Kommentar: Digitale Souveränität – nicht kaufen, entwickeln!
Aus Angst, dem Ausland ausgeliefert zu sein, wollen Deutschland und Europa unabhängige Clouds errichten. Schade, dass man dafür bei den großen Konzernen kauft.
(Bild: Maxim Studio/Shutterstock.com)
Ein altbekannter Begriff schleicht sich in den vergangenen Jahren verstärkt in die Schlagwortgewitter von Cloud-Anbietern, in Strategiepapiere der EU und selbst in den nachverhandelten Haushaltsplan des Bundes ein: digitale Souveränität. Souveränität war in der Vergangenheit eigentlich auf das Individuum gemünzt: Unter Datensouveränität verstand man, selbst entscheiden zu können, ob und wohin die eigenen Nutzerdaten abfließen – lösbar mit Open Source, politisch umgesetzt mit Cookiebannern.
Mittlerweile ist der Begriff aber weiter gefasst. Deutschland macht sich Sorgen um seine digitale Souveränität, die EU bezeichnet sie als wichtiges Ziel ihrer Digitalstrategie – und die Hyperscaler richten "Souvereign Cloud Regions" ein. Das sei wichtig, um Unternehmen, Verwaltung und Bürger zu schützen. Schließlich wäre es unschön, wenn sich Unternehmen anderer Länder einen unfairen Wettbewerbsvorteil verschaffen könnten – durch Geschäftsgeheimnisse oder die mühsam gesammelten IoT- und Nutzerdaten heimischer Betriebe, die in irgendwelchen internationalen Clouds liegen. Im Ernstfall hätte ein Staat die Macht, Cloud-Strukturen in Konkurrenzländern einfach abzuschalten. Und Insolvenzen oder Übernahmen können jedwede Cloud-Struktur in Firmenhand kompromittieren. Es geht hier also nicht mehr nur um Privatsphäre, sondern um Geld und kritische Infrastruktur – plötzlich gibt es Handlungsbedarf.
Auf den Bedarf reagieren die Cloud-Anbieter gerne mit dem Versprechen, ihre Services in Rechenzentren anzubieten, die sich auf geschütztem Boden befinden. Überall dort, wo die deutsche DSGVO wirkt, ist die Cloud souverän, oder anders: Datenhoheit per Baukran. Die Grundidee ist dabei nicht verkehrt, denn gerade nach relevanten Gesetzgebungen wie dem EU Data Act wäre es gut, wenn man im Notfall auch auf die Geräte schauen könnte, um das Einhalten von Richtlinien zu gewährleisten. Daher ist der Bedarf an scheinbar souveränen Clouds mit Standort in Europa hoch.
Steht in Deutschland, bleibt aber US-Konzern
Nur leider bleiben diese "souveränen" Clouds auch dann noch Teil der Struktur internationaler Hyperscaler, wenn sie auf deutschem Boden stehen. Die Software bleibt ein proprietäres Gewächs und die Schaltzentrale sitzt weiterhin in den USA. Dort hat der Geheimdienst aber immer noch unbeschränkten Zugriff auf jeden Datentropfen, der sich im System der Hyperscaler bewegt. Und wandert der Blick zum Nutzer, dorthin, wo ein großer Teil der mitunter sensiblen Datenhaufen entsteht, zeigt sich schnell: IoT-Geräte, Smartphones, Apps oder Heimrechner würden ihre Nutzerdaten ohnehin nicht in einer souveränen deutschen Cloud sammeln, sondern viel lieber nach Hause in die USA oder nach China funken.
Die Politik selbst macht hierbei einen Schritt vor und zwei zurück: Um Unabhängigkeit zu erlangen, begibt sie sich nur allzu schnell in die Hände derer, die etwas von der Cloud verstehen. Also genau jene Anbieter, von denen sie sich eigentlich hätte unabhängig machen müssen. Der Bund versuchte das schon Jahre zuvor mit der Deutschland Cloud, ausgerechnet in Partnerschaft mit Microsoft. Zurzeit wird die Verwaltung in die Cloud gehievt, wofür es erst mal Einkäufe in Milliardenhöhe bei Oracle braucht.
Die eigentlich wirksame Maßnahme, um echte Souveränität zu gewährleisten, liegt auf der Hand: quelloffene Systeme, in denen Datentransfers nachvollzogen werden können. Ansätze wie OpenStack oder der offene Souvereign Cloud Stack, der auch unter Gaia-X liegt, weisen dabei in die richtige Richtung. Währenddessen streicht man die Förderung von FOSS im diesjährigen Haushaltsplan aber auf die Hälfte zusammen und ordert proprietäre Systeme mit dem "Souverän"-Aufkleber kräftig nach. Die Entscheider hören das Werbeversprechen zu gerne und die Anbieter geben es genauso gerne ab – lieber simulierte Souveränität als echte Unabhängigkeit.
(kki)
