Cloud-Souveränität: Technische Realität und praktische Umsetzung

Als AWS vor 20 Jahren startete, war eines klar: Kundenvertrauen entsteht durch Sicherheit. «Security is Job Zero» – das bedeutet, dass Sicherheit vor allen anderen Aufgaben kommt. Dieses Credo lebt AWS bis heute – vom wöchentlichen Meeting zwischen CEO und CISO bis hin zu kontinuierlichen Investitionen in neue Sicherheitstechnologien. Ein Beispiel: Verschlüsselung, die auch künftigen Quantencomputern standhält, ist bereits in vielen Services eingebaut.

Diese Sicherheitsphilosophie und der Anspruch Kunden immer die volle Kontrolle über ihre Daten zu geben, übersetzt sich direkt in die Architektur: AWS Regionen sind von Grund auf als «secure- und sovereign-by-design» konzipiert. Die Basis bilden technische Kontrollen und vertragliche Regelungen.

Datenspeicherort und Kontrolle

Kunden bestimmen selbst, wo ihre Daten liegen. Mit sogenannten Service Control Policies – einfachen Regeln auf Organisationsebene – lässt sich festlegen, dass Daten eine bestimmte Region nicht verlassen. So entsteht eine klare Datengrenze: Daten bewegen sich nur dann über Regionsgrenzen, wenn der Kunde dies bewusst initiiert.

Zugriffskontrolle in der Praxis

Bei AWS hat standardmässig nur der Dateneigentümer Zugriff auf seine Daten. Zentrale Dienste wie Rechenleistung (Amazon EC2, Amazon EKS und AWS Lambda) und Schlüsselverwaltung (AWS KMS) sind zusätzlich mit «Zero Operator Access» konzipiert – es besteht technisch keine Möglichkeit für AWS-Mitarbeiter, auf Kundendaten zuzugreifen. Darüber hinaus wird jede Verwendung von Verschlüsselungsschlüsseln automatisch im Kundenaccount protokolliert. Das schafft vollständige Transparenz: Kunden können somit jederzeit nachvollziehen, wer wann welchen Schlüssel verwendet hat.

Verschlüsselung auf mehreren Ebenen

Alle AWS Dienste unterstützen Verschlüsselung, die meisten mit kundenverwalteten Schlüsseln. Der Kunde behält damit die volle Kontrolle darüber, wer oder was einen Schlüssel verwenden darf. Wer maximale Sicherheit will, kann die Schlüssel sogar in eigener Hardware (HSM) aufbewahren. Besonders bei der Datenübertragung zeigt sich die Tiefe des Schutzes: Dieselben Daten werden auf mindestens drei Ebenen verschlüsselt – physisch zwischen Rechenzentren, zwischen virtuellen Maschinen im Kundenaccount (VPC-Verschlüsselung) und bei jedem Zugriff auf AWS-Dienste via TLS. Drei Verschlüsselungsebenen statt einer.

Ausfallsicherheit als Teil der Souveränität

Ein oft vergessener Aspekt: Was nützt Datenkontrolle, wenn der Dienst nicht verfügbar ist? AWS löst dies mit mehreren unabhängigen Verfügbarkeitszonen pro Region. Verfügbarkeitszonen bestehen aus einem oder mehreren Rechenzentren. Fällt eine Verfügbarkeitszone aus, übernehmen die anderen automatisch. Diese Architektur löst auch das sogenannte Split-Brain-Problem: Bei nur zwei Standorten ist bei einem Ausfall unklar, welcher noch funktioniert. Mit drei Standorten können immer zwei eine «Mehrheit» bilden und den Betrieb sicherstellen. Viele AWS Dienste nutzen alle drei Zonen von Grund auf – Notfallwiederherstellung ist so automatisch eingebaut, nicht nachgerüstet.

Vertragliche Regelungen

In unserem Supplementary Addendum gehen wir vertragliche Verpflichtungen in Bezug auf die Bearbeitung von Anfragen staatlicher Stellen auf Herausgabe von Kundendaten ein. Unter anderem verpflichten wir uns, (i) alle zumutbaren Anstrengungen zu unternehmen, um eine Behörde, die Kundendaten anfordert, an den relevanten Kunden weiter zu verweisen, (ii) den Kunden, soweit dies gesetzlich zulässig ist, über solche Anfragen zu informieren, (iii) gegen jede zu breite oder unangemessene Anfrage vorzugehen, insbesondere auch wenn die Anfrage in Widerspruch zu geltendem EU-Recht steht, und (iv) nur das Minimum an Kundendaten herauszugeben, sofern wir nach Vornahme der oben beschriebenen Schritte weiterhin zur Herausgabe gezwungen sind.

Neben diesen vertraglichen Regelungen ist es wichtig zu verstehen, dass AWS technische Massnahmen implementiert, die einen Zugang zu Kundendaten verhindern, hierzu gehören beispielsweise der sog. Zero Operator Access mit Hilfe des AWS Nitro Systems und die Möglichkeit unserer Kunden ihre Daten zu verschlüsseln.

Geteilte Verantwortung und Flexibilität

Bei AWS gilt das Modell der geteilten Verantwortung. Es definiert klare Grenzen: AWS kümmert sich um Rechenzentren, Server und Strom – alles, was für den Betrieb der Dienste nötig ist. Der Kunde entscheidet über Architektur, Dienstnutzung und Zugriffsrechte. Diese Wahlfreiheit ermöglicht es, Abhängigkeiten bewusst zu vermeiden. Die Schweizerische Post zeigt, wie das in der Praxis aussieht: Ihr Paketsortierungssystem läuft auf AWS, ist aber so konzipiert, dass eine Migration zu einem anderen Anbieter in ein bis zwei Wochen möglich wäre. Durch offene Standards, Protokolle und Datenformate nutzt sie die Vorteile der Cloud wie hohe Verfügbarkeit und schnelle Updates – bei voller Flexibilität. KI-gestützte Entwicklungswerkzeuge beschleunigen diesen Trend: Der Aufwand für Migrationen sinkt kontinuierlich, weil sich Anpassungen an
neue Plattformen schneller umsetzen lassen. So lässt sich zum Beispiel auch der Umgang mit technischen Altlasten beschleunigen.

AWS European Sovereign Cloud: Mehr Wahlmöglich keiten und Kontrolle

Für Kunden mit höchsten Souveränitätsanforderungen gibt es nun mit der AWS European Sovereign Cloud eine zusätzliche Wahlmöglichkeit neben den bestehenden AWS Regionen in Europa. Die AWS European Sovereign Cloud ist eine neue, unabhängige Cloud für Europa, die sich vollständig in der EU befindet sowie physisch und logisch von anderen AWS Regionen getrennt ist.

Sie wird ausschliesslich von Mitarbeitern mit Wohnsitz in der EU betrieben, hat keine kritischen Abhängigkeiten von Infrastruktur ausserhalb der EU, und ihr einzigartiges Design ermöglicht es, dass sie unbegrenzt weiter betrieben werden kann, selbst im Fall von Konnektivitätsunterbrechungen zur restlichen Welt. Alles, was für den Betrieb erforderlich ist, befindet sich in der EU: die Talente, die Infrastruktur und das Führungsteam. Es gibt keinerlei operative Kontrolle ausserhalb der EU-Grenzen.

Die AWS European Sovereign Cloud ermöglicht es Kunden, alle von ihnen erstellten Metadaten (wie Rollen, Berechtigungen, Ressourcen-Labels und Konfigurationen) vollständig in der EU zu speichern, einschliesslich souveräner Systeme für Identity and Access Management (IAM), Abrechnung und Nutzungsmessung.

Wie in anderen AWS Regionen bildet das AWS Nitro System die Grundlage für den Betrieb. AWS Nitro bietet branchenführende, starke physische und logische Sicherheitsmechanismen, um Zugriffsbeschränkungen durchzusetzen, sodass niemand – auch keine AWS-Mitarbeiter – auf Kundendaten zugreifen kann. AWS bietet zudem fortschrittliche Verschlüsselung, Schlüsselverwaltungsdienste und Hardware-Sicherheitsmodule an. Darüber hinaus bietet AWS mit dem Sovereign Reference Framework (ESC-SRF) ein unabhängig validiertes Framework zur Erfüllung der Souveränitätsanforderungen von Kunden an.

Fazit

Cloud-Souveränität ist kein Entweder-oder. Sie entsteht durch das Zusammenspiel technischer Kontrollen, klarer Verträge und architektonischer Gestaltungsfreiheit. Die Kontrolle liegt beim Kunden – und mit offenen Standards bleibt die Flexibilität erhalten, jederzeit andere Wege zu gehen.