Auch AWS bietet eine souveräne Cloud an
Vor wenigen Jahren stieß die EU ein Projekt an, um europäischen Unternehmen sichere Datenräume zu bescheren, denn die Clouds der Hyperscaler galten als unsichere Kandidaten. Nun will ausgerechnet auch AWS so etwas anbieten. Doch das Angebot hat einen Haken.
Als mit AWS der weltgrößte Anbieter von Cloud Computing vor zwei Jahren erklärte, man werde künftig „souveräne Datenräume“ anbieten, klang das wie Hohn: Die Europäer haten gerade wegen den Hyperscalern solche Datenräume angedacht, in denen dann Daten ausgetauscht werden können, ohne dass sie der Kontrolle des Einstellers entgleiten.
Nichtsdestoweniger gab Matt Garman, Senior Vice President of AWS Sales, Marketing and Global Services bei AWS, mit dem „AWS Digital Sovereignty Pledge“ das Versprechen, allen Kunden die „fortschrittlichsten Souveränitäts-Kontrollen und Funktionen in der Cloud“ bereitzustellen. „Wir verpflichten uns, weiterhin in eine ehrgeizige Roadmap von Funktionen für Datenresidenz, granulare Zugriffsbeschränkung, Verschlüsselung und Ausfallsicherheit zu investieren“, so Garman.
Folgende „Stepstones“ waren Teil der Digital Sovereignty-Roadmap:
1. Kontrolle über den Speicherort von Daten
Kunden in Europa haben derzeit die Wahl, ihre Daten in einer der acht bestehenden Regionen bereitzustellen. AWS erklärte, noch mehr Dienste und Funktionen bereitstellen zu wollen, darunter Datenresidenzkontrollen für Betriebsdaten wie Identitäts- und Rechnungsinformationen.
2. Nachweisbare Kontrolle über den Datenzugriff
Das AWS Nitro System, das die Grundlage der AWS-Computing-Services bildet, verwende diverse Hardware und Software, um Daten während der Verarbeitung in Amazon Elastic Compute Cloud (Amazon EC2) vor Zugriffen von außen zu schützen. Absolut niemand, auch nicht von AWS selbst, könne auf Kunden-Workloads auf EC2 zugreifen.
3. Die Möglichkeit, alles überall zu verschlüsseln
Alle AWS-Services unterstützen heute bereits Verschlüsselung, auch mit vom Kunden verwalteten Schlüsseln, auf die AWS nicht zugreifen kann. Zusätzliche Kontrollen für Souveränitäts- und Verschlüsselungsfunktionen wurden zugesichert.
4. Belastbarkeit
Eine AWS-Region besteht aus mehreren Availability Zones (AZs), die vollständig isoliert sind. Kunden können Anwendungen auf mehrere AZs in derselben AWS-Region verteilen, um sie vor Ausfällen zu schützen.
„Wenn sich die Anforderungen der Kunden weiterentwickeln, entwickeln und erweitern wir die AWS Cloud“, so Garman damals. „Einige aktuelle Beispiele sind die Data Residency Guardrails, die wir zu AWS Control Tower hinzugefügt haben. Das ist ein Service zur Verwaltung von AWS-Umgebungen. Im Februar 2022 haben wir AWS-Services angekündigt, die dem Cloud Infrastructure Service Providers in Europe (CISPE) Data Protection Code of Conduct entsprechen. Durch sie erhalten Kunden eine unabhängige Überprüfung und ein zusätzliches Maß an Sicherheit, dass unsere Services in Übereinstimmung mit der Datenschutzverordnung (DSGVO) genutzt werden können.“
Aus dem Versprechen wurde ein Projekt
Mittlerweile wurden aus dem Versprechen konkrete Pläne: Auf einem Summit in Hamburg 2025 erläuterte AWS Details zu den neuen Souveränitätskontrollen und der Governance-Struktur für die das mittlerweile „AWS European Sovereign Cloud“ (AESC) genannte Projekt. Diese soll ab Ende 2025 seine Dienste anbieten und garantiert keine Daten an Dritte weitergeben. Dafür soll eine europäische Führung in Person von Kathrin Renz, derzeit Vice President AWS Industries und aus Deutschland stammend, unabhängige Governance und ein eigenes Security Operations Center (SOC) sorgen. Die Architektur der AWS European Sovereign Cloud verfüge über die gewohnten APIs aus dem AWS Nitro System.
Für dieses Angebot gründet AWS eine neue europäische Organisation mit einer Muttergesellschaft und drei Tochtergesellschaften, die in Deutschland registriert sind. Neben Renz umfasst das Management-Team auch Sicherheits- und Datenschutzbeauftragte mit Wohnsitz in der EU. Ein unabhängiger Beirat von vier Mitgliedern, die ebenfalls aus EU-Mitgliedstaaten stammen, wird ebenfalls eingesetzt. Mindestens ein Mitglied des Beirats wird unabhängig von Amazon sein. Der Beirat fungiert als Expertengremium und ist für die Rechenschaft über den Betrieb der AWS European Sovereign Cloud verantwortlich.
Die AESC möchte zudem durch höchste Ausfallsicherheit punkten. Das Design ermöglicht die Aufrechterhaltung des Betriebs selbst bei einer Konnektivitätsunterbrechung zwischen der Cloud und dem Rest der Welt. Dies wird durch mehrere Verfügbarkeitszonen gewährleistet, die über unabhängige Stromversorgung, Netzwerkkonnektivität, Betriebseinrichtungen und Sicherheitsfunktionen verfügen. Nur autorisierte AWS-Mitarbeiter mit Sitz in der EU erhalten Zugang zu einer Kopie des Quellcodes, um den Dienst im Notfall aufrechtzuerhalten. Auch der Zugang zu den Rechenzentren, der technische Support und der Kundenservice erfordern einen Wohnsitz in der EU. Kurz gesagt: Alle für den Betrieb der AESC erforderlichen Elemente befinden sich in der EU. Die Infrastruktur operiert unabhängig und wird nicht von außerhalb der EU überwacht.
Aus dem Versprechen wurde ein Projekt
Anwender erhalten laut der Pläne von AWS eine eigene NetzwerAInfrastruktur und Konnektivität zu europäischen Anbietern über AWS Direct Connect – so lssen sich autonome Verbindungen zur AWS European Sovereign Cloud etablieren. Die Cloud werde über ein eigenes Amazon Route 53 verfügen, inklusive ein Domain Name System (DNS), Domain-Registrierung und Webdienste für die Dienstverfügbarkeit und Zustandsüberwachung (Status and Health Checks). Die Route 53-Nameserver für die AWS European Sovereign Cloud sollen ausschließlich europäische Top-Level-Domains (TLDs) verwenden. AWS plant außerdem eine eigene europäische „Root-Certificate-Authority“, also eine Zertifizierungsstelle, die die für Secure Sockets Layer/Transport Layer Security (SSL/TLS)-Zertifikate erforderlichen Schlüsselmateriaien, Zertifikate und Identitätsüberprüfungen innerhalb der AWS European Sovereign Cloud anbietet.
Die Leitung des Security Operations Centers soll ebenfalls aus der EU kommen. Ein Katalog technischer, rechtlicher und betrieblicher Souveränitätskontrollen, das sogenannte „Sovereign Requirements Framework (SRF), erfülle die Souveränitätserwartungen von Kunden und die Anforderungen von EU-Regulierungsbehörden. Über AWS Artifact sollen sich zudem Prüfberichte einsehen lassen.
„Wir verfolgen mit der AWS European Sovereign Cloud einen einzigartigen Ansatz. Kunden sagen uns, dass sie nicht zwischen funktional eingeschränkten Lösungen und der vollen Leistungsfähigkeit von AWS wählen möchten. Deshalb haben wir die AWS European Sovereign Cloud so konzipiert, dass sie europäische Anforderungen an die digitale Souveränität erfüllt und dabei das Serviceportfolio, die Sicherheit, Zuverlässigkeit und Leistung bietet, die Kunden von AWS erwarten“, so Renz.
„Unsere Investition in die AWS European Sovereign Cloud unterstreicht unser Engagement für Europas digitale Zukunft – die Förderung von Cloud und AI steht im Mittelpunkt der europäischen Innovationsagenda, und diese Lösung wird es Kunden ermöglichen, Innovationen voranzutreiben und dabei ihre Anforderungen an die digitale Souveränität zu erfüllen.“
Daten werden im Zweifelsfall herausgegeben
Ob die die deutschen Fertigungsunternehmen den Versprechen Gehör schenken, sei dahingestellt. Für sie ist die Zusammenarbeit mit amerikanischen oder gar chinesischen Hyperscalern immer eine Gradwanderung: Kritische Daten bleiben kritische Daten – und die Verantwortlichen in deutschen Firmen müssen auch unter Kostendruck dafür sorgen, dass diese sicher bleiben.
Denn AWS wird, wenn es hart kommt, Daten von Kunden aushändigen: „Wir werden keine Daten herausgeben, wenn es zum Beispiel eine fehlerhafte Anordnung eines Gerichtes gibt“, so Kevin Miller, VP – Global Data Centres at Amazon Web Services (AWS) km Gespräch mit Beyond Buzzwords. „Letztendlich werden wir aber, wenn das zuständige Gericht uns keine Wahl mehr lässt, diesen Anforderungen nachkommen.“
Allerdings werde ein solches Vorgehen unwahrscheinlich, nicht zuletzt wegen des https://aws.amazon.com/compliance/cloud-act/ US Cloud Act – dieser installiert Schutzmaßnahmen für Cloud-Inhalte und erkenne das Recht von Cloud-Service-Anbietern an, Anfragen anzufechten, die mit den Gesetzen oder nationalen Interessen eines anderen Landes in Konflikt stehen - einschließlich der DSGVO.
„Wenn man sich den Cloud Act ansieht, gab es noch nie einen Fall, in dem die USA Daten über Nicht-US-Unternehmen angefordert haben, die wir schließlich offengelegt haben“, so Miller. Ebenso wenig habe es jemals eine Datenabfragen an AWS gegeben, die zu einer Offenlegung von Unternehmens- oder Verwaltungsdaten außerhalb der USA an die US-Regierung geführt hätten. Auch könnten Kunden ihre Daten verschlüsseln und den Schlüssel ausschließlich selbst verwalten – dann hätten auch Behörden keinen Zugriff darauf.
Miller fährt fort: „Wir arbeiten jeden Tag daran, sicherzustellen, dass die Daten der Kunden geschützt sind und sie die Kontrolle darüber haben, und das werden wir auch weiterhin tun.“
Um aber 100 Prozent sicher zu gehen, sollten deutsche Mittelständler – so die Empfehlung von Beyond Buzzwords - ihre Daten in einer eigenen, also Private Cloud halten. Dann stellen sich all diese Hürden und Fragen erst gar nicht. Am selbstbetriebenen Rechenzentrum führt aus sicherheitstechnischer Sicht leider nach wie vor kein Weg vorbei.