THINK Blog DACH

Europas Bestände an Industriedaten sind durch die Digitalisierung während des globalen Lockdowns noch größer geworden. In einer Zeit schnell wachsender informations-technologischer Innovationen ist es entscheidend, diese zielführend und sinnstiftend zu nutzen, um gesellschaftliche und wirtschaftliche Herausforderungen zu bewältigen. Dies erfordert einen multidisziplinären, ökosystemischen Ansatz. Alle europäischen Souveränitätsinitiativen wie z.B. Gaia-X sollten jede Form der Zusammenarbeit fördern und verstärken, die bestehende technologische Innovationen nutzt, um in einem Klima des Vertrauens sinnvolle Anwendungsfälle für Industrie und Gesellschaft zu schaffen. Die folgende Übersicht zum Thema Digitale Souveränität zeigt ihre Bedeutung und einige der von Regierungen und Cloud-Service-Providern (CSPs) geführten Initiativen auf.

Erfolgreiche Digitale Souveränität

Digitale Souveränität wird von der EU vorangetrieben und kann viele Formen annehmen. Die erfolgreichen stehen auf fünf Säulen:

• Strategische Autonomie ermöglicht europäischen Organisationen für Kunden und Bürger neue Geschäfte aufzubauen und neue Dienstleistungen anzubieten, die vorhandene Technologien auf sichere und vertrauenswürdige Weise nutzen und sich dabei die riesigen europäischen Datenmengen zunutze machen. Dies erfordert 1. digitales Vertrauen (z. B. Datenschutz, Cyber-Resilienz, gemeinsame Werte), 2. die Fähigkeit, Technologie zu verstehen und entsprechend zu nutzen und 3. einen Ecosystem-Ansatz aller Beteiligten: derjenigen, die die Herausforderungen eines bestimmten Sektors (z. B. Finanzen, Gesundheit, Industrie usw.) verstehen, derjenigen, die die Technologie bereitstellen, und derjenigen, die sie umsetzen und implementieren können.
• Innovation durch einen Ecosystem-Ansatz: Der Ecosystem-Ansatz ist nicht nur notwendig, um die Kräfte verschiedener Arten von Stakeholdern (z. B. Branchen, Technologieanbieter, Systemintegratoren) zu vereinen, sondern auch, um die Vertreter der gleichen Branche (des gleichen Sektors) in vertrauenswürdigen Räumen zusammenzubringen, um auf Daten zuzugreifen und sie gemeinsam zu nutzen, um neue Dienstleistungen (z. B. zur Betrugsbekämpfung) zu ermöglichen.
• Erhöhter Schutz von persönlichen und industriellen Daten und geistigem Eigentum (IP): Digitale Transformation und die Gewährleistung einer sicheren Datenwirtschaft schließen sich nicht gegenseitig aus. Vielmehr bedingen sie einander: Die Herausforderung besteht darin, es Unternehmen zu erleichtern, hohe Standards für Datenschutz zu erreichen. Dies kann durch vertragliche Vereinbarungen, Zertifizierungen und fortschrittliche Sicherheitstechnologien, Sicherheitsmaßnahmen sowie Echtzeit-Compliance-Kontrollen und -Berichte erreicht werden. Diese hohen Sicherheits- und Schutzstandards sollten für alle Daten – insbesondere für sensible Daten – gelten. Unternehmen müssen die volle Kontrolle über und das Eigentum an ihren Daten sowie die Erkenntnisse aus deren Analyse behalten, um Innovationen voranzutreiben.

• Verbesserte Cybersicherheit: Im vergangenen Jahr gab es erneut eine Rekordzahl von Sicherheitsvorfällen, die sich auf Daten und Unternehmensabläufe auswirkten und Unternehmen und Organisationen lähmten. Während die Cloud durch eine Reihe technischer Maßnahmen in Kombination mit notwendigen Zertifizierungen Sicherheit mit sich bringt, kann die Aufteilung der Verantwortlichkeiten zwischen Cloud-Anbietern und Anwendern zu Verwirrung oder Unklarheit führen. Klarheit und das richtige Maß an Bewusstsein bei den Anwendern sind der Schlüssel zur Gewährleistung der Cyber-Resilienz. Die Klarheit muss sich auf zwei Säulen stützen:
  • Cyber-Resilienz des Cloud-Dienstanbieters (CSP) – oft als “Security below the line” bezeichnet, setzt sich aus einer Reihe von Sicherheitsmaßnahmen, Prozessen und Kontrollen sowie spezifischen Sicherheitsdiensten zusammen, die Benutzer abonnieren können. Der Grad der Cyber-Resilienz des CSP wird durch eine Reihe von erlangten Zertifizierungen (z. B. sicherheitsbezogene ISO-Zertifizierungen, SOC2-Zertifizierung und etwaige branchenspezifische Zertifizierungen) und andere branchenspezifische Kontrollinstrumente (z. B. IBM Cloud Framework for Financial Services) nachgewiesen.
  • “Above the line”-Cyber-Resilienz bezieht sich auf spezifische Maßnahmen, die Kunden einführen sollten, um die Cyber-Resilienz der Cloud-Anbieter zu ergänzen. Cloud-Anwender sind dafür verantwortlich, spezifische Dienste zu abonnieren, die auf die Sicherheitsanforderungen ihrer Umgebung zugeschnitten sind (z. B. IBM Cloud Hyper Protect Crypto Services mit Kryptografiemodul der Stufe 4) und eine umfassende Sicherheitsüberwachung und -kontrolle einzurichten.
• Eine neue Generation von Talenten: Ausbildung, Umschulung und Höherqualifizierung von Studenten und Fachkräften müssen ins Zentrum der Debatte gerückt werden, um die Infrastruktur und Dienste zu entwickeln und bereitzustellen, die zur Förderung der Datenwirtschaft benötigt werden. Aufgrund des allgegenwärtigen Fachkräftemangel muss ein Umdenken seitens der Finanzierung einsetzen und verstärkt Umschulungen und „Learning on the Job“ zunehmend gefördert werden.

Initiativen für Digitale Souveränität

In Europa gibt es eine Reihe von Initiativen, um Ziele rund um die digitale Souveränität zu unterstützen:

• Dazu gehört der EU Cloud Code of Conduct, der höchste Datenschutz-Standards in der Cloud sicherstellt: IBM war eine treibende Kraft bei der Entwicklung des EU-Datenschutz-Verhaltenskodex für Cloud-Service-Anbieter und war 2017 der erste Cloud-Anbieter, der diesem Kodex beigetreten ist. Der Kodex umfasst strenge Zusicherungen – einschließlich der GDPR-Compliance-Maßnahmen – zum Schutz von Daten im Rahmen von Cloud-Diensten und wurde von der federführenden Datenschutzbehörde anerkannt. Hierdurch wird sichergestellt, dass die unterzeichneten Cloud-Dienste nicht nur die GDPR Regelungen einhalten, sondern in Bezug auf Vertrauen, Verantwortlichkeit und Transparenz sogar noch weiter gehen. Mit dem Verhaltenskodex können Cloud-Nutzer darauf vertrauen, dass die Anbieter die DSGVO einhalten und ihre Daten sicher sind.
• GAIA-X – eine europäische Cloud-Infrastruktur: GAIA-X ist als eine dezentrale Dateninfrastruktur angelegt, die die Zusammenarbeit zwischen europäischen Ländern und Cloud-Unternehmen in einem föderierten Cloud-System in den Mittelpunkt stellt. Damit wird Unternehmen ermöglicht, die Vorteile des Cloud Computings zu nutzen und mit vertrauenswürdigen Partnern zusammenzuarbeiten, ohne an feste Anbieter gebunden zu sein. IBM ist Mitglied in der Gaia-X Association und teilt die Ziele in Bezug auf Verantwortung, Sicherheit und Datenschutz sowie Interoperabilität, Portabilität und die Förderung von offenen Standards und Umgebungen.

Bereitstellung technischer Sicherheitsvorkehrungen

Um Teil einer vertrauenswürdigen Datenwirtschaft zu sein, müssen Unternehmen höchste Datenschutz- und Sicherheitslösungen zur Verfügung stellen. IBM legt großen Wert auf die Bereitstellung erstklassiger Technologien zum Schutz der Privatsphäre und zur Unterstützung des Datenaustauschs innerhalb und zwischen Organisationen. Einige unserer neuesten Innovationen werden Unternehmen dabei helfen, Teil einer europäischen, vertrauenswürdigen Datenwirtschaft zu sein:

• Confidential Computing: Ein echter Durchbruch ist unsere Fähigkeit zum “Confidential Computing”. Jahrelang konnten Cloud-Anbieter nur Verschlüsselungsdienste anbieten, die Daten “at rest” und “in transit” geschützt haben, wodurch Daten “in use” angreifbar blieben. Mit “Confidential Computing” Lösungen von IBM werden Daten kontinuierlich und während des gesamten Lebenszyklus, auch wenn sie im Speicher verarbeitet werden, verschlüsselt und geschützt. Dieser ganzheitliche Ansatz zum Datenschutz eröffnet spannende neue Möglichkeiten zur Nutzung von Cloud-Innovationen und geht erfolgreich auf einige der Sicherheits- und Datenschutzbedenken und -Lücken ein.
• Keep Your Own Key: “Keep Your Own Key” ist eine branchenführende Verschlüsselungstechnologie, die es Unternehmen ermöglicht, die Kontrolle über ihre eigenen Verschlüsselungstechniken zu behalten. So sind sie die einzigen, die den Zugriff auf ihre Daten kontrollieren können. IBM ist in diesem Bereich führend, was durch die wichtigste Sicherheitszertifizierung im Markt bestätigt wird.
• Hybrid Cloud: Ein Hybrid Cloud Ansatz ermöglicht es Anwendern, Applikationen und die notwendigen Daten in einem von ihnen gewählten Ort (z. B. in der Public Cloud, im eigenen Rechenzentrum oder am Edge) laufen zu lassen. Bei einem Hybrid Cloud-Ansatz geht es heute nicht mehr darum, die eigenen, lokalen Rechenzentren mit der Public Cloud zu verbinden, sondern Cloud-Services dorthin zu bringen, wo es für Unternehmen am effektivsten und sinnvollsten ist. Der Hybrid Cloud-Ansatz von IBM, der weitestgehend auf offenen Technologien basiert, bietet Portabilität und die volle Wahlfreiheit in Bezug auf Einsatz- und Betriebsmodelle.
• EU-only-Dienste: EU-only-Dienste ermöglichen es Kunden, Daten in der Europäischen Union zu speichern und zu verarbeiten. Die EU-only-Option von IBM stellt sicher, dass die Daten der Kunden in der EU gespeichert und verarbeitet werden und dass nur in der EU ansässige Mitarbeiter_innen den Betrieb der Cloud-Services durchführen. Sollte es erforderlich sein, dass Nicht-EU-Personal auf die Infrastruktur oder einen Service zugreift (z.B. Level-3-Vorfall, der nicht von EU-Personal gelöst werden kann), unterliegt die Zugriffsberechtigung einem Genehmigungsprozess und strengen Kontrollen. IBM verfügt über umfangreiche Möglichkeiten zur Datenspeicherung und -verarbeitung in der EU und bietet bereits seit 2017 (vor der GDPR) EU-only-Support für die Cloud-Services an. Zudem ist die Cloud-Infrastruktur in Frankfurt vom Bundesamt für Sicherheit in der Informationstechnik (BSI) C5-zertifiziert.

Fazit

Vertrauen und Transparenz sind grundlegend, um das volle Potenzial der Datenwirtschaft auszuschöpfen. Europas Fokus auf eine vertrauenswürdige Cloud schafft neue Möglichkeiten für Unternehmen.

IBM unterstützt die Bemühungen der EU, mehr Vertrauen in die digitale Wirtschaft aufzubauen und übernimmt eine führende Rolle in der auf europäischen Werten basierenden digitalen Revolution. Seit Jahren beteiligt sich IBM an EU-Initiativen (u.a. EU Cloud Code of Conduct und GAIA-X), um zum Vertrauensaufbau in die digitale Souveränität beizutragen. IBM bekennt sich zu europäischen Werten, hält sich an EU-Vorschriften, höchste Sicherheitsstandards und geht (wie am Beispiel EU Cloud Code of Conduct gezeigt), im Rahmen von Selbstverpflichtungen auch darüber hinaus.
Wie IBM EMEA Chairman Martin Jetter auch in seinem Artikel noch einmal betont, ist und war das Engagement von IBM glasklar. Die IBM Unternehmen in Europa unterliegen der nationalen Gerichtsbarkeit europäischer Staaten und werden jede Forderung von Behörden aus Drittstaaten, auf Daten zuzugreifen, die IBM von einem Unternehmen oder einer Organisation anvertraut wurden, zurückweisen.

IBM unterstützt die EU bei ihren Bemühungen die digitale Souveränität in Europa zu stärken, hält die Kunden über die Entwicklungen auf dem Laufenden und hilft ihnen, aus ihren Daten einen geschäftlichen Mehrwert zu generieren. Damit stärkt IBM die exportorientierte Wirtschaft Europas und trägt zur Steigerung der Wettbewerbsfähigkeit bei.