Setzen wir (nicht nur) unsere digitale Souveränität aufs Spiel?: Informationstechnische und rechtliche Aspekte eines Cloud-Betriebs kritischer Infrastruktur

Abstract

Ziel dieser Thesis war die Beantwortung der Forschungsfrage, wie Betreiber der kritischen Infrastruktur Cloud-Dienste für Kernkomponenten ihrer Tätigkeiten einsetzen können und welche Risiken, aber auch Vorteile damit einhergehen. Der Fokus wurde dabei auf Österreich gerichtet.Dabei wurde tiefgehend die aktuelle und zukünftige rechtliche Situation – insbesondere Entwicklungen innerhalb der EU – analysiert. Es wurden Unterstützungsangebote zur Compliance der marktdominierenden Public Cloud-Anbietern verglichen und wie diese mit rechtlichen Anforderungen kompatibel sein könnten. Um die aktuelle Cyber-Sicherheitslage zu beurteilen, fand eine Auswertung der medialen Berichterstattung über Sicherheitsvorfälle bei österreichischer kritischer Infrastruktur sowie bei großen internationalen Public Cloud-Dienstanbietern statt. Zur Erhebung des Status-Quo bei kritischer Infrastruktur in Österreich, kamen Interviews mit Expert:innen zum Einsatz. Dabei wurden Probleme bei der sehr heterogenen europäischen Rechtslage mit unklaren und in der Praxis für Betreiber schwer umsetzbaren Anforderungen identifiziert. Gleichzeitig gibt es kaum Judikatur zu diesen ungeklärten Fragen, da manche Regulative noch nicht anwendbar sind. Ferner muss von einem Zugriff durch US-Behörden auf europäische Daten bei US-amerikanischen Cloud-Dienstleistern ausgegangen werden. Der Cloud-Betrieb kann die Aufsicht allerdings vereinfachen: Mit dem Einsatz eines Cloud-Dienstes durch mehrere beaufsichtigte Einrichtungen können sich Synergien ergeben, da mit der Überprüfung eines Cloud-Anbieters die Systeme aller relevanten Kund:innen gleich mitgeprüft werden können. Bei den Unterstützungsangeboten zur Compliance kündigen die Cloud-Dienstleister an, bei neuen rechtlichen Vorgaben unterstützen zu wollen. Bei der Adaption von Cloud-Lösungen herrscht bei der österreichischen kritischen Infrastruktur teilweise Zurückhaltung, was den Einsatz für Kernkomponenten angeht – mit Ausnahme des Finanzsektors. Für Europa besteht die Gefahr, dass sich die massiv sinkende digitale Souveränität durch den Einsatz von Cloud-Diensten aus Drittstaaten auf andere Bereiche auswächst.

The aim of this thesis was to answer the research question, how entities of the critical infrastructure can use cloud services for their core components and what advantages and risks this entails. The focus has been placed on Austria.This involved in-depth analysis of the current and future legal situation, especially on developments taking place in the European Union. A comparison of the compliance offerings of the major public cloud service providers was performed, along with a validation of their compatibility with legal requirements. In order to assess the cybersecurity situation, an evaluation of media coverage regarding cybersecurity incidents in which Austrian critical infrastructure and public cloud providers were affected was carried out. To survey the status quo at Austrian critical infrastructure, interviews with experts in the fields took place.Problems relating to the heterogeneous European legal framework with unclear requirements that are difficult for operators to implement in practice were identified. At the same time, there is hardly any case law on those unresolved issues, due to the fact, that many regulations are not applicable yet. Furthermore, access to European data by US authorities for US cloud providers must be assumed. However, cloud operations could simplify regulatory oversight, as the use of several operators can result in synergies: auditing the cloud provider could cover the systems of its customers as well. In respect to compliance offers, cloud providers announce support for their customers in regard to legal requirements. Austrian critical infrastructure is sometimes reluctant to adapt cloud solutions for their core components — except for the financial industry.There is a risk for Europe that the massive decline in digital sovereignty going hand in hand with the usage of cloud services provided by third counties will spread to other areas as well.