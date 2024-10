Im Oktober 2023 hat Amazon Web Services seine Pläne vorgestellt, die AWS European Sovereign Cloud als “unabhängige” europäische Cloud-Lösung auf den Markt zu bringen. Erklärtes Ziel des Vorhabens ist es, Kunden im öffentlichen Sektor und streng regulierten Branchen in Europa eine Lösung zu bieten, die ihre Anforderungen zu Regulatorik und IT-Security erfüllen kann. Seitdem hat AWS eine Investition von 7,8 Milliarden Euro in das Projekt angekündigt, gefolgt von weiteren 10 Milliarden Euro für das Wachstum von AWS in Deutschland.

AWS verspricht mit dem Angebot eine Cloud, die physisch und logisch von bestehenden AWS-Regionen getrennt ist, aber die gleiche Performance, Verfügbarkeit und Sicherheit mitbringen soll. Ob dem wirklich so ist, lässt sich aktuell noch nicht beurteilen – dennoch ist das Projekt ein durchaus spannendes Vorhaben, das für Unternehmen im Public- und KRITIS-Sektor mitunter den Einsatz einer Public-Cloud-Lösung eines Hyperscalers ermöglicht.

Der folgende Artikel sammelt die wichtigsten Fakten und Eckdaten rund um die AWS European Sovereign Cloud. Er wird regelmäßig aktualisiert und bietet damit einen kompakten Überblick über aktuelle Entwicklungen.

Warum überhaupt eine souveräne Cloud?

“Aber AWS hat doch schon eine Region in Frankfurt. Was soll das Ganze?”, das ist vielleicht eine Frage, die einem im ersten Moment beim Lesen der Pressemitteilungen durch den Kopf geht. Die Gründe für den Schritt kann man mit den Schlagwörtern digitale Souveränität, Datenschutz und Resilienz zusammenfassen.

Dokumente wie die Architekturrichtlinie des Bundes verweisen auf die Stärkung der digitalen Souveränität in Deutschland, also die “Fähigkeit von Institutionen, ihre Rolle in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können” (Zitat d. Föderalen IT-Kooperation). Es geht darum, Unternehmen in Deutschland in die Lage zu bringen, unabhängig von internationalen Herstellern agieren zu können und so den Spielraum und die Einflussnahme zu erhöhen.

Anders formuliert: AWS wettet mit der Sovereign Cloud 7,8 Milliarden Euro in der Hoffnung, Compliance-Vorgaben hinsichtlich digitaler Souveränität in Europa erfüllen zu können und sich damit den Markt des Public Sectors und KRITIS-Unternehmen erschließen zu können.

Ab wann ist die AWS European Sovereign Cloud verfügbar?

Die AWS Sovereign Cloud soll laut AWS Ende 2025 mit einer ersten Region an den Start gehen. Bis dahin bietet AWS außerdem bereits jetzt sogenannte Dedicated Landing Zones an, mit der Kunden bereits jetzt auf ausgeweitete Compliance- und Governance-Vorgaben reagieren können. AWS erklärt, dass die Zonen ausschließlich für die Nutzung durch einen Kunden oder eine Gruppe von Kunden bestimmt sind und AWS sie an einem, vom Kunden vorgegebenen Standort oder Rechenzentrum bereitstellt.

Unserer Einschätzung nach können diese Landing Zones eine Möglichkeit sein, sich bereits jetzt an die AWS-Cloud heranzutasten. Allerdings sollten Unternehmen, die als eigentliches Ziel die Sovereign Cloud haben, entsprechend beim Testen ihrer Services auf eine leichte Portierbarkeit achten und nicht etwa Services nutzen, die für den Start der Sovereign Cloud nicht zur Verfügung stehen.

Welche Regionen stehen zum Start zur Verfügung?

Zum Start der AWS European Sovereign Cloud ist lediglich eine Region geplant: Brandenburg. Bislang sind auch noch keine weiteren Regionen angekündigt. Beim Aufbau der Region orientiert sich AWS am bisherigen Modell der AWS-Regionen, das eine Aufteilung einer Region in drei Availability Zones vorsieht. Jede Availability Zone basiert dabei auf einem oder mehreren Rechenzentren. Wir gehen davon aus, dass die angebotenen Cloud-Services ähnlich wie bisher redundant über mehrere Availability Zones hinweg zur Verfügung gestellt werden.

Aus unserer Sicht spannend ist das Thema der örtlichen Redundanz. Compliance-Vorgaben wie DORA erwarten bei Backups einen sekundären Verarbeitungsstandort, der sich in geografischer Entfernung vom ersten Standort befindet. Die Rechenzentren sind voneinander getrennt, befinden sich aber alle in der Region Brandenburg. Während man bislang für eine möglichst große Distanz auf Backups in einem anderen EU-Land ausweichen konnte, muss man sich bei der Sovereign Cloud erstmal mit einer Region in Deutschland zufriedengeben. Aus DORA-Sicht sollte das dennoch ausreichend sein, wir erwarten in der Praxis aber eine zusätzliche Diskussionsschleife mit Compliance-Verantwortlichen.

Auf welche Services kann ich zurückgreifen?

AWS hat für den Launch der AWS European Sovereign Cloud eine Verfügbarkeit von über 80 Cloud-Services angekündigt. Die Services gliedern sich dabei in Entwicklerwerkzeuge, Security-Dienste, aber auch natürlich Klassiker wie Storage- und Compute-Ressoucen und Hype-Themen wie Künstliche Intelligenz. Hervorzuheben sind unter anderem Amazon EC2, Amazon S3, IAM und Key Management Service sowie AWS Lambda, Cloudwatch und CloudFormation. Am Ende des Artikels findet ihr als Addendum eine Tabelle, die die zum Start verfügbaren Services inklusive einer kurzen Beschreibung auflistet.

Was ist aus Compliance-Sicht spannend?

Mit Hinblick auf Compliance-Vorgaben dürften vor allem drei Aspekte beim Einsatz der Sovereign Cloud von AWS relevant sein: die Verarbeitung von Metadaten, den Betrieb der Plattform von Mitarbeitern aus der EU sowie der konsequente Einsatz von AWS Nitro.

Bislang war es so, dass Kunden entscheiden konnten, auf welcher Region ihre AWS-Dienste laufen und somit auch ihre Daten gespeichert werden. Allerdings inkludierte dies nur Daten, die der Kunde selbst bereitstellt. Die von AWS generierten Metadaten, z. B. für Rollen und Berechtigungen, Konfigurationen oder Ressource-Labels, hat AWS immer in den USA verarbeitet, genauer der ersten AWS-Region us-east-1. Mit der AWS European Sovereign Cloud ändert sich dieser Zustand, die Verarbeitung der Metadaten findet in der Region Brandenburg statt. Damit dürfte eine Datenhaltung komplett in Deutschland gewährleistet sein.

Damit zusammenhängend plant AWS außerdem, lediglich Mitarbeiter mit EU-Staatsangehörigkeit für die Sovereign Cloud einzustellen. Dadurch will man wohl auf Nummer sicher gehen und gewährleisten, dass es keine Argumentation geben kann, dass beispielsweise amerikanische Staatsangehörige Daten verarbeiten bzw. die Möglichkeit einer Einflussnahme von Nicht-Europäern besteht.

Aus technischer Sicht ist der Einsatz von AWS Nitro hervorzuheben. Dabei handelt es sich um eine Weiterentwicklung der EC2-Instanzen, die für eine erhöhte Sicherheit sorgen soll. AWS setzt diese zwar bereits in der regulären Cloud ein, verweist aber dennoch gerne auf sie, da sie verhindern sollen, dass AWS-Mitarbeiter auf Daten von Kunden zugreifen können.

Neben diesen drei Aspekten erscheint uns außerdem erwähnenswert, dass AWS offensichtlich daran arbeitet, sich eine Verwendbarkeit der Sovereign Cloud in Hinblick auf digitale Souveränität bestätigen zu lassen. In der offiziellen Pressemeldung schmückt ein Zitat von BSI-Chefin Claudia Plattner den Bericht mit der Aussage, dass das Angebot “es für viele Behörden und Unternehmen … deutlich leichter machen [wird], die AWS-Services zu nutzen”. Die Lobby-Arbeit seitens AWS scheint also im vollen Gange zu sein und solche Aussagen dürften dazu beitragen, die Akzeptanz der Cloud-Lösung auf Managementebene zu erhöhen.

Welche Alternativen gibt es zur AWS European Sovereign Cloud?

AWS ist selbstverständlich nicht der einzige Cloud-Anbieter, der versucht, sich durch einen stärkeren Fokus auf Lokalität und Compliance-Richtlinien im regulierten Umfeld zu positionieren. Alternativen, die es zu evaluieren gilt, lassen sich in drei Kategorien einteilen: europäische Cloud-Anbieter, deutsche Cloud-Anbieter und Sovereign-Lösungen der US-Hyperscaler. Angebote gibt es unter anderem von:

IONOS

OVH

T-Systems Sovereign Cloud von Google Cloud

Microsoft Sovereign Cloud

DELOS Cloud

STACKIT

Auch wenn das Angebot der einzelnen Anbieter recht unterschiedlich ist: Unternehmen sind unserer Auffassung nach gut beraten darin, nicht alleine auf die AWS-Angebote zu schauen. Insbesondere Vorgaben hinsichtlich der digitalen Souveränität erfordern von Unternehmen, eine Wechselfähigkeit zwischen Anbietern zu ermöglichen, Vorgaben wie DORA erfordern zum Beispiel das Vorhalten von Exit-Strategien bei der Zusammenarbeit mit Dienstleistern.

Ohne Shared Responsibility geht es nicht

Auch wenn die AWS European Sovereign Cloud unserer Ansicht nach aus Compliance-Aspekten den Einsatz von Cloud-Technologien im regulierten Umfeld vereinfachen wird: Ohne Shared Responsibility geht es nicht. Nur durch den Einsatz der Cloud befreien sich Unternehmen nicht von regulatorischen Vorgaben und Berichtspflichten. Außerdem müssen sie eigenverantwortlich dafür Sorge tragen, moderne Standards der iT-Sicherheit umzusetzen und einzuhalten. AWS selbst hält diese mit Testaten wie dem Kriterienkatalog C5 bereits heute ein. Die Herausforderungen aus organisatorischen Wandel, Compliance-Vorgaben und technologischen Möglichkeiten, die durch den Einsatz der AWS European Sovereign Cloud entstehen, hat aber nach wie vor jedes Unternehmen selbst zu bewältigen.

Addendum: Die Services zum Start der AWS European Sovereign Cloud