Von Philipp Hoernes und Thomas Rischbeck
“Der Bund legt mit der Public Cloud los” – so titelte Inside-IT Anfang des Monats. Die Diskussion des Themas public cloud ist immer emotional, ganz besonders wenn es um den öffentlichen Sektor geht. Ist Public Cloud ein Segen, der die Digitalisierung beschleunigt – oder ein Fluch, der unsere privaten Daten den US-amerikanischen, chinesischen oder (neu aktuell) russischen Geheimdiensten ausliefert?
Im Januar haben wir auf unserem Blog für eine differenzierte Betrachtung der Cloud-spezifischen Risiken plädiert. Fazit war, dass das Top-Management von Unternehmen (bzw. Behörden) die spezifischen nicht-technischen Risiken der Public Cloud Nutzung systematisch analysieren – und sowohl mitigierende Massnahmen definieren als auch die Akzeptanz von Risiken dokumentieren sollte.
Eines scheint dabei sicher: Auch wenn es demnächst die Möglichkeit der Nutzung der Public Cloud durch die Bundesverwaltung geben wird – dies wird nicht die Antwort auf alles sein können. Viele reale Lösungen werden eine «hybride» Natur haben, also zum Teil Public Cloud Services nutzen, zum Teil aber «on prem» angesiedelt sein.
Kann nun in diesem Szenario eine «SwissCloud» eine sinnvolle Rolle spielen, im Sinne der digitalen Souveränität?
Unsere These ist: Ja, SwissCloud muss her, aber anders als man denkt. Nicht als 1:1 Kopie der Hyperscaler, sondern als eine Sammlung von (staatlich geförderten / zertifizierten / bereitgestellten) Services zur Mitigation der spezifischen Risiken der Public Cloud.
Im Sinne unseres Blogbeitrags (oben) sind die verschiedenen Ämter der Bundesverwaltung lauter eigenständige Unternehmen, mit ganz unterschiedlichen Zielen, Voraussetzungen und daher unterschiedlichem Risikoappetit. Für Funkfrequenzen, topographische Landkarten und Direktzahlungen gelten mit Sicherheit andere Anforderungen als für sicherheitsrelevante, aussenpolitische oder gar militärische Themen. Je nach Departement, Amt, aber sogar je nach Anwendungsfall wird die Risikobetrachtung anders ausfallen.
Kann hier eine «Swiss Cloud» eine Alternative sei für die Fälle, in denen die Cloud-spezifischen Risiken (z.B. Einsichtnahme fremder staatlicher Stellen) nicht akzeptabel sind?
Es kommt darauf an, wie man Swiss Cloud versteht. Die Zeit für eine 1:1 Kopie der Angebote von Amazon, Microsoft & Co. ist sicher vorbei. Amazon begann die Entwicklung der AWS Cloud Services in 2006. Einige tausend oder sogar einige zehntausend Entwickler arbeiten an der Weiterentwicklung der Dienste. Bei Google und MS sieht es ähnlich aus. Die reinen Zahlen machen klar, dass eine Swiss Cloud nicht die Fähigkeiten der Hyperscaler replizieren kann.
Das ist aber auch gar nicht notwendig. Statt einer Kopie braucht es zuverlässige Fähigkeiten zur Mitigation der spezifischen Risiken der Public Cloud.
Wie könnten solche Fähigkeiten aussehen? Hier nur einige Thesen / Vorschläge:
Management / Aufbewahrung von privaten Schlüsseln oder Tokens
In vielen Fällen ist die Public Cloud sinnvoll nutzbar, wenn kritische Daten verschlüsselt / tokenisiert abgelegt werden. Es braucht dann aber Lösungen zur Aufbewahrung der privaten Schlüssel bzw. der Tokens. Hier wäre eine Schweizer Lösung prädestiniert, die lokale Datenschutz-Vorgaben erfüllt.
SCION fördern
Das Internet ist DAS Backbone der Cloud-Nutzung. Angriffe auf das Internet (z.B. auf DNS) sind aber nur allzu realistisch. Man könnte unter dem Label «Swiss-Cloud» Ansätze wie SCION deutlich weiter skalieren – über Universitäten und Finanzdienstleister hinaus.
Förderung lokaler «Cloud» Anbieter durch Zertifizierung
Auch wenn es kein Schweizer Amazon geben wird – für viele Anwendungsfälle sind die Produkte lokaler «Cloud» und «SaaS» Anbieter durchaus geeignet. Der Staat könnte dies fördern, indem er einen Rahmen für die Zertifizierung solcher Angebote bzw. der Zertifizierung von Technologie-Stacks schaffen würde.
Besonders sichere und hochverfügbare Rechenzentren für kritische Daten und Anwendungen
Die aktuellen Ereignisse haben uns leider vor Augen geführt, dass auch extreme Szenarien berücksichtigt werden müssen. Angriffe sind nicht ausgeschlossen, ein «Feindliches Land» sind wir schon. Es ist daher sinnvoll, dass der Bund besonders sichere (ggf. militärisch sichere) und hochverfügbare Rechenzentren für essentielle Daten und Applikationen zur Verfügung stellt.
Die Liste ist mit Sicherheit nicht vollständig. Das leidige Thema «digitale ID» gehört sicher dazu, genauso wie die Schaffung klarer rechtlicher Rahmenbedingungen durch Gesetze und Verordnungen.
Wichtig ist aus unserer Sicht eine veränderte Sicht auf den Begriff «Swiss Cloud».
Ein Set technischer Fähigkeiten und rechtlich / organisatorischer Rahmenbedingungen, um die Schwächen der Public Cloud Services abzumildern und auszugleichen.
Das hat das Potential, das Wesen der Diskussion völlig zu verändern: Weg von «Cloud oder nicht Cloud?» hin zu «Cloud zusammen mit genau welchen Massnahmen?». Das wird die Schweiz nicht völlig unabhängig machen. Die Public Cloud Services und die weltweiten politischen und juristischen Rahmenbedingungen werden weiter wichtig bleiben. Aber man wäre in die Lage versetzt, die Vorteile der Cloud zu nutzen und dabei die Risiken zumindest stark zu senken. Ein Ziel wäre auch, ein Ökosystem von lokalen Fähigkeiten zu schaffen, die diejenigen der Hyperscaler nicht ersetzen – aber sinnvoll ergänzen. Das wäre ein Beitrag dafür, das Mass der digitalen Autonomie der Schweiz signifikant zu erhöhen.