Was CISOs über GAIA-X wissen müssen

Eine neue Cloud-Plattform, die auf "europäischen Werten" rund um Datensouveränität, Datenschutz und Privatsphäre basiert, wird zu einer Alternative zu AWS und Azure. [...]

Der Appell von GAIA-X an die Sicherheit besteht vor allem darin, die "europäischen Werte" rund um die Souveränität im Kern des Ökosystems zu erhalten (c) pixabay.com

Europa hat kein starkes Standbein im Cloud-Computing-Bereich. Der Aufstieg von Cloud-Hyperscalern aus den USA und China – und die europäische Abhängigkeit von ihnen – in Kombination mit einem Ost-West-Handelskrieg und der Angst vor dem Zugriff von Regierungen auf Daten jenseits der eigenen Grenzen sorgt bei einigen Mitgliedern der EU für Unbehagen.

Um hier Abhilfe zu schaffen, will eine neue Cloud-Initiative namens GAIA-X aus Frankreich und Deutschland europäischen Technologieunternehmen helfen, mit den etablierten Anbietern zu konkurrieren und europäischen CIOs und CISOs eine Cloud „made in Europe“ zu bieten, die Garantien in Bezug auf Portabilität und Datenschutz bietet und vor ausländischen Regierungen sicher ist.

Was ist GAIA-X?

Das GAIA-X-Projekt wurde erstmals im Oktober 2019 angekündigt und bietet eine Cloud-Plattform, die den „europäischen Werten“ in Bezug auf Themen wie Datensouveränität, Datenschutz und Offenheit entspricht. GAIA-X soll ein Konkurrent zu Cloud-Anbietern wie Microsoft Azure oder Amazon Web Services (AWS) sein.

Anstatt einen zweckgebundenen Konkurrenten zu schaffen und die Infrastruktur von Grund auf neu zu errichten, zielt GAIA-X darauf ab, teils Marktplatz, teils Standardisierungs- und teils Zertifizierungsstelle zu sein und einen Katalog von Diensten bestehender europäischer Anbieter bereitzustellen, die an die Anforderungen angepasst und zertifiziert wurden, die der Kunde dann mit dem jeweiligen Anbieter vertraglich vereinbart. Dies soll durch eine Reihe von Verbunddiensten und die Ausrichtung der teilnehmenden Netzwerk- und Interconnection-Provider sowie der Service-Provider auf die Anforderungen von GAIA-X geschehen.

Zu den beteiligten Unternehmen gehören Atos, Bosch, BMW, die Deutsche Telekom, EDF, Orange, OVHcloud, SAP und Siemens. Die bisher auf der Website aufgelisteten Anwendungsfälle konzentrieren sich größtenteils auf die Bereiche Industrie, Gesundheit, Finanzen und den öffentlichen Sektor, wie z.B. Condition Monitoring, Edge-Rechenzentren und die Speicherung und gemeinsame Nutzung von medizinischen Daten. Proofs of Concept und eine Alpha-Version werden später im Jahr 2021 erwartet.

Das französische Telekommunikationsunternehmen Orange gehört zu einer Gruppe von europäischen Anbietern, die sich der GAIA-X-Initiative von Anfang an angeschlossen haben. Cedric Prevost, Director of Trusted Cloud Solutions bei Orange, erklärt, dass das Unternehmen in GAIA-X eine Chance sieht, einen europäischen Datenraum zu schaffen, in dem Datensouveränität und Transparenz im Mittelpunkt stehen, eine solide Basis für Vertrauen in Europa zu schaffen und Datenschutzbestimmungen wie die GDPR zu nutzen, um die beste Infrastruktur und Datendienste nach Europa zu bringen.

„GAIA-X ist nicht dazu gedacht, von sich aus besser zu sein als die derzeitigen großen Cloud-Anbieter“, so Prevost. „Es wird mehr Transparenz in verschiedene Schlüsseleigenschaften der Angebote von Cloud-Playern bringen, insbesondere, aber nicht nur, in Bezug auf souveränitätsbezogene Attribute, die Interoperabilität zwischen Anbietern erleichtern und sicherstellen, dass Kernwerte wie Reversibilität oder Datenschutz klaren Richtlinien folgen.“

Prevost zufolge werden die bestehenden Public-Cloud-Angebote von Orange, wie Flexible Engine oder Flexible Computing Advanced, im GAIA-X-Ökosystem verfügbar sein, und es geht vor allem darum, diese vertrauenswürdigen Dienste in das GAIA-X-Interoperabilitäts-Framework zu integrieren.

Ist GAIA-X attraktiv für CIOs und CISOs?

Forrester berichtet, dass bis zu 80 % der Cloud-Workloads in Europa bereits bei mindestens einem der großen Cloud-Anbieter laufen und nur 12 % der europäischen Unternehmen einen in Europa ansässigen Public-Cloud-Anbieter gewählt haben, was die Frage aufwirft, warum ein weiterer Anbieter benötigt wird.

Die Datenhoheit rund um die Cloud ist kein neues Thema und für viele Unternehmen auch nicht das drängendste Problem. Laut Paul McKay, Senior Analyst im Sicherheits- und Risikoteam von Forrester, ist die Attraktivität von GAIA-X aufgrund seiner technischen Fähigkeiten begrenzt, insbesondere bei britischen Kunden. „Die Anziehungskraft wird sich auf Unternehmen mit Hauptsitz in Europa richten“, fügt er hinzu. „Ich würde nicht davon ausgehen, dass es eine große Anziehungskraft auf Unternehmen hat, die ihren Hauptsitz anderswo haben und in Europa tätig sind. Ich bin nicht ganz davon überzeugt, dass das den Standort des Hauptsitzes einschränken würde.“

Ein Teil des GAIA-X-Vorschlags ist politisch. Die Abhängigkeit Europas von Azure, AWS und Google Cloud aus den USA und Alibabas Cloud-Angeboten aus China schadet den europäischen Anbietern, und die Politiker sorgen sich um die anhaltenden Handelsstreitigkeiten. Dies, kombiniert mit weitreichenden Regulierungen aus den USA und China rund um den Zugang zu Daten jenseits ihrer Grenzen, könnte einige europäische CIOs und CISOs dazu veranlassen, nach einer anderen praktikablen Option zu suchen.

„Es ist klar, während Sicherheit zwar wichtig ist, dass das Sicherheitsniveau, das von Hyperscalern angeboten wird, von der Mehrheit der Kunden als gut genug angesehen wird“, sagt McKay. „In einigen Ländern jedoch – Frankreich und Deutschland sind die beiden Länder, die am häufigsten genannt werden – gibt es immer noch genug Zweifel am Grad der Transparenz und Offenheit der Hyperscaler, dass sie es für notwendig halten, diese Art von Angebot zu schaffen. Wenn man sich die Art der Anwendungsfälle ansieht, auf die sie es abzielen, hat Europa wahrscheinlich einen berechtigten Anspruch auf eine Führungsposition.“

McKay ist der Meinung, dass GAIA-X für Unternehmen interessant sein könnte, die mehr Transparenz in Bezug auf die Datenhoheit und den Ort, an dem die Daten liegen und von Hyperscalern verarbeitet werden, anstreben. Dies gilt insbesondere für Anwendungsfälle wie Backup und Recovery, die Verarbeitung sensibler Daten, von denen das Unternehmen jederzeit wissen muss, wo sie sich befinden, oder die Speicherung von geistigem Eigentum an unerwünschten Orten. „Um mit den Hyperscalern zu konkurrieren, muss sich [GAIA-X] auf die Bereiche konzentrieren, in denen sie einen einzigartigen Wert bieten können, und das ist das Domänenwissen in branchenspezifischen Anwendungsfällen“, sagt er. „Ich könnte mir vorstellen, dass sie als Alternative für diese sensiblen Workloads konkurrieren, wenn sie eine Reihe von Lösungen anbieten können, die Probleme in Bereichen lösen, die die Kunden nicht gerne an den bestehenden Markt abgeben.“

Als Mitglied des GAIA-X-Gründungsgremiums sagt Siemens-Sprecher Yashar Azad, dass das Interesse seines Unternehmens an dem Projekt darin besteht, das Wachstum der europäischen Daten-Ökosysteme zu fördern. Er sagt, dass „praktisch jeder Anwendungsfall, der auf der Gewinnung von Erkenntnissen aus Industriedaten beruht“, ein potenzieller Kandidat für den Einsatz auf GAIA-X ist.

Zum Thema Sicherheit führt er aus, dass Siemens nicht involviert ist und weitere Details zur Sicherheit von GAIA-X noch nicht mit ausreichender Verlässlichkeit kommuniziert werden können, auch weil die GAIA-X Association, die verbindliche Design-Entscheidungen treffen muss, ihre Arbeit noch nicht aufgenommen hat. „Wir vertrauen darauf, dass sowohl GAIA-X als auch die großen Cloud-Anbieter (weiterhin) umfangreiche Maßnahmen zur Gewährleistung der Cybersicherheit ergreifen werden. Bitte beachten Sie, dass das Wertversprechen von GAIA-X weniger darin besteht, eine bessere Cybersicherheit zu bieten, sondern vielmehr darin, den Nutzern eine bessere Kontrolle über ihre Daten zu geben.“

Was müssen CISOs über GAIA-X wissen?

Der Appell von GAIA-X an die Sicherheit besteht vor allem darin, die „europäischen Werte“ rund um die Souveränität im Kern des Ökosystems zu erhalten. Dies wird durch „Richtlinien“ erreicht, die alle Unternehmen einhalten müssen, um Teil von GAIA-X zu sein. Dazu gehören Vertragsbedingungen, die eine barrierefreie Reversibilität ermöglichen müssen, sowie präzise Attribute der Servicebeschreibungen von Anbietern zu Themen wie Rechenzentrumsstandorte, GDPR-Compliance oder extraterritoriale Vorschriften wie der US CLOUD Act.

Da es sich um ein dezentralisiertes Ökosystem handelt, wird GAIA-X laut Prevost drei gemeinsame Dienste bereitstellen: eine föderierte Identität, um sicherzustellen, dass die Nutzung mehrerer Anbieter benutzerfreundlich bleibt, einen Katalog von Anbietern und ihren Diensten, um Kunden die Suche nach Diensten zu ermöglichen, und ein Compliance-Framework, um sicherzustellen, dass sich jeder innerhalb des Ökosystems an die Regeln hält. „Details zu den Sicherheitsmerkmalen der föderierten Dienste von GAIA-X, wie der Identität, sind noch weitgehend in Arbeit“, fügt er hinzu. „Deshalb sind sie noch nicht vollständig beschrieben, aber das wird definitiv der Fall sein, sobald die Spezifikationen bereit sind, um eine Betaphase zu starten.“

Nach dem, was wir wissen, werden die föderierten Identitäts- und Vertrauensmechanismen es den Anwendern ermöglichen, ihre festgelegten Sicherheits- und Souveränitätsanforderungen schnell auf alle GAIA-X-Dienste zu übertragen, die ein Kunde nutzt. Der Anwender entscheidet, welche Daten sich wo befinden, wohin sie gehen dürfen und wer darauf zugreifen darf. Anwender werden in der Lage sein, Daten zwischen verschiedenen GAIA-X-Anbietern zu heben und zu verschieben.

Während einige der Versprechen rund um die Möglichkeit, Daten zu verschieben und Transparenz zu schaffen, ein nützlicher Beitrag zum Markt sein könnten, bezweifelt McKay, ob es genug Differenzierung gibt, um CIOs und CISOs zu überzeugen. „Ich habe keine Beweise dafür gesehen, dass dies eine große Auswirkung auf den europäischen Markt haben wird, abgesehen von der Datensouveränität und den Fragen der Datensicherheit. Ich muss den zwingenden geschäftlichen Nutzen sehen, der CIOs dazu bringt, die Sache ernst zu nehmen.“

Ein Hauptproblem im Zusammenhang mit GAIA-X ist der Mangel an Details darüber, wie das Projekt in der Praxis funktionieren würde, sowohl im Hinblick auf die Sicherheit als auch allgemein. „Es handelt sich immer noch um White Papers“, sagt McKay. „Nichts davon ist bisher ausgearbeitet. Das ist das Problem. Wir müssen sehr bald etwas Konkretes sehen, wenn das Projekt Erfolg haben soll.“

McKay wünscht sich mehr Klarheit in Bezug auf das europäische Zertifizierungssystem für Cloud-Sicherheit. Dabei könnte GAIA-X mit der ENISA zusammenarbeiten, um eine Reihe von Zusicherungen für Nutzer zu erstellen, damit diese sehen können, welche Dienste die Sicherheit, Transparenz, Offenheit und regulatorischen Garantien bieten, die für bestimmte Daten und Workloads erforderlich sind. „Das, was bei all dem noch fehlt, ist der genaue Satz von Sicherheitsanforderungen, Kontrollzielen und so weiter und so fort, die übliche Art von Details, die man erwarten würde, um zu sehen, was auf jeder dieser Ebenen erforderlich sein wird ….. Das wird ziemlich wichtig dafür sein, wo Service-Provider und ihre Service-Angebote innerhalb des Anbieterpakets fallen werden.

Es wird wahrscheinlich Probleme geben, wenn man von Cloud-Anbietern erwartet, dass sie die Einhaltung der GAIA-X-Sicherheitsanforderungen, sobald sie einmal definiert sind, „ex-ante“ nachweisen können (d. h., man kann die Einhaltung der Regeln nachweisen, bevor ein Verstoß gegen die Regeln erfolgt). „Das bedeutet, dass Cloud-Anbieter über dynamische Mittel verfügen müssen, um die Compliance kontinuierlich nachzuweisen und technische Mittel zu implementieren, die die Bewegung von Daten und deren Übereinstimmung mit den Wünschen des Kunden in Bezug auf den Aufenthaltsort der Daten zeigen“, sagt McKay. „Während einige Aspekte dieser Art von Überwachung bereits existieren, wird es für einige GAIA-X-Dienstanbieter schwierig sein, dies zu tun und sicher zu sein, dass es ex-ante von den Regulierungsbehörden, die die Zertifizierung von GAIA-X überwachen, als ausfallsicher angesehen wird.“

McKay rät CISOs derzeit, GAIA-X zwar im Auge zu behalten, aber erst dann ernsthaft darüber nachzudenken, wenn es bewiesen hat, dass es einen wirklichen Nutzen bringen kann und CIOs beginnen, die Einführung genauer zu prüfen. „Wenn diese Proofs of Concept scheitern oder nicht den erwarteten Wert bis mindestens Mitte nächsten Jahres liefern, und wir nicht sehen, dass etwas funktioniert, das sowohl von der Geschäftsfähigkeit als auch von den Sicherheitselementen her einen einzigartigen Marktwert hat, dann sehe ich nicht, wie diese Initiative eine langfristige Zukunft hat. Die nächsten sechs bis neun Monate sind für mich wirklich entscheidend dafür, ob das passieren wird oder nicht.“

Gleichzeitig stehen die großen Cloud-Anbieter nicht still. Neben dem Beitritt zu GAIA-X verstärken viele von ihnen ihre Bemühungen um vertrauliches Computing und fordern den Zugriff der Regierung heraus. Microsoft hat kürzlich versprochen, jede staatliche Anfrage nach Daten von Kunden aus dem öffentlichen Sektor oder von Unternehmen anzufechten, wenn es eine rechtliche Grundlage dafür gibt, und dass es Kunden eine finanzielle Entschädigung zahlen wird, wenn Daten als Reaktion auf eine staatliche Anfrage, die gegen GDPR verstößt, offengelegt werden.

Kurzfristig, so McKay, müssen gute Personalentscheidungen in Bezug auf die Führung der GX Foundation getroffen werden, um das Projekt voranzutreiben. Um langfristig erfolgreich zu sein, muss die EU seiner Meinung nach das Projekt in die Hand nehmen und es mit der breiteren Strategie des digitalen Binnenmarktes verknüpfen, damit es auf dem gesamten Kontinent und nicht nur in Frankreich und Deutschland Anklang findet.

McKay warnt auch davor, dass GAIA-X seinen eigenen Chancen auf dem Markt schaden könnte, wenn es „protektionistischen Fallstricken“ erliegt und von Regierungsstellen nur aus dem Wunsch heraus angenommen wird, die großen etablierten Unternehmen zu vermeiden. „Ich weiß nicht, wie das dem Ruf von GAIA-X auf dem Markt helfen wird, wenn man sieht, dass es vom öffentlichen Sektor auf der Grundlage der Souveränität und des Sitzes des Anbieters bereitgestellt wird, anstatt zu gewinnen, weil es den Sieg verdient und die beste technische Lösung für die Anforderungen der Regierungsbehörden bietet“, sagt er. “ Es muss gewinnen, weil es den Sieg verdient hat. Es muss die beste technische Lösung für alle Beteiligten sein, nicht nur die beste Lösung für Frankreich oder die beste Lösung für Deutschland.“

*Dan Swinhoe ist UK-Redakteur von CSO Online.


Mehr Artikel