In diesem Artikel lesen Sie,

• was Souveränität in der IT ausmacht,
• wie die Open Telekom Cloud Souveränitätsanforderungen erfüllt und
• wodurch die Open Telekom Cloud ein hohes Sicherheitsniveau dauerhaft sicherstellt.

Souveränität in der Informationstechnologie ist ein Schlagwort, das seit einiger Zeit eine Renaissance erlebt. In Initiativen wie Gaia-X oder Catena-X spielen Souveränitätsaspekte eine wichtige Rolle. Nicht zuletzt hat das Thema auch eine starke politische Komponente. Europäische Unternehmen, die sich für die digitale Zukunft aufstellen wollen, beziehen Souveränitätsaspekte vermehrt in ihre Entscheidungsfindung ein. Sie wollen langfristige Planungssicherheit haben und ein Höchstmaß an Unabhängigkeit sicherstellen.

Das Problem mit der Souveränität: Je nach Blickwinkel und Situation der jeweiligen Organisation kann Souveränität sehr unterschiedlich interpretiert werden. Eine einheitliche Definition ist noch weit entfernt. Souveränitätslösungen müssen in bestimmten Einsatzszenarien (Use Cases) bestimmte spezifische Anforderungen erfüllen – das muss nicht immer eine High-End-Souveränitätslösung sein. Alle Beteiligten sind sich einig darin, dass der Traum vollkommener Souveränität in einer digitalen Welt nicht realisierbar ist. Dazu müssten Unternehmen vom Chip bis zum Cloud Service alle Leistungen vollkommen kontrollieren. In der arbeitsteiligen Welt des 21. Jahrhunderts ein illusorischer Anspruch. Beim Einsatz der Cloud kann also nur eine „maximal mögliche Souveränität“ realisiert werden.
In einem pragmatischen Ansatz orientieren sich Souveränitätsanforderungen daher häufig an der Kritikalität der unterstützten Prozesse und der Sensibilität der verarbeiteten Daten.

Als europäische Cloud erfüllt die Open Telekom Cloud durch ihr Design einige grundlegende europäische Souveränitätsanforderungen. Sie wird ausschließlich aus europäischen Rechenzentren (Deutschland, Niederlande, Schweiz) bereitgestellt. Sie wird ausschließlich durch in Europa ansässiges Personal betrieben. T-Systems bzw. die Deutsche Telekom als deutsches Unternehmen ist dem europäischen Rechtsrahmen verpflichtet. Ein Zugriff durch außereuropäische Behörden ist nicht möglich.

Für die Open Telekom Cloud sind vier technische und organisatorische Komponenten in der Souveränitätsdiskussion relevant: Datensouveränität, Betriebssouveränität, Technologiesouveränität und Nachhaltigkeit.

• Datensouveränität: 
  Daten, die Kunden auf der Open Telekom Cloud speichern oder verarbeiten werden von niemandem (einschließlich Mitarbeitenden der Open Telekom Cloud) abgerufen, manipuliert, gelöscht oder kopiert. Die Open Telekom Cloud bietet dazu u.a. plattformspezifische Verschlüsselungsverfahren an, offeriert Kunden aber auch eine Verschlüsselung oder Schlüsselverwaltung außerhalb der Cloud Plattform – ohne Zugriff des Personals der Open Telekom Cloud. Zudem ist auch Confidential Computing verfügbar, dass eine Verschlüsselung von Daten während der Verarbeitung erlaubt.
• Betriebssouveränität:
  Durch den Betrieb der Open Telekom Cloud in der EU und von ausschließlich in der EU ansässigen Mitarbeitern, können wir garantieren, dass keine der EU/DSGVO vorgegeben gesetzlichen Rahmenbedingungen gefährdet oder gar kompromittiert werden können. 
• Technologiesouveränität: 
  Die Open Telekom Cloud basiert auf OpenStack. Die Open-Source-Software wird von einer breiten Community entwickelt und aktualisiert. Der Community-Ansatz und die kontinuierliche Prüfung der Einhaltung der Community-Vorgaben stellen sicher, dass keine Abhängigkeiten entstehen. Kunden haben durch den offenen Standard jederzeit die Möglichkeit, Workloads auf andere Plattformen (auch auf eigene Inhouse-Ressourcen) zu migrieren. Open Source stellt ein wirkungsvolles Instrument dar, um einen Vendor Lock-in zu verhindern.
• Nachhaltigkeit:
  Aus Sicht der Open Telekom Cloud wird die Bedeutung der Nachhaltigkeit als Kriterium für souveräne Clouds rasant wachsen. Die Anforderungen an „grüne IT“, die in den nächsten Jahren mit einer zunehmenden Berichterstattung einhergehen wird, bedeutet, dass Kunden die Zukunftssicherheit ihrer Plattformen auch am Carbon Footprint messen müssen. Die Open Telekom Cloud wird bereitgestellt aus hocheffizienten Rechenzentren, die mit Strom aus erneuerbaren Energien versorgt werden. Mit dem internen Green-Magenta-Siegel bildet die Deutsche Telekom schon heute Nachhaltigkeits-Anforderungen ab, die vermehrt auch in Gesetzen verbindlich niedergelegt werden.

Eine Vielzahl von Zertifizierungen belegt das hohe Sicherheitsniveau der Open Telekom Cloud. Um das hohe Niveau zu erhalten, durchläuft die Open Telekom Cloud ein regelmäßiges rigides Privacy und Security Assessment. Dabei überprüfen Sicherheitsexperten alle Erweiterungen der Cloud. Komponenten werden vor der Kundenfreigabe in Testumgebungen geprüft. Dazu gehören auch regelmäßige Sicherheits- und Penetrationstests, die die Cloud kontinuierlich auf Schwachstellen, die Einhaltung von Vorschriften und verdächtige Netzwerkkommunikation von innen und außen checken. Das Telekom Security Operation Center überwacht Protokolldaten auf verdächtige Aktivitäten.

Die Open Telekom ist mit drei Twin-Core-Hochsicherheits-Standorten und insgesamt neun Verfügbarkeitszonen breit aufgestellt. Das stellt die Verfügbarkeit der Services sicher. Das Personal muss sich regelmäßigen Sicherheitsprüfungen unterziehen. Außerdem setzt die Open Telekom Cloud auf standardisierte x86-Server. Eine Multi-Vendor-Strategie stellt sicher, dass für den wachsenden Bedarf jederzeit neue Hardware-Komponenten bereitstehen. OpenStack als offenes Cloud-Betriebssystem erlaubt jederzeit Code-Reviews. Die Open Telekom Cloud ist von der OpenStack-Foundation zertifiziert: Alle Software-Komponenten werden regelmäßig bzgl. Sicherheit, Funktionalität und Übereinstimmung mit den OpenStack-Standards geprüft.

Souverän oder nicht souverän? Jede/r wird seine eigene Entscheidung fällen. Die Open Telekom Cloud als europäische Cloud erfüllt aber eine Vielzahl von Souveränitätsanforderungen „by Design“. Viele Kunden haben sich davon bereits überzeugen lassen.