Cloud : Das Märchen von der souveränen Cloud

Die Digitalisierung der Verwaltung in Deutschland muss dringend Fahrt aufnehmen, so die klare Forderung von 88 Prozent der Deutschen, wie eine Bitkom-Umfrage zeigt. Die Studie enthüllt zudem, dass 64 Prozent der Befragten ihre Stadt als digital rückständig empfinden, mit komplizierten Prozessen und nervenaufreibenden Behördengängen.

Diese Verzögerungen sind nicht nur frustrierend für die Bürger:innen, sondern gefährden auch den Wirtschaftsstandort Deutschland. Eine OECD-Studie belegt den Abstieg im Ranking von Platz 12 auf Platz 15 in den letzten vier Jahren. Um konkurrenzfähig zu bleiben, sollte Deutschland sich an digitalen Vorreitern wie Estland, Südkorea und Neuseeland orientieren, wo die sich Anträge und Formalitäten bequem von zu Hause aus erledigen lassen. Es ist höchste Zeit für eine Aufholjagd und die Integration der Cloud als Schlüssel zur beschleunigten Verwaltungsdigitalisierung.

DVS: Teuer und langsam 

Es ist nicht so, dass Bund und Länder untätig wären. In den letzten Jahren haben sie gemeinsam an einer Lösung gearbeitet, viele Strategien entworfen und Konzeptpapiere veröffentlicht. Praktisch ist leider wenig passiert und das, was umgesetzt werden soll, rechtfertigt meines Erachtens nicht die lange Planungsphase. Die deutsche Verwaltungscloudstrategie basiert vor allem auf der Idee der digitalen Souveränität. Das klingt erstmal gut, bedeutet aber in der Praxis, dass dedizierte Datencenter in Deutschland aufgebaut werden sollen, die dann mit amerikanischer Software betrieben werden.

Dieses Vorgehen ist langsam, teuer und bietet nur einen sehr eingeschränkten Sicherheitsgewinn. Denn durch den Cloud Act sind deutsche Daten nicht vor dem Zugriff von US-Behörden sicher. Im Gegenteil, laut diesen Gesetzen sind amerikanische Konzerne verpflichtet, Daten auf Anfrage zur Verfügung zu stellen – selbst wenn diese im Ausland verarbeitet wurden. Letztlich ist es also egal, wo die Server stehen.

Was macht eine Cloud souverän? 

Entsprechend sind Meldungen wie die von Amazon mit Skepsis zu deuten. Dessen Cloudsparte Amazon Web Services (AWS) hat im Oktober angekündigt, eine rein europäische Lösung anzubieten, um den hohen Ansprüchen an Datenschutz und Datensicherheit zu entsprechen. Von den Rechenzentren bis zum Kundenservice, alles soll in Europa stattfinden. Damit möchte der Techriese das Vertrauen von Behörden und stark regulierten Branchen gewinnen.

Amazon ist aber bei weitem nicht der einzige Anbieter, der mit einer solchen Lösung im öffentlichen Sektor punkten will und in der Digitalisierung von Staaten einen Wachstumsmarkt sieht. Auch die anderen großen Player, wie Google, Microsoft und Oracle mischen mit und bieten die „souveräne Cloud“ an. In Deutschland hat sich Google dafür mit T-Systems zusammengetan, Microsoft kooperiert mit Delos, einer SAP-Tochtergesellschaft.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt sich optimistisch und offen für diesen Weg, behält sich jedoch vor, zukünftig zu entscheiden, welche Daten, Programme und Updates in die souveräne Cloud dürfen. Klingt kompliziert?

Ist es auch. Vor allem ist diese Zollgrenze für Daten gar nicht nötig. Inzwischen gibt es mit Confidential Computing eine moderne Software-Lösung, die das grundlegende Sicherheitsproblem der Cloud geschlossen hat. Während es bisher nur möglich war, sensible Daten bei der Übertragung und beim Speichern zu verschlüsseln, können diese jetzt auch während der Verarbeitung verschlüsselt werden. Das heißt, dass Daten zu keinem Zeitpunkt im Klartext ausgelesen werden, was sie vor dem unberechtigten Zugriff von Mitarbeitenden des Cloud-Anbieters, fremden Behörden, Regierungen oder Hackern schützt. Auch der Cloud Act kann nicht greifen.

Confidential Computing als Lösung 

Bestätigt wird das durch ein vom Prozessor ausgestelltes kryptografisches Zertifikat. Das Zertifikat wird vom Prozessor mit einem geheimen Schlüssel unterschrieben. Dieser Schlüssel wird während der Produktion des Prozessors generiert, innerhalb des Prozessors „fest verdrahtet“ und ist von außen unzugänglich. Jeder Prozessor erhält so einen einzigartigen Schlüssel. Auf Basis der Zertifikate ist jederzeit nachvollziehbar, was mit den Daten gemacht wurde und dass sie zu keinem Zeitpunkt entschlüsselt worden sind.

Deshalb ist es letztlich egal, bei welchem gängigen Cloud-Anbieter Unternehmen und Staaten ihre sensiblen Daten speichern. Behörden müssen außerdem nicht darauf warten, dass dafür Rechenzentren in Deutschland gebaut werden. Es gibt bereits Lösungen auf dem Markt, die nach dem Lift-and-Shift-Prinzip funktionieren, also keine oder nur geringe Anpassungen an existierende Anwendungen erfordern. Das bedeutet, dass es einerseits einfach ist, die Software-Lösung einzusetzen, und dass es zusätzlich leicht gelingt, Daten von der unsicheren in die sichere Umgebung umzuziehen. So ist es mit überschaubarem Aufwand möglich, den höchsten Schutz für sensible Daten zu etablieren. Confidential Computing sollte somit Teil einer modernen und zukunftsorientierten Strategie für die Nutzung von Cloud-Computing in der Verwaltung sein.

Felix Schuster ist CEO und Mitgründer von Edgeless Systems. Das Start-up entwickelt Open-Source-basierte Software für Confidential Computing.