Cloud-Souveränität: Definition, Risiken und Strategien

Das Thema Digitale Souveränität hat in den letzten Monaten enormes Momentum entwickelt. Der CIO des Bundes definiert digitale Souveränität als die Fähigkeit von Individuen und Institutionen, ihre Rollen in der digitalen Welt eigenständig, selbstbestimmt und sicher wahrzunehmen. Da Cloud-Services das Rückgrat der Digitalisierung bilden und auf mehreren Ebenen, wie etwa Technologie, Fertigkeiten, Recht oder Abhängigkeiten, anders funktionieren als konventionelle IT, benötigt es auch eine eigene Definition von Cloud-Souveränität: Cloud-Souveränität ist die Fähigkeit einer Organisation, genutzte Cloud-Technologien vertragsgemäß und im Einklang mit regulatorischen Anforderungen zu nutzen und zu steuern, ohne dass externe, im Rechtsverhältnis bekannte Akteure dies einschränken können.

Die in der Definition bewusst vorgenommene Einschränkung „…ohne dass externe, im Rechtsverhältnis bekannte Akteure dies einschränken können“ dient der begrifflichen Schärfung für den Kontext der Souveränität, bei der das Risiko trotz bestehendem Vertragsverhältnis erscheint. Beeinträchtigungen der vertragsbestimmten Nutzung durch außenstehende Dritte sind primär eine Frage der Cybersecurity und mittels etablierter Sicherheitsmechanismen, Resilienzmaßnahmen und Incident-Response-Prozesse zu adressieren. Entsprechendes gilt für Qualitäts- oder Verfügbarkeitsmängel in der Leistungserbringung des Cloud-Anbieters; diese sind durch wirksames Service-, Risiko- und Lieferantenmanagement zu steuern.

Im Mittelpunkt der Definition von Cloud-Souveränität stehen damit Abhängigkeiten und Einschränkungen, die aus dem konkreten Vertrags- und Rechtsrahmen, des zugrundeliegenden Rechtsraums sowie den Einflussmöglichkeiten bekannter Akteure resultieren (z. B. Cloud-Anbieter, Sub-Dienstleister, verbundene Unternehmen, staatliche oder staatsnahe Stellen).

Die aktuell wachsende Relevanz des Souveränitätsbegriffs ist zudem stark geopolitisch begründet. Der maßgebliche Treiber ist, dass es nicht mehr selbstverständlich ist, dass Technologie- und Service-Lieferanten in transnationalen Lieferketten die vereinbarten Leistungen dauerhaft und verlässlich erbringen. Anbieter können aus Eigeninteressen oder aufgrund zwingender Vorgaben ihres Rechtsraums (etwa staatliche Zugriffe, Sanktionen oder Exportkontrollen) zu Leistungsanpassungen, -einschränkungen oder -beendigungen veranlasst werden. Zugleich können auch die Nutzenden durch regulatorische Anforderungen ihres eigenen Rechtsraums verpflichtet sein, die Nutzung bestimmter Services einzuschränken oder einzustellen. Vor diesem Hintergrund hat die Sicherstellung technischer Souveränität sowie Daten- und Betriebssouveränität in den letzten Monaten stark an Bedeutung gewonnen.

Eine Souveränitätsbetrachtung auf strategischer, nationaler oder europäischer Ebene ist im Kern den politischen Akteuren vorbehalten und entzieht sich den Handlungsmöglichkeiten der Unternehmen.

Daher stehen bewusst die Nutzenden und Anbieter von Cloud-Diensten im Fokus. Unter „Nutzenden“ sind sowohl privatwirtschaftliche Unternehmen als auch öffentliche Institutionen (Verwaltungen, Behörden, Körperschaften und Anstalten des öffentlichen Rechts) zu verstehen. Der Begriff „Anbieter“ umfasst hingegen Cloud-Anbieter jeder Größe und meint ausdrücklich auch SaaS-Anbieter, um diese in eine belastbare Souveränitätsbewertung über die gesamte Wertschöpfung einzubeziehen. Ebenso gehören auch solche europäischen Anbieter dazu, deren Services auf Cloud-Dienste nicht-europäischer Anbieter aufbauen, inklusive cloudbasierte Industrieanwendungen (z. B. IIoT und Predictive Maintenance).

Das Bedürfnis, die eigene Souveränität zu stärken, steht in direktem Verhältnis zu den individuellen Risikoprofilen der Anwenderorganisation und der wahrgenommenen Bedrohungslage. Gemein ist diesen, dass sich die Risiken in den vergangenen Monaten spürbar verschärft haben. Das bislang unterstellte Vertrauen, dass Vertragspartner vereinbarte Leistungen verlässlich erbringen und beteiligte Rechtsräume stabil und berechenbar bleiben, gilt in dieser Form nicht mehr – obwohl sich bisher an der formalen Rechtslage kaum etwas geändert hat. Treiber sind vielmehr die geopolitische Lage und ihr Eskalationsniveau, welche die Risikopositionen einzelner Akteure auf Anwender- und Anbieterseite unmittelbar, meist negativ beeinflussen.

Zur Einordnung und als Grundlage für Maßnahmen, welche die Cloud-Souveränität stärken können, dient das folgende dreistufige Modell:

Souveränität im Zielkonflikt

Aus der geopolitischen Lage resultieren Risiken für Vertraulichkeit und Verfügbarkeit sowie für die Bezugskosten. Die Integrität – also das unautorisierte Verändern von Daten – ist in dieser Betrachtung bewusst ausgeklammert, weil derartige Eingriffe eher im Kontext einer Konfliktvorbereitung zu erwarten sind und damit auch auf übergeordneter staatlicher Ebene zu behandeln wären.

Die Schutzziele Vertraulichkeit und Verfügbarkeit entsprechen den klassischen Zielen der Cyber-Security. Im Rahmen der Souveränitätsoptimierung erfolgt die Bewertung jedoch nach anderen Kriterien, da Herkunft und Motivlage der Bedrohung abweichen. Ein Beispiel: Aus Cyber-Security-Perspektive kann die leistungsfähigste Endpoint-Protection von einem US-Anbieter stammen. Da ein solches System Zugriff auf unverschlüsselte Daten benötigt und die Bedrohungsanalyse in der globalen Cloud des Anbieters erfolgt, ist es aus Souveränitätssicht allerdings weniger geeignet.

Für die weitere Betrachtung stehen die Souveränitätsaspekte im Fokus. Zugleich müssen im Organisations- und Unternehmensumfeld die daraus entstehenden Zielkonflikte für die Umsetzung diskutiert, abgewogen und tragfähig gelöst werden.

Eventuelle Verletzungen der Vertraulichkeit sowie Verfügbarkeit und die tendenziell steigenden Kosten infolge eingeschränkter Souveränität beeinträchtigen die Wirtschaftlichkeit und das Einhalten von Vorgaben und Gesetzen.

Das Reduzieren der Verfügbarkeit von Cloud-Diensten, etwa mittels Sanktionen, beeinträchtigt unmittelbar deren Nutzbarkeit und damit wahrscheinlich auch deren tatsächliche, langfristige Nutzung. Das Erhöhen der Kosten durch Eingriffe staatlicher Akteure, etwa durch Auferlegen von Abgaben, trifft hingegen relativ kurzfristig die Wirtschaftlichkeit des Cloud-Einsatzes. Einerseits können die Anwenderorganisationen ihren Kunden die Produkte und Dienstleistungen gar nicht mehr oder nur noch mit verminderter Qualität anbieten oder im Falle von Kostensteigerungen lässt sich die kalkulierte Marge nicht halten.

Vertraulichkeitsverstöße entfalten ihre negativen wirtschaftlichen Auswirkungen dagegen eher mittelfristig, da auf eine Verletzung der Vertraulichkeit meist keine direkten negativen Konsequenzen folgen. Vielmehr muss ein Akteur die Verletzung der Vertraulichkeit bekannt machen oder die vertraulichen Informationen wirksam verwenden. Im ersteren Fall kann es dazu kommen, dass Kunden potenziell das Vertrauen in das Unternehmen verlieren (z. B. sinkende Nachfrage) oder dass Aufsichtsbehörden bestimmte Maßnahmen (z. B. Strafzahlungen) einleiten, die sich negativ auf die Wirtschaftlichkeit auswirken. Im letzteren Fall wäre das Risiko, dass der Cloud-Anbieter von staatlichen oder staatsnahen Akteuren angewiesen wird, wettbewerbsrelevante Informationen aus Daten ausländischer Kunden zu extrahieren und diese bestimmten Kreisen (z. B. den Akteuren oder heimischen Unternehmen) zugänglich zu machen, etwa um der eigenen Wirtschaft Vorteile zu verschaffen. Dies kann auf längere Sicht negative wirtschaftliche Auswirkungen nach sich ziehen, während ein kausaler Zusammenhang nur schwierig oder gar nicht nachweisbar wäre – insbesondere, wenn der Vertraulichkeitsverstoß nicht allgemein bekannt wird.

Die durch eine eingeschränkte Souveränität entstehenden Risiken betreffen nicht nur die direkt an der Wertschöpfung beteiligten Cloud-Services. Vielmehr wirken sie sich auf alle Cloud-basierten Dienste aus, die notwendig sind, um bestimmte IT-Systeme sicher zu betreiben, zu nutzen sowie weiterzuentwickeln und zu testen. Das Risiko von Souveränitätseinschränkungen ist damit gesamtheitlich für alle in der IT-Architektur verwendeten Cloud-Komponenten zu betrachten: So sind Funktionen, die über Software as a Service (SaaS) bezogen werden, besonders anfällig für Verfügbarkeits- und Vertraulichkeitsrisiken. Dazu gehören neben den bekannten CRM-Anwendungen auch Dienste, die Authentifizierung- und Autorisierungsfunktionen bieten sowie Softwareentwicklungsumgebungen und Netzwerkmanagement-Tools oder Lösungen zur Cyber-Abwehr.

Das isolierte Betrachten und Optimieren einer eher einfach zu definierenden und abzugrenzenden Cloud-Komponente, wie etwa die Portabilität virtueller Maschinen, erhöht die Souveränität im Gesamtkontext nur bedingt. Zusammenfassend bedeutet dies, dass es einer übergreifenden Sicht auf die Enterprise IT-Architektur eines Unternehmens bedarf, wenn die Souveränität wirksam erhöht werden soll.

Grundsätzlich sind die Souveränitätsrisiken nicht neu. Im Kontext von Cloud-Diensten wurden sie jedoch aufgrund der geringen Eintrittswahrscheinlichkeit lange nicht detailliert betrachtet. Nichtsdestotrotz verfolgen einige Unternehmen bei infrastrukturnahen Cloud-Diensten eine Multi-Cloud-Strategie, um sich nicht zu sehr von einem Cloud-Anbieter abhängig zu machen. Diese Multi-Cloud-Ansätze inkludieren allerdings oft alternative Anbieter aus demselben Rechtsraum. Bei SaaS-Lösungen, die einen oder mehrere Geschäftsprozesse abbilden, ist es hingegen für viele Unternehmen deutlich weniger sinnvoll, Multi-Cloud-Ansätze zu verfolgen. Der Grund hierfür ist, dass das Aufteilen geschäftsnaher Anwendungen, die Funktionen wie etwa Customer Relationship (CRM) oder Enterprise Resource Planning (ERP) unterstützen, auf verschiedene Anbieter dem Ziel des integrierten Verarbeitens von Daten entgegensteht. Auch Unterstützungssysteme sind meist bei einem bevorzugten Cloud-Anbieter gebündelt, da das Zentralisieren dieser Funktionen die Effizienz und Effektivität steigert und Risiken reduziert (z. B. Vorschreiben der Nutzung einer zentralen Multi-Faktor-Authentifizierung).

Bisher wurde die IT-Architektur unter den Risikodimensionen Cybersicherheit, Betriebssicherheit sowie organisatorische Aspekte betrachtet und optimiert. Mit der gesteigerten Bedeutung der Souveränität entsteht eine neue, zusätzliche Dimension im IT-Risikoprofil eines Unternehmens.

Maßnahmen zur Stärkung der Souveränität umfassen das Betrachten und erneute Bewerten der gesamten Enterprise-IT-Architektur und IT-Organisation, einschließlich der Systeme für Cybersicherheit sowie der IT-Betriebs- und Entwicklungssysteme.

Anders als bei den bisherigen Risikodimensionen besteht die zentrale Herausforderung nicht darin, bestehende Implementierungen (z. B. Multi-Faktor-Authentifizierung) zu erweitern oder neue technische Schutzmaßnahmen (z. B. Post-Quantum-Kryptografie) einzuführen. Vielmehr sind die bestehenden Lösungen grundlegend anhand bestimmter Souveränitätsaspekte individuell zu bewerten und gegebenenfalls anzupassen.

Cloud-Souveränität – Verbesserung der Souveränität im Kontext

Ziel der Cloud-Kunden ist es, den angemessenen Souveränitätsgrad für die in der Leistungserbringung genutzten Cloud-Dienste individuell zu definieren. Voraussetzung dafür ist eine detaillierte, umfassende und nachvollziehbare Bestimmung des Ausgangszustands. Hierbei sollten die Cloud-Kunden annehmen, dass die bestehende IT-Architektur, die etablierten Betriebsprozesse und das eingesetzte Personal sämtliche fachlichen, funktionalen und regulatorischen Anforderungen erfüllen. Dies stellt sicher, dass bestehende Defizite nicht (fälschlicherweise) als Souveränitätsproblem interpretiert werden, sondern ausschließlich bewertet wird, wie sich die reale Souveränität darstellt und wie sich Maßnahmen zu deren Erhöhung auswirken.

Den Souveränitätsgrad ermitteln Cloud-Kunden auf zwei Ebenen.

Entlang der Geschäftsprozesse der Wertschöpfungskette: Aus dieser Perspektive lässt sich über eine risikobasierte Geschäftsprozessbetrachtung eine sachgerechte Priorisierung der souveränitätserhöhenden Maßnahmen ableiten. In der Enterprise Architecture-Dokumentation sind die dem Prozess zugeordneten IT-Services ersichtlich. Dazu zählen ausdrücklich die IT in der realen Leistungserbringung wie IIoT und Industriesteuerung sowie weitere operative Technologien entlang des gesamten Geschäftsprozesses.
Entlang der IT-Unterstützungssysteme: Hier bestimmt die Anzahl und Bedeutung der von den Cloud-Diensten unterstützten Geschäftsprozesse die Priorität der Cloud-Dienste. Identity Access Management und Cyber-Security-Services sind meist hoch priorisiert, da sie mehrere Prozesse unterstützen.

Die Analyse erfolgt strukturiert und konsistent entlang der Dimensionen Daten, Technologie sowie Organisation und umfasst auch Aspekte wie Fähigkeiten von Lieferanten, Fähigkeiten und Kapazitäten oder das IT-Sicherheitsniveau sowie regulatorische Anforderungen. Für alle eingesetzten (wertschöpfenden und unterstützenden) IT-Services, die dem ausgewählten Geschäftsprozess zugeordnet sind, ist eine aggregierte Sicht auf den Souveränitätsgrad zu erstellen. Abhängig vom Risikoappetit des Unternehmens wird festgelegt, ob eine Durchschnittsbildung, das Minimalprinzip oder eine alternative Methode zur Aggregation angewendet wird. Das Vorgehen ist mindestens für die kritischsten Geschäftsprozesse und IT-Unterstützungssysteme durchzuführen, bevor Maßnahmen abgeleitet und priorisiert werden.

Durch die strukturierte Vorgehensweise und die Vielzahl an Datenpunkten entsteht ein Netz wechselseitiger Abhängigkeiten. In diesem Netz zeigen sich üblicherweise mehrere zentrale Knoten mit IT-Services, die den Souveränitätsgrad ebenso wie die Gesamtarchitektur maßgeblich beeinflussen und damit gezielte Hebel für wirksame Optimierungen der Souveränität darstellen.

Das Festlegen des angemessenen Souveränitätsgrads erfordert eine fundierte Analyse und eine ausgewogene Betrachtung aller relevanten Einflussfaktoren. Zu diesen zählen Funktionalität, Wirtschaftlichkeit, Betriebsrisiken und Cyberrisiken sowie personelle Rahmenbedingungen oder regulatorische Anforderungen.

Der zentrale Zielkonflikt liegt darin, dass das Stärken der Souveränität, etwa durch die Entscheidung für einen europäischen Anbieter, häufig mit Einschränkungen in anderen Dimensionen verbunden ist. Bei führenden US-Cloud-Lösungen wie CRM-Systemen oder KI-Modellen und Security-Suiten existieren nur wenige deutsche oder europäische Alternativen mit vergleichbarem Funktionsumfang und Reifegrad.

Orientierung für die Optimierung der Souveränität bieten Leitfragen, die Organisationen helfen können, ihren Risikoappetit und den Geschäftsnutzen der Cloud-Dienste in Einklang zu bringen:

Welche zusätzlichen Cyber-Security-Risiken ist die Organisation bereit, im täglichen Betrieb zu tragen, etwa wenn es von einer Top Tier Cloud-basierten Security-Suite aus den USA auf eine oder mehrere lokale souveräne Lösungen wechselt?
Wie viel weniger Funktionalität und Innovation im Service für die eigenen Kunden kann die Organisation akzeptieren, sollte es von Frontier-AI-Modellen auf souveräne Lösungen wechseln?

Maßnahmen zur Souveränitätserhöhung

Es empfiehlt sich, die Maßnahmen zur Stärkung der Souveränität aufgrund der diversen Abhängigkeiten mittels eines iterativen Vorgehens auszugestalten und umzusetzen. Unternehmen sollten die Lösungsoptionen strukturiert identifizieren und deren Auswirkungen auf Funktionalität, Kosten sowie Betriebs- und IT-Sicherheit bewerten, um das Gesamtpaket kontinuierlich und zielgerichtet zu optimieren.

Je nach Ausgangslage und angestrebtem Zielniveau lässt sich die Cloud-Souveränität in drei abgestuften Handlungsfeldern erhöhen.

Vertragliche Maßnahmen: Die Organisation kann versuchen, mit dem bestehenden Anbieter Auditrechte zu vereinbaren, bestimmte Compliance-Nachweise verbindlich zu verankern sowie Exit-Strategien festzulegen. Teilweise lassen sich diese Vereinbarungen sogar durch unabhängige, externe Dritte prüfen und zertifizieren.
Betriebliche Anpassung innerhalb des Portfolios des bestehenden Anbieters: Hierzu zählen die Nutzung souveräner Angebote des Anbieters, die Verschlüsselung von Daten mit eigenem Schlüsselmaterial und die Entscheidung, künftig statt auf SaaS und PaaS auf leichter transferierbare CaaS- und IaaS-Architekturen zu setzen. Möglich ist auch die Migration zu einem air-gapped Cloud-Service, der vom bestehenden Anbieter selbst oder von dessen souveränem, europäischen Partner betrieben wird.
Vollständige Migration: Der umfassendste Schritt ist das Wechseln auf die souveräne IT-Architektur eines neuen, unabhängigen Anbieters oder auf den eigenen, On-Premises-Betrieb.

Fazit: Souveränitätserhöhung prinzipiell einfach, aber nicht leicht umzusetzen

Die Stärkung der Souveränität erscheint zwar grundsätzlich einfach. In der Realität stellt sich die Umsetzung der Veränderungen jedoch als anspruchsvoll dar. Für viele Unternehmen sind Maßnahmen der ersten beiden Stufen vergleichsweise gut realisierbar, da sie meist nur begrenzten Einfluss auf andere Bewertungsdimensionen wie Funktionalität, Kosten, Betrieb und Sicherheit haben. Ab Stufe drei vergrößern sich jedoch Tragweite und Wechselwirkungen deutlich, und es entstehen spürbare Konsequenzen für Funktionsumfang, Prozessgestaltung und Wettbewerbsfähigkeit – weil sich Leistungsangebote, und damit die Fähigkeit, Leistungen am Markt anzubieten, verändern. Unternehmen sollten ihr Vorgehen daher sorgfältig vorbereiten und klare Entscheidungskriterien, belastbare Szenarien und fortlaufende Beobachtung der Rahmenbedingungen sicherstellen. Souveränität ist kein reines IT-Thema, sondern eine unternehmensweite Aufgabe mit direktem Einfluss auf Marktauftritt, Kundenerlebnis, Wirtschaftlichkeit und die strategische Positionierung.