15.09.2021
EU-Cloud-Initiative Gaia-X: matrix-Experte stuft klare Regeln für Datensicherheit als erfolgskritisch ein
Auf dem Systemhauskongress „Chancen“ von IDG haben am 10. September 2021 Experten den aktuellen Stand des Gaia-X-Projekts diskutiert. Unter den Diskutanten war auch Jürgen Brombacher, Head of Cloud Consulting bei matrix technology. Er stellte heraus, dass die europäische Cloud-Idee nur dann erfolgreich sein kann, wenn ein klares Regelwerk gegenüber allen Teilnehmern durchgesetzt werden kann – insbesondere infolge der Beteiligung von Unternehmen aus den USA und China. Die resultierenden Lösungen müssten aus Sicht von EU-Unternehmen erkennbare Vorteile im Bereich Datensicherheit und Restrisiko bieten.
„Der größte Hemmschuh für Unternehmen auf dem Weg in die Cloud ist Datensicherheit und GDPR-Compliance“, machte Jürgen Brombacher deutlich. Vor diesem Hintergrund ist es aus Sicht des Experten wichtig, dass sich die Gaia-X-Initiative klar zu festen Regeln bekennt, die einheitlich für alle gelten, die sich an der Idee von der europäischen Cloud beteiligen möchten. Nur so könne die angestrebte europäische Datenhoheit erreicht werden
Kritik an der jüngsten Beteiligungskultur
Allerdings war die Gaia-X-Initiative zuletzt dadurch in die Schlagzeilen geraten, dass sich immer mehr Unternehmen als Mitglieder der Gaia-X-Allianz geoutet hatten – darunter auch Firmen wie Alibaba oder Palantir. Gerade dem letztgenannten US-Spezialisten für Datenanalysen wird eine große Nähe zu amerikanischen Geheimdiensten nachgesagt. Experten wie Brombacher sehen durch eine solche Beteiligungskultur die Gefahr, dass das nötige Vertrauen in die EU-Cloud-Idee bereits erschüttert wird, bevor es richtig losgeht.
Deutlich wurde aber auch: Es ist immer noch schwer zu erkennen, was genau Gaia-X ist. Hierzu stellte das Panel auf dem Systemhauskongress fest, dass es nicht darum geht, eine eigene Infrastruktur aufzubauen als Gegengewicht zu den Hyperscalern AWS, Azure und Google mit ihren globalen Rechenzentren. Deren globale Marktdominanz ist inzwischen ohnehin ausgeprägt. Studien sprechen von Marktanteilen von 60 und mehr Prozent. Die drei genannten Hyperscaler haben sich ebenfalls der Gaia-X-Initiative angeschlossen.
Gesucht: Der Mehrwert von Cloud-Lösungen mit „Gaia-X-Compliance“
Ein Fazit aus der Diskussion: Gaia-X muss klare Vorteile bieten, um vor allem auch auf das Radar von Unternehmen zu gelangen – im regulierten Sektor, aber auch darüber hinaus. Ein entscheidender Vorteil wäre es, wenn Gaia-X ein Regelwerk etabliert, dass dazu führt, dass die auf Europa ausgerichteten Cloud-Dienste das Restrisiko überzeugend beseitigen, das heute von US-Hyperscalern noch ausgeht (vgl. hierzu auch den Punkt "Hintergrund"): „Das EUGH-Urteil Schrems II hat gezeigt, dass Patriot Act und GDPR/DSGVO nicht vollends vereinbar sind“, sagte dazu Jürgen Brombacher.
Ein Konstrukt oder Label wie „Gaia-X-Compliance“, das klar verbunden wäre mit der vollen Absicherung der gebuchten Cloud-Dienste im Sinne von GDPR und DSGVO wäre ein echter Vorteil für Unternehmen. Das würde aber Maßnahmen erfordern wie das Hosten und Betreiben einer Cloud-Lösung wie Azure durch einen rein europäischen Anbieter nach den Regeln von Gaia-X oder den kompletten Ausschluss von Administratoren in den USA aus dem Betrieb solcher Cloud-Lösungen. Anbieter wie Microsoft, Amazon und Google könnten diese Compliance-Modelle in den bestehenden Katalog integrieren.
Erst dann würde auch das zweite große Ziel von Gaia-X für Kunden und Dienstleister wirklich attraktiv werden: Die mühelose Nutzung von Diensten verschiedener Anbieter nach den Vorgaben von Gaia-X, die zu einer virtuellen Kunden-Cloud verschmelzen, die nach einem einheitlichen Betriebsmodell betrieben und erweitert werden kann; eine Form von Multi-Cloud, die bis heute nur ein Wunschtraum ist. Darüber hinaus sollten schnell erste Lösungen entstehen, die das Gaia-X-Label tragen und praktisch nachvollziehbar werden lassen, was damit künftig möglich ist.
Hintergrund: Hyperscaler und Restrisiko
Die derzeitige Situation für Unternehmen, die Cloud-Dienste von einem US-Hyperscaler beziehen, beinhaltet ein Restrisiko. Die Verarbeitung von Unternehmensdaten bei einem US-Hyperscaler erfordert daher bislang immer die nachweisbare Akzeptanz des (durch technisch-organisatorische Maßnahmen auf ein Minimum reduzierten) Restrisikos durch die oberste Unternehmensleitung.