Digitale SouveränitätDie Lock-in-Falle umgehen

Die Ministerien erwägen eine von Microsoft oder Google getragene Bundescloud. Das beinhaltet nach Angaben von Peter Ganten, Geschäftsführer des Unternehmens Univention sowie Mitbegründer und seit dem Jahr 2011 Vorstandsvorsitzender der Open Source Business Alliance (OSBA), nicht nur Chancen, sondern birgt auch Gefahren. „Digitale Souveränität bedeutet, Kontrolle über Datenflüsse ausüben und digitale Systeme unabhängig nutzen und gestalten zu können“, so Ganten. „Dafür ist zwingend die Möglichkeit zur Einsicht und Veränderung des Quellcodes erforderlich.“ Soll eine Cloud digitale Souveränität ermöglichen, muss sie in einem Rechenzentrum der eigenen Wahl betrieben werden, ihre Funktionsweise anhand des Quellcodes von unabhängigen Institutionen geprüft und herstellerunabhängig auf Fehler und Sicherheitslücken untersucht werden können. Außerdem lassen sich vorhandene Schnittstellen und Funktionen individuell anpassen und weiterentwickeln. US-Behörden können amerikanische Unternehmen zur Herausgabe von Daten verpflichten, auch wenn diese sich in Rechenzentren außerhalb der USA befinden. „Durch den Betrieb der Cloud-Software der Hyperscaler durch europäische Unternehmen soll dieses Problem gelöst werden. Allerdings können die Hersteller mit Updates jederzeit Hintertüren einbauen oder nachrüsten – um beispielsweise Sicherheitsbehörden anderer Länder gezielt mit Informationen zu versorgen“, erklärt Peter Ganten. Das sei in der Vergangenheit immer wieder geschehen und lasse sich ohne allgemein verfügbaren Quellcode praktisch nicht überprüfen. „Die Hoffnung auf höhere Datensicherheit kann sich bei solchen Betreibermodellen schnell als Trugschluss erweisen“, lautet deshalb das Fazit von Peter Ganten. Die größte Gefahr bei der Einführung proprietärer Cloud-Systeme geht nach Ansicht des OSBA-Vorstandsvorsitzenden von der Festlegung auf Schnittstellen aus, die von Dritten kontrolliert werden (können). Ganten: „Wenn eine größere Zahl von Anwendungen und Fachverfahren diese Schnittstellen nutzt, ist ein Wechsel später praktisch ausgeschlossen. Das führt dazu, dass Organisationen wieder in einer Lock-in-Falle landen, die noch einmal deutlich stärker ist als die bisher schon sehr ausgeprägte Erpressbarkeit in Kombination mit zahlreichen Sicherheits- und Flexibilitätsaspekten. Die öffentliche Hand müsste für solche Lösungen später praktisch jeden Preis zahlen. Doch damit nicht genug: Sie müsste bei der Software-Entwicklung und -Anpassung sich ändernden Anforderungen der Hersteller folgen, statt selbst innovative Lösungen zu schaffen.“ Ganten fordert die öffentliche Hand daher auf, schnellstmöglich dafür zu sorgen, dass Alternativangebote zu Hyperscalern entstehen können. Behörden sollten zumindest Leistungen von zwei unterschiedlichen Anbietern beziehen können, also eine Dual-Sourcing-Möglichkeit haben. „Exakt dafür muss es alternative Anbieter auch in Deutschland und Europa geben, die über das nötige Know-how verfügen, um Digitale Souveränität liefern zu können“, erklärt OSBA-Vorstandsvorsitzender Peter Ganten weiter. „Die Voraussetzung hierfür sind Investitionen, durch die ein Ökosystem entsteht, in dem umfassendes Know-how aufgebaut wird, sodass bestehende Unternehmen wachsen und Neugründungen möglich werden. Wenn die Schaffung der notwendigen Alternativen nicht gelingt, wird die Abhängigkeit von den großen Hyperscalern weiter zementiert.“