Die Schweiz ist stolz auf ihre Neutralität und ihre Unabhängigkeit. Doch während wir unsere physischen Grenzen schützen, haben wir in der digitalen Welt die Kontrolle über unsere Daten oft aus der Hand gegeben.
In den Führungsetagen von Politik, Verwaltung und Wirtschaft ist das Schlagwort «digitale Souveränität» kein Trend mehr, sondern eine strategische Überlebensfrage. Das Problem: Die Werkzeuge, mit denen wir heute innovieren, kommen fast ausschliesslich aus dem Silicon Valley. Microsoft, AWS und Google - die «Big Three» - haben eine Gravitationskraft entwickelt, der man sich nur schwer entziehen kann.
Das Dilemma der Bequemlichkeit
Insbesondere im privaten Sektor ist die Adoption von Public Cloud Services in den letzten Jahren förmlich explodiert. Wer heute wettbewerbsfähig bleiben will, nutzt Microsoft 365, integriert KI-Lösungen wie Microsoft Copilot oder skaliert über die schier endlosen Service-Angebote von Azure. Der Haken an der Sache: Viele dieser Plattformdienste sind keine klassischen Softwareprodukte mehr, die man beschaffen und auch im eigenen Data Center On-Premises installieren kann. Sie sind «Cloud-native», resp. «Cloud-only». Das bedeutet: Wer den Service will, muss die Abhängigkeit akzeptieren.
Diese Abhängigkeit ist nicht nur technischer Natur. Es ist ein Geflecht aus wirtschaftlichen Lock-ins und geopolitischen Risiken. Wenn ein US-Konzern seine Preisstruktur ändert oder - im Extremfall - Dienste aufgrund politischer Spannungen einschränkt, kann der Schweizer KMU-Motor ins Stottern kommen.
Der Elefant im Raum: Der US CLOUD Act
Warum ist dies aus Sicht des Datenschutzes so brisant? Hier kommt der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ins Spiel. Dieses Gesetz hebelt das Prinzip der territorialen Datenspeicherung faktisch aus. Es erlaubt US-Behörden den Zugriff auf Daten, solange das kontrollierende Unternehmen ein US-Anbieter ist - völlig egal, ob die Server physisch in Zürich, Genf oder im Gebiet des Schweizer Réduit stehen. Für Unternehmen, die Geschäftsgeheimnisse wahren müssen oder kritische Infrastrukturen betreiben, ist dies ein juristisches Minenfeld.
Inventur der Abhängigkeit: Wissen ist Macht
Was also tun? Der erste Schritt zur Souveränität ist nicht den Stecker zur Cloud zu ziehen, sondern das Bewusstsein zu schärfen. Viele Unternehmen wissen gar nicht genau, in welcher Abhängigkeit sie tatsächlich stecken. Eine fundierte Schutzbedarfsanalyse ist das Fundament. Dabei geht es um die vier Säulen der IT-Sicherheit:
- Verfügbarkeit: Was passiert, wenn der Cloud-Dienst offline geht?
- Vertraulichkeit: Wer kann meine Daten technisch mitlesen?
- Integrität: Ist sichergestellt, dass Daten nicht unbemerkt verändert werden?
- Nachvollziehbarkeit: Kann ich im Audit-Fall beweisen, was wann passiert ist?
Strategien gegen die vollständige Abhängigkeit
Ein kompletter Verzicht auf Public Clouds wäre für die meisten Schweizer KMUs kaum machbar. Der Nutzen dieser Ressourcen und Services, die Skalierbarkeit sowie die Innovationsgeschwindigkeit der US-Riesen sind schlicht zu gross.
Gleichzeitig entstehen immer mehr souveräne Cloud-Angebote, die speziell für datenschutzkritische Anforderungen entwickelt wurden, um eine Cloud-Infrastruktur vollständig unter lokalem Recht und mit garantierter Datenhoheit zu betreiben
Aber Souveränität ist kein binärer Zustand (eigene lokale Data Center oder Cloud), sondern ein Spektrum.
Infrastructure as Code & Containerisierung: Wer seine Workloads in Container verpackt, und mittels Kubernetes orchestriert, legt die Grundlage für portierbare, anbieterunabhängige Workloads. Wenn Azure zu teuer wird, zieht man eben zu einem Schweizer Anbieter um. Der Verzicht auf proprietäre Datenbank-Engines zugunsten von Open-Source-Standards (wie PostgreSQL statt SQL-Server) ist ein weiteres Beispiel.
Die PaaS-Falle umschiffen: Platform as a Service Dienste der Hyperscaler gleichen einem reichhaltigen Buffet – man kann sich bequem bedienen und spart Zeit beim Zubereiten eigener Speisen, doch dabei verlernt man leicht, wie man selbst kocht. Auch hier sollte man nur dann zugreifen, wenn der geschäftliche Nutzen klar überwiegt – was jedoch «leider» oft der Fall ist.
Der hybride Weg als Schweizer Kompromiss: Eine moderne Strategie setzt auf das Beste aus beiden Welten. Kritische Kerndaten und sensible Prozesse gehören, wenn immer möglich in die Hände lokaler Schweizer Managed Service Provider. Diese bieten nicht nur Datenhaltung auf Schweizer Boden unter Schweizer Recht, sondern auch eine persönliche Ansprechperson statt einer anonymen Ticket-Hotline.
Fazit: Souveränität durch Diversität
Echte digitale Souveränität in der Schweiz bedeutet nicht Isolation, sondern Wahlfreiheit. Ziel muss eine intelligente Exit-Strategie sein, die bereits beim Design der IT-, resp. Applikations-Architektur mitgedacht wird. Wer heute in Interoperabilität investiert, zahlt morgen keine «Lösegelder» für einen Providerwechsel.
Der Weg zur digitalen Eigenständigkeit ist steinig und erfordert technologische Exzellenz. Aveniq bietet als führende Managed Cloud Service Providerin verschiedene Lösungen an, um die notwendige digitale Souveränität mittels privater und hybrider Cloud zu erlangen.
Mit der Aveniq Swiss Cloud bieten wir ausfalltolerante und hochsichere Datenstandorte in der Schweiz, die maximale Datensouveränität und Compliance unter Schweizer Recht ermöglichen.
Beratung erwünscht?
Die erfahrenen Expert*innen von Aveniq beraten Sie gerne und unverbindlich rund um ihr Fachthema und wie dieses die Wettbewerbsfähigkeit Ihres Unternehmens positiv beeinflussen kann. Jetzt Termin vereinbaren.