Herr Müller, Cloud Computing ist ja kein neues Konzept, dennoch wird darüber aktuell so viel diskutiert wie selten. In welcher Phase der Cloud-Transformation befinden wir uns gerade?
Norbert Müller: Es beginnt gerade die entscheidende Phase. Im privaten und geschäftlichen Alltag ist die Cloud bereits fester Bestandteil der IT-Infrastruktur. Dennoch war die Cloudifizierung bisher unvollständig: Der wichtige Bereich der Behörden und Unternehmen mit hohen IT-Sicherheitsanforderungen blieb weitgehend ausgeklammert. Die Angebote der großen Hyperscaler ließen oft Fragen rund um Transparenz und Datenschutz offen, und das war mit den Anforderungen dieser Organisationen nicht zu vereinbaren. Umso mehr wuchs der Bedarf nach Cloud-Lösungen „made in Germany“, die gleichermaßen Sicherheit und digitale Souveränität bieten.
Was haben Behörden und Unternehmen grundsätzlich von der Cloud?
Wie auch in anderen Bereichen liefert die Cloud vor allem Flexibilität – in Bezug auf Verfügbarkeit, Kosten und Leistung. Behörden können ihre IT agiler aufstellen, was vor dem Hintergrund des großen Digitalisierungsdrucks, der auf staatlichen Organisationen und Angeboten lastet, ein großer Vorteil ist.
Wenn von der sicheren Cloud die Rede ist, fällt oft auch das Schlagwort der digitalen Souveränität. Warum muss die Cloud nicht nur sicher, sondern auch souverän sein?
Der entscheidende Mehrwert der digitalen Souveränität wird deutlicher, wenn man sich das Gegenteil vorstellt, nämlich digitale Abhängigkeit – etwa von bestimmten Anbietern, die einen Wechsel zu einem anderen Anbieter erschweren, oder auch von den international dominanten IT-Unternehmen. Problematisch kann das zum Beispiel dann werden, wenn Anbieter unter US-Gesetzgebung arbeiten, deren Einfluss auf die Datensicherheit mindestens unklar ist. Souveräne Cloud-Angebote hingegen sind so gestaltet, dass sie im Hinblick auf die Frage, wo die Daten verarbeitet und gespeichert werden und welchem Recht sie unterliegen, die Anforderungen von Behörden und sicherheitssensiblen Unternehmen erfüllen.
Was sind die wichtigsten Bausteine einer sicheren und souveränen Cloud?
Zunächst sollte sie mit hochwertiger Verschlüsselungstechnologie arbeiten. Darüber hinaus sollte sie modular sein und verschiedene Betriebsmodelle umfassen, die sich auch kombinieren lassen. Zum Beispiel können besonders schützenswerte Daten „on premise“ liegen, also in der eigenen IT-Infrastruktur, während andere Informationen und Anwendungen komplett ausgelagert werden. Die Standardisierung in Containern und deren Orchestrierung sorgt dann dafür, dass alle Teile der Cloud-Infrastruktur – „private“ und „public“ – nahtlos und performant ineinandergreifen. Bei den Public-Cloud-Services kommt es darauf an, dass ausschließlich Rechenzentrumsstandorte in Deutschland genutzt werden, die nach ISO27001 zertifiziert sind. Für Behörden ist darüber hinaus wichtig, dass die Cloud-Infrastruktur nach IT-Grundschutz C5 zertifiziert und für Verschlusssachen zugelassen werden kann. Ein weiterer zentraler Punkt ist die Verwendung von Open-Source-Bausteinen.
Der Open-Source-Gedanke impliziert eine gemeinsame Softwareentwicklung in einer anbieterübergreifenden Community. Was ist der Vorteil für die Cloud-Kunden?
Dabei geht es vor allem um Transparenz und Nachprüfbarkeit. Eine proprietäre Software, die vom Anbieter geheim gehalten wird, ist für die Cloud-Kunden wie eine Black Box. Ob sie wirklich sicher ist oder nicht, kann niemand außer dem Anbieter selbst beurteilen. Darauf kann sich keine Behörde in sicherheitssensiblen Bereichen einlassen. Open-Source-Software hingegen ist frei zugänglich und kann von jedem jederzeit überprüft werden. Aus diesem Grund beteiligen wir bei secunet uns übrigens schon lange an Open-Source-Technologien und leisten Beiträge zu deren Weiterentwicklung – auch jenseits der Cloud.
secunet kommt aus der klassischen IT-Sicherheit. Wie sind Sie zum Cloud-Anbieter geworden?
Unsere jahrzehntelange Erfahrung bei der Absicherung von besonders schützenswerten IT-Netzwerken, zum Beispiel in Bundesministerien und anderen Spitzenbehörden, hat uns dabei geholfen. Bereits im Jahr 2018 haben wir unsere hochsichere, Open-Source-basierte Cloud-Plattform vorgestellt, die wir gemeinsam mit Cloud&Heat entwickelt haben. Mit SysEleven haben wir im Jahr 2022 einen Cloud-native-Spezialisten akquiriert, der unter anderem viel Erfahrung mit der Orchestrierung standardisierter Container auf Basis von Kubernetes mitbringt. So entsteht Baustein für Baustein ein modulares Cloud-Ökosystem, das unterschiedlichste Kundenanforderungen bedienen kann. Zudem ist es darauf angelegt, alle Sicherheitsniveaus von DSGVO-konform bis hin zur hohen Geheimhaltungsstufe GEHEIM abzudecken. Das Portfolio umfasst Angebote in den Bereichen Infrastructure as a Service (IaaS), Platform as a Service (PaaS) sowie Software as a Service (SaaS).
Unser sicheres Cloudangebot für eingestufte Daten bezieht dabei auch etablierte secunet Lösungen außerhalb der Cloud mit ein: So ermöglichen wir unseren Kunden mit unserer Hochsicherheitslösung SINA, die in Behörden und der öffentlichen Verwaltung den De-facto-Standard für sichere Netzwerke und Arbeitsplätze darstellt, auch die Zugangspunkte zur Cloud abzusichern.
Haben auch Lösungen von Partnern in dem Portfolio ihren Platz?
Ja, das Ziel ist, ein verzahntes Hybrid-Cloud-Ökosystem zu schaffen, das auf sichere Weise Lösungen von Partnern einbeziehen und zu resilienten Multi-Cloud-Angeboten verbinden kann. Dabei können sogar Lösungen von Hyperscalern angebunden werden. Somit entsteht eine optimale Wahlfreiheit für die Kunden – aber mit höchster Sicherheit und Transparenz.
Über secunet
secunet ist Deutschlands führendes Cybersecurity-Unternehmen. In einer zunehmend vernetzten Welt sorgt das Unternehmen mit der Kombination aus Produkten und Beratung für widerstandsfähige digitale Infrastrukturen und den höchstmöglichen Schutz für Daten, Anwendungen und digitale Identitäten. secunet ist dabei spezialisiert auf Bereiche, in denen es besondere Anforderungen an die Sicherheit gibt – wie z. B. Cloud, IIoT, eGovernment und eHealth. Zu den Kunden zählen die Bundesministerien, mehr als 20 DAX-Konzerne sowie weitere nationale und internationale Organisationen.
www.secunet.com
