Digitale Souveränität bedeutet, möglichst unabhängig und selbstbestimmt über seine digitalen Betriebsmittel zu verfügen, z.B. Geräte, Datei-Dienste, Daten, ERP und CRM Software. Diese Souveränität ist von verschiedener Seite bedroht, die aktuelle Diskussion fokussiert sich stark auf staatliche Stellen, aber auch Cyberkriminalität, Datenverlust, Data Leakage etc. bedrohen den selbstbestimmten Umgang mit seinen digitalen Assets.
Dieser Artikel möchte darlegen, wie wir bei Vertec konkret die Souveränität unserer Kunden und unsere eigene schützen.
Strafverfolgungsbehörden in allen Staaten haben Durchgriffsrechte auf die Privatsphäre von Unternehmen und Privatpersonen, meistens auf richterlichen Beschluss hin. Das ist nichts Neues. Relativ neu ist aber, dass US-amerikanische Gesetze eine extraterritoriale Wirkung haben, insbesondere die CLOUD Act (das ebenfalls häufig erwähnte FISA ist bedeutend älter). Die CLOUD Act erlaubt es US-amerikanischen Strafverfolgungsbehörden, direkt auch auf ausländische Daten zuzugreifen, unter Umgehung der sonst üblichen Rechtshilfe, wenn ein IT-Provider einen «US-Bezug» hat. In der Praxis sind davon vor allem die grossen Hyperscaler mit US-Sitz betroffen (Microsoft, Amazon, Google, Oracle). Verschiedene Vorfälle in der jüngsten Vergangenheit zeigen, dass die aktuelle US-Regierung von diesem Recht auch Gebrauch macht.
Obwohl die grossen US-Technologiefirmen «souveräne» Clouds in Europa aufbauen, ist man wegen der CLOUD Act in keinem Fall sicher vor einem Durchgriff durch die US-Regierung. Dies ist aus Sicht der digitalen Souveränität natürlich nicht akzeptabel. Die Offenlegung von Daten aufgrund lokaler Gesetze (insbesondere Strafgesetze) muss hingegen in jedem Fall akzeptiert werden.
Bei Vertec versuchen wir, wenn immer möglich, die Abhängigkeiten von grossen US-Technologiefirmen so klein wie möglich zu halten.
Vertec betreibt ein Managementsystem für Informationssicherheit, welches nach ISO 27001 zertifiziert ist, siehe dazu z.B. unseren Übersichtsartikel zum Datenschutz bei Vertec.
Das Vertec Cloud Abo wird vollständig mit europäischen Cloud Hostern betrieben, siehe die Liste der Subunternehmer. Das gleiche gilt für die Backups der Cloud Abo Daten. Unter «europäischen Cloud Hostern» verstehen wir Unternehmen, die ihren Hauptsitz in der EU oder der Schweiz haben, und keine US-Tochterfirma betreiben.
Die meisten anderen Cloud Dienste wie Kundenportal und Vertec Forum werden bei den gleichen Hostern betrieben. Allerdings setzen wir auch Dienste von Microsoft Azure ein, namentlich für die AI-basierte Erkennung von Spesen- und Kreditorbelegen sowie für die Versiegelung von Dokumenten. In beiden Fällen werden aber keine Daten bei Azure gespeichert, im Fall der Versiegelung von Dokumenten wird auch das zu versiegelnde «Dokument» nicht nach Azure gesendet. Unserer Meinung nach gefährdet das die digitale Souveränität nicht. Kunden können aber frei wählen, ob sie diese optionalen Vertec-Dienste überhaupt nutzen wollen.
Die Prozesse zur Entwicklung der Vertec Software finden inhouse statt. Der Sourcecode liegt auf lokal in Zürich betriebenen Servern, ebenso die Systeme für den Entwicklungsprozess (Azure DevOps). Ein automatischer Durchgriff von Behörden ist also nicht möglich.
Für die Entwicklung von weiterer Software (z.B. das Kundenportal) wird Gitlab von Gitlab Inc., Delaware, verwendet. Der operative Sitz von Gitlab ist in San Francisco. Gespeichert wird der Sourcecode (und die Entwicklungstasks) der entsprechenden Software, es werden aber keine produktiven Daten in Gitlab abgelegt.
Die Mitarbeitenden in der Entwicklung sind alle in Zürich bei der Vertec AG angestellt. Es findet kein Off- oder Nearshoring statt. Allerdings bezieht das Entwicklungsteam punktuell Unterstützung von der Technologiefirma TNG Technology Consulting GmbH in Deutschland, z.B. bei der Entwicklung des Kundenportals und der Betriebssoftware für das Cloud Abo, und sporadisch für AI-Entwicklung. TNG hat eine Tochterfirma in den USA, die TNG Technology Consulting USA Inc. in Austin, Texas. Vertec bezieht aber Dienstleistungen ausschliesslich aus Deutschland und TNG besitzt auch keine produktiven Daten von Vertec; die TNG Mitarbeiter arbeiten auf Vertec-Systemen.
Für die Zusammenarbeit in Kundenprojekten bieten wir unseren Kunden an, via Basecamp zusammenzuarbeiten. Dieses Kollaborationstool wird von 37signals entwickelt und betrieben, einer kleineren US-amerikanischen Firma mit Sitz in Chicago, Illinois. Vertrauliche Daten und Personendaten sollten da nicht abgelegt werden.
Wir können aber auch jedes andere Kollaborationstool nutzen, auch eines, das von unseren Kunden betrieben wird.
Die Dateiablage der Vertec Gruppe, wie auch die internen Systeme wie CRM, ERP und Fibu werden alle On-Premises in Zürich betrieben. Ein automatischer Durchgriff von Behörden ist also nicht möglich. Ausserdem erheben wir Daten über und von Kunden nur sparsam, siehe Datenschutz bei Vertec.
Der E-Mail Server der Vertec wird bei Microsoft Azure betrieben. Sollten einmal vertrauliche Daten (z.B. Vertec Datenbanken) via E-Mail verschickt werden, so geschieht dies verschlüsselt. Wir halten auch unsere Kunden zu einer Verschlüsselung von sensitiven Daten an und bieten sicherere Austauschmöglichkeiten an (z.B. eine Upload Funktion über die Vertec Homepage).