Datenresidenz ist keine Souveränität

Pantelis Astenburg  |
Datenresidenz ist keine Digitale Souveränität

Datenresidenz ist keine Digitale Souveränität.

Die gegenwärtige geopolitische Lage zwingt europäische Unternehmen, ihre digitale Souveränität voranzutreiben. Dies erkennen auch die Lösungsanbieter und versehen ihre Tools häufig mit entsprechenden Labels. Dabei vermengen selbst Experten viele Begriffe: So sind etwa Datenresidenz (wo sich die Daten befinden) und Datenhoheit (wer den Zugriff darauf nach welchem Recht und unter welchen Bedingungen kontrolliert) nicht dasselbe. Allzu häufig wird das eine als das andere verkauft.

Zusammenfassung (TL; DR):

  • Digitale Souveränität geht über die reine Datenresidenz hinaus und erfordert die volle Kontrolle über Datenhoheit, Steuerung, Management und Gerichtsbarkeit. Das betonen die EU-Leitlinien für das „Cloud Sovereignty Framework“.
  • Echte Souveränität muss architektonisch auf vier Ebenen (Daten, Steuerung, Management, Jurisdiktion) verankert sein, da herkömmliche Anbieter mit externen Kontrollstrukturen bei Audits oft versagen.
  • Daher sollten Unternehmen kritische Fragen zur Infrastruktur stellen, statt sich auf vertragliche Zusagen zu verlassen.

Die Europäische Kommission hat dies bei der Veröffentlichung ihrer Leitlinien zur Umsetzung des „Cloud Sovereignty Framework“ klar zum Ausdruck gebracht: Das Rahmenwerk bewertet die Wirksamkeit der Souveränität, nicht nur den Standort der Server. Das ist ein enormer Unterschied und eine direkte Kritik daran, wie die meisten Anbieter ihre „souveränen“ Angebote bisher dargestellt haben. Dies gilt insbesondere für SASE-Lösungen, die sich in den letzten Jahren angesichts der zunehmenden Cloud-Nutzung als Sicherheitsansatz der Wahl etabliert haben.

Eine souveräne Cloud allein macht noch keine Souveränität

Wenn ein Unternehmen Daten in einem zertifizierten Rechenzentrum im eigenen Land speichert, hat es zumindest ein Problem gelöst: Die gespeicherten Daten befinden sich in der richtigen Gerichtsbarkeit. Offen bleibt jedoch alles, was passiert, wenn jemand versucht, auf diese Daten zuzugreifen: ausgewerteter Datenverkehr, überprüfte Identitäten, ausgewertete Richtlinien, getroffene Zugriffsentscheidungen und erstellte Protokolle. All dies geschieht auf der SASE-Ebene. Wenn die SASE-Lösung nun die Steuerung und das Management über eine Infrastruktur außerhalb dieser Jurisdiktion abwickelt, ist die Souveränität unvollständig. Die Daten sind souverän, der Netzwerkpfad zu ihnen jedoch nicht. Sovereign SASE schließt genau diese Lücke.

Echte Souveränität muss vier Ebenen abdecken. Wird nur einer dieser Punkte nicht komplett umgesetzt, handelt es sich um keine wirkliche souveräne Lösung.

  • Datenebene: Die Überprüfung des Datenverkehrs, die Durchsetzung von Richtlinien zur Bedrohungsabwehr sowie die Inhaltsfilterung erfolgen innerhalb der Landesgrenzen. Es findet kein „Hairpinning“ sensibler Daten außerhalb des Hoheitsgebiets zur Verarbeitung statt.
  • Steuerungsebene: Die Identitätsprüfung, die Bewertung von Richtlinien und die Zugriffsentscheidungen finden innerhalb der souveränen Umgebung statt. Es besteht hierbei keine externe Abhängigkeit, weder durch eine cloudbasierte Steuerung noch eine vom Anbieter betriebene Richtlinien-Engine. Genau an dieser Stelle scheitern viele sogenannte „souveräne“ Angebote still und leise.
  • Managementebene: Plattformverwaltung, Protokollierung, Konfiguration und operativer Zugriff werden lokal geregelt und sind nach EU-Recht vollständig auditierbar. Der Support durch den Anbieter wird über Kontrollstellen innerhalb der jeweiligen Rechtsordnung vermittelt und erfolgt nicht über direkten externen Zugriff.
  • Gerichtsbarkeit: Die Lösung unterliegt dem geltenden lokalen Recht und wird nach diesem betrieben. Dies ist für die meisten Beschaffungsrahmenwerke neu, wird jedoch bei EU-Ausschreibungen zunehmend verlangt. Keine ausländische Rechtsordnung kann den Zugang zu dem Dienst über den Anbieter erzwingen, unabhängig davon, wo sich die physischen Server befinden.

Nicht vertragliche Zusicherungen, sondern die Architektur gewährleistet diese vier Dimensionen. Ein Anbieter kann die Einhaltung der DSGVO versprechen, Standardvertragsklauseln unterzeichnen und auf ein Rechenzentrum in Frankfurt verweisen. Und kann dennoch in der zweiten, dritten und vierten Dimension scheitern, wenn sich seine Steuerungsebene, sein Betriebsteam und seine Muttergesellschaft außerhalb des rechtlichen Geltungsbereichs der EU befinden.

Digitale Souveränität: Die richtigen Fragen stellen

Bevor sich ein Unternehmen für eine vermeintlich souveräne SASE-Lösung entscheidet, sollte es detaillierte Fragen stellen. Die Antworten darauf sollten belegbar sein und nicht aus Marketing-Floskeln bestehen:

  • Wo und unter welcher rechtlichen Zuständigkeit wird die Managementebene betrieben? Kann der Anbieter von einer Regierung außerhalb der EU dazu gezwungen werden, Zugriff darauf zu gewähren?
  • Ist die Plattform unabhängig von der außerhalb der EU liegenden Infrastruktur des Anbieters? Dies gilt insbesondere für Orchestrierung, Richtlinienaktualisierungen und Management. Falls nicht: Worin besteht die Abhängigkeit? Kann die Lösung aus der Ferne „abgeschaltet“ werden?
  • Wer hat Zugriff auf die Mandantenkonfiguration, Richtlinien, Metadaten und Protokolle des Unternehmens? Über welche Kontrollmechanismen erfolgt dieser Zugriff? Gibt es ein dokumentiertes Zugriffsmodell?
  • Wer ist der Vertragspartner? Welcher Jurisdiktion unterliegt er? Welcher rechtliche Rahmen gilt für den Dienstleistungsvertrag?
  • Welche Zertifizierungen speziell für das souveräne Angebot kann der Anbieter vorweisen? Welchen Geltungsbereich haben diese?
  • Wie läuft gemäß der EU-Datenverordnung die Migration von Konfigurationen, Richtlinien, Telemetriedaten und Protokollen zu einem anderen Anbieter ab? Was umfasst dieser Prozess und wie lange dauert er?
  • Wo werden die Prozesse für Firmware-Updates und das Patch-Management geregelt? Erfolgt innerhalb dieser Prozesse Zugriff auf die EU-Infrastruktur?

Der Unterschied zwischen einem Anbieter, der seiner Cloud-Plattform Optionen zur Souveränität hinzugefügt hat, und einem Anbieter, dessen Architektur von Anfang an so aufgebaut wurde, dass sie alle vier Dimensionen der Souveränität unterstützt, ist in einem Datenblatt nicht erkennbar. Er zeigt sich jedoch in den Antworten auf diese Fragen.

Geografie ist nicht Governance. Datenresidenz ist nicht Digitale Souveränität. Und der Begriff „souverän“, der in einer Lösungsbeschreibung steht, ist nicht dasselbe wie die Souveränität, die man bei einem DORA-Audit, einer BSI-Bewertung oder einer institutionellen Ausschreibung der EU nachweisen kann.

Autor

  • Pantelis Astenburg ist ein IT- und Vertriebsmanager in der Telekommunikations- und Cybersicherheitsbranche, der als Vice President of Sales DACH (Deutschland, Österreich, Schweiz) für Versa Networks tätig ist.

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung

Das könnte Sie auch interessieren