EU Cloud Sovereignty Framework
Mit dem EU Cloud Sovereignty Framework macht die EU digitale Souveränität im Cloud-Umfeld erstmals systematisch messbar.
Ziel des EU Cloud Sovereignty Framework ist es, die Abhängigkeit von außereuropäischen Anbietern zu reduzieren und europäische Rechts- und Sicherheitsstandards zu stärken. Kern des Frameworks sind acht sogenannte Souveränitätsziele (SOV). Sie definieren unter anderem Anforderungen an den Schutz vor ausländischer Gerichtsbarkeit, die Kontrolle über Datenstandorte, Transparenz in der Lieferkette sowie die Herkunft von Hard- und Software. Diese Ziele werden jeweils auf einer fünfstufigen SEAL-Skala bewertet. So entsteht ein vergleichbares Profil, wie souverän ein Cloud-Dienst tatsächlich ist.
Verpflichtend ist die Anwendung des Frameworks aktuell nur für EU-Institutionen und deren Beschaffungsvorhaben. Für den freien Markt besteht keine formale Pflicht. Dennoch ist absehbar, dass sich insbesondere regulierte Branchen und KRITIS-Betreiber künftig daran orientieren müssen, da gesetzliche Anforderungen an IT-Sicherheit und Lieferketten weiter steigen.
Wie weit ausländische Cloud-Anbieter dadurch de facto aus dem Markt gedrängt werden, ist derzeit noch offen. Das hängt maßgeblich davon ab, ob private Wirtschaftssektoren und Industrien das Framework adaptieren und somit reale Markteintrittsbarrieren für nicht-europäische Anbieter entstehen. Auch wird entscheidend sein, ob es europäische Cloud-Lösungen schaffen, den gestiegenen organisatorischen und bürokratischen Anforderungen im Lieferkettenmanagement und der Nachweispflicht zu entsprechen. Die großen US-amerikanischen Hyperscaler reagieren jetzt schon auf die wandelnden Bedürfnisse ihrer europäischen Kunden und bieten zum Teil schon eigenständige „European Sovereign Clouds“, welche zumindest auf dem Papier vollständig souverän laufen sollen. Ob amerikanische Behörden nicht doch im Ernstfall Zugriff haben, wird sich erst noch zeigen müssen: Spätestens seit letztem Jahr, in dem Microsoft auf Druck der Trump-Regierung E-Mail-Konten des internationalen Strafgerichtshof gesperrt hatte, scheint vieles möglich, was vorher als undenkbar galt.
Kaum jemand kommt heutzutage ohne Cloud aus. Gerade deshalb ist es wichtig, sich intensiv damit zu beschäftigen, wo meine Daten liegen und wer im Zweifel darauf Zugriff hat – im Unternehmenskontext genauso wie im Privaten. Das Framework der EU soll hier eine Entscheidungshilfe sein. Ob es das wird und sich auch außerhalb der öffentlichen Beschaffung am Markt durchsetzen kann, wird sich in den nächsten Monaten herausstellen.
Bei Fragen oder Anmerkungen zum Themenfeld Informationssicherheit wenden Sie sich gerne an Tim Stauffenberg.