Das heißt: im eigenen Rechenzentrum oder im jeweiligen Land – und weiterhin verschlüsselt?

Alle Daten sind verschlüsselt: in transit, at rest und in process.

Also so, dass Google Cloud nicht hineinschauen kann?

Wir haben Verfahren wie Customer-Managed Encryption Keys. Dafür braucht es zwei Schlüssel. Google hält einen im Auftrag des Kunden, der Kunde hält den anderen. Solange nicht beide Schlüssel zusammenkommen, werden die Daten nicht offengelegt.

Auch wenn die politische Lage im Weißen Haus weiterhin für Unruhe sorgt, wird deutlich, dass US-Hyperscaler den Wunsch nach mehr digitaler Souveränität zunehmend ernst nehmen. Statt unverbindlicher Ankündigungen stellen sie langsam konkrete technische Lösungen vor.

Fabian Deitelhoff schreibt in »Rückzug aus der Cloud: Ernüchterung nach der Euphorie« für golem.de

Statt Kosteneinsparungen stiegen die Ausgaben bei zahlreichen Unternehmen. Eine Studie von Vanson Bourne ergab, dass 92 Prozent der befragten Unternehmen höhere Cloudkosten als geplant verzeichneten, mit einer durchschnittlichen Budgetüberschreitung von 47 Prozent.

Es gibt zahlreiche Szenarien, in denen der Umzug in die Cloud zu erheblichen Kosteneinsparungen führen kann. Die Frage ist, von welchem Ausgangspunkt man startet. Wenn die Serverinfrastruktur bereits ineffizient und aufgebläht war, können sich die Kosten durch den Wechsel in die Cloud schnell regulieren. Sollte das bisherige System oder die Dienstleistung jedoch bereits kosteneffizient betrieben worden sein, ist die Wahrscheinlichkeit für eine zusätzliche Kostenreduktion geringer.

Den Unterschied zu erkennen, kann herausfordernd sein. Was für den einen ein einfaches Produkt ist, erscheint dem anderen als komplex. Schließlich hat sich das eigene Produkt am Markt behauptet. Auch die Effizienz der Serverwartung ist stets eine Frage der Perspektive, besonders in einer sich schnell wandelnden IT-Landschaft. Letztendlich bleibt der Wechsel in die Cloud zu Beginn oft eine strategische Entscheidung mit der Hoffnung auf langfristige Kosteneffizienz.

Auf der Berliner Bühne sprach Plattner in Bezug auf die Vereinbarung von einem „NDA plus plus“, um tief reinschauen zu können. Auch Caspers sagt gegenüber Tagesspiegel Background: „Mit den Vereinbarungen schaffen wir den Rahmen, um mit den Unternehmen vertraulich reden zu können. Dadurch können wir technisch sehr tief einsteigen und grundlegende Architekturen prüfen.“ Auch die Meldung von Schwachstellen, sicherheitsrelevanten Vorfällen bis hin zu Fragen der Lieferkettensicherheit gehörten dazu, so der BSI-Vize: „So können wir am Ende sicher sein, dass wir alles wissen, was wir wissen müssen, um verlässliche technische Aussagen zur sicheren Nutzbarkeit der Cloudangebote treffen zu können.“

Am Ende des Artikels folgt dann allerdings dieser bemerkenswerte Absatz:

Wenn es dann mal soweit ist, endet die Arbeit jedoch nicht. Schließlich müsse sichergestellt werden, dass die geprüften Systeme auch sicher bleiben. „Die Anbieter müssen bei jedem einzelnen Update damit rechnen, dass wir uns das anschauen“, so Caspers. Allerdings seien 1000 Updates pro Woche in so einem Cloudsystem keine Seltenheit: „Damit muss man umgehen, und es ist klar, dass wir uns die nicht alle manuell angucken können.“ Viele Kontrollen müssten daher hoch automatisiert erfolgen, bei besonders kritischen Updates werde man auch gezielt prüfen und genau reinschauen, versichert Caspers: „Herausragende Schwachstellen, zum Beispiel in kryptografischen Bibliotheken, sind prädestiniert dafür.“

Wer diesen Blog regelmäßig liest, weiß: Vertrauen in Big Tech – egal aus welchem Land – ist nur dann gerechtfertigt, wenn unabhängige Prüfungen möglich sind. Das BSI stellt hier jedoch selbst fest, dass es genau diese Prüfungen in vollem Umfang gar nicht leisten kann.

Mit STACKIT von Schwarz Digits haben wir einen Kooperationspartner an unserer Seite, der das Thema Souveränität schon lange erfolgreich und zuverlässig adressiert", erläutert Plattner.

Lange ist dabei sehr relativ.