Thought Leadership
Es existiert in der IT ein ziemlich stiefmütterlich behandeltes Thema, von denen die meisten vermutlich noch nicht viel gehört haben: der „Cloud Exit“.
So einfach man diesen Begriff verstehen kann, so einfach ist er auch zu erklären: Wenn man als Unternehmen oder Behörde seine IT in der Vergangenheit outgesourced hat, so kann es sich vielleicht für die Zukunft als sinnvoll erweisen, wieder On-Premise zu hosten, was lange Jahre zuvor auch der Standard gewesen ist. So hat beispielsweise der UP KRITIS schon 2022 „Empfehlungen zur Vorbereitung einer Exit-Strategie bei Nutzung von Cloud Dienstleistungen“ veröffentlicht.
„IT aus der Steckdose“ als Mantra der 2020er-Jahre
Natürlich ist nicht jede Einrichtung eine Kritische Infrastruktur, und auch sonst liest man aktuell nicht viel zum Thema Cloud Exit – ganz im Gegenteil: Jüngst Anfang Juli 2024 hat der Bitkom seinen „Cloud Report“ veröffentlicht, aus dem mehr als deutlich hervorgeht, dass der Weg in den kommenden fünf Jahren nicht aus der Cloud heraus, sondern in die Cloud hinein gehen wird: So nutzen nicht nur 81% der Unternehmen in Deutschland Cloud Computing, sondern 4 von 10 der in der Studie befragten Cloud-Nutzer haben eine „Cloud only“- oder zumindest „Cloud first“-Strategie. Dementsprechend wundert es nicht, dass allenthalben neue Cloud-Angebote entstehen und Begriffe wie „IT aus der Steckdose“ zum Mantra der IT-Infrastruktur in den 2020er-Jahren avancieren. Doch trotz aller Lobreden auf Skalierbarkeit und Verfügbarkeit werden von den IT-Beschaffern die ganz zentralen Fragen rund um Cybersicherheit, Datenschutz und Compliance von Cloud-Anwendungen zu oft vergessen – oder einfach ignoriert. Und das ist ein fataler Fehler, denn es lassen sich eben nicht alle IT-Probleme einfach auf Knopfdruck durch Outsourcing erschlagen.
Teilsouveräne Clouds und durchlässige Datengrenzen
Das haben auch einige der großen Hyperscaler erkannt und bieten deshalb mittlerweile „souveräne Clouds“ an – allen voran das Unternehmen Microsoft, das den Begriff der sogenannten „EU-Datengrenze“ ganz erheblich und von Anfang an mitgeprägt hat. Diese EU-Datengrenze ist laut Microsoft „eine geografisch definierte Grenze, innerhalb derer sich Microsoft verpflichtet hat, Kundendaten und personenbezogene Daten für unsere Microsoft Enterprise Online Services, einschließlich Azure, Dynamics 365, Power Platform und Microsoft 365, zu speichern und zu verarbeiten, vorbehaltlich begrenzter Umstände, unter denen Kundendaten und personenbezogene Daten weiterhin außerhalb der EU-Datengrenze übertragen werden.“
Deutlich wird mit dieser Definition vor allem eines: Genauso schwammig, wie der Begriff der „souveränen Cloud“ ist, ist auch der Begriff einer „Datengrenze“. Und genau das machen sich neuerdings auch Unternehmen wie die Delos Cloud GmbH zunutze, die sich zwar als „souveräne und sichere Cloud-Plattform für die Digitalisierung des Öffentlichen Diensts in Deutschland“ präsentieren – technisch aber auf Microsoft Azure und Microsoft 365 aufbauen. Und auf diese Weise wird der Begriff der „souveränen Cloud“ schnell so hingebogen, wie es gerade passt, denn was in der Marketingkommunikation zu ebenjener souveränen Cloud schnell untergeht, ist der Umstand, dass die zu ihrer Realisierung genutzte proprietäre Software und ihre Schnittstellen eine Blackbox sind, die weder offen noch unabhängig überprüfbar sind. Gleichwohl soll die neue Delos-Cloud zum Flagschiffprojekt der Verwaltungsdigitalisierung in der Bundes-IT avancieren – und ebenjene verloren geglaubte digitale Souveränität zurückbringen.
Für die Frage der Souveränität ist nicht der Standort des Rechenzentrums entscheidend
Genau das ist aber ein folgenreicher Trugschluss: Denn gerade für den Fall Microsoft ist es nicht einmal zwingend notwendig, mit juristischen Argumenten rund um das Überwachungsgesetz US Cloud Act oder dem fragwürdigen Fortbestand des datenschutzrechtlichen Angemessenheitsbeschlusses EU-US Data Privacy Framework zu argumentieren, denn Microsoft hat sich in der Vergangenheit weder als cybersicheres noch als vertrauenswürdiges Unternehmen erwiesen. Zu schnell in Vergessenheit geraten ist vor diesem Hintergrund auch der „Summer of Snowden“ im Jahr 2013, wo bekannt wurde, dass auch Microsoft an dem globalen Netzüberwachungsprogramm „PRISM“ beteiligt war. Und damit ist es im Ergebnis auch ein Treppenwitz der Geschichte, wenn in Deutschland eine „souveräne“ Cloud basierend auf Microsoft-Produkten aufgebaut werden soll.
Was man also feststellen kann: Deutschland ist von einem „Cloud Exit“ noch weit entfernt, und mit der zusätzlichen Nutzung von KI aus der Cloud bahnt sich zurzeit das genaue Gegenteil an. Angeblich technologiesouveräne Lösungen sind auf dem Cloud-Markt durchaus breit gestreut, aber dabei gilt es zu beachten, dass es nicht wie so oft kommuniziert primär auf den Standort des Rechenzentrums, sondern auf den Betreiber und die zugrundeliegende Software ankommt. Und angeblich „souveräne Clouds“, wie sie für den öffentlichen Sektor zum Beispiel von Delos angeboten werden, sind mit äußerster Vorsicht zu genießen, da „Souveränität“ eben kein rechtlich geschützter Begriff ist.
