Rahmenvertrag: EU-Kommission nimmt Oracle für Cloud-Dienste an Bord

Die EU-Kommission hat einen Rahmenvertrag mit Oracle zur Bereitstellung von Cloud-Diensten abgeschlossen. Dies teilte der kalifornische Konzern am Montag mit. Die gesamte EU-Verwaltung mit ihren diversen Behörden, Agenturen und sonstigen Einrichtungen kann demnach künftig die über 100 Services abrufen, die über die Oracle Cloud Infrastructure (OCI) laufen. Der Entscheidung vorausgegangen war ein wettbewerbliches Vergabeverfahren. Die Vereinbarung soll zunächst für sechs Jahre gelten.

Eigene Cloud-Zone

Die OCI punkte mit strenger organisatorischer und architektonischer Sicherheit, erläutert Oracle. Diese werde "mithilfe einer umfassenden Palette" an zu erfüllenden Merkmalen erreicht. Dazu gehörten "fortschrittliche Verschlüsselungstechnologien, integriertes Identitätsmanagement und strenge Zugriffskontrollen". So könnten EU-Institutionen regulatorische Anforderungen "mit geringerem Risiko und niedrigeren Kosten" erfüllen. Die hauseigene Cloud-Infrastruktur ermögliche Behörden "die sichere Speicherung, Verarbeitung und Analyse von Daten bei gleichzeitiger Erfüllung strengster Datenschutzanforderungen". Oracle setzt seit vorigem Jahr verstärkt auf verteilte Cloud-Lösungen, um "souveräne" Zonen mit gesonderten Vorschriften einrichten zu können.

Die Kommission legte 2019 eine Digitalstrategie vor, wonach Dienste in den Rechnerwolken von Anbietern öffentlicher Clouds sowie von einer speziell zugelassenen privaten Cloud erbracht werden können. Ihr schwebt demnach eine Multi-Cloud-Struktur vor, die EU-Einrichtungen nicht an einen einzelnen öffentlichen Dienstleister bindet. Parallel überarbeitete die Brüsseler Regierungsinstitution einen bestehenden Cloud-Rahmenvertrag so, dass es EU-Verwaltungsstellen frei steht, eigene einschlägige Strategien umzusetzen und dafür Services einzukaufen. Die Kommission tritt dabei als Makler auf, der einschlägige Vergabewettbewerbe durchführt. Oracle antwortete am Dienstagnachmittag nicht auf eine Anfrage, ob das Unternehmen das erste entsprechend ausgewählte sei.

Wie sicher können souveräne Clouds von US-Anbietern sein?

Ein anderes, 2020 vorgestelltes Strategiepapier der Exekutivinstanz besagt: Um die technologische Abhängigkeit von Anbietern aus Drittstaaten zu reduzieren und die europäische digitale Souveränität zu stärken, soll die EU in Leuchtturmprojekte für europäische Rechenzentren und gemeinsame Cloud-Infrastrukturen investieren. Als ein Vorbild wurde vielfach die Cloud-Allianz Gaia X gehandelt.

Die Nachricht von Oracle irritiert daher momentan vor allem Befürworter sicherer Standards wie SecNumCloud aus Frankreich. Ihnen zufolge können US-Anbieter wie Oracle, Amazon, Google oder Microsoft keine echte souveräne Cloud liefern, da für sie Überwachungsgesetze wie der FISA oder der Cloud Act gälten. Die EU arbeitet zudem an einem weitreichenden Cybersecurity Certification Scheme for Cloud Services (EUCS). Laut dem jüngsten Entwurf dürften Dienstleister aus Drittstaaten bei "hochkritischen“ Cloud-Services in der EU nicht zum Zug kommen. (jow)