Auch die Grenzenlosigkeit hat ihre Grenzen. Wer sich im grenzüberschreitenden Cloud Computing tummeln will, muss sich mit den Fallstricken nationaler Gesetzgebungen auseinandersetzen – oder sich mittels Marktmacht darüber hinweg setzen.
Während zum Beispiel US-amerikanische Service-Provider sich gegenwärtig im wichtigsten europäischen Markt – nämlich Deutschland – verwundert die Augen reiben, weil hierzulande die Datenschutzbestimmungen etwas enger gefasst sind als im globalen Kontext, bemüht sich die US-amerikanische Bundesregierung derzeit, ein wenig Regulierung in den Dschungel des Geschäfts mit der Wolke zu bringen. Dort werden derzeit Standards für Anbieter entwickelt, die den Bundesbehörden Dienste anbieten wollen. Das Ganze steckt zwar noch in den Anfängen, hat aber schon mal einen mordsmarketingmäßigen Namen: FedRAMP für Federal Risk and Authorization Management Program.
FedRAMP – das suggeriert eine Rampe, einen Aufstieg einen Weg zum Geschäft mit den Bundesbehörden. Doch was die General Services Administration (GSA) letzte Woche der staunenden Öffentlichkeit vorstellte und als Königsweg in die „sichere Cloud“ präsentierte, klingt doch auch ein wenig nach Marktzutrittsbarriere. Denn nur wer die außerordentlich langwierige Prüfung bestanden hat – mit den ersten Ergebnissen wird nicht or Ende 2012 gerechnet -, darf ins Bieterrennen um öffentliche Aufträge einsteigen. Mehr ist damit allerdings noch nicht erreicht.
Der Vorteil für den Einkauf liegt auf der Hand: die einzelnen Ämter der US-Regierung und nachgelagerten Behörden müssen nicht mehr jeder für sich über die Kriterien und die Eignung der Anbieter nachdenken, sondern können auf ein zentrales immerhin 160 Prüfpunkte umfassendes Zulassungsverfahren zurückgreifen. Dabei werden die Rahmenbedingungen zur Sicherheits- und Verfügbarkeitskriterien in enger Abstimmung mit dem Department of Homeland Security (DHS) oder der Geheimdienstorganisation NSA (National Security Agency) festgelegt.
Hier aber liegt die Crux: einmal draußen, immer draußen – das dürfte die brutale Wirklichkeit für viele europäische Anbieter ab dem kommenden Jahr sein. Zwar wird argumentiert, dass mit dem neuen Zulassungsverfahren auch kleine (oder ausländische) Anbieter neben den Wolken-Plattformen wie Amazon, Google, Microsoft oder HP Chancen haben. Doch der Praxistest wird zeigen, wie offen das Assessment dann tatsächlich sein wird.
Kein Wunder, dass europäische oder asiatische Anbieter wie zum Beispiel SAP schon jetzt auf einen Gegenentwurf drängen, der nicht nur offener sein soll, sondern auch früher fertig. Der Definitionsrahmen soll darüber hinaus auch europäische Vorstellungen von Datensicherheit, Verfügbarkeit, Vertrauenswürdigkeit und Integrität zum Ausdruck bringen. Damit wäre durchaus Konfliktpotenzial mit dem US-Standard geboten.
Aber nicht nur dort – auch innerhalb der europäischen Grenzen wird durchaus vielzüngig über Cloud-Standards diskutiert. Zwar gibt es in Brüssel ausreichend Initiativen, die zum Thema Datensicherheit und Integrität auf Einigung drängen. Aber nach deutschem Recht beispielsweise ist die Auslagerung von personenbezogenen Daten auf ein Rechenzentrum jenseits der Grenzen bereits kritisch. Die Erkenntnis dämmert derzeit einigen US-Anbietern, die nach bekanntem Muster zunächst eine Europa-Zentrale für ihre Cloud-Services errichten, dann aber feststellen müssen, dass sie damit noch lange nicht den Kontinent erobert haben. Denn auch aus der Wolke heraus sind in der EU noch Grenzen sichtbar. „Yes, wie can cloud“, gilt damit noch lange nicht in jedem EU-Mitgliedsland.