Microsoft hat neue "Sovereign Cloud"-Dienste angekündigt - aber wie souverän können sie sein?

US-Hyperscaler unterliegen US-amerikanischem Recht, einschließlich des CLOUD Act und FISA 702

Bild:
Microsoft hat neue "Sovereign Cloud"-Dienste angekündigt - aber wie souverän können sie sein?


Microsoft hat neue "Sovereign Cloud"-Dienste für Europa angekündigt, um auf Vorschriften und Bedenken hinsichtlich Kontrolle, Sicherheit und Datenschutz zu reagieren.

Das Unternehmen erweitert seine Microsoft Sovereign Cloud. Dienste wie Data Guardian für den europäischen Betrieb (eine zusätzliche Sicherheitsstufe, indem sichergestellt wird, dass nur Microsoft-Mitarbeiter mit Wohnsitz in Europa den Remotezugriff auf diese Systeme kontrollier), die externe Schlüsselverwaltung, eine Möglichkeit für die Verwaltung regulierter Umgebungen sowie lokal gehostete Microsoft 365 für private Clouds, die nur in Azure Local ausgeführt werden.

Es ist der jüngste Schritt eines US-amerikanischen Hyperscalers, "Sovereign Cloud"-Services für Nicht-US-Kunden anzubieten, um die neuen Vorschriften in der EU (und anderswo) einzuhalten, welche strengere Kontrollen und Datenschutz vorschreiben.

Aber es geht um mehr als nur um Compliance. Unternehmen sind zunehmend besorgt über geopolitische Verschiebungen. Sie sind besorgt darüber, wo ihre Daten landen, wer sie verarbeitet und unter welcher Gerichtsbarkeit, und fürchten die möglichen Auswirkungen von Sicherheitsverletzungen durch staatliche Akteure und Cyberkriminelle. Und das in einer Zeit, in der das Datenvolumen rasant ansteigt und Services immer stärker auf die Cloud angewiesen sind. Es ist ein perfekter Sturm.

Abkehr von der Public Cloud

Als Cloud-Computing-Dienste zum ersten Mal aufkamen, waren Unternehmen und Regierungen verständlicherweise vorsichtig, wenn es darum ging, sensible Daten dort zu platzieren. Aber als sich die Zuverlässigkeit verbesserte, die Worst-Case-Sicherheitsverletzungen ausblieben und die Kosten sanken, änderte sich diese Sichtweise sogar nach Edward Snowdens Enthüllungen über den Einfluss der US-Regierung und der "Viel-Augen"-Koalitionen - insbesondere in Ländern, die Teil dieser Vereinbarungen zum Austausch von Geheimdienstinformationen waren. Bald fanden sich alle Arten von sensiblen Daten in der Public Cloud wieder, die als genauso sicher, wenn nicht sogar sicherer galt als On-Premises- oder Private-Cloud-Alternativen.

Aber die Unsicherheit, die durch die Wiederwahl von Donald Trump verursacht wurde, sowie ein enormer Anstieg von Cyberangriffen und Spionagefällen veranlassen viele, das Risiko neu zu bewerten. Erst diese Woche Denmark and the German state of Schleswig-Holstein kündigten ihre Absicht an, Microsoft Office zugunsten lokal gehosteter Open-Source-Alternativen aufzugeben.

Die Cloud-Giganten sind sich dieses Bewusstseinswandels bewusst, daher die jüngsten Schritte von Microsoft sowie ähnliche Ankündigungen von AWS und Google die auch "Sovereign Cloud"-Dienste auf den Markt bringen.

Sie stehen jedoch vor einem Problem in Form von US-Gesetzen wie FISA 702, der es den Sicherheitsdiensten erlaubt, in den USA ansässige Cloud-Unternehmen - darunter Google, Microsoft, Oracle und Amazon - zu zwingen, Zugang zur Datenkommunikation von Nicht-US-Bürgern außerhalb der USA zu gewähren, und dem CLOUD Act, der ähnliche Bestimmungen enthält, aber auch Daten von US-Bürgern umfasst.

Wie wasserdicht können also Versprechen der Cloud-Souveränität jemals sein?

“Nicht sehr”, sagte Benjamin Schilz, Verfechter der digitalen Souveränität und CEO von Wire, einer europäischen Plattform für digitale Arbeitsplätze, in einer E-Mail an Computing. Erstens ist der Quellcode von Microsoft nicht offen, was bedeutet, dass Hintertüren eingefügt werden könnten, um Informationen wie Metadaten und Verschlüsselungsschlüssel zu sammeln. Zweitens hat die US-Regierung Vorrang bei der Demonstration ihrer Bereitschaft, compel Microsoft to hand over data auf ausländischem Boden gehostet, obwohl das Unternehmen gegen solche Forderungen kämpft.

"Microsoft hat keine magische 'Raus aus dem US-Überwachungsgesetz'-Karte auszuspielen, und seine souveräne private Cloud stellt Schecks aus, die sie nicht einlösen kann", sagte Schilz. "Es ist keine Frage der Absichten, sondern der harten Realität, dass jedes US-Softwareunternehmen gesetzlich gezwungen werden kann und wird, zu überwachen oder sogar willkürliche Denial-of-Service-Maßnahmen durchzuführen."

Er bezeichnete Microsofts Versprechen der Souveränität als "eine magische Behauptung" und fügte hinzu, dass "jedes Unternehmen, das dies angesichts der harten rechtlichen Realitäten akzeptiert, sich leider in magischem Denken ergeht"

Mark Boost, CEO des britischen Cloud-Unternehmens Civo, sagte, dass Unternehmen, insbesondere in regulierten Branchen, ihre Optionen in Betracht ziehen. "Die geopolitische Volatilität hat zu neuen Perspektiven auf die digitale Infrastruktur geführt. Die bisherige Abhängigkeit von US-amerikanischen Unternehmen als alleinigen Anbietern unserer Cloud- und Technologiebedürfnisse kann nicht mehr als gegeben angesehen werden."

Er fuhr fort: "Die Verpflichtungen zur Stärkung des europäischen KI- und Cloud-Ökosystems können als positiv angesehen werden. Solange der CLOUD Act jedoch in Kraft bleibt, können sich Unternehmen und Regierungen nicht darauf verlassen, dass US-amerikanische Hyperscaler ihre Daten vollständig privat halten, unabhängig vom physischen Standort ihrer Infrastruktur. Solange dies nicht angegangen wird, können Hyperscaler keine echte Souveränität bieten, und Unternehmen, die danach schreien, müssen sich anderswo umsehen."

Können europäische Anbieter also Services anbieten, die dem Umfang und der Breite der US-CSPs entsprechen, damit Unternehmen sicher sein können, dass sie auf vergleichbarer Basis migrieren können? Bisher lautet die Antwort auf diese Frage nein, aber viele Unternehmen werden sich erneut nach dem besten Ort umsehen, um ihre Kronjuwelen aufzubewahren.


Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing