Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > GCC High-Einschränkungen: Einblicke aus dem Kiteworks Data Sovereignty Report 2026

GCC High-Einschränkungen: Einblicke aus dem Kiteworks Data Sovereignty Report 2026

von Patrick Spencer updated Februar 25, 2026 Cybersecurity-Risikomanagement
Lesezeit: 11 Minuten

Sie können die Tür abschließen und trotzdem jemandem den Schlüssel geben.

Das ist, in einem Satz, das Problem, wenn Microsoft GCC High als souveräne Cloud-Lösung betrachtet wird. Die Daten werden in den Vereinigten Staaten gespeichert. Der operative Zugriff ist auf überprüfte US-Personen beschränkt. Es erfüllt die FedRAMP High- und DoD SRG IL4/IL5-Anforderungen. Doch all das ändert nichts an der Tatsache, dass Microsoft weiterhin Zugriff auf Ihre Verschlüsselungsschlüssel hat – und dazu verpflichtet werden kann.

wichtige Erkenntnisse

  1. Bewusstsein ist allgegenwärtig. Die Vorfälle liegen trotzdem bei eins von drei. Rund 44 % der Befragten in Kanada, dem Nahen Osten und Europa bezeichnen sich als „sehr gut informiert“ über Souveränitätsanforderungen – dennoch berichteten 33 % von einem Souveränitätsvorfall in den letzten 12 Monaten. Das Problem ist nicht das Wissen, sondern die operative Kontrolle.
  2. GCC High ist jurisdiktions-souverän, nicht schlüssel-souverän. Die Customer Key-Funktion von Microsoft autorisiert Microsoft 365 ausdrücklich, Kundenschlüssel für Service-Operationen zu nutzen. Ein von Microsoft gespeicherter und kontrollierter „Availability Key“ kann verwendet werden, wenn Kundenschlüssel nicht verfügbar sind. FedRAMP High und IL4/IL5 zertifizieren starke Prozesskontrollen, aber keine Zero-Knowledge-Architektur, bei der der Anbieter technisch nicht entschlüsseln kann.
  3. Behördliche Datenzugriffsanfragen sind bereits Teil der Vorfallsmischung. Zehn Prozent der Befragten nannten behördliche Datenzugriffsanfragen als Souveränitätsvorfall. Der CLOUD Act-Standard – Anbieter müssen Daten in ihrem „Besitz, Gewahrsam oder unter ihrer Kontrolle“ unabhängig vom Speicherort bereitstellen – gilt auch für GCC High-Tenants. Der BitLocker/FBI-Fall zeigte, dass vom Anbieter gehaltene Schlüssel einen rechtmäßigen Zugriff zum Workflow-Problem machen, nicht zum kryptografischen.
  4. GCC High kehrt die Souveränitätslogik für EMEA und Kanada um. 44 % der europäischen Befragten sehen fehlende Souveränitätsgarantien der Anbieter als Haupthindernis für die Cloud-Nutzung, und 40 % der kanadischen Befragten nennen Änderungen beim kanadisch-amerikanischen Datenaustausch als größte regulatorische Sorge. Für Nicht-US-Organisationen erhöht die Migration sensibler Inhalte in eine rein US-betriebene Enklave genau die juristische Angriffsfläche, die Souveränitätsstrategien eigentlich verringern sollen.
  5. Der Markt bewegt sich zu nachweisbarer Kontrolle, nicht zu Anbieter-Versprechen. Compliance-Automatisierung und technische Kontrollmechanismen stehen in allen drei Regionen an der Spitze der Zwei-Jahres-Planungen. Unternehmen investieren in Architekturmaßnahmen – Schlüsselverwahrung, Residenz-Kontrollen und exportierbare Audit-Belege – weil sie gelernt haben, dass Richtliniendokumente und Anbieterzusagen Vorfälle nicht verhindern.

Wir haben sechs Monate in den >2026 Data Security and Compliance Risk: Data Sovereignty Report investiert und 286 IT- und Security-Profis aus Kanada, dem Nahen Osten und Europa befragt, wie Souveränität in der Praxis aussieht. Die Ergebnisse stellen nicht nur die Positionierung von GCC High infrage. Sie stellen die gesamte Idee infrage, dass Jurisdiktion allein Souveränität bedeutet.

Hier sind unsere Erkenntnisse – und warum sie für Ihr Unternehmen relevant sind, wenn Sie CUI verarbeiten, grenzüberschreitend agieren oder Aufsichtsbehörden berichten müssen, die „Vertrauen Sie uns“ nicht mehr als Compliance-Strategie akzeptieren.

Zentrale Erkenntnis des Berichts: Jeder kennt die Regeln. Jeder Dritte ist trotzdem betroffen.

Beginnen wir mit der Zahl, die jede Sicherheitsverantwortliche Person beunruhigen sollte.

In allen drei untersuchten Regionen bezeichnen sich rund 44 % der Befragten als „sehr gut informiert“ über Anforderungen an die Datensouveränität. Im Nahen Osten waren es 45 %, in Kanada 44 %, in Europa 44 %. Das Bewusstsein ist praktisch gleichauf.

Dennoch berichteten 33 % der Befragten von einem Souveränitätsvorfall in den letzten 12 Monaten. Weitere 5 % wollten sich nicht äußern – was nach unserer Erfahrung selten bedeutet, dass „nichts passiert“ ist.

Die Vorfallsmischung ist aufschlussreich. Datenschutzverstöße mit Souveränitätsbezug und Compliance-Fehler Dritter liegen mit je 17 % an der Spitze. Es folgen behördliche Untersuchungen mit 15 %. Unautorisierte grenzüberschreitende Übertragungen machen 12 % aus. Und behördliche Datenzugriffsanfragen – das für GCC High relevanteste Szenario – machen 10,1 % aus.

Diese letzte Zahl verdient besondere Beachtung. Jede zehnte Organisation meldete eine behördliche Datenzugriffsanfrage als Souveränitätsvorfall. Das ist kein theoretisches Risiko, das Compliance-Teams in Planungssitzungen diskutieren. Es passiert. Jetzt. Bei Unternehmen, die dachten, sie seien abgesichert.

GCC High ist jurisdiktions-souverän. Nicht schlüssel-souverän.

Das ist der Unterschied, der alles verändert – und den Microsofts Marketing konsequent verwischt.

GCC High hält, was es verspricht: Es schafft eine US-residente, US-betriebene Cloud-Grenze für Behörden und angrenzende Verteidigungsbereiche. Wenn die Anforderung lautet „Daten in Amerika, betrieben von Amerikanern, hinter einem FedRAMP High-Perimeter“, liefert GCC High. Punkt.

Doch Souveränität ist längst mehr als Geografie. Regulierungsbehörden in Europa, Kanada und zunehmend im Nahen Osten stellen andere Fragen: Kann der Anbieter auf Ihre Daten zugreifen? Kann der Anbieter zur Entschlüsselung gezwungen werden? Können Sie – mit Belegen, auf Abruf – nachweisen, dass Zugriffe nur innerhalb autorisierter Grenzen erfolgten?

GCC High scheitert bei allen drei Punkten.

Ein Beispiel ist Microsofts „Customer Key“-Funktion, die oft als Beweis für Kundensouveränität bei der Verschlüsselung angeführt wird. Microsofts eigene Dokumentation sagt es klar: „Sie autorisieren Microsoft 365 ausdrücklich, Ihre Verschlüsselungsschlüssel für Mehrwertdienste zu nutzen.“ Die Plattform verwendet diese Schlüssel zur Verschlüsselung ruhender Daten und benötigt sie für Service-Operationen.

Noch aussagekräftiger ist der „Availability Key“ – ein Wiederherstellungsmechanismus, den Microsoft „speichert und schützt“ und der zum Einsatz kommt, wenn Kundenschlüssel nicht verfügbar sind. Interne Abläufe wie Anti-Malware-Scans, eDiscovery, DLP und Inhaltsindexierung können auf diesen Availability Key zurückgreifen. Microsoft hält ihn. Microsoft kontrolliert ihn. Microsoft kann ihn nutzen.

Das ist keine Zero-Knowledge-Architektur. Es ist eine vom Anbieter betriebene Verschlüsselungshierarchie, die auf Kontinuität und Wiederherstellbarkeit ausgelegt ist. Für viele Umgebungen ist dieser Kompromiss sinnvoll. Für Organisationen, deren Souveränitätsanforderungen mit „der Anbieter darf nicht entschlüsseln können“ beginnen, ist das die strukturelle Lücke, die keine FedRAMP-Zertifizierung schließt.

Der BitLocker-Fall machte die Lücke sichtbar

Wenn der Unterschied zwischen „Anbieter hält Schlüssel“ und „Anbieter hat keinen Zugriff auf Schlüssel“ vor 2025 noch akademisch schien, hat der BitLocker-Fall das beendet.

Mehrere Berichte bestätigten, dass Microsoft dem FBI im Rahmen einer Durchsuchung im Zusammenhang mit einer Untersuchung auf Guam BitLocker-Wiederherstellungsschlüssel bereitgestellt hat. Die Schlüssel befanden sich im Besitz von Microsoft, weil die Wiederherstellungsarchitektur so funktioniert. Ein gültiger Gerichtsbeschluss kam an. Microsoft hat kooperiert. Die Daten wurden entschlüsselt.

Die Lehre daraus ist nicht, dass BitLocker unsicher ist. Die Lehre ist: Wenn ein Anbieter Wiederherstellungsschlüssel hält – oder Schlüssel für Service-Operationen nutzen kann – wird rechtmäßiger Zugriff zur Frage des Rechtswegs. Die Verschlüsselung verhindert die Offenlegung nicht. Sie steuert sie.

Microsoft veröffentlicht jährlich einen Bericht zu Regierungsanfragen für Kundendaten, der genau diesen Prozess dokumentiert. Der US CLOUD Act ist eindeutig: Anbieter können verpflichtet werden, Daten in ihrem „Besitz, Gewahrsam oder unter ihrer Kontrolle“ bereitzustellen – unabhängig vom Speicherort. GCC High ändert diese grundlegende Rechtslage nicht. Es verschiebt die operative Grenze. Das sind unterschiedliche Dinge.

Unsere Berichtsdaten machen das konkret, nicht hypothetisch. Behördliche Datenzugriffsanfragen tauchen bereits in der Souveränitätsvorfallsmischung auf. Jeder zehnte Befragte nannte sie. Das sind keine Randfälle. Sie gehören zur Realität.

Customer Lockbox ist Governance, keine Unmöglichkeit

Microsofts Customer Lockbox wird häufig als Antwort auf Bedenken beim Anbieterzugriff präsentiert. Und tatsächlich ist es eine solide Governance-Kontrolle. Sie ermöglicht es Kunden, erhöhte Zugriffsanfragen zu genehmigen oder abzulehnen, wenn ein Microsoft-Techniker im Rahmen eines Support-Workflows auf Daten zugreifen muss.

Aber lesen Sie den Satz noch einmal: Kunden können genehmigen oder ablehnen. Der Zugriffsweg besteht per Design. Lockbox verwaltet ihn. Lockbox beseitigt ihn nicht.

Für Organisationen, die unter DSGVO, PIPEDA oder PDPL arbeiten – wo die Erwartung technischer Trennung und nicht Workflow-Management ist – reicht „wir genehmigen oder lehnen ab und prüfen später“ möglicherweise nicht aus. Unser Bericht zeigt, dass 59 % der Befragten technische Infrastrukturänderungen als größten Ressourcenaufwand nennen. Sie investieren gezielt in Architekturumbauten, weil Prozesskontrollen allein nicht mehr genügen.

GCC High scheitert am EMEA- und Kanada-Test – und das ist beabsichtigt

Hier kehrt sich das Wertversprechen von GCC High komplett um.

GCC High ist explizit in den USA gehostet, betrieben und der US-Gerichtsbarkeit unterstellt. Das macht es für DoD-Auftragnehmer und CJIS-nahe Workloads attraktiv. Genau das macht es aber für Souveränitätsstrategien in EMEA und Kanada zum Problem.

Die Ergebnisse aus Kanada sprechen für sich: 40 % der kanadischen Befragten sehen Änderungen bei den kanadisch-amerikanischen Datenübermittlungen als größte regulatorische Sorge. 21 % nannten den US CLOUD Act direkt. In diesem Umfeld ist die Migration sensibler kanadischer Inhalte in eine rein US-basierte Enklave keine Souveränitätsstrategie – sondern ein Widerspruch zur Souveränität.

Die europäischen Zahlen sind ebenso eindeutig: 44 % der europäischen Befragten sehen fehlende Souveränitätsgarantien der Anbieter als Haupthindernis für die Cloud-Nutzung – der höchste Wert aller Regionen. Externe Studien bestätigen das: IDC nennt den „Schutz vor extra-territorialen Datenanforderungen“ als wichtigsten Treiber für souveräne Cloud in Europa. Eine team.blue-Umfrage ergab, dass 57 % der europäischen KMU nicht wissen, ob ihr Cloud-Anbieter ausschließlich EU-Speicherung garantiert.

Hinzu kommt das praktische juristische Kollisionsproblem: Ein kanadischer Gerichtsbeschluss, der einen Anbieter zur Herausgabe von Daten aus Europa verpflichtet, zeigt, wie Souveränitätsansprüche an ausländischen Jurisdiktionsforderungen scheitern können. Wenn Ihre Souveränitätsstrategie darauf basiert, dass der Anbieter ausländischen Rechtsprozessen widerstehen oder sie managen kann, setzen Sie auf Anwälte – nicht auf Architektur. Das Schrems-II-Urteil hat dieses Prinzip längst etabliert: Verträge können ausländische Zugriffsrechte von Behörden nicht aushebeln. Dennoch agieren viele Unternehmen, als könnten Anbietervereinbarungen strukturelle Kontrollen ersetzen.

CMMC-Compliance und die teure Teillösung

Viele Rüstungsauftragnehmer setzen für CMMC 2.0-Compliance standardmäßig auf GCC High, weil es die richtigen Baselines erfüllt und CUI innerhalb der US-Grenzen hält. Das ist nicht grundsätzlich falsch – aber unvollständig.

CMMC und Souveränität laufen auf dieselbe Kernforderung hinaus: Nachweisen, dass nur autorisierte Personen Zugriff auf CUI haben und Kontrollen eine unzulässige Offenlegung – insbesondere durch Dritte – verhindern.

Unser Bericht zeigt: Compliance-Fehler Dritter sind mit 17 % die häufigste Souveränitätsvorfallart. Teams berichten, dass die Komplexität der Souveränität vor allem bei Infrastruktur-Redesign und Anbieter-Compliance liegt – nicht beim täglichen E-Mail- und Dateiaustausch. Die Herausforderung ist nicht, die eigene Umgebung abzusichern, sondern nachzuweisen, dass die Lieferkette keine Datenlecks verursacht.

GCC High bietet eine konforme Enklave. Aber die darin gespeicherten Daten bleiben unter bestimmten Bedingungen für Microsoft entschlüsselbar. Für viele CMMC-Szenarien entsteht so eine Lücke zwischen der Kontrollanforderung („nur autorisierte Organisationsmitglieder dürfen auf CUI zugreifen“) und der operativen Realität („Microsoft kann Schlüssel für Service-Operationen, eDiscovery und rechtliche Anforderungen nutzen“).

Unabhängige Analysten stellen fest, dass GCC High oft als Standardweg für CMMC positioniert wird, aber vom Rahmenwerk nicht vorgeschrieben ist und Flexibilität sowie Kosteneffizienz stark einschränken kann. Die Migrationskosten für CMMC-Compliance liegen regelmäßig zwischen 300.000 und über 1 Million US-Dollar für mittelgroße Auftragnehmer – für eine Umgebung, in der Microsoft weiterhin im Radius rechtmäßiger Zugriffe bleibt.

Die entscheidende Frage für Auftragnehmer sollte nicht lauten: „Erfüllt GCC High die Compliance-Anforderungen?“ Das tut es meist. Die Frage ist, ob die erfüllten Anforderungen tatsächlich die Offenlegungsszenarien verhindern, die Souveränität eigentlich ausschließen soll.

Wie „nachweisbare Kontrolle“ wirklich aussieht

Unser Bericht plädiert nicht für Souveränitätstheater, sondern für operative Reife.

Befragte bestätigen, dass Datensouveränitäts-Compliance echten geschäftlichen Mehrwert bringt – verbesserte Sicherheitslage und gestärktes Kundenvertrauen stehen ganz oben auf der Liste. Aber sie sagen auch: Es kostet echtes Geld. Technische Infrastrukturänderungen (59 %) und juristische Expertise (53 %) sind die größten Ressourcenfresser. Die jährlichen Ausgaben sind erheblich, die meisten Unternehmen investieren über 1 Million US-Dollar pro Jahr.

Der Blick nach vorn ist eindeutig: Compliance-Automatisierung und technische Kontrollmechanismen stehen in allen drei Regionen an der Spitze der Zwei-Jahres-Planungen. Der Markt signalisiert: Weniger Insellösungen, mehr einheitliche Durchsetzung, Belege auf Abruf.

Genau diese Lücke schließt Kiteworks. Das Private Data Network konsolidiert die Kanäle, in denen Souveränität am häufigsten scheitert – sichere E-Mails, sicheres Filesharing, Managed File Transfer, Kiteworks SFTP und Kiteworks sichere Datenformulare – auf einer Plattform mit exklusivem Schlüsselbesitz, unveränderlichen Audit-Trails und automatisiertem Compliance-Reporting. Der Anbieter kann Ihre Daten nicht entschlüsseln. Der Anbieter kann Ihre Schlüssel nicht an Behörden weitergeben. Und wenn ein Auditor Belege verlangt, liefern Sie sie aus einem System – statt sie aus sechs zusammenzusuchen.

Ein pragmatischer Weg: Zuerst die riskanten Pfade ersetzen

Wenn Sie die Berichtsergebnisse in die Praxis umsetzen wollen, ohne Ihre gesamte Microsoft-Umgebung auszutauschen, beginnen Sie mit der Austauschschicht. Dort entstehen die Vorfälle.

Erstens: Konsolidieren Sie externe Austauschprozesse. Anbieter-Transfers, sicheres Filesharing mit Partnern und kundenorientierte Datenerfassung sind die Bereiche, in denen Fehler Dritter und unautorisierte grenzüberschreitende Übertragungen auftreten. Verschieben Sie diese Abläufe auf eine Plattform, die Residenz und Zugriffskontrolle von Grund auf durchsetzt.

Zweitens: Standardisieren Sie Ihre Nachweise. Unveränderlicher Audit-Trail, konsistente Zugriffspolitiken, exportierbares Reporting. Wenn der Regulator anruft – oder der Kunde fragt – sollten Sie keine dreiwöchige Forensik benötigen, um zu antworten.

Drittens: Sichern Sie Schlüssel und juristische Angriffsfläche ab. Wechseln Sie von „wir genehmigen Zugriffsanfragen und protokollieren, was passiert“ zu „die Plattform kann ohne unsere explizite Freigabe keinen Zugriff gewähren“. Das ist der Unterschied zwischen Workflow-Souveränität und Architektur-Souveränität.

Viertens: Testen Sie Ihre Reaktionspläne vor dem Ernstfall. Unser Bericht zeigt: Vorfälle sind häufig und vielfältig – Datenschutzverstöße, unautorisierte Übertragungen, behördliche Untersuchungen, Regierungsanfragen. Wenn Sie das erste Mal im Ernstfall den Notfallplan testen, sind Sie schon im Rückstand.

Dieser Ansatz ist auch für den Vorstand leichter zu erklären. Sie ersetzen nicht Microsoft. Sie kapseln die souveränitätskritische Austauschschicht in einem System mit nachweisbarer Kontrolle – und lassen die Produktivitäts-Tools dort, wo sie hingehören.

Eine moderne Souveränitätsdefinition

GCC High ist eine starke Enklave für spezifische Anforderungen von US-Behörden und Verteidigung. Es ist aber keine Souveränitätslösung für Unternehmen, die gegenüber Regulatoren, Kunden und der eigenen Führung nachweisen müssen, dass ihr Anbieter keinen Zugriff hat, nicht entschlüsseln kann und nicht zur Herausgabe sensibler Inhalte gezwungen werden kann.

Unser 2026 Data Sovereignty Report macht die Risiken greifbar: Jede dritte Organisation hatte im vergangenen Jahr einen Souveränitätsvorfall. Die Vorfallsmischung umfasst genau die Szenarien, die GCC Highs Architektur offenlässt – Fehler Dritter, unautorisierte Übertragungen, behördliche Untersuchungen und Regierungsanfragen. Und der Markt bewegt sich klar in Richtung Automatisierung, technische Kontrollen und Nachweisbarkeit – nicht zu Richtliniendokumenten und Anbieter-Versprechen.

Souveränität bedeutete früher Geografie. Heute bedeutet sie Schlüsselbesitz, juristische Reichweite und Nachweisbarkeit. Liefert Ihre Architektur nicht alle drei, haben Sie keine Souveränität – sondern ein sehr teures Rechenzentrum mit Compliance-Label an der Tür.

Wenn Ihre Souveränitätsstrategie immer noch darauf basiert, dass Ihr Anbieter in Ihrem Namen „nein“ sagt, ist es Zeit zu fragen, ob Vertrauen die richtige Grundlage ist – oder ob Architektur diese Aufgabe übernehmen sollte.

Laden Sie den vollständigen 2026 Data Security and Compliance Risk: Data Sovereignty Report herunter.

Häufig gestellte Fragen

GCC High ist als US-souveräne Cloud-Grenze für Behörden- und Verteidigungs-Workloads konzipiert, mit US-Datenresidenz und operativen Zugriffskontrollen für US-Personen, die die FedRAMP High- und DoD SRG IL4/IL5-Anforderungen erfüllen. Es bietet jedoch keine Zero-Knowledge-Architektur – Microsoft behält die Möglichkeit, Verschlüsselungsschlüssel für Service-Operationen zu nutzen, und kann im Rahmen von US-Rechtsverfahren, einschließlich des US CLOUD Act, zur Herausgabe von Daten verpflichtet werden.

Microsoft kontrolliert einen „Availability Key“, den das Unternehmen unabhängig von kundengemanagten Schlüsseln speichert und schützt. Die Dokumentation bestätigt, dass interne Abläufe wie Anti-Malware-Scanning, eDiscovery, Data Loss Prevention und Inhaltsindexierung auf diesen Schlüssel zurückgreifen können, wenn Kundenschlüssel nicht verfügbar sind. Customer Lockbox ermöglicht es Organisationen, erhöhte Zugriffsanfragen von Microsoft-Technikern zu genehmigen oder abzulehnen – aber der Zugriffsweg besteht per Design und wird durch Governance-Kontrollen verwaltet, nicht durch kryptografische Trennung eliminiert.

GCC High befreit Organisationen nicht von US-amerikanischen Rechtsanforderungen. Microsofts jährlicher Transparenzbericht dokumentiert Tausende behördlicher Anfragen nach Kundendaten, und der US CLOUD Act legt fest, dass Anbieter Daten in ihrem „Besitz, Gewahrsam oder unter ihrer Kontrolle“ bereitstellen müssen – unabhängig vom physischen Speicherort. Der BitLocker/FBI-Fall 2025 bestätigte, dass rechtmäßiger Zugriff möglich ist, wenn ein Anbieter Wiederherstellungsschlüssel hält oder nutzen kann – dann ist der Rechtsweg entscheidend, nicht die Verschlüsselung.

GCC High ist für CMMC nicht formell vorgeschrieben, wird aber häufig als Standardweg positioniert, da es die FedRAMP High-Anforderungen erfüllt, die viele Verteidigungsverträge erwarten. Unabhängige Analysten weisen darauf hin, dass die Migrationskosten für GCC High regelmäßig zwischen 300.000 und über 1 Million US-Dollar liegen, während ein erheblicher Teil der CMMC Level 2-Kontrollen weiterhin von zusätzlicher Konfiguration, Richtlinien und Drittanbietertools abhängt – und die Daten in der Enklave unter bestimmten Bedingungen weiterhin von Microsoft entschlüsselt werden können.

GCC High ist explizit in den USA gehostet, betrieben und der US-Gerichtsbarkeit unterstellt – damit sind sensible Inhalte für US-Behörden direkt zugänglich. Das ist das Gegenteil dessen, was europäische und kanadische Souveränitätsrahmen erreichen wollen. Der 2026 Data Sovereignty Report zeigt: 44 % der europäischen Befragten sehen fehlende Souveränitätsgarantien der Anbieter als Hauptsorge, 40 % der kanadischen Befragten nennen Änderungen beim Kanada-USA-Datenaustausch als größte regulatorische Sorge. Eine rein US-basierte Enklave ist für Nicht-US-Organisationen daher eine juristische Belastung, keine Souveränitätslösung.

Schlüsselmanagement bedeutet, dass eine Organisation Rotation, Geografie und Zugriffspolitiken für Verschlüsselungsschlüssel kontrolliert – der Cloud-Anbieter kann diese Schlüssel aber weiterhin für Service-Operationen nutzen und kann dazu rechtlich verpflichtet werden. Schlüsselbesitz – manchmal als Zero-Knowledge- oder kundeneigenes Schlüsselmodell bezeichnet – bedeutet, dass der Anbieter technisch nicht in der Lage ist, Inhalte zu entschlüsseln, weil die Schlüssel nie in dessen Umgebung gelangen. Gesetzlicher Zugriff wird damit kryptografisch unmöglich, statt ein Workflow zu sein, den der Anbieter im Auftrag des Kunden steuert.

Die Ergebnisse des Berichts sprechen dafür, die risikoreiche Datenaustauschschicht – Anbietertransfers, Partner-Sharing und kundenorientierte Datenerfassung – durch eine Plattform zu ersetzen, die Residenz und Schlüsselbesitz auf Architekturebene durchsetzt, statt eine US-Enklave in alle Workflows auszuweiten. Unternehmen planen Investitionen in Compliance-Automatisierung (53 %), technische Kontrollmechanismen (50 %) und regionale Anbieter – der Markt bewegt sich klar zu nachweisbarer Souveränität auf Architektur-, nicht auf Anbieterversprechen-Basis.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks