Der CIO des Bundes, Markus Richter, möchte die Delos-Cloud zum festen Bestandteil der Cloud-Strategie der deutschen Verwaltung werden lassen. Die Netzgemeinde schreit auf. Es drohe die „Aushöhlung der digitalen Souveränität in Deutschland.“. Mit Microsoft ginge es nun „in die digitale Abhängigkeit“, zudem könne nicht ausgeschlossen werden, dass auch bei Delos der US-Staat auf die die Daten zugreife.
Was sind die Hintergründe dieses Aufschreis? Was genau ist eigentlich die Delos-Cloud, welche Rolle spielt sie für Deutschland und droht nun tatsächlich der Untergang des Abendlandes?
Delos ist eine deutsche Cloud, die US-Technologie nutzt
Zuerst einmal: An einer IT-Cloud ist nichts wolkig. Sie besteht aus einem sicheren Gebäude mit Stromanschluss und Kühlung. Darin stehen Datenspeicher und Rechen-Chips, die mit Netzwerk verbunden sind. Darauf ist Software installiert, welche die genannten Hardware-Komponenten virtualisiert, wie hier erklärt. Alles zusammen wird betrieben von BürgerInnen eines Landes, die bei einem Unternehmen angestellt sind. Dieses Unternehmen hat eine Rechtsform und unterliegt der Gesetzgebung eines Landes.
Im Falle von Delos liegt das Gebäude in Deutschland und die Hardware-Komponenten wurden in Asien, wahrscheinlich Taiwan oder Südkorea, produziert. Die Daten liegen in Deutschland, die Software stammt aus den USA und das Betreiber-Unternehmen ist eine deutsche Kapitalgesellschaft mit einer deutschen Muttergesellschaft. Alles genauso, wie in etwa 60% der 50.000 deutschen Private Clouds. Der Unterschied? Die Cloud-Software stammt statt von Microsoft von VMware.
Die Sinfonie der KritikerInnen
Esther Menhard hat in ihrem Artikel „Mit Microsoft in die digitale Abhängigkeit“ fleissig Kritik aus dem Netz gesammelt. Hier ihre wichtigsten Punkte:
- Es sei „nirgendwo definiert, was ‚digital souverän‘ bedeutet.“
- Die Delos-Cloud sei „weder souverän noch offen.“
- Delos ließe sich „nicht unabhängig prüfen, um etwa Hintertüren in den Programmen auszuschließen.“
- Die Delos-Cloud böte laut eigener Aussage des Delos-Chefs Georges Welz „digitale Souveränität nur mit Ablaufdatum […] sie könne, etwa bei einem Handelskonflikt mit den USA nur einige Monate unabhängig von Microsoft betrieben werden.“
- Es sei unklar, „welche Alternativen das sein sollen“, in die man in Zukunft migrieren könne.
- Es bestünde das Risiko, dass „ein Zugriff auf die persönlichen Daten der deutschen Bürger:innen und andere schützenswerte Daten der Verwaltung möglich“ sei.
- Der Cloud Act der USA würde Anbieter verpflichten, „auf staatliche Anordnung hin Daten und Informationen offenzulegen.“
Die Open Source Business Alliance hält die Delos zudem für nicht notwendig, denn „wirklich souveräne Alternativen [sind] bereits verfügbar.“ Sie verweist auf die Private Clouds des ITZBund und von IONOS, sowie die ersten Cloud-Installationen basierend auf dem Sovereign Cloud Stack.
Digitale Souveränität ist exzellent definiert
Der Begriff „Digitale Souveränität“ in der Debatte auf LinkedIn und X stiftet tatsächlich Verwirrung. Aber einen Mangel an Definitionen gibt es nicht. Mareike Seifried hat in ihrer Schwerpunktstudie für das BMWi 18 dieser Definitionen zusammengetragen. Besonders hilfreich aber ist das „Spektrum der Souveränität“ des Bitkom aus dem Jahre 2015.
Der Schlüsselsatz dort bezogen auf Souveränität lautet: „Wir verfügen in zentralen Technologiefeldern, Diensten und Plattformen über eigene Fähigkeiten auf weltweitem Spitzenniveau. Wir sind in der Lage, selbstbestimmt und selbstbewusst zwischen Alternativen leistungsfähiger und vertrauenswürdiger Partner zu entscheiden.“.
Die vielen verschiedenen Aspekte der digitalen Souveränität hat wiederum die Akademie der Technik-Wissenschaften (acatech) in ihren 8 Ebenen der Souveränität differenziert. Europa etwa könnte auf vielen Ebenen digital scheitern, etwa an der mangelhaften Versorgung mit Lithium, Silizium, Chips und Netzwerk-Komponenten. Bei Delos aber, siehe Abbildung 3, geht es um unsere Abhängigkeit auf den Ebenen IT-Infrastruktur, Middleware und Software-Services.
Die Definition der souveränen Cloud also lautet: „Souveräne Clouds sind IT-Infrastrukturen und –Services, die ihren Kunden eine selbstbestimmte Digitalisierung ermöglichen.“. Selbstbestimmte Digitalisierung wiederum beinhaltet, neben der Kontrolle über die eigenen Daten, insbesondere die Fähigkeit, mit diesen Daten auch digitale Leistungen zu erbringen.
Nicht alle Clouds sind gleichermaßen leistungsfähig
Abbildung 1 vergleicht die Delos-Cloud mit der heutigen Realität der Private Clouds in Deutschland. Sie suggeriert damit, die Kritik an Delos sei ungerechtfertigt, schließlich bliebe ja alles beim Alten. Die spannende Frage lautet nun: Wieso investiert der Bundes-CIO so viel politisches Kapital, nur damit alles beim Alten bleibt? Die Antwort ist einfach: Cloud ist nicht gleich Cloud. Abbildung 4 gibt einen Anhaltspunkt über die Leistungsunterschiede der jeweiligen Clouds.
Zwei Vorteile von Delos werden für Markus Richter eine besonders große Rolle spielen:
- Die Einfachheit der Nutzung ermöglichen: Die allermeisten End-NutzerInnen wollen IT zwar nutzen, sich aber nicht mit ihr beschäftigen. Um sich auf ihre eigentliche Arbeit zu konzentrieren, möchten sie genau jene Programme, Oberflächen und Tastenkürzel nutzen, die sie seit Jahren kennen (der sog. „User Lock-In“). Genau diese Gewohnheiten binden im Regelfall an Microsoft-Produkte. Ich vermute, der CIO des Bundes weiß ziemlich genau, welchen Widerstand er in der Verwaltung erfahren würde, wenn er versuchte, die User Experience von Millionen von BeamtInnen zu verändern.
- Die eigene IT-Abteilung überspringen: Die Clouds der Hyperscaler befreien die Fachabteilungen ihrer Kunden von der Knute der eigenen IT. Was meine ich damit? In althergebrachten Organisationen benötigt es teilweise Jahre, um aus einer guten Idee, etwa für eine Geldwäsche-Analyse, ein tatsächlich funktionierendes Geldwäsche-Analyse-System zu erstellen. Dies liegt nicht daran, dass das System so kompliziert ist. Es liegt daran, dass die interne Organisation vom Ideen-Gebenden bis zur funktionierenden IT-Lösung viel Koordinations- und Administrationsaufwand bedeutet. Dürfen die Ideen-Stiftenden aber die Clouds der Hyperscaler nutzen, benötigen sie lediglich wenige Software-Entwickelnde und zwei bis drei Wochen Fokuszeit für einen funktionierenden Prototypen.
Insbesondere der letzte Punkt ist in seiner Wirkung nicht zu unterschätzen. Die Hyperscaler bieten für jeden IT-Bedarf einen einfach nutzbaren, sofort verfügbaren Service, häufig sogar kostenlos ausprobierbar. Wer einmal die Trägheit einer internen IT kennengelernt hat, weiß, welche Chancen dies bietet. Statt jahrelang intern zu debattieren, erstellt der/die Software-Entwickelnde einen Prototypen, geht zu den Stakeholdern und sagt: Schaut her, so siehts aus, alles kein Problem, lasst mich nur machen.
Alternativ nutzen die internen Innovatoren die Cloud-Services einfach ohne zu fragen und bauen sie in Produkte ein, welche den Führungskräften wichtig sind. Wenn dann Jahre später CIO oder Finanz-ControllerInnen nachfragen, haben diese keine Wahl, als den Einsatz zu genehmigen – ansonsten funktionieren ja die Prozesse nicht mehr.
Das klingt alles dreckig und nicht so sehr auf Ordnung bedacht. Aber auf diese Weise könnten motivierte, deutsche BeamtInnen Probleme digital lösen. Stellen Sie sich das einmal vor: Deutsche BeamtInnen könnten Probleme lösen! Selbst wenn es nur die 2-5% Mutigen sind, es wären immer noch mehrere zehntausend deutsche BeamtInnen. In Deutschland. Digitale Probleme lösen. Ich kann gar nicht aufhören, es zu betonen.
Delos macht nicht autark
Die neue Cloud also würde Deutschland digital leistungsfähiger machen. Aber verlieren wir durch Delos nicht die Kontrolle über Daten und IT?
Bevor ich diese Fragen beantworte, noch eine Erinnerung an das „Spektrum der Souveränität“ des Bitkom. Rechts heißt es dort zum Begriff Autarkie: „Wir machen alles selbst. Wir entwickeln und fertigen Schlüsseltechnologien mit eigenen Ressourcen. Wir ziehen Technologien aus eigener Fertigung Technologien Dritter auch dann vor, wenn sie weniger leistungsfähig sind.“.
Wenn wir in Deutschland und Europa also „alles selbst“ machen möchten, wenn wir auf diese Weise die komplette Wertschöpfung einer Cloud unter Kontrolle haben möchten, was müssen wir dann tun? Abbildung 6 gibt dazu Aufschluss.
Als erstes müssen die Inhaltedaten, welche unsere Anti-Geldwäsche-Applikation erzeugt, in Europa liegen. Dieses Kriterium können alle Clouds, deren Rechenzentren in Europa liegen, erfüllen. Als zweites dürfen keinerlei Telemetrie- und Supportdaten, etwa zu Wartungszwecken, an die US-amerikanischen Mutter- und Schwestergesellschaften abfließen. Dies erfüllen die Hyperscaler AWS, Azure und GCP nicht mehr im Standard. Lediglich deren Varianten mit EU-Datengrenze sichern dies zu (AWS Sovereign Cloud, Oracle Sovereign Cloud, MS EU-Datengrenze, T-Sy/GCP).
In der dritten Stufe muss der Betrieb durch europäische Unternehmen sichergestellt werden, deren Muttergesellschaften nicht einer konkurrierenden Gesetzgebung (wie FISA/Cloud-Act) unterliegen. Auf diese Weise wird sichergestellt, dass die US-Unternehmen nicht über Umwege doch Daten an US-Behörden übergeben. Diese Stufe erfüllen sowohl Delos als auch VMware. In beiden Fällen haben die US-Technologie-Lieferanten keinen Zugriff auf die Daten und können somit auch nicht in Versuchung kommen, den entsprechenden US-Gesetzen nachzukommen.
Das nächste Kriterium ist die Frage der Herkunft der Software. Stammt diese nicht aus Europa oder liegt Europa in Form von Open-Source-Software vor, gibt es zwei Gefahren. Einerseits könnten die USA den europäischen Betriebspartnern Software-Updates vorenthalten (vgl. Android/Huawei), andererseits könnten sie unerkannt Schad-Code einschmuggeln (vgl. Solarwinds) und Daten heimlich transferieren. Beide Gefahren bleiben sowohl bei Delos als auch bei VMware grundsätzlich erhalten. Gleichermaßen übrigens auch für Android, iOS und Mac-Software, Windows, Routern, Netzwerk-Komponenten und alle anderen Closed-Source-Softwares jeglichen Ursprungs.
Delos und VMware scheitern also beide an dieser Stelle. Lediglich Open-Source-basierte Clouds (SCS, Open Stack, Proxmox) sowie Close-Source-Clouds europäischen Ursprungs (Bsp: IONOS) nehmen die Hürde europäischer Kontrolle über die Software-Wertschöpfung. In der letzten Stufe dann geht es um die Hardware. Diese stammt in allen mir bekannten Varianten im Wesentlichen nicht aus Europa.
Wirklich autark macht Deutschland also keine der verfügbaren Clouds. Am nächsten an dieses Ideal heran kommen Open-Source-basierte Infrastrukturen, insbesondere jene des Sovereign Cloud Stacks.
Delos ist halt ein Mittelweg
Oder um es mit dem Bitkom zu erklären: Der Autarkie können wir uns auf Software- und Betriebsebene nähern, verzichten dabei aber definitionsgemäß auf Leistung (siehe Abbildung 4). Echte Autarkie aber im Sinne von „Wir machen alles selbst“ geht nur mit Schreibmaschine und der Rohrpost des Bundeskanzleramts. Die gibt es wirklich, nur leider ist es keine Cloud.
Esther Menhard also hat Georges Welz richtig verstanden, sie hat nur den Begriff „Souveränität“ nicht verstanden. Im Falle eines Handelskonfliktes mit den USA bliebe Europa „handlungsfähig“ und könnte selbst entscheiden, wohin es seine Daten migriert. Nur wohin, etwa in die bestehenden VMware-Clouds? Jene Clouds, welche die grundsätzlich gleichen Risiken beinhalten wie Delos?
Hier lohnt sich ein Blick auf Abbildung 7. Dort habe ich die mir bekannten Cloud-Optionen der deutschen Verwaltung aufgeführt.
Neben den US-Cloud-Varianten AWS, Azure, Google Cloud, AWS Sovereign Cloud, Oracle Sovereign Cloud, T-Systems mit Google, Delos und den VMware-dominierten 194 Rechenzentren der deutschen Bundesverwaltung (lt. kleine Anfrage von Anke Domscheit-Berg aus dem Jahr 2023) hat die Bundesregierung noch eine IONOS Air-Gapped-Variante beauftragt sowie den Sovereign Cloud Stack mit Fördergeldern ausgestattet. Zudem lässt Deutschland eine Alternative zu M365 entwickeln (Zendis). Im Falle des von Georges Welz thematisierten Handelskonfliktes also hätte die Bundesregierung etwa 3-6 Monate Zeit, auf eine dieser Alternativen zu migrieren.
Macht es etwa doch Sinn, was die Bundesregierung tut?
Ich fasse noch einmal zusammen. Die Bundesregierung hat die IONOS, das Zendis und den SCS beauftragt „in zentralen Technologiefeldern, Diensten und Plattformen […] eigene Fähigkeiten auf weltweitem Spitzenniveau“ zu entwickeln. Zudem hat sie sich ein Portfolio von „Alternativen leistungsfähiger und vertrauenswürdiger Partner“ geschaffen, zwischen denen sie gedenkt „selbstbestimmt und selbstbewusst zu entscheiden“.
In mir regt sich das Gefühl, dass jemand in der Bundesregierung sich etwas länger mit digitaler Souveränität beschäftigt hat, als die Kakophonie der KritikerInnen im Internet.
Ist nun also alles in Butter? Ich glaube, die genannten Initiativen ergeben strategisch alle Sinn. Die Gefahren liegen in der Umsetzung.
Wenn es schlecht läuft, migrieren Behörden und Verwaltung in Scharen auf alle Varianten der Hyperscaler-Clouds. Niemand nutzt dann IONOS, SCS-Clouds und Zendis-Arbeitsplatz-Software. Sollte Europa dann wirklich in einen Handelskonflikt verwickelt werden, werden wir feststellen: Die deutsche Verwaltung kann doch nicht binnen 3 Monaten in europäische Alternativen wechseln, weil diese zu klein sind, und weil die Verwaltung bevorzugt auf proprietäre Middleware der Hyperscaler gesetzt hat. Genau diese aber machen Remigrationen so unglaublich aufwändig.
Aber sollten wir die Chancen einer halbwegs souveränen Delos-Cloud wirklich deswegen nicht wahrnehmen, weil unsere Verwaltung möglicherweise ihre Cloud-Transformationen verdaddelt? Ich glaube nein. Markus Richters Gesamtstrategie bleibt richtig. Nur muss sich die deutsche Verwaltung jetzt ernsthaft mit Cloud-Transformation beschäftigen, IONOS muss ihre Air-Gapped-Cloud in Betrieb nehmen, das Zendis muss lernen, mit privaten Produktanbietern zu konkurrieren und der Sovereign Cloud Stack muss leistungsfähige Cloud-Anbieter für sich gewinnen.
Wenn jetzt alle ihre Arbeit gut machen, dann werden wir in Deutschland, auch und gerade mit Delos, ein weiteres Stückchen an digitaler Selbstbestimmung gewinnen.
