Die digitale Souveränität eines Unternehmens beginnt mit der Kontrolle über die eigenen Daten. In einer Welt, in der Clouds und externe Provider zunehmend genutzt werden, gewinnt Datensouveränität an Bedeutung. Unternehmen müssen sicherstellen, dass ihre Daten sicher, compliant und vor unautorisierten Zugriffen geschützt sind.
Datenhoheit und Datenschutz gehören zur digitalen Souveränität eines Unternehmens. Bei unternehmenskritischen Daten, die ein Höchstmaß an Schutz erfordern, haben Unternehmen eine Eigenverantwortung. Sie bestimmen, wie, wo und bei wem Daten gespeichert werden, so externe Provider einbezogen sind. Das ist beim Hosting und bei Public Clouds der Fall. Bei einer Private Cloud sind die Vorgaben strenger, insbesondere im Hinblick auf Datenhaltung und Nutzung von IT-Ressourcen und deren Abgrenzung gegenüber Drittfirmen. Die souveräne Cloud kann wie eine Advanced Cloud positioniert werden, da die Datenspeicherung innerhalb Deutschlands oder bei Bedarf in der Europäischen Union erfolgt. Dieser Ansatz gewinnt bei Compliance-Anforderungen an Relevanz. Eine Cloud verdient den Titel souverän zu sein, wenn sie keine Anbieterabhängigkeit bedingt, möglichst auf Open Source und offenen Standards aufbaut und die Leistungserbringung durch europäische bzw. deutsche Anbieter erfolgt. Erst dadurch ist die Datensouveränität und der Schutz der Daten vor extra-territorialen Zugriffen gewährleistet.
Datenhoheit bedeutet, auch bei Outsourcing oder der Nutzung einer Cloud, als Kunde die Entscheidungen zu treffen, was mit den Daten passiert und wer Zugang hat. Ein Unternehmen kann sich seine eigene digitale Souveränität als Nachhaltigkeitskomponente aufbauen. Autarkie und Vertrauen, beides Begriffe und zugleich Zustände, haben mit Souveränität in Form von Selbstbestimmung über die IT, freier Anbieterwahl und der Datenverwendung zu tun.
Die digitale Souveränität und deren Teilbereich, Datensouveränität, fußen im Kern auf nachfolgenden Säulen:
Eine souveräne Cloud kann als dedizierte Cloud-Lösung aufgesetzt werden. Sie kann in eine hybride Infrastruktur eingebunden sein. Hybride Cloud-Lösungen werden vermehrt von Unternehmen u. a. für agile Geschäftsmodelle eingesetzt. In dem Fall ist neben der Nutzung der Public Clouds der Hyperscaler ein Cloud Provider eingebunden, der die sensiblen Daten übernimmt. Der Sitz des Unternehmens sollte sich in Deutschland oder in der EU befinden, damit die europäische Datenschutzgrundverordnung, im Gegenzug zu dem Cloud Act in den USA, greift. Dieses Gesetz verleiht staatlichen Organisationen der US-Regierung wie den Geheimdiensten die Macht auf Daten zuzugreifen, die von US-Unternehmen gespeichert werden, ohne eine Genehmigung der Dateneigentümer einholen zu müssen. Für Unternehmen mit Sitz in Europa besteht so ein Risiko.
Eine möglichst resiliente IT-Infrastruktur zu betreiben, hat in der Regel auch die Zielsetzung, mit dem Streben nach Ausfallsicherheit auch das Risiko von Datenverlust durch den Stillstand der Systeme zu minimieren. Dazu kommen Sicherheitsmaßnahmen, um die IT-Systeme – und die gespeicherten Daten – vor Fremdzugriffen und Cyber-Angriffen wie beispielsweise Ransomware-Attacken zu schützen.
Vorfälle kommen auch immer öfter an die Öffentlichkeit. Unternehmen, respektive die Geschäftsführung, haben demzufolge eine gesteigerte Achtsamkeit für Cyber Security entwickelt. Leider ist das so, denn die Welt hat sich verändert. Regierungsorganisationen, Behörden und Unternehmen sind im Visier von kriminellen Köpfen. Deren niederes Ziel ist es, großen Schaden anzurichten, der nicht nur wirtschaftliche Auswirkungen hat, sondern sich bis auf die Reputation eines Unternehmens erstrecken kann.
Inzwischen sind nicht nur Unternehmen, wie die Pharmabranche, der Finanzsektor und die Forschung, herausgefordert, die hochgradig sensiblen Daten zu speichern und auch in Clouds auszulagern. Es geht u. a. um Compliance-Anforderungen, das eigene geistige Eigentum bzw. auch um Wettbewerbsfähigkeit, um urheberrechtlich schützbare Informationen, welche höchste Datensicherheit voraussetzen. Unternehmen, deren digitale Geschäftsmodelle datenbasiert sind und Einfluss auf die Wertschöpfung haben, brauchen umfassenden Schutz für die sensiblen Daten. Gesetzliche Anforderungen, wie das KRITIS-Dachgesetz und die demnächst greifenden NIS2-Richtlinien, zwingen einige Branchen und Sektoren zu Datenschutzvorkehrungen. Die Datensouveränität kann und wird eine wichtige Rolle spielen.
Datensouveränität impliziert auch, dass die Cloud-Anbieter, regionale oder deutschlandweite Provider, so ausgesucht werden, dass die Ländervorgabe für den Datenschutz eingehalten wird. Insbesondere wenn es um die sehr sensiblen personenbezogenen Daten geht, werden bereits die Verwendungsmöglichkeit und die Zugriffsberechtigungen gesetzlich geregelt. Unternehmen, die in ihrem Geschäft mit personenbezogenen Daten der Kunden arbeiten, müssen technische Sicherheitsvorkehrungen implementieren und in der Verarbeitung ist der Datenschutz im prozessualen Ablauf ebenso zu gewährleisten.
Prävention und die Sicherstellung des Betriebes sind gefragt, Kontinuität wird für Unternehmen in fast allen Branchen immer wichtiger. Es geht um stringentes Business Continuity Management, welches sowohl die Daten als auch die Betriebssicherung im Fokus hat. Was ist, wenn die Arbeitsplätze der Mitarbeitenden nicht mehr funktionieren? Das zu verhindern gehört zur IT- und Betriebsresilienz dazu.
Unternehmen sollten Sicherheit holistisch betrachten. Das beginnt bei den Rahmenbedingungen im Unternehmen und kann bis zu der Entscheidung gehen, dass ein Teil der IT in einem kommerziellen Rechenzentrum implementiert wird. Vor einigen Jahren, als Desaster Recovery mit einer Back-up-Lösung in einem zweiten Rechenzentrum aufkam, ging es auch um die Vermeidung von Datenverlust bei einem Ausfall. Regelmäßige Datenspiegelung wurde als Sicherheitsfaktor umgesetzt. Heute ist die Risikolage eine andere und Daten-Back-up ist eine Option als Plan B.
Eine hochverfügbare und sichere Rechenzentrumsumgebung, mit Security auf der Netzebene beim Datentransport, ist die beste Wahl.
Physische Sicherheit für die IT-Infrastrukturen, für Daten und gehostete Anwendungen zu gewährleisten, ist eine Kernkompetenz. Dafür sind die Rechenzentren von NorthC ausgestattet. Souveränität in Bezug auf Datensicherheit ist weit mehr als das Vertrauen, sich auf das Funktionieren der IT verlassen können. Hohe Verfügbarkeit durch redundante Anbindung und Notfall-Aggregate für die unterbrechungsfreie Stromversorgung im Rechenzentrumsbetrieb gehören zur Basisausstattung.
“Keep it local.”
