Amazons EU-Cloud: Abgekoppelter Betrieb nicht noch vom BSI getestet

Ein wenig wirkt es so, als hätte Amazons Clouddienstleister AWS sich beim Konzept seiner “European Sovereign Cloud” (ESC) von seinen Kunden treiben lassen: AWS habe von vornherein seinen Kunden versprochen, dass Daten nicht in andere Regionen verschoben würden und sich stets daran gehalten, sagt AWS-CEO Matt Garman am Donnerstag bei der Vorstellung der neuen EU-Cloud in Potsdam. Niemand würde Zugriff auf die Workloads haben, betont Garman. Die Kunden wollten die Cloudnutzung. Sie sähen sich aber mit regulatorischen Anforderungen konfrontiert – und sie wollten keine verwässerte Version der Amazon-Clouddienstleistung haben.

Vielfach betonen AWS-Vertreter an diesem Donnerstag im Hasso-Plattner-Institut in Potsdam-Griebnitzsee, dass es schon immer um Sicherheit gegangen sei – um technologische wie organisatorische Sicherheit, dass wirklich niemand auf Daten Zugriff habe oder abschalten könne. Als Testimonial für die Leistungsfähigkeit und Widerstandsfähigkeit der bisherigen AWS-Angebote hat Garman ein Video des bisherigen ukrainischen Digitalministers Mychajlo Fedorow mitgebracht, der gerade erst zum Verteidigungsminister ernannt wurde. Der lobt Amazons Web Services, einen Dienst, der der Ukraine nach dem Großangriff Russlands vor fast vier Jahren eine digitale Zuflucht für Regierungsdaten bot.

Die Daten seien komplett in Europa geblieben, sagt Garman. Die Botschaft: AWS ist sicher – und die neue European Sovereign Cloud ist aber noch sicherer, für solche Kunden, denen das Sicherheitsversprechen allein nicht ausreicht.

Plattner: „Wir müssen das jetzt testen“

Die ESC soll vollständig separat laufen können. Ein wichtiger Meilenstein sei mit dem offiziellen Start der Sovereign Cloud erreicht worden, sagt Claudia Plattner, Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) am Nachmittag in Potsdam. Die technisch-organisatorischen Maßnahmen, wie jene, die AWS bei seiner Europäischen Cloud eingeführt habe. Die wolle sie bei jedem Unternehmen sehen, mit dem das BSI zusammenarbeitet. Bei Google, Microsoft, Delos und anderen werden sie sehr genau zugehört haben und prüfen, ob sie damit mitgemeint sein könnten.

Und auch AWS hat mit der ESC noch den eigentlichen Lackmustest vor sich, wie Plattner sagt. Denn die European Sovereign Cloud soll auch dann noch funktionieren, wenn alle Verbindungen in die USA gekappt werden. „Wir müssen das jetzt testen“, sagt die BSI-Präsidentin. Anders gesagt: Bislang hat das nicht stattgefunden, auch wenn seit etwa sechs Wochen die ersten Kunden auf der Plattform aktiv sind.

Regulatorischer Druck

Dass AWS leistungsfähig ist, daran gibt es wenig Zweifel. Dass die Amazontochter US-Recht unterliegt, daran ebensowenig. Und AWS verdient bislang gut an europäischen Kunden, das Geschäft könnte sogar noch besser laufen. Denn Potenzial für mehr Cloudnutzung sehen viele in der EU, auch AWS. Aber die regulatorischen Anforderungen sind stärker geworden und dürften absehbar noch einmal weiter anziehen.

Dass das insbesondere für kritische Infrastrukturen, Finanzdienstleister, Energiefirmen und Regierungsorganisationen gilt, ist offenkundig. Die müssen die verschärften Bedingungen von DORA, NIS2, C5 und anderen Vorgaben einhalten – unter widrigen, geopolitischen Bedingungen. Ein Problem, das nicht nur, aber gerade Amazon betrifft.

„Radioaktive Kundendaten“

Zugleich sollen die Kunden die Services weiter nutzen können, die sie gerne nutzen wollen. 90 der 240 Dienste, die in AWS laufen, sind zum Start in der Parental Zone Brandenburg verfügbar. Die soll bald um eine niederländische, eine belgische und eine portugiesische Tochterzone ergänzt werden – sprich: Rechenzentrumsverbünde, die sich geografisch an unterschiedlichen Orten befinden und alle dem ESC-Regime statt dem normalen AWS-Betrieb unterliegen, wo noch einmal stärker auf eine Verschlüsselung und Nichtlesbarkeit von Metadaten wie Nutzern, Rollen und Zugriffsrechten Wert gelegt wird.

„Kundendaten sind radioaktiv, wir wollen nicht in ihrer Nähe sein“, erläutert Colm MacCarthaigh die Herangehensweise, die schon immer gegolten habe. Und in die neue Struktur sei, nachdem man mit AWS Nitro und vielen anderen Maßnahmen bereits viele wichtige Schritte gegangen sei, ein umfangreicher Erfahrungsschatz eingeflossen.

ESC besser als das normale AWS?

Ein Spagat für die Firmenvertreter: Sie müssen das neue ESC anpreisen – aber ohne das normale AWS schlechtzumachen. AWS ESC könnte dabei die gesamte Bandbreite an Vorwissen ausspielen. Denn viele Kunden sehen sich vor allem in der Pflicht, nachweisen zu können, dass sie sich an die für sie geltenden Regeln gehalten haben.

Sarah Duffer erklärt in Potsdam, welche Rolle das „European Sovereign Reference Framework“ dafür spiele: die formale Beschreibung der Konzepte, mit denen AWS ESC die Unabhängigkeit sicherstelle. Solche Kriterien mitsamt Dokumentation sind für viele Nutzer relevant, wenn es um Haftungsfragen geht. Es gehe um die Überprüfbarkeit durch unabhängige Dritte, sagt Duffer, Director Security Assurance in der Zentrale. Im Hinblick auf Compliance sieht man sich gut aufgestellt.

Dass das nicht das Ende der Entwicklung sein wird, zeichnet sich jetzt bereits ab. Für viele Kunden, die bislang zweifelten, könnten die EU-AWS-Möglichkeiten allerdings ein willkommener Schritt sein. Und angesichts des politischen Klimas in den USA könnten auch bisherige Standard-AWS-Nutzer aus den USA überlegen, ob das für sie eine Alternative sein könnte. Finanziell jedenfalls ist die Nutzung der ESC laut den Modellrechnungen bei der Vorstellung noch etwas unterhalb der Standardpreise angesiedelt. Wie lang das so bleibt, ist abzuwarten.

(axk)