Rubrik bringt eine neue Variante seiner Security-Cloud für souveräne Umgebungen. Sie soll Daten, Metadaten und Management innerhalb definierter Rechtsräume halten und so Datenschutz und Rechtssicherheit erleichtern. Laut Anbieter sind auch Threat-Detection und Recovery-Funktionen möglich, ohne die Souveränität zu verlassen.

Rubrik stelle mit Rubrik Security Cloud Sovereign eine neue Ausprägung seiner Security-Cloud vor, die vor allem Organisationen mit hohen Compliance- und Geheimschutzanforderungen adressiert. Nach Darstellung des Anbieters gehe es darum, auch bei wechselnden regulatorischen Vorgaben Kontrolle über Datenstandorte und Zugriffsrechte zu behalten. Damit soll sich die Lösung für Szenarien eignen, in denen Datenzugriffe durch ausländische Behörden oder Anbieterstrukturen minimiert bzw. technisch ausgeschlossen werden sollen.

Anneka Gupta, Rubrik»Unsere Kunden haben sehr klar ausgedrückt, was sie brauchen«, argumentiert Anneka Gupta, Chief Product Officer bei Rubrik. »Sie wollen die Gewissheit, dass keine ausländische Instanz – weder staatlich noch seitens eines Anbieters – auf ihre Daten zugreifen oder diese kontrollieren kann. Für Organisationen mit sensiblen Daten ist Souveränität keine Option, sondern eine Grundvoraussetzung. Die neue Lösung unterstreicht unser Engagement, Verantwortliche dabei zu unterstützen, ihre Sicherheitslage gegenüber ausländischen wie auch inländischen Bedrohungen zu stärken.«

Anzeige

Was Rubrik unter »vollständiger Datensouveränität« versteht

Rubrik beschreibt als Kernpunkt, dass alle relevanten Komponenten in den vom Kunden definierten Daten- und Rechtsräumen verbleiben sollen. Genannt werden dabei nicht nur die eigentlichen Nutzdaten, sondern auch Metadaten, die Control Plane (also die Steuer- und Orchestrierungsebene) sowie das Management. In der Praxis wäre das entscheidend, weil Metadaten oder Steuerungsfunktionen sonst indirekt Rückschlüsse auf Inhalte zulassen oder administrative Zugriffspfade eröffnen könnten.

Unveränderlichkeit, Recovery und Threat-Detection

Als weiteren Baustein führe Rubrik einen »unveränderlichen Schutz« an. Damit sei gemeint, dass Daten gegen Verschlüsselung, Löschung oder Manipulation abgesichert würden, selbst wenn Angreifer bereits über erhöhte Rechte verfügten. Der Hersteller verknüpfe das mit Recovery-Funktionen für On-Premises-, Cloud- und SaaS-Workloads.

Analysen, Threat-Hunting und automatisierte Anomalie-Erkennung gegen Bedrohungen sollen laut Anbieter vollständig innerhalb der Kundenumgebung ablaufen. Ziel sei, Sicherheitsfunktionen bereitzustellen, ohne dass Daten oder Telemetrie zur Auswertung den definierten Rechtsraum verlassen.

Rubrik sieht flexible Bereitstellungsoptionen vor. Die Lösung lässt sich in Cloud-Umgebungen als auch in On-Premises-Infrastrukturen betreiben. Ein Early-Access-Programm steht ausgewählten Kunden bereits zur Verfügung, eine breitere Verfügbarkeit folgt in Kürze.

Einordnung: Was »Souveränität« beim Hersteller wirklich bedeutet

Souveränität in Verbindung mit einem Hersteller heißt nicht automatisch kein Herstellerkontakt, sondern vor allem kontrollierte Abhängigkeiten. Technisch geht es darum, dass Betrieb, Schlüsselmaterial, Admin-Zugriffe, Telemetrie, Updates und Support-Prozesse so gestaltet sind, dass der Kunde die Hoheit über Daten und Systeme behält und der Anbieter nicht zum heimlichen Co-Administrator wird. Organisatorisch bedeutet es, dass Zuständigkeiten, Kontrollrechte und Rechtsräume nicht nur im Marketing stehen, sondern vertraglich, technisch und auditierbar abgesichert sind.

Zur Souveränitätsdebatte gehört außerdem der Blick auf Drittstaatenrecht, insbesondere den US CLOUD Act. Selbst bei Speicherung in der EU könnten US-Behörden per Anordnung Zugriff auf Daten verlangen, sofern sie in der Verfügungsgewalt eines Anbieters unter US-Gerichtsbarkeit liegen. Daraus folgt: Ein unabhängiges Betriebsmodell entsteht in der Praxis erst dann, wenn der Hersteller im Normalbetrieb und im Notfall keine Zugriffspfade und keine Schlüsselhoheit besitzt, über die er Daten im Klartext beschaffen könnte.

Für IT-Abteilungen ist dabei wichtig:

• Jurisdiktion und Datenflüsse prüfen: Wo liegen Nutzdaten, Metadaten, Logs und Backups tatsächlich, und welche Komponenten kommunizieren wohin.
• Control-Plane- und Admin-Zugriffe klären: Gibt es Hersteller-Accounts, Break-Glass-Zugänge (Notfall-Accounts) oder Fernwartungsmechanismen. Wenn ja, wie werden sie begrenzt und protokolliert.
• Schlüsselhoheit absichern: Wer verwaltet die Keys, wo liegen sie, und wie ist der Zugriff geregelt (HSM, KMS, BYOK/HYOK).
• Update- und Support-Prozesse bewerten: Wie laufen Patches, Signaturen, Verifikation und Notfall-Support, ohne dass Souveränitätszusagen aufgeweicht werden.
• Nachweise einfordern: Audit-Reports, Zertifizierungen, Protokollierung und nachvollziehbare technische Architektur sind bei »souverän« kein Bonus, sondern Mindestanforderung.

Unterm Strich gilt: »Souverän« ist nur dann belastbar, wenn es nicht am Ende an einem Support-Ticket hängt, bei dem jemand »kurz mal« volle Admin-Rechte braucht. Auch darf der Hersteller rechtlich nicht in die Rolle eines »Datenbeschaffers« gedrängt werden, weil ihm dafür die Zugriffsmittel fehlen.