eine Einleitung
Unternehmen wollen nicht mehr in ihre Computerräume investieren. Sie lagern sie aus, um ihre Apps und virtuellen Maschinen in die Cloud zu stellen, meistens in AWS, Azure oder Google. Aber diese Migration wirft eine Frage auf, die zunächst freiwillig ignoriert wurde.
Sobald die Daten von einem US-Unternehmen gehostet werden, einschließlich seiner europäischen Tochtergesellschaften und sogar auf französischem Boden, unterliegen sie dem US-Recht (einschließlich des berühmten Cloud-Gesetzes, aber nicht nur) und haben mit anderen Worten die Eigenschaft, „extraterritorial“ zu sein gilt Washingtoner Recht sowohl für San Francisco als auch für Paris, Austin und Tokio, sobald eine (natürliche oder juristische) Person irgendwie die US-Staatsbürgerschaft geteilt hat (Unterstützung, Wartung, Betriebsführung usw.).
Ein unfreundliches Recht, weil es ausgenutzt wird
Dieses Recht auf lobenswerte offizielle Ziele (Bekämpfung von Terrorismus und Kriminalität) ist jedoch problematisch. Tatsächlich hat die jüngste Geschichte gezeigt, dass sie auch inoffizielle Ziele hat und dass die Vereinigten Staaten nicht zögern, sie für Zwecke der Wirtschaftskriegsführung (z. B. Druck des Justizministeriums, den Verkauf von Alstom an General Electric zu erzwingen), für wirtschaftliche Zwecke auszunutzen Zwecke. Intelligence (Industriespionage) oder geopolitische Zwecke.
So sehr, dass der Minister für Wirtschaft und Finanzen, Bruno Le Maire, ihn selbst als unfreundlich bezeichnete und öffentlich wiederholt den Ärger Frankreichs über diese Situation zum Ausdruck brachte.
Amerikanische Wolken zwischen Hammer und Amboss
Amerikanische Wolken sind zwischen einem Felsen und einer harten Stelle gefangen. Die extraterritoriale Unterstützung des Rechts in ihrem Herkunftsland, der Hammer europäischer Kunden, die beginnen, die Risiken und den grundlegenden Widerspruch zwischen diesem Gesetz (das eine Cloud-basierte Offenlegung von Daten erfordert, im Übrigen ohne Benachrichtigung der beteiligten Unternehmen) und dem zu erkennen Allgemeine Datenschutzverordnung (DSGVO) (die eine solche Übertragung personenbezogener Daten verbietet).
Bisher haben US-IT-Vertreter die Elemente der Sprache beruhigt: die Unabhängigkeit des US-Richters (was eigentlich sehr relativ ist), die Überwachung des Verfahrens, damit es bei der Verbrechensbekämpfung bleibt (was den Tatsachen widerspricht), und das Lokalisierung von Daten in Europa (was nichts ändert, US-amerikanisches Recht Extraterritorialität), der Vertrag nach französischem Recht (der es dem Kunden ermöglicht, ein zum Scheitern verurteiltes Verfahren vor einem französischen Gericht gegen den amerikanischen Staat einzuleiten), systematische Anfechtung von Anfragen von Verlagen Anwälte (ohne die wahre Wirksamkeit ihrer Einwände zu kennen, jedenfalls wahrheitsgemäß) oder Veröffentlichung von Informationen auf Anfragen (oftmals noch sehr vage und “im Nachhinein”).
Aber Fall für Fall (einschließlich der gegen BNP Paribas verhängten Standardstrafe) knacken diese „Argumente“ für ein reines Sicherheitsrecht eines nach dem anderen. Das amerikanische Recht ist eine Waffe der Wirtschaftskriegsführung, die Informationstechnologie ist eine ihrer Operationsstufen. Die Naivität der europäischen Kunden begann sich aufzulösen.
Europäische Explosion (schüchtern)
Infolgedessen wollen europäische Politiker, aber auch einige Industrielle, Alternativen zu ihren sensiblen Daten: „souveräne“ Clouds. Das bedeutet, dass Infrastrukturen nicht dem Eingriffsrecht einer fremden Macht unterliegen, auch nicht einer befreundeten.
Jahre nach dem Scheitern von Cloudwatt und Numergy ist die digitale Vormachtstellung wieder in Mode. Auf europäischer Ebene versuchen lokale Hosts, ESNs und Verlage mit der Ermutigung der französischen und deutschen Regierung, ihre Servicekataloge unter dem Gaia-X-Banner zu standardisieren, was als Ergebnis das Versprechen der Ökosystem-Interoperabilität bietet.
Denn hier ist das Problem lokaler Alternativen zu superamerikanischen Clouds: die Angebotsfülle.
Die Hoster OVHcloud, Scaleway, T-Systems oder 3DS Outscale streben danach, die gleichen virtuellen Maschinen und Online-Speicherdienste zu vergleichbaren Preisen zu bauen, aber sie haben Mühe, den Funktionsumfang ihrer US-Modelle zu reproduzieren. Bei Infrastrukturdiensten bieten beispielsweise alle Anbieter von Sicherungssoftware an, Sicherungen auf AWS S3 zu hosten. Um diese Funktionalität in OVHcloud nutzen zu können, sind Sie am besten Kunde der französischen Veeam, Leader oder Atempo.
Viele hoheitliche Dienste sind auch nicht lieferbereit. Wenn ein einfacher Klick auf eine der Optionen für einen Superoptimierer ausreicht, müssen Sie einen Vertrag mit einem Builder aushandeln, um die Installation einer ähnlichen Funktionalität anzupassen. Die Kosten können nicht schnell gleich sein.
Datenüberlegenheit vs. technologische Vorherrschaft
Andererseits ist der Vorteil einheimischer Spieler die „Immunität“ gegenüber dem US-Recht.
Das Label „Cloud of Trust“ – von der französischen Regierung begehrt und bei der Einführung der neuen Doktrin „Cloud at the Center“ angekündigt – wurde 2021 geschaffen. Es wird nach der SecNumCloud-Zertifizierung durch ANSSI vergeben und stellt sicher, dass es sich um eine Cloud handelt unterliegen ausschließlich europäischem Recht.
Doch der Aufwand für die Beschaffung eines solchen Labels selbst ist mit Kosten verbunden, die dem Kunden in Rechnung gestellt werden. Werden sich europäische Unternehmen bereit erklären, diese „Prämie“ für ihre sensiblen Daten zu zahlen? Nichts weniger selbstbewusst.
Was die Ultracomputer betrifft, so haben sie nicht die Absicht, sie aus dem Markt für Daten, Anwendungen und kritische Segmente zu verdrängen. Sie handeln, und zwar schnell.
Auf der anderen Seite haben sie bereits reagiert, indem sie angeboten haben, ihre Dienste über einen lokalen Anbieter (wie Azure und Google, die in Bezug auf Frankreich eine Partnerschaft mit Orange bzw. Thalès eingegangen sind) weiterzuverkaufen.
Diese Lösungen haben den Vorteil, dass sie sowohl der Frage der Souveränität (die Daten werden auf Geräten gehostet, die Anbietern nach französischem Recht gehören, die Washington gegenüber nicht rechenschaftspflichtig sind) als auch der Nachfrage nach Ökosystem-Tools entsprechen. Alle in US-Clouds verfügbaren Funktionen werden importiert, zumindest zum Zeitpunkt ihrer Nutzung. Es ist jedenfalls das Versprechen: Zum Zeitpunkt der Veröffentlichung dieses Leitfadens sind diese europäischen Versionen amerikanischer Clouds noch weit von der Realität entfernt.
Auf der anderen Seite haben die Hardliner Gaia-X integriert, werden aber von ehemaligen Mitgliedern wie Scaleway beschuldigt, das Projekt zu verlangsamen, um sein operatives Erscheinungsbild zu verändern und ihre eigenen Angebote an die neue Regulierungsvereinbarung anzupassen, die auf den Cloud-Horizont hinweist.
Richtig oder falsch ? Schwer zu sagen. Sicher ist jedoch, dass hinter den Kulissen ein Gegensatz zwischen zwei diametral entgegengesetzten Souveränitätskonzepten ausgetragen wird. Auf der anderen Seite Befürworter der Rechtshoheit („Datensouveränität“), wo Clouds US-Technologien in einem sicheren Kontext verwenden. Andererseits zielen Befürworter der „technologischen Souveränität“ darauf ab, gewerbliches Eigentum zu entwickeln und europäische Verlage zu unterstützen Unabhängigkeit technologisch.
Klar zu sehen in der Souveränität
Zwischen den Feinheiten des US-Rechts, Sprachelementen und Kontroversen, neuen (inländischen und US-) staatlichen Angeboten und staatlichen Angeboten nur zum Nennwert ist es nicht immer einfach, zu navigieren.
An der Schnittstelle von Vorschriften, IT-Analyse und langfristiger Strategie veranschaulicht dieser Leitfaden diese Grauzonen für fundiertere Entscheidungen.