Für uns Schweizer ist die Datensouveränität und das Wissen und die Kontrolle darum, wo diese Daten gespeichert und verarbeitet werden, sehr wichtig. Der Trend der Unternehmen, mit einer Cloud-First-Strategie ihre Daten künftig vermehrt aus der Public Cloud beziehen zu wollen, widerspricht diesem Wunsch. Unternehmen wollen jedoch vom technologischen Angebot und den wirtschaftlichen Kosten profitieren und sind im Clinch, wie sie beide Bestrebungen unter einen Hut bekommen. Brauchen wir eine spezifische Swiss-Cloud oder bestehen wir hier auf einem letztlich nicht bezahlbaren Swiss-Finish, vielleicht reicht auch ein Label "Swiss-Cloud ready"?
Vertrauen ist gut, Kontrolle ist besser
Vertrauen ist die Grundlage einer langfristigen Zusammenarbeit. Dies gilt speziell, wenn es um die Auslagerung von IT-Diensten und Unternehmensdaten geht. Verarbeitung und Lagerung der Daten ohne Einflussnahme der Unternehmen, wo die Daten liegen, ist für viele Unternehmen nicht akzeptabel. Genau dies ist jedoch eine der Erfolgsprinzipien von Cloud Computing. Gerade weil sich Kunden nicht mehr um die Infrastruktur selbst kümmern müssen und der Zugang zur Cloud und damit zu neuen Technologien schnell und relativ einfach möglich ist, bildet die Cloud eine unverzichtbare Alternative zu den klassischen On-Premise-Lösungen. Obwohl mit dem Konzept der Private Cloud eine gewisse Abschottung möglich wäre, geht der Trend der Unternehmen aber eindeutig Richtung Public Cloud. Also in einem gemeinsam mit vielen anderen Marktteilnehmern genutzten Infrastruktur- und Storage-Bereich, ohne Transparenz und ohne eigene Kontrolle über deren Verteilung.
Gerade in einem stark regulierten Geschäftsumfeld, wo Unternehmen die Einhaltung der Vorschriften zu ausgelagerten Datenverarbeitungen eigenverantwortlich kontrollieren müssen, ist es nicht immer klar, welche Arten von Verarbeitungen in der Cloud möglich sind und welche nicht. Hinzu kommt, dass die massgeblich genutzten Cloud-Anbieter aus den USA stammen und dort dem US-amerikanischen Gesetz "Cloud Act" (Clarifying Lawful Overseas Use of Data Act) unterstehen. Dieser besagt, dass die Internetfirmen den US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten müssen, wenn die Speicherung nicht in den USA erfolgt. Das gilt auch für Microsoft, Google (und demnächst Amazon) mit ihren Rechenzentren bei uns in der Schweiz.
Machen sich Schweizer Unternehmen berechtigte Sorgen, oder genügen vorhandene Schutzmechanismen wie Verschlüsseln der Daten und föderierte Identity-&-Access-Management-Konzepte, um die Kontrolle in genügendem Masse wahrnehmen zu können? Oder braucht es eine speziell für die Schweiz und aus der Schweiz betriebene und behördlich kontrollierte Cloud-Infrastruktur? Dieser Frage ist eine Arbeitsgruppe des Informatiksteuerungsorgan des Bundes ISB nachgegangen und hat im Dezember 2020 den Bericht zur Bedarfsabklärung für eine "Swiss Cloud" publiziert. Demnach glaubt die Mehrheit der an der Studie beteiligten Unternehmen nicht an eine eigene physische Schweizer Cloud-Infrastruktur. Man glaubt wohl eher nicht, dass die Schweiz innert nützlicher Frist eine vergleichbare Infrastruktur bereitzustellen in der Lage sei. Vielmehr sollen demnach vom Bund definierte rechtliche Rahmenbedingungen erlassen werden, um die Rechtssicherheit im Umgang mit der Cloud zu erhöhen. Ein durchsetzbares Policy-Framework soll als "Swiss Cloud"-Label genügen.
Was sind spezifische Schweizer Bedürfnisse?
Die besagte Studie bringt auch die grundsätzlichen Bedürfnisse der verschiedenen Branchen und Bedarfsträger zum Ausdruck. Demnach will man nach Möglichkeit die Verarbeitung und Speicherung in der Schweiz wissen und auf jeden Fall die Datenherausgabepflicht an Dritte verhindern. Insbesondere sollen Geschäfts- und Personendaten geschützt werden, damit die gesetzlichen und regulatorischen Vorgaben jederzeit eingehalten werden können. Gleichzeitig besteht aus wirtschaftlicher Sicht die Vision, die Schweiz mit Standortvorteil aufgrund der stabilen politischen Verhältnisse als verlässlicher Hüter von Daten und deren Verarbeitung zu etablieren.
Die Frage stellt sich, ob vorhandene und breit akzeptierte Standards und Zertifizierungslabels genügen, oder ob es hier ein spezielles Swiss-Finish braucht? Haben wir in der Schweiz das notwendige Know-how, ein solches Label aufzubauen, das nicht nur von lokalen Unternehmen, sondern insbesondere von global agierenden Konzernen als verlässlich und zeitgemäss anerkannt wird?
Ist das Projekt Gaia-X eine gangbare Alternative?
Die Schweiz ist mit ihrer Sorge um die Datensouveränität nicht allein. In der EU hat sich in den vergangenen zwei Jahren das Projekt Gaia-X mit ähnlichen Fragestellungen auseinandergesetzt. Auch hier will man eine vernetzte Cloud-Infrastruktur als offenes digitales Ökosystem bereitstellen, in dem Daten sicher und vertrauensvoll verfügbar gemacht, zusammengeführt und geteilt werden können. Unter Dateninfrastruktur wird eine vernetzte technische Infrastruktur aus Komponenten und Diensten, den Zugang zu Daten sowie deren Speicherung, Austausch und Nutzung gemäss vordefinierten Regeln verstanden. Ein digitales Ökosystem ist ein Netzwerk aus Entwicklern, Anbietern und Anwendern digitaler Produkte und Services in Verbindung mit Transparenz und breitem Zugang.
Getrieben ist das Projekt aus den auf europäischen Werten definierten Leitprinzipien, wie europäischer Datenschutz, Offenheit und Transparenz, Authentizität und Vertrauen, Souveränität und Selbstbestimmtheit, freier Marktzugang, Modularität und Interoperabilität sowie Nutzerfreundlichkeit.
Das Projekt ist so weit gediehen, dass die notwendigen Steuerungsgremien bereits formell gegründet wurden und technische wie auch regulatorische Arbeitsgruppen ihre Arbeit aufgenommen haben.
Fazit
Vertrauen ist von zentraler Bedeutung, wenn es um die Zusammenarbeit mit Partnern geht. Dies gilt ganz speziell beim Einsatz von Public Clouds. Um das enorme Potenzial von den auf der Cloud-Technologie basierenden Next-Generation-Technologien für unsere Wirtschaft sicher verfügbar zu machen, braucht es formelle und vertrauenswürdige Label, welche die Ordnungsmässigkeit bestätigen. Ob es dazu eine eigene Infrastruktur aus der Schweiz braucht oder ob ein breit anerkanntes Label genügt, das durch offizielle Schweizer Kontrollinstanzen überwacht wird, sollte möglichst bald geklärt werden. Es wäre eine Idee wert, sich als Schweiz beim Projekt Gaia-X zu beteiligen und einen Einsitz im "Governmental Advisory Board" zu nehmen.
Veranstaltung
Swico Eurocloud Swiss organisiert eine virtuelle Diskussion zum Thema "Cloud: Wie viel Swissness ist notwendig?" Mit Vertretern von Cloud-Anbietern, Rechenzentrumsbetreibern, Kunden und Juristen will Eurocloud Swiss dieser Frage auf den Grund gehen und die verschiedenen Argumente gemeinsam erläutern:
- Swissness für die Cloud, Marketing oder jetzt doch dringend notwendig für unsere Wirtschaft?
- Zu einer Zeit, in der die Digitalisierung in unserer Wirtschaft getrieben wird durch äussere Einflüsse ist es dringend notwendig, das eigene Unternehmen strategisch richtig aufzustellen. Bieten Cloud-Anbieter mehr Risiken als Chancen?
- Dazu werden immer wieder gerne Fragen gestellt wie: «Ist das alles sicher und datenschutzkonform?», «Welche Anforderungen habe ich? Welche Rahmenbedingungen muss ich im Unternehmen schaffen?». Die wichtigste Frage lautet: «Was muss ich wie planen und realisieren, um mit meinem Unternehmen sicher und zukunftsorientiert aufgestellt zu sein?»
- Zu diesen Fragen gesellt sich immer wieder gerne das Thema «Swissness».
Frühlingsevent von Eurocloud Swiss am 22. April 2021
"Cloud: Wie viel Swissness ist notwendig?" mit einer Eröffnungs-Keynote von Christian Laux
Wann: Donnerstag, 22. April 2021 16.00 – 18.00 Uhr
Wo: Virtueller Event
Anmeldung: www.eurocloudswiss.ch