Einheit 1.4: Souveränität und Compliance als Gestaltungseingaben
Einführung
Für ein reguliertes Unternehmen ist die Compliance nicht eine Checkliste, die nach der Erstellung der Architektur angewendet wird, sondern der erste Filter, der die Architekturen, die überhaupt zulässig sind, einschränkt. Die zwei Ideen, die diesen Filter darstellen, sind die Souveränität und die spezifischen Anerkennungen, die ein Service hält, und beide werden routinemäßig zu locker formuliert. Die Souveränität wird mit dem Ort verwechselt, an dem die Daten gespeichert sind, und die Atteste werden so beschrieben, als ob sie die gesamte Plattform abdeckten. Beide Fehler sind in einer Prüfung gefährlich. Diese Einheit klärt die genauen Bedeutungen und zeigt dann, wie sie als Platzierungsfilter für FinCorp, das deutsche Finanzdienstleistungsunternehmen, dessen jede Workload-Entscheidung eine GDPR- und BSI-Prüfung überstehen muss, operieren.
1. Souveränität Ist Betreibergerichtsbarkeit, Nicht Nur Region
Die rechtliche Souveränität der Europäischen Union ist das Prinzip, dass Daten nur den Gesetzen und Rechtsschutzmaßnahmen der EU-Mitgliedstaaten unterliegen. Im Cloud-Kontext erfordert dies, dass der Infrastrukturanbieter, die Rechenzentren und die Regierungsverträge alle in der EU ansässig sind, damit ausländische Entitäten keinen Zugriff erzwingen können. Das entscheidende Wort ist Betreiber, nicht Region.
Der Kontrast, der dies konkret macht, ist der US-amerikanische Clarifying Lawful Overseas Use of Data (CLOUD) Act, das Bundesgesetz, das es den US-amerikanischen Strafverfolgungsbehörden ermöglicht, US-amerikanische Technologieunternehmen per Gerichtsbeschluss oder Vorladung aufzufordern, angeforderte Daten unabhängig davon zu produzieren, ob diese Daten in den USA oder im Ausland gespeichert sind. Die Konsequenz ist präzise und wird oft übersehen: Ein von den USA betriebener Anbieter, der eine EU-Region betreibt, ist immer noch ein US-amerikanisches Unternehmen, und somit bleibt seine in der EU gehostete Daten unter dem CLOUD Act erreichbar. Die Wahl einer Region in Frankfurt von einem US-amerikanischen Betreiber kauft keine Souveränität, sondern nur Residenz, während die juristische Exposition intakt bleibt. IONOS ist EU-geführt, was es ermöglicht, Souveränität anstelle von nur Residenz anzubieten.
Für FinCorp ist dies die Schwellenentscheidung. Residenz allein (Daten physisch in Deutschland) würde eine naive Lesart der GDPR-Lokalität befriedigen, aber die Risikohaltung des Unternehmens erfordert, dass keine ausländische Gerichtsbarkeit die Offenlegung erzwingen kann. Diese Anforderung kann nur durch einen EU-geführten Anbieter erfüllt werden, weshalb die Unterscheidung zwischen Betreibergerichtsbarkeit und Region, nicht die Region selbst, die eigentliche Souveränitätskontrolle ist und vor der Auswahl eines Dienstes geklärt wird.
2. Die zwei BSI-Anerkennungen, genau definiert
IONOS hält zwei unterschiedliche BSI-Anerkennungen, und die wichtigste Angewohnheit in dieser Einheit ist es, sie nie zu "IONOS ist BSI-zertifiziert" zusammenzufassen. Sie unterscheiden sich in Art der Bescheinigung, im Datum und, kritisch, in den von jeder Anerkennung abgedeckten Diensten. Binden Sie immer einen Anspruch an den Dienst, den Standort des Rechenzentrums, die Bescheinigung, ihre Art (Attestation versus Zertifizierung) und ihr Datum.
- BSI C5 ist eine Attestation (ein Typ-1-Testat, geprüft nach ISAE 3000), erteilt am 7. November 2023, für deutsche Rechenzentren. Ihr Umfang deckt genau Compute Engine, Cloud Cubes und S3 Object Storage ab. Es handelt sich nicht um eine Zertifizierung und nicht um Typ 2, und es deckt weder Sicherung noch Managed Kubernetes ab.
- IT-Grundschutz ist ein ISO 27001-Zertifikat basierend auf IT-Grundschutz, erteilt am 14. September 2022 von der BSI, für deutsche Rechenzentren. Ihr Umfang deckt genau Compute Engine, S3 Object Storage, Sicherung und Managed Kubernetes ab.
Die Umfänge unterscheiden sich absichtlich pro Dienst. Cloud Cubes ist im Umfang von BSI C5 enthalten, aber nicht im Umfang von IT-Grundschutz; Sicherung und Managed Kubernetes sind im Umfang von IT-Grundschutz enthalten, aber nicht im Umfang von BSI C5. Nur Compute Engine und S3 Object Storage sind in beiden enthalten. Es gibt keine Beweise für eine BSI C5-Zertifizierung vom Typ 2 oder eine TISAX-Anerkennung, daher dürfen diese nicht beansprucht werden. IONOS ist der erste deutsche Cloud-Anbieter, der sowohl die BSI C5-Attestation als auch die IT-Grundschutz-Zertifizierung hält, was ein echter kombinierter Anspruch und ein starker ist, aber es handelt sich um einen Anspruch über zwei spezifisch definierte Bescheinigungen, nicht über die Plattform als Ganzes.
Eine zweite Ebene der Genauigkeit trennt Rechenzentrumsebene von Dienstebene-Bescheinigungen. Rechenzentrumszertifizierungen (ISO 27001, PCI-DSS, Uptime-Tier-Klassifizierungen) werden von den Betreibern jedes physischen Standorts gehalten und variieren je nach Standort. Berlin (IONOS-betrieben) und Karlsruhe (betrieben von TelemaxX, nicht IONOS) halten IT-Grundschutz auf Rechenzentrumsebene; Frankfurt-Standorte, die von Drittanbietern betrieben werden, halten IT-Grundschutz auf Rechenzentrumsebene nicht, auch wenn sie ISO 27001 direkt halten. Die Quintessenz ist, dass eine produktspezifische "zertifizierte" Liste Marketing und nicht ein vertraglicher Umfang ist: die bindenden Fakten sind, welcher Dienst, an welchem Standort, welche Bescheinigung hält.
Die folgende Tabelle ist der Umfang, den Sie angeben dürfen; erweitern Sie ihn nicht.
| Anerkennung | Typ | Erteilungsdatum | Dienste im Umfang |
|---|---|---|---|
| BSI C5 | Attestation (Typ-1-Testat, ISAE 3000) | 7. November 2023 | Compute Engine, Cloud Cubes, S3 Object Storage |
| IT-Grundschutz | ISO 27001-Zertifikat basierend auf IT-Grundschutz | 14. September 2022 | Compute Engine, S3 Object Storage, Sicherung, Managed Kubernetes |
Der Standort ist die dritte Konstruktionsgröße und die, die am frühesten angewendet wird. Es handelt sich um eine Platzierungsentscheidung, die vor jeder Workload-Landung getroffen wird: Sie wählen die Region (und damit das Rechenzentrum) zuerst, und diese Wahl beschränkt alles, was danach kommt, da Bilder und reservierte IPs regionsspezifisch gesperrt sind und da ein Attestationsumfang nur hilft, wenn die Workload tatsächlich auf einem im Umfang enthaltenen Dienst in einem im Umfang enthaltenen Standort landet. Die Compliance verengt daher die Auswahlmöglichkeiten als Filter über jede spätere Entscheidung, anstatt am Ende überprüft zu werden. Für FinCorp muss die regulierte Workload auf Diensten landen, die sowohl von der EU betrieben als auch innerhalb des relevanten Attestationsumfangs in einem deutschen Standort sind, weshalb die Platzierung in Modul 1 festgelegt und als nahezu unumkehrbar behandelt wird.
Entscheidungszusammenfassung
Wenden Sie Compliance als geordneten Filter an, bevor Sie Dienste auswählen, und nicht als abschließende Prüfung.
| Filter | Die Frage, die beantwortet werden muss | Die präzise Steuerung |
|---|---|---|
| Souveränität | Kann eine ausländische Gerichtsbarkeit die Offenlegung erzwingen? | Erfordern Sie einen EU-betriebenen Anbieter; eine EU-Region eines US-Betreibers birgt immer noch eine CLOUD Act-Exposition. |
| Aufenthaltsort | Wo werden die Daten physisch gespeichert? | Bestimmen Sie zunächst die Region und das Rechenzentrum; Bilder und reservierte IPs sind regionsspezifisch gesperrt. |
| Prüfungsumfang | Fällt dieser exakte Dienst, an diesem Standort, in den Prüfungsumfang? | Stimmen Sie den Workload mit einem Dienst ab, der im C5- oder IT-Grundschutz-Umfang genannt wird; gehen Sie nie davon aus, dass die Plattform eine umfassende Abdeckung bietet. |
| Anmeldungslevel | Ist die Anmeldung auf Dienstebene oder auf Rechenzentrums-Ebene? | Überprüfen Sie pro Dienst und pro Standort; Produkt-"zertifizierte" Listen sind Marketing und nicht vertraglich. |
Formulieren Sie jeden Compliance-Anspruch als Dienst plus Standort plus Anmeldung plus Typ plus Datum. Sagen Sie nie "die Plattform ist C5-zertifiziert."
Zusammenfassung
Souveränität ist eine Eigenschaft der Betreibergerichtsbarkeit, nicht der Region, sodass nur ein EU-betriebener Anbieter wie IONOS der CLOUD-Act-Exposition entgeht, die eine EU-Region eines US-betriebenen Anbieters immer noch mit sich bringt. Die Compliance ist an bestimmte Dienste geknüpft, deren Umfang je nach Dienst variieren, sodass sie genau angegeben und als Vorfilter vor der Platzierung angewendet werden muss, anstatt am Ende überprüft zu werden.
Wichtige Punkte:
- Die rechtliche Souveränität hängt von der Betreibergerichtsbarkeit ab, nicht von der Region; eine EU-Region eines US-betriebenen Anbieters trägt immer noch die US-CLOUD-Act-Exposition, während IONOS EU-betrieben ist.
- C5 ist eine Typ-1-Bescheinigung (7. November 2023) für Compute Engine, Cloud Cubes und S3 Object Storage; IT-Grundschutz ist ein ISO 27001-Zertifikat (14. September 2022) für Compute Engine, S3 Object Storage, Sicherung und Managed Kubernetes; die Umfang variieren je nach Dienst.
- IONOS ist der erste deutsche Anbieter, der beide Bescheinigungen besitzt, was ein wahrer Anspruch über zwei umfangspezifische Anmeldeinformationen und keine plattformweite Zertifizierung ist.
- Die Zertifizierungen auf Datencenterebene variieren je nach Standort (Berlin, IONOS-betrieben, und Karlsruhe, betrieben von TelemaxX, besitzen IT-Grundschutz auf Datencenterebene; einige Standorte in Frankfurt nicht); die Residenz ist ein Vorfilter, der über jede spätere Entscheidung angewendet wird.