Die Arbeitswelt hat sich gewandelt. Mehr Homeoffice, mehr Remote Work und besser vernetzte IT-Infrastruktur erlauben es den Unternehmen, auch in Krisenzeiten effizient zu bleiben. Das technologische Fundament für diesen Wandel bildet die Cloud: Cloud-basierte Lösungen ermöglichen höhere Skalierbarkeit und Agilität als On-Premises-Architekturen. Sie reduzieren dabei Kosten für IT-Hardware enorm.
Digitale Souveränität
KMU erhalten durch die Cloud zudem Zugriff auf innovative Technologien wie Big Data Analytics, IoT und KI, die in der Regel oft den «Grossen» vorbehalten sind. Die zunehmende Verlagerung von Workloads in die Cloud heisst aber auch, dass Daten und Anwendungen verstreut werden, manchmal sogar über verschiedene Länder hinweg. Den Unternehmen bleibt dabei wenig Kontrolle über angewendete Technologie und Datenschutzmassnahmen. Oftmals fehlen sogar grundlegende Sicherheitsvorkehrungen wie etwa Back-ups. Wie managen also Unternehmen ihre digitale Souveränität am besten?
Um eine Strategie für mehr digitale Souveränität aufzustellen, muss zunächst geklärt werden, um was es sich dabei genau handelt. Eine Definition des World Economic Forum (WEF) bezeichnet digitale Souveränität als «Kontrolle über das eigene digitale Schicksal». Im Grunde geht es um den Grad der Kontrolle einer Organisation oder Person über ihre digitale Architektur. Dazu gehören Anwendungen, Daten, Hardware und Software. Digitale Souveränität besitzt also zwei Fundamente: Datensouveränität und technologische Souveränität. Gesetzliche Vorgaben zu Datenschutz und Cybersecurity spielen dabei eine entscheidende Rolle.
Hürden für die Compliance
Wenn KMU Cloud Services nutzen, stammen deren Betreiber grösstenteils aus den USA und China. Da fällt es oft schwer, die geografische, operative und rechtliche Kontrolle über Daten und Technologien beizubehalten. Verschiedene politische Interessen und unterschiedliche Rechtsprechungen wie der Cloud Act übertrumpfen europäische Datenschutzbestimmungen und stellen nahezu unüberwindliche Hürden für die Compliance dar.
Gänzlich auf Hyperscaler zu verzichten, ist allerdings utopisch. Denn lokale Lösungen bieten meist einen geringeren Funktionsumfang, sind weniger weit verbreitet und teuer. Das wiederum könnte die eigene Wettbewerbsfähigkeit gefährden. Was sind also die Alternativen?
Auf dem Weg zu mehr Datensouveränität sollte die Wahl der richtigen Cloud-Lösung im Mittelpunkt stehen. Dabei gibt es keine Allerweltslösung. Ein hybrides Modell bietet die Möglichkeit, für jede Applikation und jeden Datentyp die Umgebung auszuwählen, die das passende Souveränitäts-Level bietet. Unternehmen sind hier maximal flexibel. Hingegen sollten Betriebe, die in puncto Security oder Datenkontrolle bestimmten Regularien unterworfen sind, eine entsprechend zertifizierte Trusted Cloud wählen.
Grundpfeiler Cybersecurity
In allen anderen Fällen ist ein risikobasierter Ansatz der goldene Weg. Bei der Umsetzung kann ein externer Dienstleister die oftmals überlasteten IT-Abteilungen in KMU unterstützen – von der Übernahme und Entwicklung bis hin zur Umsetzung der digitalen Strategie. Grundsätzlich sollte ein Unternehmen darauf abzielen, die Vorteile der Public-Cloud so weit wie möglich auszuschöpfen und direkte Kontrolle nur dort einzusetzen, wo sie in Hinsicht auf Datenschutz und Datensicherheit notwendig ist. Denn je höher das Level an digitaler Souveränität, desto teurer und gleichzeitig weniger agil ist die Cloud-Lösung.
Auch Cybersecurity ist ein wichtiger Grundpfeiler der digitalen Souveränität. Der neueste Trend geht dabei in Richtung Zero Trust, das heisst: Vertraue niemandem. Jede Netzwerkanfrage, ganz gleich ob intern oder extern, muss authentifiziert werden. Deshalb ist dieses Sicherheitskonzept gerade für Umgebungen, die man nur bedingt selbst kontrollieren kann – wie etwa eine Cloud – ratsam. Zero Trust setzt auf Identity und Access Management (IAM), um den Datenzugriff und die Schreibrechte der Mitarbeiter zu kontrollieren.
Dabei umfasst IAM im Idealfall nicht nur Mitarbeiter, sondern alle Arten von IT-, OT- und IoT-Objekten. Für die Daten ist zudem eine Verschlüsselung sinnvoll, um die Vertraulichkeit und Integrität bei der Übertragung, Verarbeitung und auch Speicherung zu sichern. Doch die neueste Sicherheitstechnik nützt nichts, wenn der Mitarbeiter vor dem Computer sich der Bedrohung nicht bewusst ist. Deshalb sind auch Schulungen zur Security Awareness ein Muss.
Hybride als Kompromiss
Wenn Unternehmen Wettbewerbsfähigkeit, Datenschutzkonformität und Agilität sicherstellen möchten, bleibt die Kontrolle über die eigenen Daten und eingesetzten Technologien unerlässlich. Zudem interessieren Kunden sich zunehmend für Cybersicherheit und Datenschutz. Unternehmen, die in diesen Bereichen punkten, können so an Loyalität gewinnen.
Alle Ziele in Einklang zu bringen, ist dabei keine leichte Herausforderung. KMU können in der Regel nicht auf die Vorteile einer Cloud verzichten, wollen aber gleichzeitig Datenschutz- und Sicherheit bieten. Lösungsansätze sind der Einsatz einer flexiblen Hybrid Cloud und die Investition in ein modernes Zero-Trust-Konzept. Das hybride Modell erlaubt es, verschiedene Clouds zu kombinieren und Daten und Applikationen je nach Wichtigkeit in der richtigen Umgebung zu speichern. Zero Trust ist eine gute Methode, um die Cloud gegen Angriffe von aussen abzusichern.
Wegen des Fachkräftemangels und der dementsprechend hohen Auslastung von IT-Abteilungen ist es zudem ratsam, einen spezialisierten Anbieter hinzuzuziehen. Dieser identifiziert Risiken und steht dem Unternehmen unterstützend bei der Umsetzung der digitalen Datensouveränität-Strategie zur Seite. So bleiben Unternehmen stets die Herren über ihre Daten.