cloud

Benjamin Hilbricht und Oliver Voß schreibt in »C3A-Katalog: Die BSI-Kriterien für souveräne Clouds« für tagesspiegel.de Strategische Souveränität: Der Cloud-Anbieter muss EU- oder deutschem Recht unterliegen. Deutsche oder EU-Behörden müssen eine effektive Kontrolle vornehmen können. Wenn sich ein amerikanischer, chinesischer oder sonstiger Nicht-EU-Akteur in einen Cloud-Anbieter einkauft oder ihn übernimmt, muss das Unternehmen drei Monate im Voraus seine Kunden davor warnen. Rechtliche Souveränität: Einmal im Jahr muss der Cloud-Anbieter Nicht-EU-Gesetze identifizieren, die sich auf sein Geschäft auswirken, und eine Risikoanalyse vornehmen. Ein Beispiel wäre der US Cloud Act. Außerdem enthält der Abschnitt ein Kriterium für den Verteidigungsfall. Als souverän gelten Cloud-Anbieter, die Wissen, Fähigkeiten und Personal vorhalten, sodass der Staat die Cloud-Services im Verteidigungsfall selbst steuern kann. Datensouveränität: Dieser Punkt ist sehr umfangreich. Hier spezifizieren Kriterien, ob und wie viel Kontrolle die Kunden über die Metadaten und Daten haben und wo diese gespeichert werden. Es wird verlangt, dass der Cloud-Anbieter ein externes Management für kryptografische Schlüssel zulässt. Dadurch würde gewährleistet, dass er Kundendaten nicht selbst entschlüsseln kann. Auch die Möglichkeit, die Nutzeridentitäten außerhalb der Cloud zu managen, gilt als Muss. Betriebssouveränität: Auch dieser Punkt ist sehr umfangreich. Unter anderem finden sich hier die eingangs erwähnten Kriterien, dass die Rechenzentren 90 Tage lang ohne jegliche Verbindung zu Nicht-EU-Staaten laufen können müssen. „Wir müssen die Kabel zu den US-Backbones physisch rausziehen können und trotzdem muss ein Rechenzentrum in Europa betriebsfähig bleiben“, sagt BSI-Vize Caspers. Lieferketten: Hier müssen souveräne Unternehmen ihre Abhängigkeiten in Software, Hardware und Diensten inventarisieren und am besten einen dokumentierten Prozess für den Problemfall vorhalten. Technologische Souveränität: Hier verlangt das Bundesamt, dass es ein Backup des Quellcodes auf einem Speicher in der EU gibt. Der Code darf nicht älter sein als 24 Stunden und muss dokumentiert sein. Cloud-Anbieter, die in Deutschland tätig sein wollen, müssen für den Notfall eine Strategie vorhalten, wie sie ihre Dienste weiter liefern können. Zusätzlich können sie nachweisen, dass sie eigene Leute haben, die die Entwicklung und Wartung der Dienste übernehmen können, falls die Lieferung aus dem EU-Ausland abbricht. Der Artikel ist auch über das oben genannte Zitat hinaus interessant. Den C3A-Katalog kann man hier einsehen.

Vier europäische Technologieunternehmen – Cubbit, SUSE, Elemento Cloud und StorPool – haben auf dem European Data Summit in Berlin ein nach eigenen Angaben europaweit erstes vollständig integriertes „Sovereign Disaster Recovery Pack“ vorgestellt. Im Mittelpunkt steht weniger eine einzelne neue Technologie als der strategische Ansatz. Erstmals wird ein kompletter, sofort einsatzbereiter europäischer Infrastruktur-Stack für einen klar definierten Anwendungsfall gebündelt angeboten: Disaster Recovery. Die Initiative verweist dabei ausdrücklich auf geopolitische Risiken, etwa mögliche „Kill-Switch“-Szenarien durch außereuropäische Anbieter. Gleichzeitig versteht sie Disaster Recovery als pragmatischen Einstieg in eine weitergehende Cloud-Souveränitätsstrategie im Sinne des EuroStack-Konzepts. Weitere Informationen enthält die offizielle Pressemeldung

Das Foto zeigt eine besondere Leuchte mit einem geometrischen Design. Warm leuchtende Glühbirnen setzen die filigrane Mischung aus Holz und Metall in Szene. Die moderne Konstruktion hebt sich deutlich vor dem dunklen Hintergrund ab. Das Objekt ist ein Zettascope und verbindet kunstvolle Gestaltung mit technischer Raffinesse. Dies und weitere Fotos kannst du kostenfrei und in voller Auflösung auf unsplash.com runterladen. Hier geht es zum Foto

Moritz Förster schreibt in »Studie: Mehrheit der DACH-Unternehmen hält Cloud-Abschaltung für realistisch« für heise.de Unternehmen in der DACH-Region betrachten ihre Abhängigkeit von großen Cloud-Anbietern zunehmend als strategisches Risiko. Laut einer aktuellen Studie von Lünendonk & Hossenfelder halten 83 Prozent der befragten Unternehmen ein sogenanntes Kill-Switch-Szenario für realistisch – also die Möglichkeit, dass ein Cloud-Provider den Zugang zu kritischen IT-Services einseitig einschränkt oder komplett abschaltet. Gleichzeitig verfügen nur 57 Prozent über eine Exit-Strategie für den Wechsel des Providers. Fast die Hälfte hat demnach keinen Plan B für den Ernstfall. ...

Der folgende Absatz zu Delos und openDesk ist bemerkenswert. Viola Heeger schreibt in »Bundestag: So sieht der erste Entwurf der Digitalstrategie aus« für tagesspiegel.de Als Open-Source-Alternative setzt der Bundestag auf Open Desk, eine modulare Arbeitsumgebung des Zentrums für Digitale Souveränität (Zendis), die Anwendungen wie Textverarbeitung, E-Mail und Videokonferenz bündelt. Im Entwurf wird Open Desk als „kurzfristig aktivierbare Fallback-Option“ beschrieben. Also ein Notfallsystem, das im Krisenfall einspringen kann, aber noch keine vollwertige Alternative zur Microsoft-Umgebung darstellt. Im Dokument heißt es, dass Verträge bevorzugt werden, die „auch kurzfristig einen Anbieterwechsel ermöglichen“. Die Abhängigkeit von Microsoft soll beherrschbar bleiben, auch wenn sie vorerst fortbesteht. ...