Blog
Treibt uns die Unsicherheit Richtung souveräne Cloud?
Kontrolle zurückgewinnen, Risiken minimieren.
Cloud-Souveränität ist in der Schweiz und der EU zu einem Top-Thema geworden. Unternehmen wollen mehr Kontrolle über Daten, Infrastruktur und Governance. Gleichzeitig entstehen Initiativen wie die Swiss Data Alliance und Gaia-X, die föderierte Cloud-Modelle fördern. Hyperscaler wie AWS, Azure und Google Cloud reagieren zunehmend auf neue regulatorische und geopolitische Anforderungen.
Was ist eine souveräne Cloud?
Eine souveräne Cloud ist eine Cloud-Infrastruktur, die Unternehmen maximale Kontrolle über ihre Daten und Prozesse ermöglicht. Sie stellt sicher, dass Daten und Metadaten innerhalb einer definierten Rechtsordnung (z. B. EU oder Schweiz) verbleiben und lokalen Datenschutzgesetzen wie dem DSG entsprechen. Eine souveräne Cloud kombiniert:
- Datensouveränität durch klare Rechtsgrundlagen
- Betriebliche Souveränität durch klare Betreiberstrukturen
- Interoperabilität durch standardisierte Technologien und Betriebsmodelle
Sind meine Daten sicher in der Cloud?
Unternehmen haben ihre Daten früher direkt vor Ort auf eigenen Servern verarbeitet, wobei sie selbst für Zugangsschutz und Berechtigungsverwaltung verantwortlich waren. Mit der Zeit wurde diese Kontrolle schrittweise abgegeben:
Dies meist bewusst und ohne grosse öffentliche Diskussion. Erst mit der verstärkten Nutzung internationaler Hyperscaler und der Entwicklung der US Aussenpolitik unter der aktuellen US-Regierung wurde das Thema «Kontrollverlust» breiter hinterfragt. Die Unsicherheit betrifft sowohl den möglichen Zugriff auf Daten als auch die unvorhersehbare Kostenentwicklung für Cloud-Dienste.
Wir als Autoren dieses Blogs haben uns gefragt, ob wir einem US-amerikanischen Hyperscaler tatsächlich weniger oder gleich viel Vertrauen entgegenbringen wie einem Schweizer Cloud-Anbieter.
Intuitiv erschien die Antwort klar: einem Schweizer Anbieter schenken wir mehr Vertrauen. Aber warum eigentlich? Beide Parteien wären bei Datenmissbrauch existenziell gefährdet. Auch haben beide ein hohes Interesse daran, Daten so sicher wie möglich zu behandeln. Haben uns die allgegenwärtigen Diskussionen über den Cloud Act und das Bild vom „bösen Hyperscaler“ stärker verunsichert, als es objektiv notwendig wäre?
In diesem Blog analysieren wir das Umfeld, die Treiber dieser Verunsicherung und zeigen Lösungsansätze für eine optimale Platzierung von Workloads.
Treiber für die Verunsicherung
Zur Analyse des Umfelds nutzen wir ein Modell, das in der folgenden Grafik dargestellt wird. Die Dimension „Technik / Funktion“ wirkt als starker Treiber für die Nutzung von Public Clouds. Dagegen bremsen sowohl die Kostenentwicklung als auch die zunehmende Komplexität bei Compliance- und Datenschutzvorgaben.
US-Aussenpolitik als Unsicherheitsmotor
Die US-Aussenpolitik beeinflusst alle Dimensionen indirekt. Sie verändert zwar weder Kosten noch Vorgaben unmittelbar, schürt jedoch spürbare Verunsicherung. Tatsächlich ist sie der wesentliche Auslöser dafür, dass das Thema Cloud-Souveränität im europäischen Raum so stark an Bedeutung gewonnen hat.
Cloud Act: Rechtliche Realität statt Panikmache?
Der Cloud Act ist nicht neu, wurde aber erneut publik, nachdem ein französischer Microsoft-Manager bestätigte, dass die US-Regierung mit richterlichem Beschluss auf Daten in der Azure Cloud zugreifen kann (siehe: https://www.inside-it.ch/microsoft-kann-cloud–zugriff-durch-usa-nicht-verhindern-20250721). Microsoft zeigt aber genauso transparent auf, dass nur in ca. 5% der Anfragen überhaupt Kundendaten offengelegt wurden und die überwiegende Mehrheit der Anfragen kostenlose Endbenutzerdienste betroffen hat (Quelle: https://www.microsoft.com/en-us/corporate-responsibility/reports/government-requests/customer-data). Was viele nicht bedenken: mit entsprechenden Beschlüssen sind solche Zugriffe auch auf Datenbestände in Schweizer Clouds anwendbar. Eine Souveräne Cloud bedeutet nicht automatisch, dass keine fremden Zugriffe möglich sind, diese sind einfach klarer geregelt.
Kostenentwicklung: Cloud wird teurer
Die Preise für Cloud-Services sind in den letzten zwei Jahren signifikant gestiegen. Analysten wie Gartner hatten dies früh prognostiziert, allerdings ohne grosse Resonanz – bis kürzlich weitere Preiserhöhungen angekündigt wurden. Diese Entwicklung verstärkt die Unsicherheit zusätzlich, auch vor dem Hintergrund der US-Zollpolitik und Überlegungen zu möglichen Digitalzöllen.
TOMs: Hoher Aufwand in Public Clouds
Die Umsetzung technischer und organisatorischer Massnahmen (TOM) ist speziell für regulierte Unternehmen in Public Clouds komplex und kostspielig. Ein Betrieb in souveränen oder privaten Clouds oder gar im Eigenbetrieb kann diesen Aufwand deutlich reduzieren. Dieser Aufwand ist dem Nutzen (time to market, Technologie, etc.) gegenüberzustellen. Dieser Aufwand kann ein wesentlicher Faktor für die Wahl des richtigen Cloudangebotes sein.
Vertragliche Transparenz
Viele Unternehmen, besonders im öffentlichen Sektor, sind unsicher, ob sie Services in einer Public Cloud überhaupt betreiben dürfen. Häufig ergeben umfassende Abklärungen keine klaren Antworten. Dies führt dazu, dass zunehmend Alternativen gesucht werden, vor allem private oder souveräne Clouds.
Praktische Lösungen und Anbieterlandschaft souveräne Clouds
Programme wie die Swiss Digital Sovereignty Initiative und Data Spaces Switzerland orientieren sich am offenen Standardansatz von Gaia‑X, jedoch ohne von der europäischen Governance abhängig zu sein. Ziel dieser Initiativen ist es, die digitale (Daten-)Unabhängigkeit der Schweiz zu stärken und gleichzeitig von globaler und lokaler Innovation zu profitieren.
Souveräne Clouds als Antwort auf alle Fragen?
Souveräne Clouds haben zweifellos ihre Berechtigung und in einer idealen Welt wären alle Clouds nach diesen Prinzipien gestaltet. Hyperscaler überzeugen jedoch weiterhin durch ein breites Spektrum an innovativen und hochskalierbaren Services.
Wer nicht auf die grosse Breite der angebotenen Services von Hyperscalern verzichten kann, steht vor einer grossen Herausforderung und bezahlt diesen technischen Fortschritt jedoch mit einem gewissen Verlust an Souveränität über seine Daten.
Vorteile souveräner Clouds
- Für Unternehmen, die Souveränität über Technologie und Funktionalität priorisieren
Besonders geeignet für Organisationen, bei denen Compliance und Kontrolle wichtiger sind als maximale Feature-Tiefe. - Für Unternehmen, die keine Public-Cloud-Services nutzen dürfen
Beispielsweise aufgrund regulatorischer Vorgaben im Gesundheitswesen, im Finanzsektor oder im öffentlichen Bereich. - Für Unternehmen, die den Aufwand für komplexe TOMs reduzieren möchten
Souveräne oder private Clouds können den betrieblichen Aufwand deutlich senken – insbesondere im Vergleich zu Public-Cloud-Umgebungen.
Einschränkungen souveräner Clouds
- Funktionsumfang deutlich eingeschränkt
Die Services sind nicht mit dem technologischen Spektrum eines Hyperscalers vergleichbar. - Informationssicherheit nicht automatisch höher
Die enormen Sicherheits- und Analysefunktionalitäten der Hyperscaler sind in souveränen oder privaten Clouds oft nicht verfügbar. - Vertragliche Anforderungen bleiben bestehen
Datenschutz wird zwar einfacher zu regeln, doch ADV/AVV, TOMs und andere Compliance-Pflichten bleiben weiterhin notwendig.
Zusammenfassung
Die Frage lautet daher nicht mehr: „Hyperscaler oder souveräne Cloud?“ sondern vielmehr:
„Welche Workloads erzeugen an welchem Ort das beste Verhältnis aus Risiko, Compliance, Kontrolle, Wirtschaftlichkeit und Innovationskraft?“
Ausblick
Im nächsten Blog-Beitrag vertiefen wir, wie Unternehmen Cloud Entscheidungen systematisch und risikobasiert bewerten können. Im Mittelpunkt steht dabei die Integration der Sicht von Security und Compliance in den strategischen Auswahlprozess für ein Cloud Betriebsmodell. Wir wollen damit aufzeigen, wie integrale Entscheidungen herbeigeführt werden können.
