Deutschland und Europa sind digital abhängig: Vor allem die großen amerikanischen Cloud-Anbieter sind alternativlos. Dass der Europäische Gerichtshof dieses Jahr das Datenschutzabkommen Privacy Shield gekippt hat, verschärft das europäische Ringen um digitale Souveränität zusätzlich. Abhilfe können Governance-Lösungen schaffen, die die Macht der Anbieter zähmen.
Deutschland war Meister der Automatisierung – mit Maschinen aus der Bundesrepublik sind weltweit die Massenprodukte von den Bändern gerollt. Die bislang wichtigste Maschine dieses Jahrhunderts – die Cloud – kommt nicht mal mehr aus Europa. Automatisiert wird längst woanders. Der Unterschied zwischen altem Glanz und der digitalen Realität heute hat Deutschland, trotz aller Bemühungen, den Ruf beschert, abgehängt zu sein. Und nicht nur das: Weil jeder die Cloud braucht, begeben sich deutsche Unternehmen und Behörden in eine Abhängigkeit von den großen amerikanischen Anbietern.
Digitale Souveränität: Für Europäer ein unerreichtes Ideal
Corona hat in diesem Jahr Unternehmen und Behörden in die Cloud getrieben – und dabei um wichtige Zeit auf der Suche nach deutschen und europäischen Alternativen zu Microsoft, Google und Amazon gebracht. Die Dominanz der US-Anbieter gefährdet die digitale Souveränität – laut Bundesregierung die „Fähigkeit und Möglichkeit von Organisationen ihre Rolle in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“.
Privacy Shield: Datenschutzabkommen gekippt
Wie stark die digitale Souveränität schon verloren gegangen ist, machte kürzlich das Urteil des Europäischen Gerichtshofs zum Thema Privacy Shield deutlich: Das EU-US-Datenschutzabkommen wurde im Juli dieses Jahres für unwirksam erklärt und ist nicht mehr anwendbar. Das bringt die europäischen Unternehmen in enorme Schwierigkeiten: Laut der Potenzialanalyse Cloud in Europa von Sopra Steria ist die DSGVO-Konformität das Kriterium Nummer 1 bei der Wahl des Cloud-Providers. Weniger wichtig ist den Unternehmen der Standortfaktor Deutschland/EU geworden – schlicht mangels ernstzunehmender Alternativen. Diese werden angesichts des Urteils dringend benötigt.
Privacy Shield: Vor allem SaaS-Anwendungen betroffen
Einen wirklichen Ausweg aus der Privacy-Shield-Misere gibt es aktuell nicht. Standardvertragsklauseln der Europäischen Kommission können zwar weiter genutzt werden, sind im Zweifel aber kein wirksamer Schutz. Betroffen sind vor allem Software-as-a-Service-Lösungen (SaaS). Während Unternehmen bei der Nutzung von Cloud-Infrastruktur der großen Cloud-Provider in den Service-Modellen Infrastructure- und Platform-as-a-Service Kontrolle über z.B. den geografischen Ort der Datenverarbeitung und die Verschlüsselung der Daten haben, haben sie im SaaS-Umfeld oft keine Wahl.
Gaia-X als europäischer Weg aus der Abhängigkeit
Ein Befreiungsschlag ist nicht in Sicht – etwas Hoffnung macht einigen das Projekt Gaia-X: So haben sich T-Systems und der französische Anbieter OVHcloud zusammengetan, um eine europäische Public-Cloud-Lösung nach den erforderlichen Standards anbieten zu können. Das Potential ist vorhanden – eine solche Alternative hätte aber auch Jahre an Rückstand am Markt. Viele Unternehmen nutzen die Cloud-Plattformen von Microsoft, Amazon und Google bereits und haben viel Geld und Know-how in ihre Cloud-Transformation gesteckt.
Vendor Lock-in bremst den Wandel
An einer Einbindung von Microsoft, Amazon und Google wird man nicht vorbeikommen: Ihre Marktposition ist stark und sie sind zweifelsohne die Technologieführer im Cloud Computing. Wer sich heute für einen Cloud-Provider entscheidet, findet sich oft in einer Situation wieder, die es unwirtschaftlich macht, die Infrastruktur und Applikationen zu einem anderen Anbieter umzuziehen. Das erhöht auch den Aufwand und die Kosten für den Wechsel zu zukünftigen europäischen Alternativen. Dieser Vendor Lock-in trägt damit einen großen Teil zur mangelnden digitalen Selbstbestimmung bei.
Multi-Cloud-Governance als Schritt in die Freiheit
Wer bestehende und neue Cloud-Infrastruktur effizient integrieren will, der braucht eine funktionierende Multi-Cloud-Governance. Die Verwaltung aller Projekte zentral über alle Plattformen hinweg muss das Ziel sein. Denn neben einem technischen Lock-in gibt es auch den Effekt eines organisatorischen Lock-ins, der Unternehmen an bestimmte Provider bindet. Das Mittel dagegen: Eine Multi-Cloud-Governance, die von den Plattformen abstrahiert und es ermöglicht, davon unabhängig die eigene Multi-Cloud-Organisation aufzubauen. Die Herausforderung so anzugehen verschafft Freiheit – bei der Wahl der Plattformen und der Technologien. Unternehmen hingegen, die – in Silos strukturiert – für jede Cloud-Plattform aufs Neue ihre Organisation aufbauen, verschwenden zu viele Ressourcen. Auch der Versuch eine Multi-Cloud-Lösung als Unternehmen selbst zu bauen, ist oft teurer als gedacht und bindet Ressourcen, die in die Entwicklung neuer Produkte gesteckt werden sollten.
Die Unternehmen müssen sich ändern!
Um die Freiheit in der Cloud voll auszuschöpfen, reicht es aber nicht, eine von den Plattformen abstrahierte Governance aufzubauen. Die Unternehmen müssen ihr IT-Management reorganisieren: Erfolgversprechend sind interdisziplinäre Teams – oft Cloud Foundation genannt – die unternehmensweit die Grundlage für die Cloud-Nutzung bereitstellen. Das Unternehmen erhält Kontrolle über Sicherheits- und Compliance-Standards, Identitätsmanagement und Kosten – die Entwicklerteams werden agil, kommen schnell an Cloud-Ressourcen und können sich auf die Entwicklung neuer digitaler Produkte konzentrieren.
Foto: Getty Images