Focus

SAP Sovereign Cloud – wie viel Datensouveränität braucht das Land?

Uhr
von Lukas Bürki, SAP-Cybersecurity-Experte, Novo Business Consultants

Der Trend hin zur Datensouveränität ist bei SAP angekommen. Die Walldorfer investieren Milliardenbeträge in Sovereign-Cloud-Aktivitäten in Deutschland. Öffentlich kommunizierte Pläne für die Schweiz existieren noch nicht, aber das Thema muss trotzdem schon jetzt auf den Tisch, um Zielarchitektur und Investitionen zukunftssicher gestalten zu können.

Lukas Bürki, SAP-Cybersecurity-Experte, Novo Business Consultants
Lukas Bürki, SAP-Cybersecurity-Experte, Novo Business Consultants

Nach der schier grenzenlosen Cloud-Euphorie kamen auch hier die "Aber" in Form von Anforderungen bezüglich Governance und Security. Die Folge: Gerade die Systeme der öffentlichen Verwaltung und weiterer sensibler Branchen konnten gar nicht von den Cloud-Vorteilen profitieren. Die Lösung dieses Dilemmas ist die Sovereign Cloud. Die SAP Sovereign Cloud basiert auf der Idee, dass Unternehmen einerseits die vollständige Kontrolle über ihre Daten behalten können und andererseits auch keine rechtlichen Vorgaben von Drittstaaten greifen oder Zugriffe von ausländischen Behörden oder sonstigen Akteuren erzwungen werden können.

Public Cloud Sovereign-Cloud-Modelle

Einige zentrale Aspekte der SAP Sovereign Cloud sind:

  1. Datacenter-Lokation (Datenresidenz): Die Daten werden in einem bestimmten geografischen Gebiet gespeichert.
  2. Systemzugriff: Zu 100 Prozent kontrolliert vom Kunden.
  3. Support und Betrieb: Abwicklung ausschliesslich im definierten geografischen Gebiet.
  4. Lokale Gesetze und Vorgaben: Durch die vorherigen Punkte wird sichergestellt, dass für die Daten ausschliesslich die lokalen Gesetze und Vorschriften anwendbar sind. Ausserdem ist der Cloud-Betreiber verantwortlich dafür, dass alle Vorgaben in seinem Einflussbereich eingehalten werden.
  5. Netzwerk-/Internetzugriff: Die Kommunikation kann entweder gesichert und verschlüsselt über das Internet erfolgen oder über separate, dedizierte Netze.

Herausforderungen und Überlegungen

Die SAP Sovereign Cloud ist keine Universal­lösung, stattdessen werden künftig einfach weitere Optionen im Entscheidungsportfolio verfügbar sein. Basierend auf Anforderungen, Risiken und Vorgaben einerseits und den möglichen Optionen andererseits muss abgewogen werden, welche Option die technisch und wirtschaftlich sinnvollste ist, um die Anforderungen abzudecken. Grob bestehen folgende Möglichkeiten:

  • SAP-Cloud-Services wie "GROW", "RISE" und "BTP" nutzen;
  • On-Prem ­bleiben – was aber keine Garantie ist für ein hohes Mass an Datensouveränität;
  • Einführen von organisatorischen und technischen Massnahmen in den bestehenden Cloud-Services, wie Encryption, Geolocation etc., um die Datensouveränität zu erhöhen;
  • aktuell noch nicht bestehende Sovereign-Cloud-Angebote künftig nutzen. 

SAP Sovereign Cloud in der Schweiz

Noch gibt es keine offizielle Kommunikation bezüglich einer Schweizer Sovereign Cloud. Aber das Thema steht bei SAP Schweiz weit oben auf der Liste. Eine valable Option, die aktuell verfolgt wird, ist eine Kollaboration mit dem Bundesamt für Informatik und Telekommunikation BIT und die Nutzung der Swiss Government Cloud (SGC), die auf der Infrastruktur, aber auch Betriebsebene eine hohe Souveränität bieten wird. Der Knackpunkt wird der zeitliche Aspekt sein. Aber in den nächsten ein bis zwei Jahren kann sicherlich nicht mit einer Umsetzung gerechnet werden, auch wenn viele Konzepte und Abläufe zeitsparend vom grossen, deutschen Schwesterprojekt "DELOS" adaptiert werden können.

Was jetzt zu tun ist

Mit den neuen SAP-Sovereign-Cloud-Angeboten eröffnet sich für viele Systeme das Cloud-Universum, das bisher aus Security- und Governance-Überlegungen nicht erreichbar war. Um diese Optionen nutzen zu können, sind aufgrund der Sensibilität der betroffenen Systeme viele Stakeholder einzubeziehen und insbesondere technische, organisatorische und juristische Aspekte zu berücksichtigen. Dieser Aufwand ist kaum zu vermeiden, möchte man späte und langwierige Änderungen im Prozess vermeiden. 

Unter dieser Voraussetzung ist jetzt der richtige Moment, sich klar zu werden, welche Aspekte der Souveränität relevant oder regulatorisch verlangt sind. So können Zielarchitekturen und entsprechende Investitionsentscheide darauf ausgerichtet werden.

Webcode
vW8UFhDK