Artikel

Datensouveränität: Ein Spagat zwischen Technologie und Vertrauen

Ein Gespräch mit Miki Mitric, Senior Director Business Development DACH bei NorthC Datacenters, über Datensicherheit im Spannungsfeld zwischen Technologie, Vertrauen, Ökonomie und Ökologie

Quelle: manage it Printausgabe Oktober 2024

Welche Elemente umfasst die digitale Souveränität, holistisch definiert?

Einerseits gibt es die technische Betrachtung, da reden wir von Computerhardware wie Chips, Grafikkarten und weiteren Komponenten. Das dauert noch, bis Europa selbst solche Technologien liefern kann. Wir sind also abhängig von Technologien aus Ost und West. Das zentrale Thema ist folglich die Datensouveränität: Es muss sichergestellt sein, dass die Daten an einem bestimmten Ort gespeichert sind und dass man sie dann auch dort lokalisieren kann. Das dritte Element ist das Operationelle. Wer betreibt diese Plattformen mit den Daten und Umgebungen in sicherer Art und Weise? Hier denke ich, sind wir als regional ausgerichteter Rechenzentrumsdienstleister – auch mit deutschen Anbietern als Partner – in einer guten Position. Wir können mit dem Service in Deutschland und Dienstleistungen von europäischen Partnern die Datenhaltung in Deutschland garantieren. Das ist einer der Hauptgründe, warum unsere Kunden zu uns kommen.

 

Werden die Daten auch in Deutschland oder im europäischen Raum gehostet?

Hochsensible Daten sind nicht irgendwo in Europa, sondern ganz dediziert in einem der NorthC Rechenzentren in München oder in Nürnberg gehostet, natürlich mit einer per Service Level Agreement (SLA) zugesicherten hohen Ausfallsicherheit. Wir nutzen nicht die Alternative, Kundendaten zudem in unsere Rechenzentren in den Niederlanden oder in der Schweiz auszulagern. Nicht dass wir es technisch nicht könnten, sondern die spezifische Anforderung bedingt, dass wir die Daten in Deutschland halten müssen.

 

Die Hyperscaler sind in aller Munde und es wäre ja auch toll, wenn Europa endlich eine gewisse Datensouveränität bekäme. Wie sehen Sie diese Situation?

Es herrscht nach wie vor eine große Unsicherheit. Wir werden von vielen Unternehmen gefragt: Was ist, wenn morgen irgendwo eine neue Krise ausbricht? Welchen Einfluss haben die Wahlen in den USA? Wir können hier gemeinsam in die gleiche Glaskugel schauen, aber niemand kann eine präzise Antwort geben. Am Ende muss der Unternehmer für sich entscheiden: Wie bleiben wir kompetitiv und wie funktioniert mein Unternehmen in der inzwischen globalisierten Welt? Bei uns kann man das neutrale digitale Ökosystem nutzen und für sich auswählen, was die beste Lösung ist, der passende Partner etc. Wir sagen nicht, wer gut oder weniger geeignet ist. Wir können unterstützend Best Practices aufzeigen, also IT-Lösungen und Anwendungen, die in der Praxis funktionieren, die entsprechend auch validiert und erprobt sind. Ob das jetzt KRITIS und die NIS2-Richtlinien betrifft oder beispielsweise in Richtung Datensicherheit bei Banken geht: All diese Themen, respektive die IT-seitigen Anforderungen dahinter in puncto Sicherheit, bis zu Cyber-Security-Maßnahmen erbringen wir gemeinsam mit Partnern in der Art und Weise, dass wir die regionale und sichere Datenhaltung garantieren können.

Miki Mitric

„Die Anforderungen wachsen und gleichzeitig sollen die Lösungen bitte schön nachhaltig sein. Das ist schon ein ziemlich großer Spagat, der da von der Politik – und auch von Kunden – gefordert, beziehungsweise gewünscht wird.“

Die KRITIS ist ja wirklich kritisch. Das hat man ja auch an den Attacken der letzten Monate gemerkt?

Die zahllosen Attacken wurden jetzt auch für das breitere Publikum sichtbar, sie finden permanent statt. Wenn man sich das vor Augen führt, wird man auch verstehen, warum sich adäquate Sicherheitskonzepte darauf konzentrieren, wo das Wissen und die technischen Voraussetzungen sind. Die Anforderungen wachsen und gleichzeitig sollen die Lösungen bitte schön nachhaltig sein… Das ist schon ein ziemlich großer Spagat, der da von der Politik – und auch von Kunden – gefordert, beziehungsweise gewünscht wird.

 

Apropos Nachhaltigkeit: Rechenzentren sind ja nicht gerade ressourcenschonend. Welche Ansätze gibt es da bei Ihnen?

Es gibt nicht die eine Maßnahme, die jetzt die Nachhaltigkeit sicherstellt, sondern es ist wirklich eine Myriade kleinster Dinge, die zusammenspielen müssen, um Nachhaltigkeit zu erzielen. Von künftigen Wegen, wie man Wärme früher zurückführt, bis hin zum Einsatz von Wasserstoff, wobei sehr wahrscheinlich Gas der Zwischenschritt sein wird. Wie stellt man das so auf, dass diese Ökologie überhaupt ökonomisch sein kann? Studien im Cloud-Kontext zeigen, dass mittelständische Unternehmen, ohne ein nachhaltig betriebenes eigenes Rechenzentrum auch nie nachhaltig sein können. Deswegen kommt der Gesetzgeber mit seinen Forderungen wie dem Energieeffizienzgesetz (EnEfG) und gibt stringente Messwerte vor für Nachhaltigkeit. Da trennt sich die Spreu vom Weizen: Ein Rechenzentrum mit einem gewissen Alter weiter zu betreiben lohnt sich nicht mehr, da baut man besser neu, vor allem wenn die Kapazität erschöpft ist. Doch die Größe allein garantiert auch noch nicht die Nachhaltigkeit, denn es geht um den optimierten Ausbau für die Klimatisierung und die Reduktion von Energiebedarf und mehr. Auch da wird es Innovationsansätze geben. In unserem Fokus liegt die Nachhaltigkeit inhärent schon bei der Konzeption. Ich denke, da sind wir bei NorthC sicherlich mit führend, auch vom Gedankengut her.

„Es gibt nicht den einen Ansatz mit der Softwaretechnologie, sondern immer wieder unterschiedliche Wege. Je nach der eigenen Digitalisierungsreife, ist der eine oder andere Ansatz besser.“

Welche Rolle spielt die Cloud, um Deutschlands mittelständische Unternehmen digitaler zu machen und wie muss diese aufgesetzt werden?

Die Cloud per se ist nicht nur quasi ein Ding, also nicht ein »one size fits all«-Modell, wie die Amerikaner sagen. Deswegen hat sich diese Cloud-first-Thematik nicht einfach so durchgesetzt. Viele Unternehmen haben dieses Credo ausgesprochen und umgesetzt. Aber im Detail laufen sie dann doch wieder in Herausforderungen hinein, die dann mit einer Private Cloud oder einem hybriden Ansatz zu lösen sind. Dabei steht der Aufenthaltsort, das heißt hier der Speicherort der Daten, immer mehr im Mittelpunkt. Am Ende des Tages muss jeder für sich entscheiden, wessen Geschichte und Glaubwürdigkeit er vertraut. Genau das ist der Punkt, an dem der deutsche Mittelstand sein Misstrauen gegenüber den internationalen Hyperscalern, aber auch dem lokalen Anbietern gegenüber kundtut. Kann Letzterer wirklich Alles lösen? Hinzu kommen die gemanagten Plattformen. Bei größeren Unternehmen haben sie noch ihre Daseinsberechtigung, doch sind diese teilweise nicht mehr state-of-the-art und vielleicht nicht mehr so dezentral verteilt, wie es sein sollte. Dafür braucht man dann Dienstleister, die alle drei Kirchengesänge, wie ich immer so gern sage, singen können und daraus das Optimum für den Kunden herausholen. Hier komme ich zurück auf die Best Practices: Es gibt nicht den einen Ansatz mit der Softwaretechnologie, sondern immer wieder unterschiedliche Wege. Je nach der eigenen Digitalisierungsreife ist der eine oder andere Ansatz besser. Aber das findet man nicht heraus, indem man nur nachliest. Dafür braucht es den Austausch mit den Menschen. Da arbeiten wir darauf hin. Als neutraler Rechenzentrumsanbieter sind wir nicht exklusiv unterwegs. Wir versuchen, den Kunden zu vermitteln, was unsere Partner tun. Die können dann miteinander schauen, wer zueinander am besten passt.

 

Viele Unternehmen können das aus der IT-Abteilung heraus gar nicht leisten?

Richtig. Wenn jemand wirklich securitywise top sein und sich in einer kleineren Abteilung, wo vielleicht ein zwei Köpfe sind, weiterentwickeln will, dann ist der Wissensaufbau rein vom Setup her begrenzt machbar. Das hat nichts mit den beteiligten Personen zu tun. Dann geht es auch noch um Ferienzeit und 24/7-Monitoring der IT-Landschaft, wofür man mindestens drei Mitarbeiter braucht und so weiter und so fort. Ich würde sogar sagen, es ist nicht mehr möglich, IT in der bisherigen Form unter Risikomanagement-Perspektive in Eigenregie weiterzubetreiben, weil die Cyber-Risk-Thematik so massiv zugenommen hat.

 

Viele Unternehmen haben ja auch gar kein SOC, also ein Security Operation Center?

Ja, korrekt. Wo fangen wir mit Security an und wo endet das? Wir sind als Rechenzentrumsanbieter von unserer Aufgabenstellung her brick-and-mortar, sprich wir liefern die physische Sicherheit, Zutrittssicherheit und Resilienz im Sinne von Strom, Kühlung und Konnektivität mit redundanten Infrastrukturen. Steigt dann aber aus Cyber-Risk-Gründen die Anforderung an Sicherheit, für Network-Security und durch Ransomware-Attacken, dann arbeiten wir mit Partnern auf europäischer Basis zusammen. Wenn es um Datensicherheit geht, ist es an NorthC, aufzuzeigen, wo es datensouveräne Lösungen gibt. Die Mission ist grundsätzlich Folgende: Lieber Kunde, was sind deine Kriterien? Entscheide du, welche Lösung am besten für dich passt?

 

Wie ist Datensouveränität im Corporate-Bereich sicherzustellen und was braucht es aus der Sicht eines Rechenzentrumsanbieters an Infrastrukturen und Voraussetzungen?

Wir reden jetzt von europäischer, beziehungsweise deutscher Datensouveränität. Die Eingrenzung ist wichtig, weil wir damit auch die Kriterien definieren. Es gibt Sollkriterien und optionale Kriterien. Wir schließen US-Software per se nicht aus. Viele reden von Open Source, also eigener IT und Softwarelösungen, die wiederum durch deutsche oder europäische Anbieter eingebracht werden, ohne etwas »Ausländisches« dazu zu nehmen. Ich glaube, das ist irgendwann nicht praktikabel. Die Ökonomie spielt immer mit. Wie garantieren wir jetzt aber die Datensicherheit? Und das ist nun mal mit deutschen Rechenzentren und deutschen Dienstleistern und den Gesetzen am besten umzusetzen.

 

Können Sie dem CEO oder IT-Leiter eines mittelständischen Betriebs drei Punkte nennen, was er zu tun hat oder worauf er achten muss?

Das Thema ist sehr komplex. Eine Empfehlung ist, dass man entweder selbst einen Ecosystem-Dienstleister nutzt oder sich einem neutralen Digital Ecosystem anschließt, damit man die künftige Agilität des eigenen Unternehmens und Innovationsfähigkeit sicherstellen kann. Zweitens sollte man logischerweise die eigene Digitalisierungsreife prüfen lassen, und drittens die Cloud-Smart-Strategie befolgen, sprich die schönen Attribute der Cloud mit Innovation, Agilität und so weiter mit den Unternehmenszielen verbinden. Cloud Smart bedeutet, verschiedenste Unternehmen immer wieder zu prüfen und den Anbieter bei Bedarf wechseln zu können. Das bedingt die Freedom of Choice.

Jetzt Angebot sichern

Quote DE

Würden Sie gern Tipps und Neuigkeiten zu Rechenzentren, Datenspeichern und sonstigen Herausforderungen für Ihre IT erhalten?
Dieses Feld dient zur Validierung und sollte nicht verändert werden.