Public-Cloud-Services: So nutzen Industriebetriebe sie richtig

Laut IDG Research setzen mehr als 90 Prozent der deutschen Unternehmen auf Cloud Computing, darunter auch viele Industriebetriebe. Während 22 Prozent nur einem Anbieter vertrauen, arbeiten 47 Prozent der Unternehmen mit bis zu fünf Cloud-Providern (Public-Cloud-Services) wie Amazon, Google oder Microsoft zusammen.

Public-Cloud-Services und DSGVO

Mögliche Schwierigkeiten aufgrund der internationalen Rechtsgrundlage blenden sie dabei oft aus. Wenn der jeweilige Provider dem US Cloud Act unterliegt, können US-amerikanische Behörden auf die in der Cloud gespeicherten Unternehmensdaten zugreifen. Das mag für gesammelte Maschinendaten über Füllstände oder Temperaturen weniger kritisch sein, anders hingegen bei personenbezogenen Daten. Werden diese in US-Clouds nicht gemäß der europäischen Datenschutzgrundverordnung (DSGVO) gespeichert, drohen laut dem Centrum für Europäische Politik empfindliche Strafen. Das unterstreichen die jüngsten EuGH-Entscheidungen hinsichtlich Datenschutz – siehe Schrems II.

Wegfall des Privacy Shield

Was dahinter steckt? Im Juli 2020 kippte der europäische Gerichtshof das Privacy­ Shield und damit das bisherige Datenschutzabkommen zwischen den USA und Europa. Anlass dafür war eine weitere Klage des österreichischen Datenschutz-Aktivisten Max Schrems gegen die Datenverarbeitung von Facebook. Nicht nur für Unternehmen aus der Industrie bedeutet der Wegfall des Privacy Shield, dass sie bei der Wahl ihres Public-Cloud-Anbieters ganz genau hinsehen sollten – insbesondere, wenn sensible Daten im Spiel sind. Zwar verhandeln EU und USA momentan über einen möglichen Nachfolger, bisher allerdings ohne konkrete Ergebnisse.

Public-Cloud-Services ohne rechtliche Fallstricke

Auf die Vorzüge der Public Cloud, wie hohe Skalierbarkeit, flexible Preismodelle und innovative Anwendungsfälle, müssen Unternehmen trotzdem nicht verzichten. Beachten Entscheider die Anforderungen, lassen sich Geschäftsprozesse sicher in die Public Cloud verlagern, Dienste von Providern datenschutzkonform nutzen und das volle Potenzial der digitalen Fabrik ausschöpfen. So bleiben europäische Public-Cloud-Anbieter von dem Schrems-II-Urteil unberührt. Sie unterliegen europäischem Recht und gewährleisten, dass personenbezogene Daten die EU-Grenzen nicht verlassen. Bei dem Public-Cloud-Angebot „Open Telekom Cloud“ beispielsweise befinden sich alle Kundendaten in hochsicheren Rechenzentren in Deutschland oder den Niederlanden.

Ebenfalls wichtig zu wissen: Die Verantwortung für die Einhaltung gesetzlicher Anforderungen liegt stets bei den Kunden – unabhängig der EuGH-Entscheidung und nicht nur beim Cloud Computing. Sie sind daher gut beraten, die gewünschten Cloud-Services mit ihrem benötigten Security-Niveau abzugleichen. Von Vorteil ist es, wenn Cloud-Service-Anbieter mit den sogenannten Standardvertragsklauseln arbeiten, die per se höhere Standards als in der DSGVO­ gefordert setzen und wenn sie zusätzliche Sicherheitsmaßnahmen wie Verschlüsselungen nutzen. Auf dieser Basis arbeitet T-Systems mit Hyperscalern wie AWS und Microsoft Azure zusammen, um eine sichere Lösung für die Public-Cloud-Services mit Datentransfers in Drittländer anbieten zu können.

Der Weg in die Cloud: Bewerten, planen, migrieren

Sind grundlegende Fragen zu Compliance und Datenschutz geklärt, sollten Industriebetriebe eine Cloud-Strategie entwickeln und umsetzen. In Zukunft wird immer mehr der Public-Cloud-First-Ansatz im Vordergrund stehen: Denn Public-Cloud-Services werden in den nächsten drei Jahren mehr als 50 Prozent aller Aufgaben in der IT übernehmen.

Bei ihrer Transformation in die Cloud sollten die Unternehmen zunächst die Anwendungen identifizieren, für die sich der Umzug lohnt: Welche Applikation lässt sich sinnvoll verschieben und welche nicht? Welche Workloads können uneingeschränkt in der Public Cloud betrieben werden? Und welche Daten müssen zum Beispiel aus Compliance-Gründen in einer Private Cloud gespeichert werden? Antworten darauf liefert zum Beispiel das Cloud-Migra­tion-Framework von T-Systems. Es beinhaltet genau definierte Prozesse und Werkzeuge, mit denen Unternehmen ihren Weg in die Cloud hochautomatisiert beschreiten können.

Agile Cloud-Umgebungen erfordern einen neuen Sicherheitsansatz. Security darf nicht als notwendiges Übel oder bloßes Add-on verstanden werden, sondern sollte von Beginn an in jeder Cloud-Strategie verankert sein. Neben Cybersecurity und Ausfallsicherheit geht es um eine souveräne Infrastruktur innerhalb eines europäischen Rechtsrahmens. Sie ermöglicht Kontrolle und gewährleistet die Datenhoheit. Das wiederum schützt geistiges Eigentum und reduziert Abhängigkeiten und Risiken.

Coopetition in einem offenen Ökosystem

Zuletzt gab es mehrere Initiativen, die auf eine solche unabhängige und souveräne Infrastruktur abzielen. Hier arbeiten die beteiligten Partner im Sinne von Coopetition in einem offenen Ökosystem zusammen. Mit der „Catena X“, einer Cloud-Allianz für die Automotive-Branche, haben etwa die Deutsche Telekom und SAP im Dezember 2020 gemeinsam mit BMW, Bosch, Siemens und der ZF Friedrichshafen AG eine offene Cloud-Plattform gegründet.

Mit der kollektiven Intelligenz des Business-Netzwerks wollen die Partner die komplexen Aufgaben gemeinsam lösen, die die Automobilindustrie im Zuge ihrer digitalen Transformation meistern muss. Wichtige Ziele dabei: die Produktion optimieren, Innovationen schneller umsetzen und die Lieferketten widerstandsfähiger machen. Dank der offenen Architektur der Cloud-Plattform lassen sich dafür einheitliche Branchenstandards etablieren, etwa für betriebswirtschaftliche Abläufe wie Bestellverfahren oder Zahlungsverkehr.

Gaia-X-Initiative setzt sich Datensouveränität zum Ziel

Branchenunabhängig verfolgt die europäische Initiative Gaia X Datensouveränität als zentrales Ziel. Firmen jeglicher Größe können die Flexibilität eines kompletten Cloud-Stacks nutzen. Gleichzeitig haben sie die Sicherheit, dass sie stets Herr ihrer Daten bleiben. Das gilt nicht nur für Betriebsgeheimnisse, sondern auch für personenbezogene Daten, sodass gleichzeitig alle europäischen Vorgaben für den Datenschutz erfüllt sind. Für die Bundesregierung spielt Gaia X bereits eine wichtige Rolle bei der deutschen Datenstrategie, um im globalen Wettbewerb beispielsweise mit China oder den USA eine bessere und sichere Nutzung von Daten für digitale Geschäftsmodelle zu erreichen.

Lesen Sie auch: Hannover Messe: Was T-Systems und GFT für die Fertigung planen

Der Autor Adel Al-Saleh ist CEO von T-Systems und Vorstandsmitglied der Telekom AG.