Irgendwo zwischen public und private: die Sovereign Cloud

Datenschutz und -souveränität der EU bei Oracle Irgendwo zwischen public und private: die Sovereign Cloud

05.07.2023 Von Ulrike Ostler Lesedauer: 8 min |

Anbieter zum Thema

Schneider Electric GmbH

DataCore Software GmbH

Schwarz IT KG

ORACLE Deutschland B.V. & Co. KG

Die Sovereign-Cloud ist kein definierter Begriff, hat keinen festgelegten Anwenderkreis, ist auch keine EU-Erfindung; fix ist aber, dass in einer solchen Datenschutz und -souveräninät, etwa bezogen auf die Europäische Union, eine wichtige Rolle spielen, wichtiger als in der public Cloud, der Handlungsspielraum aber größer ist als in einer privaten Wolke. Oracle bietet nun eine „EU Sovereign Cloud“ und Tobias Deml von Oracle erläutert die Alleinstellungsmerkmale.

Mit einer Sovereign-Cloud sollen Unternehmen der Souverän ihrer Daten und Governance-Reglen sein: Oracle bietet eine „EU Sovereign Cloud“ an.
(Bild: @ vectorpocket adobe-stock.com)

Zu Beginn seiner Ausführungen zitiert Deml den Versuch von Gartner-Analysten Sovereign Cloud zu definieren: Demnach ist digitale Souveränität keine binäre Eigenschaft einer IT-Umgebung, sondern bezieht sich auf mehrere Ebenen und Fähigkeiten, um die technische Selbstbestimmung von Organisationen zu gewährleisten (siehe: Abbildung).

Obwohl der europäische Rechtsrahmen noch nicht genehmigt ist und von Land zu Land variieren kann, will Oracle seinen Kunden technische Möglichkeiten bietet, mit denen sich die Anforderungen des eigenen Risikoprofils jetzt, aber auch in Zukunft erfüllen lassen.
(Bild: Oracle)

Das Oracle-Angebot EU Sovereign Cloud beansprucht, alle Kriterien auf den unterschiedlichen Ebenen zu erfüllen:

1. Die Daten-Souveränität: Das bezieht sich darauf, wo die Daten liegen, wie sie in der Cloud abgeschirmt werden und wer zuständig ist.

2. Interoperabilität bedeutet: Kein Vendor Lock-in, also Herstellerabhängigkeit

3. Zugangsverwaltung für Kunden und Lieferanten und lokale Verschlüsselung

4. Geschäftskontinuität und Notfallwiederherstellung, Redundanz

Die Daten-Souveränität

Oracle ist ein amerikanisches Unternehmen und unterliegt damit der US-Gesetzgebung, was unter Umständen den dortigen Behörden und Ämtern das Recht gibt, auf alle Daten, die in der Public Cloud von Oracle liegen, zuzugreifen, Stichwort: Privacy Shield. Doch die EU Sovereign Cloud soll das ausschließen. Die neue Sovereign Cloud-Region aber unterliegt einer umfassenden Reihe von Sicherheits- und Governance-Richtlinien, die die Fähigkeiten des Oracle-Angebots hinsichtlich Datenresidenz, Sicherheit, Datenschutz und Compliance beeinflussen.

So baut die Oracle EU Sovereign Cloud zwar auf den bestehenden Compliance-Programmen des Public-Cloud-Angebots von Oracle auf, die es Kunden ermöglichen, die Einhaltung regionaler und branchenspezifischer Vorschriften nachzuweisen. Sie entspricht aber auch den EU-Überwachungsvorschriften und Leitlinien, die den Datentransfer aus der EU einschränken – wie zum Beispiel das Schrems-II-Urteil des Europäischen Gerichtshofs und das European Data Protection Board.

Die Richtlinien beinhalten zudem einen Rahmen für die Daten- und Betriebssouveränität einschließlich Speicherung und Administration des Zugriffs auf Kundendaten in der Oracle-Cloud. Zunächst lagern die Daten in zwei europäischen Rechenzentren; das eine befindet sich in Madrid und das andere in Frankfurt am Main. Digital Realty ist der Hosting-Partner für den Standort der EU Sovereign Cloud Region in Madrid und Equinix ist der Hosting-Partner für den Standort der Region Frankfurt.

Regionen und Partner

Weitere Standorte sollen bei steigender Nachfrage folgen – mit der Einschränkung, dass man die Vorschriften bezüglich räumlicher Entfernungen für das Bilden von Zonen einhalten werde.

Schon jetzt stellt die Oracle-Cloud-Infrastruktur (OCI) ein Netzwerk von mehr als 85 globalen und regionalen „OCI Fast Connect“-Partnern Unternehmen eine dedizierte Konnektivität zu Oracle Cloud Regions und OCI-Services zur Verfügung. Zu den zum Start verfügbaren Fast-Connect-Partnern gehören Arelion, DE-CIX, Digital Realty, Equinix und Intercloud. Deml betont, dass es sich bei dem Sovereign-Angebot um kein „Treuhand“-Modell handle, wie es etwa T-Systems und Google anböten.

Weiter wird das Angebot der EU-Sovereign Cloud von Oracle ausschließlich von EU-Mitarbeitern zur Verfügung gestellt. Diese agieren separat vom Mutterkonzern auf der Basis „separater Betriebsentitäten“, wie es Deml ausdrückt, im offiziellen Oracle-Wortlaut ist von „EU-Rechtssubjekten“ die Rede.

Doch Glauben ist, gut Kontrolle ist besser – das gilt insbesondere für die Versicherungen des Anbieters Oracle bezüglich der selbstauferlegten Regeln für das Sovereign-Cloud-Angebot. Deml macht darauf aufmerksam, dass die EU-Entitäten dem in den einzelnen Ländern geltenden Auditierungsvorschriften unterlägen.

In kritischen Fällen

Im Frühjahr hatten Oracle und das Bundesamt für Sicherheit in der Informationstechnik eine Kooperation beziehungsweise einen Rahmenvertrag bezüglich der Oracle Cloud Infrastructure geschlossen. Der Vertrag mit der Bundesrepublik Deutschland soll den Stellen der Bundesverwaltung Abruf und Einsatz von bestimmten Oracle Produkten und Services ermöglichen.

Dazu zählen OCI und einzelne weitere Services. Wie es heißt, geht es im Detail um eine bedarfsorientierte Prüfung von Sicherheitsaussagen zu Oracle Produkten und Services und den Austausch sicherheitsrelevanter Informationen im Betrieb.

Dazu werden Expertinnen und Experten beider Seiten an einem neu eingerichteten technischen Evaluations- und Advisory-Board teilnehmen, um sich regelmäßig zu regulativen Vorgaben, technischen Richtlinien, Mindeststandards, Sicherheitsempfehlungen und Best-Practices zum Einsatz der Oracle Produkte und Services in der Bundesverwaltung auszutauschen. Die technischen Diskussionen legen Schwerpunkte auf aktuelle kryptografische Fragen, neue technische Herausforderungen und Zukunftstechnologien, zum Beispiel der aktuelle Einsatz von Brainpool- und NIST-Kurven in der Kryptografie, die Sicherheit moderner Netzarchitekturen und die rechtzeitige Berücksichtigung von potenziellen Angriffen über Quantencomputer durch eine Migration zu quantensicherer Kryptografie.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu RZ- und Server-Technik

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Die neue Souveränität

Deml macht jedoch darauf aufmerksam, dass die Kooperation nicht identisch ist mit dem nun neu geschaffenen Angebot der Sovereign Cloud. Diese soll den Oracle-Kunden Services und Funktionen zu den gleichen Preisen, mit dem gleichen Support und den gleichen Service Level Agreements (SLAs) für alle Workloads bieten, die Oracle mit seinem Public-Cloud-Angebot unterstützt. Die Sovereign-Services sind ein Teil der Distributed-Cloud-Strategie von Oracle (siehe: Kasten).

Distributed Cloud von OCI

Die „OCI Distributed Cloud" soll Kunden die Vorteile der Cloud mit einer größeren Kontrolle über die Datenresidenz, den Standort und die Autorität, sogar über mehrere Clouds hinweg bieten: Sie umfasst folgende Modelle:

Multicloud: Multi-Cloud-Fähigkeiten der OCI wie „Oracle Database Service for Microsoft Azure" und „MySQL Heat Wave" geben Kunden die Möglichkeit, einen anderen Cloud-Anbieter für ihre Anwendungen und Datenbanken zu wählen.

Hybrid Cloud: OCI bietet Hybrid-Cloud-Dienste vor Ort über „Oracle Exadata Cloud@Customer" an und verwaltet Infrastrukturen in über 60 Ländern.

Public Cloud: Heute betreibt OCI 44 OCI-Regionen in 23 Ländern; sieben weitere sind geplant.

Dedicated Cloud: OCI bietet Kunden dedizierte Regionen, in denen sie alle Oracle-Cloud-Services in ihren eigenen Rechenzentren betreiben können. Mit „Oracle Alloy" können Partner die Cloud-Services für ihre Kunden anpassen.

Sie adressieren Unternehmen, die in stark regulierten Branchen tätig sind. Kunden, die mit sensiblen, regulierten oder strategisch wichtigen Daten und Anwendungen sowie Workloads arbeiten, die unter die EU-Anforderungen an die Datensouveränität und den Datenschutz fallen, wie die Datenschutz-Grundverordnung (DSGVO). Diese sollen nun vorbehaltlos ‚in die Cloud‘ wechseln können. Explizit ist von Branchen wie dem Gesundheitswesen, den Finanzdienstleistungen, der Telekommunikation und dem öffentlichen Sektor die Rede.

Bereitstellungsoptionen für eine Reihe von Anforderungen an die digitale Souveränität und trotzdem die gleiche OCI-Architektur, dieselben Dienste.
(Bild: Oracle)

Wie Deml betont, handelt es sich nicht um ein lokal begrenztes Angebot. „Die Oracle EU Sovereign Cloud ist für Kunden in allen 27 EU-Mitgliedstaaten und weltweit verfügbar. Sie umfasst alle über 100 Cloud-Services der Oracle Public Cloud ohne zusätzliche Gebühren und mit denselben SLAs für Leistung, Management und Verfügbarkeit.“

Identisches Service-Angebot

Auch hätten Kunden die Option, Zugang zu Kundenprogrammen wie „Oracle Support Rewards“ zu erhalten. Darüber hinaus sei geplant, die „Oracle Fusion Cloud Applications Suite“, die derzeit im Rahmen des EU Restricted Access (EURA)-Angebots von Oracle verfügbar ist, in Kürze auch in der Oracle EU Sovereign Cloud verfügbar zu machen.

Gilt das auch in Zukunft? Laut Deml sind dieselben Kosten, dieselben SLAs, dasselbe Service-Angebot lediglich eine Frage der Skalierung und werde bei Oracle auf der Plattformebene gelöst. Also werde er sehr wahrscheinlich auch noch wenn Zeit vergangen ist, sagen können: Alles dasselbe.

Tobias Deml ist Head of Cloud Engineering @ Oracle Germany, Oracle
(Bild: Oracle)

Das aber gebe den Kunden zugleich die Möglichkeit des Mix and Match. Die Kunden, die sich Gedanken machen müssen, welchen Sicherheitslevel sie für ihre Daten wünschten, welches Automatisierungs-Niveau für ihre IT-Infrastruktur und zu welchen Kosten sie ihre Anwendungen betreiben wollen, könnten die eine Cloud für dieses, das eigene Rechenzentrum für anderes und die Sovereign Cloud für jene Workloads verwenden. Er rechnet übrigens mit einem Verhältnis von 40 zu 60 Prozent, was die Nutzung des Sovereign-Cloud-Angebots zu Public Cloud angeht.

Cloud für die bisher Ausgeschlossenen

Damit aber haben Unternehmen, die bisher nur sehr eingeschränkt ein Cloud-Angebot nutzen konnten, auch neue KI-Technologien, zum Beispiel generative KI, zu implementieren. Anforderungen an die Datenresidenz und weitere regulatorische Anforderungen hätten bisher in vielen Fällen einen Riegel vor die Entwicklung von generativen Modellen geschoben, da einfach die Cloud-Nutzung untersagt gewesen sei.

Neue OCI Key Management Services

Um Kunden zu helfen, ihre Daten zu schützen und die Anforderungen an die Datensouveränität zu erfüllen, führt OCI zwei neue „Key Management Services" ein, die in allen Oracle Cloud-Regionen, einschließlich der „EU Sovereign Cloud", verfügbar sind:

„OCI Dedicated Key Management Service" und

„OCI External Key Management Service".

OCI External Key Management wurde in Zusammenarbeit mit der Thales Group entwickelt und erlaubt es Kunden, ihre Daten mit Keys zu verschlüsseln, die vom Kunden außerhalb der OCI erstellt und verwaltet werden. Diese Verschlüsselungscodes bleiben immer in der Obhut des Kunden und werden nie in die OCI importiert. So können Kunden regulierte Workloads zu OCI verlagern, die eine Kontrolle über die physische Speicherung der Schlüssel außerhalb der Cloud erfordern.

Mit OCI Dedicated Key Management erhalten Kunden die Kontrolle über ihre Verschlüsselungscodes, indem sie ein dediziertes, mandantenfähiges Hardware-Sicherheitsmodul (HSM) verwenden, das in OCI bereitgestellt wird.

Doch die Sovereign Cloud von Oracle sei auf Datenresidenz und -sicherheit ausgelegt. Sie verfüge über eine Architektur, die keine gemeinsame Infrastruktur mit den kommerziellen Regionen von Oracle in der EU aufweist und keine Backbone-Netzwerkverbindung zu den anderen Cloud-Regionen von Oracle hat. Der Kundenzugang zur Oracle EU Sovereign Cloud werde getrennt vom Zugang zu den kommerziellen Regionen von Oracle Cloud verwaltet.

Dennoch könnten die zwei eingerichteten Zonen eine hohe Verfügbarkeit garantieren, etwa um Disaster Recovery-Architekturen innerhalb der EU-Grenzen zu unterstützen. Darüber hinaus hält jede Region drei Fault Domains vor, die zusätzliche Hardware-Ausfallsicherheit bieten.

Die beiden „EU Sovereign Cloud"-Regionen in Spanien und Deutschland sind von den kommerziellen und staatlichen Cloud-Regionen von Oracle getrennt. Die Architektur vereinfacht und stärkt die digitale Souveränität und Kontrolle.
(Bild: Oracle)

Durch dieses Design lässt sich die Gruppierung von Workloads auf derselben physischen Hardware vermeiden. So bleibt ein Hardware-Ausfall oder eine Wartung von Computer-Hardware in einer Fault Domain für Instanzen in anderen Fault Domains folgenlos.

Zu den ersten Kunden gehört die Otto Gruppe. „Sichtbarkeit und Kontrolle von Daten sind für Otto und die Kunden, die wir bedienen, wichtig. Der neue EU Sovereign Cloud-Service von Oracle ist ein wichtiger Meilenstein in der Entwicklung der Cloud in Europa. Denn Cloud-Anbieter, die sich so sehr darauf konzentrieren, sichere und transparente Wege zum Hosten und Verarbeiten von Daten zu bieten, sind diejenigen, die es Unternehmen wie uns ermöglichen, Vertrauen bei unseren Kunden aufzubauen und zu erhalten“, so ein Sprecher des deutschen Handels- und Dienstleistungsunternehmens Otto. Kandidaten wären aber auch die Oracle-Cloud-Kunden VW Financial Services, die Deutsche Bank und die Allianz.

Auch beim Marktforschungs- und Beratungshaus IDC schätzt Rahiel Nasir, Associate Research Director, European Cloud Practice das Sovereignity-Angebot von Oracle positiv ein: „IDC sieht weiterhin ein deutliches Wachstum bei der Nutzung von Public Clouds für geschäftskritische Workloads in allen wichtigen Branchen. Gleichzeitig entwickeln sich die Datenschutzgesetze und andere Vorschriften, die die Einhaltung von Richtlinien vorschreiben, weiter. All dies macht es erforderlich, dass Unternehmen eine größere Transparenz und Kontrolle über strategische Datenbestände in ihrem gesamten Betrieb haben.

Tipp zum Hören: DataCenter Diaries #14: Interview mit Björn Brundert, VMware, über Multi- und Sovereign Cloud

Die Folgen von Datacenter Diaries gibt es bei Amazon Music, Apple, Deezer, Google Podcast und bei Spotify.