Es gibt ein Update unserer Marktübersicht für souveräne Clouds, zu finden hier:
Marktübersicht über souveräne Clouds 2024
Und passend dazu unser Benchmark von 2023:
Sovereign Cloud Benchmark 2023 (beta)
Die souveräne Cloud
Die Souveränität einer Cloud wird nach einer häufigen Definition (siehe T-Systems und Locaboo) an folgenden drei Kriterien festgemacht:
- Datensouveränität: Der Nutzer der Cloud hat umfassende Kontrolle über seine Daten.
- Betriebliche Souveränität: Der Nutzer der Cloud kann Art und Details des Cloud-Betriebs bestimmen.
- Technologische Souveränität: Der Nutzer der Cloud hat umfassenden Einfluss auf die Art der genutzten Softwares und Hardwares sowie deren Updates.
Dieser Sichtweise folgte der deutsche Staat bei der Formulierung der sogenannten „roten Linien des BSI“. Diese Kriterien in ausführlicher Version dienten Microsoft et. al. als Anforderungen bei der Umsetzung von deren souveränen Clouds.
Welche der vielen Clouds ist denn nun souverän?
Als Reaktion auf die geopolitischen Entwicklungen der letzten Jahre haben viele Cloud-Provider mit souveränen Cloud-Angeboten reagiert. Microsoft arbeitet mit SAP und arvato an Delos, Google mit T-Systems an der „T-Systems Sovereign Cloud powered by Google Cloud“. Oracle spricht von der „EU Sovereign Cloud“, dann gibt es noch die Schwarz IT, IONOS und viele mehr.
Alle nehmen für sich in Anspruch eine solche souveräne Cloud zu sein. Dennoch unterscheiden sie sich im Detail.
Wir haben 7 Kriterien ausgemacht, um die verschiedenen Souveränitätsmodelle voneinander zu unterscheiden:
- Inhaltedaten: In welchem Land können die eigenen Inhaltsdaten des Kunden gespeichert werden?
- Telemetrie- und Supportdaten: In welchem Land werden die Daten gespeichert, die im Kontext der Leistungserbringung entstehen?
- Betriebs-Verantwortlicher: Aus welchem Land kommt der Betreiber der Cloud und gibt es eine außereuropäische Muttergesellschaft?
- Rechtskonkurrenz: Welchen Rechtsregimen unterliegt das Konstrukt aus Betreiber und Muttergesellschaft und gibt es möglicherweise eine Rechtskonkurrenz?
- Herkunft der Software: Aus welchem Land entstammt die Kern-Software-Technologie der Cloud? Dies betrifft insbesondere Hypervisor und weitere Basistechnologien der Leistung wie Datenbanken und Software-Services.
- Herkunft der Hardware: Aus welchem Land entstammt die Kern-Hardware-Technologie der Cloud? Dies betrifft insbesondere Server und Netzwerk-Komponenten.
Vier Kategorien von Cloud-Providern
Die Angebote im Markt lassen sich darauf basierend in folgende vier Kategorien unterteilen:
- Hyperscaler: Dies sind die bekannten Public Clouds von Google, Microsoft und AWS.
- Hyperscaler mit Data Boundary: Einige der bekannten Public Clouds bieten sogenannte Data Boundaries an. Somit verbleiben nicht nur die Inhaltsdaten in der EU, sondern auch die Support- und Monitoring-Daten.
- US-Technologie mit EU-Betrieb: Diese Clouds nutzen US-Software-Technologie und lassen diese von EU-Unternehmen betreiben. Microsoft und Google haben sich hierfür europäische Partner wie SAP und T-Systems gesucht. Traditionell geschieht dies zudem in europäischen Rechenzentren mit der US-basierten Rechenzentrums-Technologie von VMWare.
- EU-Cloud: „Echte“ EU-Clouds nutzen sowohl einen EU-Betreiber als auch europäische Software-Technologie. Da es aber keine ernsthaften EU-Anbieter für Virtualisierungstechnologie gibt, fallen in diese Kategorie praktisch nur Clouds mit Open-Source-Technologie wie KVM und Kubernetes.
Mit Hilfe der genannten 7 Kriterien ergibt sich das Spektrum der Souveränität im Cloud Computing.
Marktübersicht über souveräne Clouds
Die in der Einleitung genannten souveränen Clouds lassen sich nun den Kategorien zuordnen:
Der Kategorie „US-Technologie im EU-Betrieb“ lassen sich praktisch alle Clouds in Europa zuordnen, die basierend auf VMware-Software betrieben werden. Sie erscheinen damit, obwohl sie vom Leistungsumfang und Skalierbarkeit eher vergleichbar sind mit den Vertretern aus „EU-Cloud“, in der gleichen Kategorie wie die souveränen Clouds von Microsoft (Delos) und Google (mit TSY).
Diese Kategorisierung hat drei Haken
Die vorangegangene Grafik gibt eine gute Übersicht über die souveränen Clouds in Deutschland. Um aber deren Souveränität gesamthaft zu bewerten, fehlen der Analyse die folgenden Aspekte:
- Mehr Kontrollkriterien berücksichtigen: Eine souveräne Cloud muss nicht nur den Zugriff außereuropäischer Behörden reduzieren, sie sollte seine Nutzer ebenfalls schützen vor normalen Cyberkriminellen oder physischen Schäden. Zu letzteren gehören etwa Brände, Erdbeben und Wasserschäden.
- Mehr Leistungskriterien berücksichtigen: Souveränität beinhaltet Kontrolle UND Leistungsfähigkeit. Skalierbarkeit, Einfachheit der Nutzung und Portfoliobreite sind entscheidend für die Fähigkeit des Cloud-Nutzers, leistungsfähig zu digitalisieren.
- Kompetenz des Cloud-Nutzers nicht vergessen: Selbstbestimmte Digitalisierung gelingt nur, wenn der Kunde selbst entsprechende Fähigkeiten mitbringt. Um Abhängigkeiten zu einzelnen Anbietern zu vermeiden, sich vor Kriminellen zu schützen und im Falle von geopolitischen Herausforderungen schnell reagieren zu können, bedarf es nicht nur einer souveränen Cloud, sondern auch entsprechender Kompetenz auf Kundenseite.
Die Punkte 1) und 2) planen wir, im Kontext unseres Sovereign Cloud Benchmarks noch in diesem Quartal näher zu beleuchten.