Cloud-Lösung in Europa, erste Einschätzung Microsoft-CEO kündigt nächste Schritte für Digitale Souveränität an

Anbieter zum Thema

Microsoft Deutschland GmbH

Soft & Cloud GmbH

Impossible Cloud GmbH

Zadara Ltd.

Der Softwarekonzern Microsoft kommt Bedenken seiner europäischen Kunden im Hinblick auf Datenschutz entgegen und bietet künftig ein abgestuftes System zum Abschotten der Daten in Europa an.

Konzernchef Satya Nadella stellte im Rahmen der AI Tour in Amsterdam ein Konzept vor, mit dem Kunden in Europa Cloud-Lösungen von Microsoft betreiben können, bei denen die Kundendaten in Europa bleiben. Dabei soll der Betrieb und der Zugriff von europäischen Mitarbeitern kontrolliert werden und die Verschlüsselung vollständig unter der Kontrolle der Kunden liegen.

Verschlüsselungs-Hardware aus Aachen

Im Rahmen der Datenschutzgarantie setzt Microsoft auch auf Verschlüsselungstechnik, die aus Deutschland stammt. Die Kunden können die Microsoft-Cloud mit Schlüsseln verbinden, die auf ihrem eigenen Hardware-Sicherheitsmodul (HSM) gespeichert sind. Nadella sagte, man arbeite dabei unter anderem mit dem Aachener Sicherheitsspezialisten Utimaco zusammen.

Zentrale Elemente der gemeinsamen Lösung ist eine Azure Managed HSM (Hardware Security Module) Encryption – das bedeutet, dass Kunden ihre Daten in der Cloud verschlüsseln und die benötigten Schlüssel selbst oder über lokale Partner erzeugen, verwalten und sicher speichern können. Der Einsatz eines externen Key Managers, wie dem Utimaco Enterprise Secure Key Manager (ESKM), soll zusätzlich entscheidende Vorteile bringen, wie zum Beispiel die Schlüsselgenerierung nach höchsten FIPS-Standards, abgesichert durch ein integriertes Hardware-Sicherheitsmodul, das als On-premises-Appliance oder As-a-Service-Lösung bezogen werden kann.

Microsoft Sovereign Cloud im public-private-Betrieb

Nadella präsentierte drei unterschiedliche Varianten des neuen Konzeptes für Kunden in Europa, die bis Ende des Jahres angeboten werden sollen:

• Bei der „Sovereign Private Cloud“ liegen die Daten in Microsoft-Rechenzentren in Europa,

• bei der „Sovereign Private Cloud“ setzen die Kunden die Microsoft-Technik auf eigenen Servern oder bei Partnern ein.

• Die dritte Lösung „National Partner Cloud“ richtet sich an Kunden aus der Regierung und an Anbieter von kritischer Infrastruktur. Dabei dürfen nur Betreiber zum Einsatz kommen, die von den Regierungen genehmigt wurden. Für Deutschland steht dabei der Anbieter Delos Cloud, ein Tochterunternehmen der SAP, zur Verfügung.

Erste Einschätzung

Mit dieser Ankündigung richtet sich Microsoft somit an europäische Organisationen, um damit deren Datenschutz und digitale Souveränität sicherzustellen. Doch ob ein US-Anbieter diese Anforderungen wirklich erfüllen kann, dazu gibt Benjamin Schilz, CEO von Wire, eine erste Einschätzung ab: „Microsoft verfügt über keinen Freifahrtschein vom US-Überwachungsrecht. Die versprochene souveräne Private Cloud gibt Zusagen, die sich rechtlich nicht einlösen lassen. Es geht nicht um gute Absichten, sondern um eine einfache Tatsache: Jeder US-Softwareanbieter kann gesetzlich dazu verpflichtet werden, Überwachungsmaßnahmen durchzuführen oder den Zugriff auf Dienste willkürlich zu unterbinden.“

Schilz betont, dass der Quellcode von Microsoft nicht offen sei und es keine rechtlichen Hürden gebe, die die US-Regierung davon abhalten würden, von Microsoft z. B. den Einbau von „Hintertüren zu verlangen“, mit denen dann kryptografische Schlüssel, Kundendaten oder Metadaten abgegriffen werden können. „Dass Microsoft bereits gezwungen wurde, Kunden auf staatliche Anweisung den Zugang zu verweigern, ist belegt – das ist kein theoretisches Szenario.“ Daher hält der Wire-CEO diese Vorstellung für realitätsfern. „Und Unternehmen, die solche Versprechen trotz der bekannten Rechtslage akzeptieren, erliegen letztlich einer Illusion“, so Schilz.

Konflikt mit den USA

Vor dem Hintergrund des drohenden Handelskrieges zwischen den USA und Europa und anderen politischen Konflikten wurde zuletzt kontrovers diskutiert, ob Unternehmen und Organisationen in Europa sich auf Cloud-Technologie aus den USA verlassen können. Dabei war auch Microsoft in die Kritik geraten, insbesondere wegen einer Blockade des E-Mail-Kontos des Chefanklägers des Internationalen Strafgerichtshofs (IStGH), Karim Khan. US-Präsident Donald Trump hatte das Den Haager Gericht im Februar sanktioniert, nachdem ein Gremium von IStGH-Richtern im November Haftbefehle gegen den israelischen Premierminister Benjamin Netanjahu und seinen früheren Verteidigungsminister Yoav Gallant wegen Kriegsverbrechen im Gazastreifen erlassen hatte.

Kommentar: Hyperscaler im Spannungsfeld geopolitischer Realität

Die Rhetorik der „Selbstverpflichtung“ – ein Placebo für die EU?

(ID:50455460)