Die AWS-Rechenzentren im Nahen Osten waren in der vorletzten Woche offline. 109 Dienste waren beeinträchtigt. Banken, Fahrdienst-Apps, KI-Plattformen – alle nicht erreichbar. Daraufhin riet AWS seinen Kunden dringend, Workloads in alternative Regionen zu migrieren. Viele fragten sich: Die alternativen Regionen? Irland, Virginia, Singapur? Sie hatten keine Notfallpläne.

Sebastian Scheele, CEO und Co-Gründer von Kubermatic aus Hamburg, weist aus diesem Anlass auf einen blinden Fleck der Cyberresilienz hin: „Genau hier liegt das Problem. Saudi-Arabiens Datenschutzgesetz (PDPL) verbietet die Übermittlung personenbezogener Daten ausserhalb des Königreichs ohne Genehmigung. Die Bankenaufsicht der VAE schreibt vor, dass Finanzdaten innerhalb der Landesgrenzen verbleiben müssen. Das Datenschutzgesetz von Bahrain verlangt eine ausdrückliche Einwilligung für grenzüberschreitende Datenübermittlungen.»

Und weiter: «Ein CTO einer Regionalbank stand somit vor der Wahl: Offline bleiben und Millionen pro Stunde verlieren oder in eine andere Region migrieren, den Dienst wiederherstellen und dabei riskieren, gegen die Anforderungen an den Datenspeicherort zu verstossen.»

Diese Lücke schliessen die meisten Souveränitätsrahmenwerke nicht. NIS2, PDPL, DIFC, ADGM – sie alle definieren, wo Daten im Normalbetrieb gespeichert werden müssen. Keine dieser Lösungen definiert, was passiert, wenn eine Region nicht mehr verfügbar ist und der Anbieter die Nutzer zum spontanen „Umzug“ auffordert.

Drei architektonische Lehren daraus sollten Unternehmen gemäss Sebastian Scheele daraus ziehen:

Ein Multi-AZ-Ansatz (Multi-Availability Zone) bietet Ausfallsicherheit gegen Hardwareausfälle, nicht aber gegen regionale Störungen. Fällt eine ganze Region aus, sind auch Ihre drei Verfügbarkeitszonen betroffen. Die Notfallplanung muss Szenarien jenseits von Infrastrukturausfällen berücksichtigen.
Datensouveränität ist eine Architekturentscheidung, nicht nur eine Compliance-Anforderung. Hängt die Souveränitätsstrategie ausschliesslich von einem einzigen Anbieter in einer einzigen Region ab, entsteht ein Single Point of Failure. Multi-Region- und Multi-Cloud-Architekturen sind zwar betrieblich anspruchsvoller, aber die einzigen, die einen regionalen Ausfall überstehen, ohne gegen Compliance-Vorgaben zu verstossen.
Jede Organisation, die Workloads in einer einzigen Cloud-Region betreibt, sollte eine dokumentierte Antwort auf folgende Frage haben: Was ist mein Plan, wenn mein Anbieter mich auffordert, diese Region zu verlassen?

Notfallpläne für die Cyberresilienz

«Die Cloud war nie unsichtbar», sagt Scheele. «Sie bestand schon immer aus Beton, Silizium und Kupfer in einem Gebäude mit einer Adresse. Diese Woche hat uns wieder einmal vor Augen geführt, dass die Infrastrukturplanung mehr als nur Verfügbarkeits-SLAs berücksichtigen muss. Es ist nun an der Zeit das Thema Souveränität auch im Zusammenhang mit Notfallplänen zu durchdenken!“