche Maschinenbauer.
Darauf muss Oracle reagieren, das bei IT-Infrastruktur aus der Cloud mit einem Marktanteil von rund zwei Prozent weit hinter AWS und Microsoft liegt. In einigen Segmenten sei die digitale Souveränität ein wichtiger Faktor, sagte Louis, etwa im öffentlichen Sektor oder stark regulierten Branchen – das neue Angebot habe „eine direkte Auswirkung auf das Geschäft“.
Was können die Geheimdienste sehen?
Die Nutzung von Cloud-Diensten hat in den vergangenen Jahren deutlich zugenommen, Bedenken wegen Datensicherheit und Datenschutz gibt es aber bis heute. Im Cloud-Monitor von Bitkom und KPMG beispielsweise erklären 70 Prozent der befragten Unternehmen, dass ein Rechenzentrum im Rechtsgebiet der EU unabdingbar sei.
Auch wenn Microsoft, Google oder AWS die Daten in europäischen Rechenzentren speichern, sind diese aus Sicht von Experten nicht unbedingt sicher. Mit dem seit 2018 geltenden Cloud-Act können US-Behörden die Herausgabe von Informationen verlangen, die IT-Anbieter im Ausland speichern. Angesichts der Erkenntnisse der Snowden-Enthüllungen erklärte der Europäische Gerichtshof mit den Schrems-Urteilen wichtige rechtliche Grundlagen für den Datentransfer von Europa in die USA für ungültig.
Die EU-Kommission verhandelt derzeit mit der US-Regierung über ein Abkommen, das den Datenaustausch zwischen den zwei Wirtschaftsräumen auf eine neue Rechtsgrundlage stellen soll. Viele Unternehmen wollen darauf jedoch nicht warten – die Unsicherheit ist schlecht für das Geschäft.
>> Lesen Sie auch: Droht Facebook und Instagram in Europa das Aus? Irische Behörde eskaliert Datenstreit
So haben AWS und Microsoft Geschäftsbedingungen eingeführt, die die Übertragung von Daten an die USA so weit wie möglich limitieren sollen – der Windows-Konzern verspricht beispielsweise gar eine „Datengrenze“. Auch neue Technologien sollen das Schutzniveau erhöhen, etwa durch Verschlüsselung.
Zudem entwickeln die Unternehmen Treuhänderkonzepte. So können Kunden die Cloud-Lösungen von Google seit dem Frühjahr von T-Systems betreiben lassen, für AWS bietet die Telekom-Tochter Sicherheitslösungen an. SAP und Arvato wiederum haben das Gemeinschaftsunternehmen Delos gegründet, um der öffentlichen Verwaltung die Cloud-Lösungen von Microsoft anzubieten.
Was genau heißt souverän?
Oracle will für Betrieb und Wartung eine eigene Firma gründen, in der ausschließlich EU-Bürger arbeiten sollen. Diese Konstruktion gewährleiste die Einhaltung der EU-Regeln, erklärte Louis. Allerdings soll die Einheit zum Konzern gehören und damit vom Management in Austin, Texas, abhängig sein.
Das wirft Fragen auf – etwa, wie Oracle Zugriffe von US-Behörden über den Cloud-Act verhindern will. Louis verwies auf zusätzliche Richtlinien, die einen Rahmen schaffen sollen, um Kunden die Kontrolle über die Daten und den Betrieb zu gewährleisten. Details werde der Konzern später veröffentlichen.
Damit ist unklar, ob Oracle die Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) erfüllt, das Cloud-Dienste vor dem Einsatz in Bundesbehörden und Ministerien prüft. Diese sehen vor, dass Auftraggeber die Systeme „unabhängig, unwiderruflich und damit souverän“ vom Anbieter betreiben können.
>> Lesen Sie außerdem: SAP bietet Kunden in Russland Umzug von Cloud-Daten an
Der Aufbau einer separaten Infrastruktur ist mit erheblichen Kosten verbunden. Oracle-Manager Louis bezifferte die Investitionen nicht, betonte aber, dass man neue Rechenzentren einrichten und zusätzliches Personal einstellen müsse. Die Skaleneffekte, die die Rechenfabriken der Cloud versprechen, treten nicht ein.
Auf höhere Preise will Oracle trotzdem verzichten, die Services sollen genauso viel kosten wie in den bestehenden Cloud-Rechenzentren. Auch die Produktpalette soll gleich groß sein. Ziel sei es, eine „signifikante Differenzierung“ zu erreichen, sagte Louis. Sprich: Der Konzern will sich von der Konkurrenz abheben.
Das ist auch nötig. IT-Infrastruktur aus der Cloud ist ein Wachstumsgeschäft, im ersten Quartal verzeichnete der Marktforscher Synergy Research ein Plus von 37 Prozent auf knapp 53 Milliarden Dollar. Allerdings konzentriere sich der Markt auf die großen drei, AWS, Microsoft und Google, wenn man China außen vorlasse, erklärte Analyst John Dinsdale. Die Konkurrenten müssten sich daher differenzieren.
Angesichts der vielen Ankündigungen können Unternehmen allerdings leicht den Überblick verlieren. Forrester-Analyst McKay rät, die Konzepte genau zu überprüfen. „Offen gesagt, sind einige der Versprechen nicht das Papier wert, auf dem sie stehen.“
Unternehmen sollten sich daher Klarheit verschaffen, bei welchen Anwendungen überhaupt ein besonderes Schutzniveau notwendig ist – und welchen Preis sie dafür bereit sind zu zahlen.