Cloud Computing: Risiken einer bedeutenden Grundlagentechnologie

Die Entwicklung hin zur Bereitstellung von Computing-Ressourcen über Cloud Computing weist einige Ähnlichkeiten mit dem Übergang von der Stromerzeugung in firmeneigenen kleinen Kraftwerken zum Bezug von Strom aus grossen Kraftwerken in Fremdbesitz auf. Im Gegensatz zur Stromerzeugung wird Cloud Computing weltweit von einigen wenigen grossen globale Akteuren dominiert, und ihre Dienste sind nicht ohne Weiteres austauschbar.

Ein Treiber für die Digitialisierung

Der Einsatz von Cloud-Computing-Technologie ist für viele Unternehmen ein Treiber der Digitalisierung und ermöglicht die Inanspruchnahme von hochinnovativen Leistungen, ohne in den Aufbau und die Wartung von eigenen grossen Rechenzentren zu investieren. Für viele Unternehmen ist die Nutzung von Cloud Computing eine Notwendigkeit, um wettbewerbsfähig zu sein und zu bleiben. Sie ermöglicht es ihnen erst, weitere Technologien wie Data Analytics, Künstliche Intelligenz, Internet of Things oder Bioinformatik zu nutzen und zu entwickeln. Die grössten Cloud-Computing-Dienste sind aus Sicht der Cybersecurity relativ sicher, da sie regelmässig aufgerüstet werden und über aktuelle Kontrollmechanismen verfügen.

Die Technologie ist auch für die Schweizer Wirtschaft und den Standort Schweiz von Bedeutung: Sie ermöglicht neue, schnell-umsetzbare Business- und Betriebsmodelle mit tieferem Kapitalbedarf. Diese Businessmodelle sind, was die technologische Infrastruktur anbelangt, grundsätzlich schnell global skalierbar. Lokale aber auch globale Unternehmen wie Amazon, Google oder Microsoft investieren hier in Rechenzentren und Infrastrukturen. Dadurch bewahrt sich die Schweiz eine gewisse Unabhängigkeit beim Cloud-Computing. Es entsteht ein entsprechendes Ökosystem und die Wertschöpfung bleibt im Land.

Dominanz weniger globaler Akteure

Trotz all dieser Vorteile sind mit Cloud-Computing auch Risiken verbunden:

• Viel stärker als bei traditionellen IT-Dienstleistungen besteht bei Cloud-Dienstleistungen (insbesondere IasS – Infrastructure as a Service und PaaS – Platform as a Service) eine kritische Abhängigkeit von sehr wenigen, oft globalen, Dienstleistern. Diese Abhängigkeit ist bereits sehr gross und wird in den kommenden Jahren stark zunehmen, da viele Unternehmen und auch der Bund ausländische Cloudinfrastrukturen vermehrt nutzen werden. Der Ausfall eines Cloudanbieters kann einen grossflächigen Ausfall der Wirtschaftstätigkeit der Schweiz zur Folge haben, wobei ein Ausfall technischer, kommerzieller oder politischer Natur sein kann.

• Ausländische Behörden können auf in der Schweiz verarbeitete Daten aufgrund ausländischer Gesetzgebung mit extra-territorialer Wirkung zugreifen.

• "Vendor Lock-in" liefert Schweizer Behörden und Unternehmen den kommerziellen Interessen einzelner Clouddienstleister und/oder nationalstaatlichen Interessen ausländischer Regierungen aus.

Diesen Fragen muss sich die Schweiz stellen

Die Expertinnen und Experten des Cybersecurity Advisory Boards plädieren für die Klärung folgender strategischer Fragestellungen, die für einen sicheren Einsatz der Technologie von zentraler Bedeutung sind.

• Wie weit ist die Abhängigkeit von globalen Cloud-Anbietern für die Schweiz akzeptabel? Müssen Gesetzgeber oder Verwaltung Einschränkungen erlassen und zum Beispiel festlegen, dass Betreiber von kritischen Infrastrukturen nur bestimmte Cloud-Dienstleister wählen dürfen?

• Welches Niveau von Souveränität in Bezug auf ihre IT-Infrastruktur will/kann sich die Schweiz leisten und wie viel darf dies kosten? Dabei sind nicht nur die Kosten für "eigene" Technologien und Infrastrukturen zu berücksichtigen, sondern auch jene Kosten, welche Schweizer Unternehmen entstehen, wenn sie bestehende Infrastrukturen nicht wie geplant nutzen können und dadurch längere Produkt- und Dienstleistungsentwicklungszyklen in Kauf nehmen müssen.

• Ist es sinnvoll, dass die Schweiz, ähnlich wie Europa mit dem Gaia-X-Projekt, eine eigene Cloud schafft, um ihre Souveränität zu erhöhen?

• In welchem Rahmen sollen lokale Cloud-Dienstleistungsanbieter sowie die Entwicklung marktreifer Cloud-Technologien staatlich gefördert werden? Wer entscheidet und wie wird entschieden, welche Unternehmen und Technologien förderungswürdig sind?

• Welche Aufgaben in Bezug auf Cloud Computing sind zwingend durch den Staat zu erbringen? Für welche Themen bietet sich eine Zusammenarbeit mit Privaten im Rahmen von bspw. Public-Private-Partnerships an?

• Wie wird sichergestellt, dass staatliche Interventionen sowie mit Steuergeld finanzierte oder subventionierte Cloud-Dienstleistungen und -Produkte privatwirtschaftliche Investitionen und Innovationen nicht bedrohen oder wettbewerbsverzerrend konkurrenzieren?

Handlungsbedarf für die Schweiz

Die Experten und Expertinnen des SATW Advisory Boards Cybersecurity empfehlen die Umsetzung folgender Massnahmen:

• Risikoanalyse mit Fokus auf Abhängigkeit (inkl. Vendor Lock-in) von Cloud-Dienstleitern erstellen und Kriterien festlegen, wann diese als kritische Infrastruktur gelten.

• Erarbeitung von Krisenszenarien, die die Cloud-Infrastruktur betreffen; Festlegen der Governance für den Krisenfall und Üben des Krisenmanagements für Cloud-bezogene Szenarien (mit Beteiligung Bund und Private).

• Festlegen und Durchsetzen regulatorischer (Minimal-)Anforderungen bezüglich Sicherheit und Resilienz bei der Nutzung von Cloud-Dienstleistungen. Regulierung zurückhaltend, technologieneutral und vertrauensbildend ausgestalten, um Innovation und Cloud Adoption nicht zu behindern.
• Verbindliche, international durchsetzbare Policies bezüglich des Zugriffs auf Daten durch (ausländische) Behörden festlegen

• Es muss künftig möglich sein, Verwaltungsräte für Risiken verantwortlich zu machen, die sie beim Cloud-Computing eingehen oder die sie beim Thema Cybersecurity vernachlässigen.

• Förderung von in der Schweiz Wert generierender Forschung, Entwicklung und Vermarktung von Produkten und Dienstleistungen, die der Sicherheit und Resilienz der Cloud-basierten Infrastruktur dienen; Pflicht des Bundes, solche Produkte und Dienstleistungen, in Evaluationen miteinzubeziehen.

• Wirtschaft und Politik sollen für Cloud-Risiken sensibilisiert und über mögliche präventive Massnahmen bei der Nutzung von Cloud-Dienstleistungen informiert werden.

Die Cloud Computing Technologie wird auch weiterhin an Bedeutung gewinnen und aus Cybersecurity-Sicht relevant bleiben. Umso wichtiger ist es, dass sich die Schweiz heute mit den strategischen Fragestellungen und Herausforderungen auseinandersetzt und Lösungen entwickelt.

Dieser Text wurde im Jahr 2022 in leicht veränderter Form als Beitrag zur neuen Nationalen Strategie zum Schutz der Schweiz vor Cyberrisiken verfasst. Die Themenverantwortung liegt bei Matthias Bossardt, Head of Cyber and Digital Risk, KPMG Switzerland.

Folgende Mitglieder der SATW und des Advisory Boards Cybersecurity der SATW haben an der Erarbeitung des Textes mitgewirkt: Karl Aberer, Umberto Annino, Alain Beuchat, Matthias Bossardt, Roger Halbheer, Janine Hosp, Martin Leuthold, Adrian Perrig, Raphael Reischuk, Bernhard Tellenbach, Daniel Walther, Andreas Wespi und Nicole Wettstein.