Folge 20: Souveräne Cloud bei SAP – Datenhoheit und Compliance im Cloud-Zeitalter

00:00:03: SAP Explain der Podcast für Themen rund um SAP.

00:00:09: Willkommen zu SAP Explain, der Podcast von Themen rundum SAP.

00:00:12: inzwischen Folge Nummer wo?

00:00:15: Zwanzig!

00:00:16: Richtig Ja heute bei mir mit dabei Tobias Stage.

00:00:22: Ich finde Stage ist heute mein, aber es wird auch stark gesagt.

00:00:27: Das passt noch

00:00:27: und wir haben wieder ein sehr interessantes Thema für euch mitgebracht.

00:00:31: Es soll heute darum gehen um die souveräne cloud oder um die sovereign cloud.

00:00:37: Ja, ich würde einfach mal anfangen.

00:00:38: Also versuchen ein bisschen euch heute in den nächsten zwanzig Minuten so ein bisschen über die souveräne cloud Informationen näher zu bringen weil dieses Thema ja so ein bischen oder auch sehr stark die Nachrichten verfolgt wird mitbekommen dass halt inzwischen das eigentlich so das Thema Nummer eins ist wo alle IT Kanäle drüber sprechen alles soll souverän sein soll sicher sein Und was das überhaupt ist, da wollen wir jetzt einfach mal so ein bisschen drüber sprechen.

00:01:03: Dass man einfach mal versteht Souveräne Cloud?

00:01:06: Was ist das überhaupt und was heißt das vor allem explizit auch im Kontext der SAP?

00:01:11: Ja also warum reden wir eigentlich über die Souverän Klaut?

00:01:14: und ja was ist das?

00:01:15: Überhaupt?

00:01:16: weiß ich willst du sonst Mal ganz kurz eine Einleitung geben?

00:01:19: bist Du überhaupt?

00:01:20: Warum sitzst du überhaupt mit mir?

00:01:21: Du warst ja schonmal hier.

00:01:23: Also nicht

00:01:24: zuvor sein zu gehen.

00:01:25: Du

00:01:25: bist ja auch kein Frisch Link Hier bei uns.

00:01:27: also von daher einige Zuhörer kennen dich ja Und jeder, der weiß auch das Tobi unser Sicherheitsmensch ist.

00:01:36: Nein also es geht um ISMS und Data Security Compliance.

00:01:39: und wie sicher sind denn überhaupt unsere Systeme?

00:01:42: Wir haben gedacht dass es ja eigentlich auch so voll dein Thema oder zumindest ein Teil deines Themas was du immer abdeckst nämlich Data Security compliance Wie sicher sind Systeme und das passt ja auch sehr gut zur souveränen Cloud.

00:01:55: Genau Ja Ich mache für dich schon gesagt die Security, aber die IT-Security nicht die Security an der Tür.

00:02:02: Hier bei uns in der Arbeit.

00:02:04: und ja die souveräne Cloud wo wir heute sprechen wollen das ist ja erstmal ein Begriff der umschreibt.

00:02:12: ich habe da oder ich benutze gerne diese Formulierung wie dass der Bundestag in eine Anfrage gemacht hat von der von der Linken glaube ich war das.

00:02:19: Die haben gefragt was bedeutet eigentlich souveränne cloud für euch?

00:02:21: Und die haben dann gesagt es bedeutet erst mal Ja ein Ort, eine Umgebung wo du Daten speichern kannst.

00:02:28: Wo du mit Daten arbeiten kannst die aber unter deiner Kontrolle liegen das muss ich jetzt sicher und es gibt keinen Zugriff von anderen und es bleibt unter deinem Daten- und Rechtshoheit.

00:02:37: Okay also das ist ja gerade ein sehr bringender Begriff vor allem in dem Cloud Computing umfällt.

00:02:43: Also grad wenn's darum geht habe ich ne Public Cloud, ne Private Cloud.

00:02:48: Bin ich irgendwo auf irgendwelchen Hyperscalern unterwegs, also je nachdem wie gehostet wird ist dann ja tatsächlich auch der Bereich Datenschutz Kompleien sehr wichtig.

00:02:57: und vor allem auch wer so ein bisschen in der IT Infrastruktur unterwegs ist.

00:03:01: Und vor allem in der Architektur weiß Wo steht überhaupt das Rechenzentrum?

00:03:04: Und ich glaube, dass ist so mit der wichtigste Punkt.

00:03:06: Wenn ich das so verstanden habe wie du gerade die Begriffserklärung versucht hast näher zu bringen, dass es halt darum geht wo sind überhaupt meine Daten?

00:03:14: Wo sind meine Rechner, meine Maschinen, die halt die Rechenleistungsverfügungen stellen?

00:03:20: Ich glaube, das ist halt so mit dem wichtigsten Punkt in diesem ganzen Kontext.

00:03:24: Ja und natürlich auch dann in dem Zugewehr hat dann Daten da drauf Welchen gesetzlichen Anforderungen oder regularen unterliegt sowas und kann es durch irgendeine Möglichkeit geben, dass jemand anders noch darauf zugreift.

00:03:38: Okay also tatsächlich mal wer so ein bisschen in der IT-Infrastruktur unterwegs ist auf den Hyperscalern da kann man ja auch immer auswählen in welcher Region soll das Ganze gehostet werden.

00:03:47: sind wir innerhalb Deutschlands?

00:03:49: nehmen wir Server im Ausland?

00:03:51: ich glaube das geht eher so in diese Richtung.

00:03:53: dann

00:03:53: auch genau richtig.

00:03:55: Also da gibt es verschiedene, also die verschiedene Lösungen wie man sowas realisieren kann.

00:03:58: Da gibt's auch paar Projekte in Deutschland von deutschen Unternehmen und auch von der SAP wo wir gleich nochmal eingehen werden.

00:04:06: Ja und noch mal so als Zusammenfassung also was bedeutet überhaupt die Souveräne Cloud?

00:04:11: Habe ich das so verstanden dass quasi... Das ist vor allem um die Datenresidenz geht.

00:04:16: Also wo liegen meine Daten?

00:04:18: Und bei der Deutschen Souverän Cloud gehts darum dass die Daten im eigenen Land bleiben.

00:04:24: Genau Dann halt.

00:04:25: zweiter Punkt ist die Zugriffskontrolle, also das halt auch geregelt wird.

00:04:30: Wer hat Zugriffs auf die Daten, die auf den Server gehostet werden?

00:04:34: Wie sind die Netzwerkeroten?

00:04:35: Geht zum Beispiel angefragte Daten gehen die erst nach Amerika und kommen dann wieder zurück nach Deutschland oder bleiben sie innerhalb Deutschlands oder nur innerhalb der EU?

00:04:43: Ich glaube es ist ja immer noch so ein... So eine Definitionssache wie souverän, eine souveräne Cloud sein soll.

00:04:48: Also gerade wenn man darüber spricht, wenn wir zum Beispiel über die digitale Souveränität von Behörden und Kritis also kritischer Infrastruktur sprechen hat das ja immer noch ne andere Bedeutung als wenn wir sagen ein Wirtschaftsunternehmen XY hat es betreibt eine souvereine Cloud beispielsweise.

00:05:07: Gerade wenn wir über Behördeneben kritische Infrastruktur da gibt's immer diese wunderschönen Abkürzung

00:05:14: Verschlusssache, nur für den Dienstgebrauch eine sehr hohe Anforderung im Bereich von dem Militärbereich und Defens umfällt.

00:05:23: Es gibt dann noch auch vielleicht bekanntere Sachen wie Critis und NS-II und DSGVO ist glaube ich das Bekannteste.

00:05:30: Sagen wir später nochmal etwas dazu.

00:05:32: aber es geht halt auch darum, dass gezeigt wird wer welchen gesetzlichen Regelungen unterliegt.

00:05:38: werden die eingehalten?

00:05:39: Wer hat Zugriff?

00:05:40: Wie werden die Daten verarbeitet Und wie kann ich den laufenden Betrieb überwachen?

00:05:45: Wie stellt sich das da für mich.

00:05:46: Okay, ja und da stellt sich halt die Frage warum ist denn diese digitale Souveränität oder speziell die souverine Cloud jetzt inzwischen so wichtig?

00:05:55: Warum spricht jeder darüber?

00:05:57: Das Problem wird eine Veränderung, die wir momentan haben geopolitisch ist dass wir Akteure haben Kriegeführen, die Demokratien verändern.

00:06:14: Die auch immer mehr sich abschotten und auch die Unternehmen, die dann in dem Land ansässig sind dazu zwingen Daten rauszugeben oder auch nach ihren eigenen Vorgaben für das eigene Land zu arbeiten.

00:06:27: Das ist eine Sache warum es wichtig wird sich mit der eigenen Datenhoheit zu beschäftigen stichwort souveräneklaut.

00:06:33: Ansonsten haben wir auch die EU auf EU-Ebene und auch auf Staatenebene gesetzliche Vorgaben, die sich damit beschäftigen, dass Datensicherheit oder nach bestimmten Vorgabendaten verarbeitet werden.

00:06:46: Zum Beispiel die ESGVO, die ich gerade schon erwähnt habe, die dann vorschreibt wie Daten von Bürgern oder von Institutionen verarbeitete werden müssen.

00:06:55: Wir haben jetzt eine relativ frische Sache, die Kritis um Einteilung und SII sind auch zwei Stichwörter Kritis, z.B.

00:07:03: alle Unternehmen die eine sehr besondere kritische Rolle in der Versorgung des Landes und der Versorgen der Bürger im Heim.

00:07:12: Das ist kritisiert

00:07:13: für Kritische?

00:07:14: Genau!

00:07:15: Gut

00:07:15: ja das sollten wir vielleicht noch in der Schippe sagen.

00:07:17: Danke.

00:07:18: Dafür hast du mich

00:07:19: nachzufragen.

00:07:21: Und da ist es dann auch bei diesen Unternehmen die in diese Krisenregelungen reinfallen sehr wichtig bestehenden Zugriff von außerhalb, von wem?

00:07:31: Weil wir haben sehr für das funktionierende Staates und der Gesetzgebung usw.

00:07:37: des öffentlichen Lebens da sehr wichtige Daten und die dürfen nicht in falsche Hände geraten.

00:07:41: Und es gibt auch von der EU so eine allgemeine Datenstrategie dass ja die EU oder der EU-Raum soll auch ein Datenpool werden Soll ein europäischer Datenbindenmarkt wird genannt wo dann auch Ja, die Webwerbsfähigkeit gestärkt wird wo die Daten verfügbar sind für Forschung von Mobilität und das soll innerhalb eines EU-Rahmes bleiben und dann auch nicht von außerhalb irgendwie abgegriffen werden können.

00:08:06: Das sind alles so Regelungen, die zusammen mit solchen nationalen Regeln wie den USA der US Cloud Act zum Beispiel.

00:08:15: oder es geht auch den Patriot Act, der schreibt zB vor dass in einem besonderen terroristischen Fall oder irgendeine Einstufung des Landes dann auch die DOS unter Die Behörden auf die Daten der Unternehmen, der Produkte.

00:08:29: Und unter kurze Zwischenfrage dazu.

00:08:31: das heißt aber auch also du hast jetzt gerade den US Cloud Act angesprochen wenn ein deutsches Unternehmen beispielsweise Hyper Scala Infrastruktur benutzt und sagt die Daten dürfen in Amerika, US, Noss, Virginia oder so gespeichert werden unterliegen die im dem Moment auch den US cloud Act weil die Hardware in Amerika steht?

00:08:52: Ja,

00:08:53: theoretisch schon.

00:08:54: Also das ist auch immer wieder ein Streitpunkt, welcher nationale Regelung dann gilt.

00:08:58: Ist dann das greift an die amerikanische Regelungen und so weiter.

00:09:02: aber in den meisten Fällen wenn es da irgendwie im beruhen kommt greift doch dieser nationale gesetz gaben los.

00:09:08: Und jetzt macht es auch Sinn dass man immer mehr in Richtung souveräne cloud geht wo man dann sagt okay datenzugriffsberichtigung Der ganze Netzwerk Krams, der soll innerhalb des eigenen Landes bleiben und genauso etwas die diese quasi.

00:09:23: Ja dieser extraterritorialen Gesetze auszuheben so dass halt ein deutsches Unternehmen nicht plötzlich in Amerika von dem US Cloud Act irgendwie

00:09:32: genau richtig

00:09:33: alles klar okay.

00:09:36: Gut das hat auf jeden Fall schon mal geholfen um überhaupt einschätzen zu können was ist überhaupt die Souveräne cloud was ist digitale Souveränität?

00:09:44: jetzt ist halt die Frage Warum spricht er aktuell jeder drüber?

00:09:47: Okay, haben wir gerade auch darüber gesprochen durch die geopolitischen Spannung.

00:09:50: Die da aktuell vorherrschen.

00:09:52: und ja Unternehmen Behörden wollen halt wissen wo ihre Daten letztendlich auch liegen Und jetzt wollen wir mal darüber sprechen.

00:09:59: also ist ja auch kein neues Thema im Bereich der SAP.

00:10:02: Also klar jeder spricht über digitale Digitalesouveränität.

00:10:06: natürlich muss die SAP auch mitgehen.

00:10:08: Da hat die Frage Ja Was gibt es da so Aktuelles von der SAP?

00:10:16: Hast du da schon irgendwas mitgekriegt, also man liest ja auch sehr viel drüber.

00:10:21: Also

00:10:22: die SAP hat natürlich... Das ganze hat angefangen so zwei tausend acht neunzehn als sie bei SAP angefangen hat auch massiv in cloud Infrastruktur investieren oder auch ihre Produkte für als Software Service anzubieten.

00:10:34: da hatten wir ja schon mal einen anderen podcast drüber gesprochen.

00:10:36: also quasi der der wechsel von der cloud first strategie der SAP hin zur cloud only Strategie stichwort bis es technologie plattformen cloud rp cloud eap public cloud private

00:10:48: Genau und dann dieses Cloud-Only Prinzip verbunden mit den Anforderungen, dass wir jetzt sensible Daten haben.

00:10:53: Dass wir auch Compliance und gesetzliche Vorgaben haben die eingehalten werden müssen.

00:10:57: Datenhochheit wäre auch Datenverarbeitung.

00:11:01: all das muss überprüft werden und das hat halt auch für die SAPD ja die Notwendigkeit ergeben dort etwas zu schaffen.

00:11:06: Das nennt sich jetzt die SAP Storage Cloud Und die SAP hat da, wie zum Beispiel jetzt hat sie.

00:11:12: neuerdings heißt es auch SAP EU Cloud oder EU Cloud.

00:11:15: sowas bietet die SAP an und dann kann man verschiedene Angebote der SAP nutzen.

00:11:23: Je nachdem ob man jetzt ein Unternehmen eine Behörde ist um seine Daten und Dienste auf verschiedenen Weisen in einer sovereignen Cloud von SAP zu bringen.

00:11:33: Ja gut macht ja auch Sinn weil SAP als das ERP Enterprise Resource Planning System schlechthin, wo halt die ganzen sensiblen Daten drin sind.

00:11:43: Macht ja schon Sinn dass man da auch so ein bisschen sehr speziell auf Datenschutz Data Security Compliance gucken muss.

00:11:51: und gerade mit der Cloud Unistrategie der SAP.

00:11:53: also ich habe es grad schon erwähnt Cloud ERP, Cloud ERp Private Es gibt andere Lösungen Customer Data Center Options, Submarine Cloud wo wir jetzt drüber sprechen Partner Managed Cloud on-prem Systeme, aber gerade dieser ganze Bereich mit dem Cloud.

00:12:09: Das muss ja dann auch schon irgendwie sichergestellt sein dass man halt all diese Regularien einhält und da jetzt nicht irgendwie im Cloud ERP plötzlich in Amerika gespeichert werden obwohl wir als deutsches Unternehmen eigentlich die Hoheit über unsere Daten und Systema haben wollen.

00:12:23: Genau Und da gibt es ja von der SAP auch verschiedene Angebote, was du gerade gesagt hast vom Cloud ERP.

00:12:32: Also das Cloud ER P und Cloud ERY Private sind ja erstmal die ERP-Lösungen für verschiedenen Cloud Ausprägungsvarianten.

00:12:39: dann kann man sich entscheiden okay man möchte die SAP Server im Cloud zusammen mit einem Hyperscaler doch machen einen großen Hyperscale über wie AWS Google Cloud oder was ist dann so weiter und soweit was es dann noch so gibt?

00:12:50: Oder man sagt man möchte Das ist dann die On-Site-Variante.

00:12:54: oder man sagt, man möchte Sovereign Cloud SAP auf seine eigene Infrastruktur betreiben.

00:12:58: Oder man sagt auf SAP Struktur in Europa.

00:13:01: also da hat die SAP verschiedene Angebote für was ganz Interessantes zu wissen.

00:13:04: Für Behörden und ja für die Digitalisierung des Staates gibt es die DelosCloud.

00:13:11: das ist ein Tochterunternehmen der SAP Und das ist speziell dann für so Behörden Anforderungen angepasst.

00:13:17: Ja, wobei ich tatsächlich also gut dass du es ansprichst Ich habe gelernt, dass das momentan alles noch im Ausbau ist.

00:13:23: Also Delos Cloud gibt es Es gibt von T-Systems Es gibt die Stack-It Es gibt Die SSC Also die SAP Submarine Cloud mit dem eigenen Data Center der SAP in St.

00:13:33: Leon Rot.

00:13:34: und so wie ich, mein letzter Stand ist glaube ich das was du gerade angesprochen hattest also alles was in Richtung Kritis VSNFD Behörden Cloud geht dass das aktuell nur bisher in der Cloud der SAP funktioniert also direkt gehostet in St.-Leon-Rot Und dass die anderen Unternehmen grade dabei sind diese Zertifizierung zu bekommen.

00:13:54: Also das heißt wenn man merkt auch da dran dass das halt Thema Nummer eins ist und dass da halt momentan sehr viel passiert Und das auch der Ausbau auf den ganzen großen Hyperscaler momentan sehr gut vorangeht.

00:14:05: Also dass man aktuell ist es halt noch nicht möglich, dass man Cloud ERP souverän auf dem AWS oder Azure oder ein GCP bekommt.

00:14:14: aber die Roadmap sagt da kommt was?

00:14:18: Es gibt es ja genau.

00:14:19: also da ist sehr viel Spiele momentan.

00:14:21: wenn man auch sich mal die neuesten Nachrichten dazu anguckt dann sieht man das da auch echt viele Bewegungen drin ist.

00:14:26: Was zum Beispiel jetzt ganz aktuell ist, was jetzt passiert ist.

00:14:29: SAP hat es jetzt erstmalig mit Thales zusammen.

00:14:32: Thales ist ja ein oder französischer Rüstungshersteller die haben eine Tochterunternehmen das hat ne Cloud Infrastruktur, die hat einen ganz komplizierten Namen, die basiert wiederum auf einer Google Cloud Plattform Die haben aber ein besonderes Zertifikat.

00:14:48: dazu sag ich nachher auch noch mal mehr wenn wir in den Ausblick gehen Das ist das Psegnum-Zertifikat und das bescheinigt sozusagen dieser Cloud-Plattform von dem Brüstungsunternehmen, dass ja Souveränitätskriterien erfüllt sind.

00:15:03: Und SAP hat mit denen jetzt einen erstmaligen Auftrag geschlossen der auch so erst mal die erste ist eine Art, wo Komletzterverncloud ausgerollt wird auf von französischen Sicherheitskriterien und zertifizierten Google Cloud Platform.

00:15:19: Also so wie ich das verstanden habe, ist es ja auch immer noch eine Unterscheidung wie souverän?

00:15:25: Ganz salopp gesagt denn tatsächlich auch eine Lösung sein soll.

00:15:29: also ob wir nun wirklich für Behörden unterwegs sind was der diese VSNFD-Stufe haben muss, ob wir im Kritisbereich unterwegs sind oder ob wir nur einfache wirtschaftliche Unternehmen haben die halt trotzdem Hoheit über ihre Daten in einem Land haben wollen.

00:15:42: Das ist ja immer noch ein großer Unterschied, je nachdem welche Zertifizierung das hat wie sicher ein System sein soll.

00:15:48: Also man kann auch wirklich sehr tief reingehen und sagen okay wir haben jetzt Zwar die Hardware in Deutschland stehen und auch es ist garantiert, dass die Routen, die Netzwerkerouten auch nur innerhalb des Landes bleiben.

00:15:59: Aber letztendlich kann man ja noch viel tiefer in die Materie reingehen und sagen Ja Die Server, die aber da betrieben werden Da ist zum Beispiel ein Operating System drauf, Made In America.

00:16:09: Wie souverän ist das dann noch?

00:16:10: Also das sind ja auch all solche Kriterien, die halt bei der Zertifizierung berücksichtigt werden

00:16:15: muss.

00:16:15: Ja richtig oder auch ganz abstraktes Beispiel Es wird zum Beispiel auch in Europa gehostet oder bis man so keinen Extraktsbeispiel, aber einem was nicht sofort einfällt.

00:16:25: Man es wird in Europa gehostet und hat vielleicht sogar auch europäischer Hardware also wirklich physisch das was in Europa steht.

00:16:30: Aber man benutzt zum Beispiel den Azure ID zum Beispiel von Microsoft und dann werden ja auch bestimmt zum Anmelden auf diesen Plattformen.

00:16:43: Und dann werden auch Tokens ausgetauscht, das wiederum kann dann auch schon dazu führen dass es irgendeinem Cloud Act in den USA unterliegt.

00:16:49: und da hat man da auch schon wieder ein Wunderpunkt wo man sagt okay ist das nicht noch souverän nach welchen Kriterien und so weiter fällt das?

00:16:55: Ja aber gut dass du es ansprichst.

00:16:57: also da fallen dann auch Sachen mit runter.

00:16:58: ok wie souveräntes ein System.

00:17:01: Aber wenn man jetzt beispielsweise als Unternehmen das klassische M-Dreif, mit der ganzen Teams Umgebung und so benutzt.

00:17:06: Das ist dann ja auch so eine Sache, viel nur jetzt gerade so ein... Punkt, wo man darüber nachdenken muss.

00:17:13: Bei Bender muss ja die so wirklich eine Cloud eigentlich vollumfänglich in einem Unternehmen abgebildet

00:17:18: werden.

00:17:18: Ja richtig!

00:17:19: Also das ist natürlich auch ein Thema was gerade rumgeht.

00:17:23: Abhängig wollen wir noch sein von irgendwelchen großen Drittanbieter Software oder setzen wir auf Open Source und einen offenen Technologiesteck?

00:17:31: Bundesland schließlich Holstein hat es vorgemacht.

00:17:34: Die haben das schon komplett intabiert in ihrer Verwaltung.

00:17:37: Bayern zum Beispiel hat das Gegenteil gemacht, die haben dann noch mehr auf Microsoft gesetzt.

00:17:40: Also da gibt es auch unterschiedliche Lösungsanalyse verfahren und...

00:17:43: Ja, da muss man halt immer so gucken was ist denn letztendlich auch die beste Lösung?

00:17:47: Richtig!

00:17:48: Da ist sehr viel Bewegung dran.

00:17:49: dieses Thema Software in Cloud hängt mit diesem Welche Tools nutzen wir und den Datenspeisen wir da ein und benutzen wir hängt damit sehr stark zusammen.

00:17:57: Das geht ja auch noch mal zurück auf die SSC, also die SAP Submarine Cloud zu kommen.

00:18:02: Da ist es ja genau das gleiche.

00:18:04: Also wir haben gerade über die unterschiedlichsten Services und Software-Service-Lösung, Plattform-Saleservice-Gesprungen von der SAP.

00:18:10: Da geht es ja auch darum.

00:18:11: Die können jetzt mit dem Fingerschnipsen und sagen alles auf die souveräne Cloud, sondern das ist ja auch immer abhängig davon.

00:18:18: Habe ich einen speziellen Service der auf der BTP in irgendwelchen Global Accounts läuft?

00:18:22: Das funktioniert ja teilweise auch in gewissen Regionen und Zonen.

00:18:26: D.h.,

00:18:26: es muss daher erst mal sichergestellt werden dass die Hardware also das Blech was halt ganz da lobt dafür benutzt werden muss um diese Lösung zu hosten, Deutschland bereitgestellt werden.

00:18:38: Also das ist ja auch ein sehr großes Infrastrukturthema, was damit einspielt.

00:18:43: Genau richtig!

00:18:44: Man kann insgesamt sagen die SAP hat damit angefangen und mittlerweile auf einem besseren Weg.

00:18:50: Die wird wahrscheinlich auch noch besser werden, was diese Angebote angeht.

00:18:55: Die DSHG, also die deutsche SAP Anwendergruppe sozusagen, die Partner- und Kundenseite verfolgt das Thema auch aktiv und nimmt da immer wieder Einfluss.

00:19:04: können wir das nicht noch irgendwie besser machen.

00:19:05: Also da ist die SAP sehr offen für Feedback und setzt es dann auch rum, da wird auch schon einiges umgesetzt.

00:19:12: Ansonsten haben wir ja auch noch paar alternative europäisch-europaweite Alternativen oder Vorgehen.

00:19:20: zum Beispiel gibt's halt das GAIA X. Das darf man nicht verwachsen, dass jetzt kein neuer Cloud anbietet oder sowas was bisschen verwechselt wird sondern das ist erstmal ein Konzept von der EU Da solche Souverän Cloud oder auch solche Technologiestecks auf offener Hardware, auf offene Software und auf offenen Schnittstellen basieren.

00:19:39: Also offen heißt das ist ja die Konzeption der Quellcode ist einsehbar.

00:19:45: Man weiß wie das funktioniert.

00:19:46: Offen heißt nicht dass es nicht verschlüsselt sondern klar ist immer noch... Das Ganze unter etablierten Standards für die Verschlüsselung.

00:19:55: und das da, welche sind die Abhängigkeit von irgendwelchen Drittanbieter Software, dass da gelöst wird.

00:20:00: Das ist GAIA-X, das ist eine Sache.

00:20:02: Und es gibt in Frankreich gibt es die ANSI, das isst die Französische Zeibersicherheitsbehörde und hat einen Zegnom-Zertifikat für souveräne Cloud Umgebungen erstellt, das jetzt ziemlich anerkannend auch schon weit überarbeitet und das wird dann auch vom französischen Behördenunternehmen gefordert, wenn man irgendwie in die Richtung gehen möchte.

00:20:23: Und analog dazu was in der EU entwickelt wird das ist das European Cyber Security Schema und das ist praktisch das gleiche wird vielleicht auch das Französische irgendwann ablösen.

00:20:35: Das ist ein Katalog von Kriterien nachdem man sich zertifizieren lassen muss um wirklich zu zeigen hey Wenn du bei mir eine souveräne Cloud einrichtest, dann bleiben deine Daten unter deinem Zugriff.

00:20:50: Die fließen nicht ab!

00:20:51: Wir sind auch auf nationalen EU-Rechten oder auf dem französischen oder deutschem Rechtsboden beheimatet und nur die gesetzlichen Regengreifen da.

00:21:00: Und dieses Zertifikat ist jetzt in Arbeit.

00:21:03: Es gibt zum Beispiel vom BSI... um jetzt auch nochmal zwei zu nennen, das C-Fünf.

00:21:07: Das sind die Vorgaben für Cloud-Küssigrechts-Cloud-Computing und ganz neu auch die C-IIIA wenn ich mich da nicht vertube, dass dann auch noch mal Souveränitätskriterien vom BSI also von Bundesamt für Sicherheit und Informationstechnik auch für digitale Souveräne Clouds.

00:21:23: Also da ist ganz viel Zertifizierung und Nachweisflicht in den Kommen so dass man da auch irgendwann darauf vertrauen kann Dritten neu, dritten neutralen Partei zertifiziert wurde und dass man da sicher gehen kann.

00:21:36: Das

00:21:36: ist auch das was ich ganz oder was ich ja auch schon zwischenzeitlich sagte mit der Souverän Cloud der SAP, dass da halt momentan sehr viel in diesem Zertifizierungsprozess drin ist.

00:21:45: also BSI ist da halt immer sehr oder ist da hauptsächlich dran beteiligt weil da halt auch gesagt wird okay dieser ganze Kriterienkatalog wo du gerade eben gesprochen hast der muss halt auch irgendwie abgebildet werden in der cloud.

00:21:56: so

00:21:57: Ja richtig genau.

00:21:59: Ansonsten ist das ja ein Thema, was jetzt ongoing ist und für Unternehmen, die jetzt aber vielleicht auch in den Schritt Richtung Cloud gehen wollen.

00:22:11: Und auch besondere Sicherheitsanforderungen haben wir auch für Behörden und alles aus dem Defensebereich oder Kritis ist das eine Entwicklung, die auf jeden Fall in die richtige Richtung

00:22:20: geht.".

00:22:21: Auf jeden Fall, also gerade auch durch die Strategie der SAP Cloud Only ist man ja mehr oder weniger auch salopp gesagt gezwungen.

00:22:29: Ja

00:22:29: früher oder später in die cloud zu gehen.

00:22:31: von daher muss es da ja auch irgendwie Angebote geben.

00:22:34: das halt grad solche speziellen Unternehmen Die halt der kritis oder tv als nfd unterliegen dass sie halt auch ein chans haben überhaupt mitgehen zu können wenn man nicht nichts desto trotz geht er trennt und dann muss man halt immer so ein bisschen abwägen was so Best way to go ist für ein Unternehmen so, welchen Weg man einschlägt.

00:22:52: Also man kann ja auch sagen, man macht eine Kombination aus mehreren Sachen.

00:22:55: das heißt so Man hat Sachen in der Public Cloud beziehungsweise in der Private Cloud, man hat Sachen On-Prem nach wie vor und man hat dann Sachen in einer Souverän Cloud.

00:23:04: Das muss man ja immer so ein bisschen abwägen Wie schnell stehen denn überhaupt die einzelnen Software as a Service Lösung In einer sovereign Cloud?

00:23:13: Ja bereit und vor allem auch was ich so gemerkt habe in der Vergangenheit, dass diese Definition welchen Level einer Souveränität in der Cloud gegeben ist.

00:23:23: Das muss noch viel spezieller ausgeprägt werden.

00:23:26: Also das man wirklich sagt okay Level eins ist keine Ahnung normale Souveranität, Level zwei ist kritische Infrastruktur, Level drei ist VSNFD also daß man die einzelnen Abstufungen in der Souveräen Cloud oder in der digitalitäter Digital Digitalen Welt hat so

00:23:44: für das

00:23:44: Wort.

00:23:45: Ich glaube, dass ist auf jeden Fall das wo man zukünftig noch ein bisschen mehr... Also aus meinem Blick her, wo die Definition auch ein bisschen

00:23:53: stärkt werden muss und da werden uns dann irgendwelche Zertifizierung nach bestimmten Levels dann auch helfen genau das einzuschätzen.

00:24:00: Ja cool!

00:24:01: Ich glaube das hat auf jeden fall schon mal für einen sehr guten Überblick oder hatten sehr gute Überblicke schaffen was denn überhaupt die Souveräne Cloud oder allgemein die Sövrinität bedeutet Wie gesagt, momentan in aller Munde und wir haben versucht das jetzt einfach mal so ein bisschen abzubilden.

00:24:18: Ich weiß nicht, hast du noch Fragen?

00:24:19: Ist irgendwas was noch offen ist, was ich dich nur nicht gefragt habe?

00:24:22: Also ich mein, das ist ja ein Thema, was sehr weit gefächert ist aber ansonsten...

00:24:27: Na, ich hab gezwungen.

00:24:28: Gerade keine Fragen.

00:24:29: Ja gut, meine Fragen hast Du auf jeden Fall beantwortet die ich mir vor dieser Aufnahme gestellt habe.

00:24:34: Es freut mich!

00:24:35: Sehr schön, vielen Dank dafür.

00:24:36: Ja und dann auch nochmal der Hinweis an euch.

00:24:40: Vielen Dank erstmal dass ihr Folge zwanzig mit verfolgt habt die digitale Souveränität in der Cloud sehr gerne auch nach wie vor.

00:24:48: wenn ihr Feedback habt Wünsche oder was auch immer wir zukünftig in diesem Podcast mal bearbeiten sollen oder mal darüber sprechen sollen schreibt uns einfach eine E-Mail an podcast SAP-X-Plane.de.

00:25:00: Ansonsten, ich glaube in die Show-Nurz unten packen wir nochmal so ein paar Informationen rein über die aktuelle Roadmap von der SAP.

00:25:07: Wo es um die souveräne Cloud geht also die SAP Savorain Cloud das man mal sieht was du so in Zukunft kommt.

00:25:13: und dann bleibt mir eigentlich nur noch zu sagen Tobi vielen Dank dass Du mit mir heute hier warst.

00:25:18: Dafür ist ein bisschen Einblick in die souvorene Cloud gegeben haben

00:25:20: ja kann wohl mich gefreut.

00:25:22: Vielen Dank und bis ganz bald.

00:25:24: schnell lass ich dich nicht gehen.

00:25:26: vielen dank euch bis zum nächsten Mal

00:25:28: tschüss

00:25:30: gemeinsam Freiräume schaffen.