Deutschland und Europa sind in hohem Maße abhängig von nicht-europäischen Clouds & Softwares. Im ersten Teil der Artikel-Serie habe ich beschrieben, wie es dazu kommen konnte: Die Angebote, vor allem der US-Tech-Player, sind sehr attraktiv. Europäische Unternehmen entscheiden sich meist aus sehr rationalen Gründen für deren Kauf. Im Ergebnis führen individuell sinnvolle Entscheidungen zu geopolitisch gefährlichen Abhängigkeiten.
Wenn wir uns also cloud- und software-seitig emanzipieren möchten, dann müssen wir das aktuelle Equilibrium aus Angebot und Nachfrage aufbrechen. Wir müssen dafür sorgen, dass geopolitisch sinnvolle Tendenzen mehr Gewicht in privatwirtschaftlichen Entscheidungen erhalten.
Wie aber kann dies gelingen? Ich glaube mit den folgenden sieben Maßnahmen hätten wir eine realistische Chance.
1: Kritische Branchen in autarke Clouds
Der Bitkom schrieb im Jahre 2015 zum Thema Souveränität: „Wir verfügen in zentralen Technologiefeldern, Diensten und Plattformen über eigene Fähigkeiten auf weltweitem Spitzenniveau. Wir sind in der Lage, selbstbestimmt und selbstbewusst zwischen Alternativen vertrauenswürdiger Partner zu entscheiden.“ 10 Jahre später treffen diese beiden Voraussetzungen immer noch kaum zu:
- Wir besitzen in den zentralen Technologiefeldern ‚Cloud‘ und ‚Software‘ über praktisch keine eigenen Fähigkeiten auf weltweitem Spitzenniveau.
- Die sich verändernde politische Situation lässt Zweifel aufkommen an der Vertrauenswürdigkeit einiger Partner.
Die Lösung legt der Bitkom ebenfalls nahe: Wir müssen, bis zu einem gewissen Maß, auf Autarkie setzen. Dazu schreibt er: „Wir entwickeln und fertigen Schlüsseltechnologien mit eigenen Ressourcen. Wir ziehen Technologien aus eigener Fertigung Technologien Dritter auch dann vor, wenn sie weniger leistungsfähig sind.“
Mein Vorschlag also lautet: Kritische Branchen müssen ihre kritischen Workloads in autarke Clouds überführen. Autarke Clouds wären IT-Infrastrukturen und Softwares, deren Software-Wertschöpfungskette vollständig in Europa läge (bei Hardware ist dies meines Wissens selbst mittelfristig nicht realistisch).
Der Effekt: Europäische Closed-Source-Anbieter würden genauso gestärkt wie das Open-Source-Ökosystem. Unternehmen und Staat müssten zudem ihre alten Rechenzentren und Private Clouds verlassen, denn diese werden von proprietären Softwares wie VMware dominiert. Die dringend benötigte Modernisierung unserer KRITIS-Branchen würde beschleunigt, es entstünde eine enorme Dynamik zugunsten lokaler Cloud-Provider. Weil sich auch auf dem Markt der autarken Clouds Skaleneffekte ergeben, bekäme Europa endlich eigene Hyperscaler. Wir bekämen ein eigenes Big Tech, mit großen Skaleneffekten und viel Innovation. Bei der übernächsten Technologie-Welle wären wir vielleicht einmal mittendrin, statt nur dabei.
2: Mehr Workloads in souveräne Clouds
Digitale Souveränität im Sinne digitaler Selbstbestimmung bedeutet: Wir möchten Kontrolle über unsere Daten, Anwendungen und Infrastrukturen, aber wir möchten auch attraktive, digitale Anwendungen mit relevanten Daten auf skalierenden Infrastrukturen.
Was einfache Clouds von den Hyperscaler-Ökosystemen unterscheidet, habe ich hier einmal erklärt. Weil die Unterschiede eben so groß sind, insbesondere bezogen auf die Bedarfe großer Organisationen, sollten wir auf keinen Fall alle Unternehmen Europas in die digitale Autarkie zwingen. Was aber inzwischen ohne großen Leistungsverlust möglich wäre: Unternehmen könnten wichtige Applikationen in die souveränen Clouds der Hyperscaler verlagern müssen.
Was unterscheidet diese vom US-Original-Hyperscaler? Sie sollen eine geopolitische Krise mit den USA überstehen können, sie wären „survivable“. Auch wenn die souveränen Clouds von Oracle und AWS keine europäische Betreiberfirma mit EU-Muttergesellschaft haben (wie etwa Delos), werden diese von operativen Abhängigkeiten zur US-Mutter befreit. Der Betrieb erfolgt von einer europäischen Betreibergesellschaft mit Sitz in Europa, mit europäischem Personal und europäischer Geschäftsleitung. Identity-Management und Billing erfolgen ebenfalls lokal, Updates werden besonders kontrolliert.
Mein Vorschlag also lautet: Kritische Workloads aller Unternehmen sollten in souveräne Clouds überführt werden. Diese könnten US-Technologie (wie Azure, AWS, GCP oder VMware) unbegrenzt einsetzen, müssten nur über ihre Betriebs-Konstrukte sicherstellen, dass die IT-Infrastrukturen auch ohne Support und Updates aus den USA (für einige Monate) weiter betrieben werden können.
Der Effekt: Weder souveräne Clouds noch Private Clouds mit US-Technologie wären im Krisenfall eine Dauerlösung, denn Software ohne Updates wird schnell unsicher. Aber: Die Clouds würden nicht vom einen auf den anderen Tag ausfallen, Europa hätte in der Krise einige wenige Monate Zeit. Diese könnten wir nutzen, um Daten und Applikationen auf andere autarke Infrastrukturen zu migrieren. Dank des Vorschlags 1 wäre das Ökosystem europäischer Clouds auch leistungsfähiger und somit etwas besser vorbereitet auf solche Krisenmigrationen.
3: Mehr US-Digitalwertschöpfung in Europa
China hat uns vorgemacht wie Technologie-Transfer funktioniert. Die deutsche Autoindustrie wurde mit der Hoffnung auf Mega-Umsätze in lokale Joint-Ventures gelockt. Auf diese Weise lernten die Chinesen wie Autobau funktioniert. Jetzt können sie es genauso gut oder sogar besser.
Gleiches sollten wir mit den US-Software-Unternehmen praktizieren. Alle Services, die in den souveränen Clouds der Hyperscaler oder Private Clouds verfügbar sind, sollten auch aus Europa heraus betreut und weiterentwickelt werden können. In vielen Fällen erfolgt dies heute schon, AWS hat ein großes Entwicklungszentrum in Dresden, Oracle in München, Google in Warschau. Für Clouds und Softwares, die als souverän gelten dürfen, müssen wir von den Anbietern einfordern, dass diese Services im Krisenfall auch durch Europäer weiterentwickelt und betrieben werden können.
Mein Vorschlag lautet also: Die Definition des Begriffes „souverän“ aus Vorschlag 2 sollte phasenweise verschärft werden. In einem ersten Schritt sollte es lediglich darum gehen, dass Hyperscaler-Technologie verfügbar aber nicht abschaltbar ist. In einem zweiten Schritt sollte diese Technologie auch von Europäern in Europa gewartet und weiterentwickelt werden.
Der Effekt: Es findet ein Technologie-Transfer nach Europa statt. Kein europäischer Staat erhält Zugriff auf geheimes Know-how der US-Privatunternehmen, alle Rechte werden gewahrt. Verweigern die USA aber, etwa aus „Sicherheitsgründen“, die Lieferung von Updates, kann Europa, ebenfalls aus „Gründen der nationalen Sicherheit“, nicht nur die Betreiberfirma unter Treuhand stellen, sondern hat auch die notwendigen ExpertInnen vor Ort. Wer daran zweifelt, wie wertvoll der Zugang zu genau jenen Mitarbeitenden ist, sollte sich einmal den US-Trend zum Acqui-Hiring anschauen – oder einen Blick in die Vergangenheit der Gründer der französischen KI-Firma Mistral werfen.
4: Mehr Kapital für europäische IT-Unternehmen
Technologische Dominanz verläuft in Wellen. VMware dominierte die Server-Virtualisierung, und verschlief genau deswegen den Trend zur Public Cloud. Deutschland dominierte den Markt für Verbrenner-Autos mit Hardware-Denke, und verschlief genau deswegen den Trend zu Elektro-Autos mit Software-Denke. Das sind keine Zufälle der Geschichte, das sind die klar identifizierten Muster der schöpferischen Zerstörung (vgl. Schumpeter) und des Innovator Dilemmas (vgl. Christensen).
Wenn wir uns von der digitalen Dominanz fremder Mächte lösen möchten, dann müssen wir uns genau jener Muster bedienen, die so erfolgreich machen. Das Gute daran? Die technologische Entwicklung befindet sich auf einem exponentiellen Pfad, die Abstände zwischen neuen Technologiegenerationen werden kürzer.
Mein Vorschlag also lautet: Wir incentivieren über Steueranreize die Wohlhabenden Europas, ihr Kapital in europäische Wagniskapital-Fonds zu investieren.
Der Effekt: Steueranreize funktionieren. In den 90ern wurde damit Ostdeutschland saniert, in den 2000ern führten sie zu einem Boom von Schiffs- und Medienfonds. Wenn unsere KapitalistInnen mit den US-amerikanischen und chinesischen mithalten könnten, dann würden unsere GründerInnen erfolgreiche Exits hinlegen und ihre Firmen blieben trotzdem europäisch. Auch könnten wir ebenfalls mit Acqui-Hiring beginnen oder einfach einmal etwas KI-Infrastruktur horten, damit sich erfolgversprechende AI-Startups europäische Shareholder suchen.
Freilich wird diese Sorte Turbokapitalismus zu gesellschaftlichen Herausforderungen führen, die wir dann ex-post managen müssen. Aber nur so hat Europa die Chance, ein unverzichtbarer Teil der globalen Digitalwertschöpfung zu werden und möglichen „Tits“ genug „Tats“ entgegenzustellen.
5: Mehr Funding für den Sovereign Tech Fund
Zwar folgen nur etwa 12% der Softwares dieser Welt dem Open-Source-Modell, 60-90% der Software-Anwendungen selbst aber nutzen diese. Der Erfolg dieses Lizenzmodells ist begründet in einfachen, betriebswirtschaftlichen Überlegungen: Nur ein kleiner Teil von digitalen Anwendungen enthält geschäftskritische Logik. In allen anderen Bereichen geht es eher um Basis-Features wie Verschlüsselung, Monitoring, graphische Darstellung von Bedienelementen oder Container-Management. Weil sich mit diesen Funktionen meist keine strategischen Vorteile erwirtschaften lassen, entscheiden sich viele Unternehmen, solche selbst entwickelten Features kostenlos zur Verfügung zu stellen. Google beispielsweise hat die Container-Management-Software Kubernetes im Jahre 2015 unter eine Open-Source-Lizenz gestellt. Inzwischen beteiligen sich auch Konkurrenten wie VMware und Microsoft an deren Qualitätsmanagement und Weiterentwicklung.
Die Sicherheitsprobleme bei den Open-Source-Tools Log4j (Monitoring) und XZ Utils (Verschlüsselung) zeigen denn auch, wie wichtig es ist, dass Qualitätsmanagement und Weiterentwicklung tatsächlich erfolgen. Den US-Tech-Riesen ist dieses Thema sehr bewusst, daher sind sie die größten Open-Source-Kontributoren der Welt. Ein Microsoft-Mitarbeiter war es denn auch, der das Sicherheitsproblem bei XY Utils entdeckte.
Ironischerweise ist Europa also nicht nur abhängig von proprietärer US-Software, wir sind auch abhängig von US-Unternehmen, die mit ihren Mitarbeitenden Open-Source-Projekte sichern und weiterentwickeln. Ein US-Präsident könnte uns also ebenfalls ärgern, wenn er US-Unternehmen verböte, an Open-Source-Projekten mitzuarbeiten. Diese Option ist gar nicht einmal so unwahrscheinlich, denn damit könnte er auch China schaden und auf mehr Umsatz für US-Unternehmen mit Closed-Source-Software hoffen.
Mein Vorschlag also lautet: Die Sovereign Tech Agency, ein Tochterunternehmen der deutschen Agentur für Sprung-Innovationen (SPRIND), hat seit 2022 mit ~24 mio. € etwa 60 Open-Source-Projekte unterstützt. Um Europa zu einem einflussreichen Akteur im globalen Open-Source-Ökosystem zu entwickeln, muss sie finanziell deutlich besser ausgestattet werden. Zudem sollte sie, vergleichbar etwa mit der KfW, privatwirtschaftlich tätig werden. Das Geschäftsmodell? Open-Source-Projekte validieren und den Unternehmen in separaten Repositories zur Verfügung stellen. Wer Open-Source in kritischen Anwendungen einsetzt, sollte nur validierten Code nutzen und müsste hierfür entsprechend bezahlen.
Der Effekt: Die Sovereign Tech Agency würde zu einem globalen Player heranwachsen und kritisches Know-how für Europa sichern. Sie bekäme ein eigenes Geschäftsmodell, das sogar global skalieren könnte. Das Open-Source-Ökosystem bekäme dringend jene Einnahmen, die ihm aufgrund des Verzichts auf klebrige Geschäftsmodelle aktuell verwehrt bleiben. Die Welt insgesamt bekäme bessere und sicherere Software mit Europa in einer aktiven Schlüsselrolle.
6: Transparenz in der Software-Wertschöpfungskette
Der US-Investor Marc Andreesen postulierte im Jahr 2011: Software is eating the world. Er beschrieb damit, wie software-basierte Geschäftsmodelle (etwa jene von Google, Uber und AirBnb) hardware-basierte Geschäfte aushöhlen (etwa Zeitungen, Taxis und Hotels). Diese Entwicklung ging einher mit der explosionsartigen Entwicklung von Software selbst. Millionen Software-EntwicklerInnen schufen Milliarden von Softwares, Libraries, Runtimes, Software Development Kits (SDKs) und Software-Schnittstellen (APIs). Nur sind diese nicht ordentlich aufgereiht und nummeriert wie Teslas vor ihrer Verschiffung, sie sind miteinander verwoben, komplexer und vielfältiger als jedes andere von Menschen geschaffene Konstrukt. Bild 6 zeigt diese externen Abhängigkeiten am Beispiel von Tensorflow, einer Library für AI-Workflows.
Dieses Bild zeigt nicht die ganze Software-Ökonomie, es zeigt die externen Abhängigkeiten einer einzelnen Software-Library Jede andere der vielen Millionen Softwares, Libraries, Runtimes, SDKs und APIs da draußen bringt ein eigenes Set von Abhängigkeiten mit in jedes Anwenderunternehmen.
Europa wird diese Welt nicht kontrollieren können. Europa wird sich auch nicht jeglicher Abhängigkeiten zu nicht-europäischen Playern entledigen können. Europa kann nur lernen, damit umzugehen.
Mein Vorschlag lautet also: Kritische Infrastrukturen müssen lernen, sich dieser Abhängigkeiten bewusst zu werden. Sie sollten schrittweise verpflichtet werden, ihre eigenen Software-Assets sowie deren externen Abhängigkeiten zu verstehen und mit ihren Kunden (über APIs) zu teilen. Die über Gaia-X bekanntgewordenen Data Spaces des Fraunhofer-Institutes scheinen für derlei unternehmensübergreifenden Datenaustausch wie geschaffen.
Der Effekt: Europa würde im Laufe der Zeit die eigenen Software-Abhängigkeiten besser verstehen. Dies hätte mannigfaltige, positive Effekte, nicht nur auf unsere geopolitische Resilienz sondern auch bezogen auf unsere Cybersicherheit im Alltag. Und: GaiaX bekäme endlich eine Killeranwendung.
7: Mehr Tech-Kompetenz in Führung und Gesellschaft
Das Thema Diversity ist in aller Munde. Vielfältig besetzte Teams verbessern die Kultur, bringen Qualität in die Debatte und machen Entscheidungen besser. Mehr Frauen in Aufsichtsräten, zieldifferenter Unterricht an Schulen, ethnische Vielfalt in Teams, Multi-Gendersprache in Inhalten aller Art, Introvertierte auf Weihnachtsfeiern, alles das bringt uns weiter als Gesellschaft.
Nach einem ähnlichen Muster würde uns mehr fachliche Vielfalt in den Führungsetagen von Politik ("Auffällig viele Juristen und Wirtschaftswissenschaftler") und Wirtschaft (1% InformatikerInnen unter Dax-Vorständen) enorm helfen. Insbesondere die Perspektive von IT- und Software-ExpertInnen würde geopolitisch weiter bringen. Ist ein Gesetz digital gut umsetzbar? Welche Technologien führen in die Sackgasse? Wie helfen APIs bei Interoperabilität? Welche Bedeutung haben Container für Wechselfähigkeit? Was ist ein Middle Layer und warum schützt das vor Trump? Wie schafft man Resilienz in Software-dominierten Wertschöpfungsketten? Warum bringen Kompetenz und Agilität bei Software mehr Sicherheit als Planung und Perfektion? Wann erzählt ein Beratungsunternehmen Quatsch?
Mein Vorschlag also lautet: Wir brauchen eine nationale Kraftanstrengung für mehr Tech-Kompetenz in Gesellschaft und Führungsetagen. Schulen sollten Informatik in Theorie und Praxis ab der 5. Klasse einführen. SchülerInnen sollten Online-Shops bauen, Roboter programmieren und ermuntert werden, ihre eigene Schule zu hacken. Des Weiteren brauchen Unternehmen, Behörden und Parteien Chief Technologie Officers (CTO) und wir Nicht-Techies brauchen mehr Wissen zu den Dingen „unter der Haube“.
Der Effekt: Ganz wie bei Diversity üblich würden unsere Entscheidungen besser. Die Geschäftsmodelle der BetriebswirtInnen wären innovativer, würden häufiger Gewinne abwerfen und die Gesetze der JuristInnen wirkten auf einmal bürokratie-entlastend, weil sie automatisierbar wären. Mehr Output mit weniger Input, das leistet Technologie seit Menschengedenken. Nur geht es jetzt nicht mehr um Aquädukte, Buchdruck und Dampfmaschine, es geht um libmicrohttpd, the yocto project und den Software Development Lifecycle.
Wir können das Marktequilibrium zugunsten Europas beeinflussen
Das nun sind meine 7 Vorschläge für mehr Souveränität im Bereich Cloud und Software.
Die Zusammenfassung ist einfach: Kritische Workloads kritischer Branchen müssen in autarke Clouds, also zu EU-Providern wie IONOS und StackIT oder Open-Source-Infrastrukturen wie jene des Sovereign Cloud Stacks. Kritische Workloads aller Branchen sollten in souveräne Clouds, gerne unter Nutzung von AWS-, Azure-, GCP- oder VMware-Softwares. Um den Transfer von Know-how nach Europa zu fördern und dessen lokale Verfügbarkeit in geopolitischen Krisen abzusichern, sollten als „souverän“ geltende Clouds komplett in Europa betrieben und weiterentwickelt werden können.
Lokale Startups sollten mit europäischem Venture Capital zu globalen Scale-Ups ausgebaut werden. Dies stärkt das europäische Angebot an IT-Software und -Services, verbessert unsere Verhandlungsposition in globalen Streitereien und hilft uns, die nächste Tech-Welle nicht wieder zu verpassen. Die Sovereign Tech Agency sollte zusätzliche staatliche Mittel erhalten sowie eigene Einnahmen erzeugen, um die Sicherheit von Open-Source-Softwares zu stärken und auch deren Verfügbarkeit in möglichen Krisen zu sichern. Schließlich sollten Unternehmen Transparenz in ihre eigene Software-Wertschöpfungskette bringen und diese Informationen sicher und vertraulich über Fraunhofer’schen Data Spaces („Gaia-X“) miteinander teilen.
Gepaart mit mehr Tech-Kompetenz in der Führung von Unternehmen, Behörden und Parteien würden auf diese Weise sowohl die Nachfrage nach EU-Clouds und Softwares als auch das zur Verfügung stehende Angebot relevant gestärkt.
Verglichen mit unserer ehemaligen Abhängigkeit vom russischen Gas, so finde ich, sieht die Situation bei Cloud und Software also gar nicht so schlecht aus. Denn, wie der Stoiker in mir es sagen würde: Die Lösung liegt in uns. Wir sind nicht angewiesen auf Bodenschätze, die es hier nicht gibt. Wir brauchen nicht die Hilfe von Autokraten aus dem Nahen oder Fernen Osten.
Technologie ist etwas wunderbares
Es gibt aber auch eine schlechte Nachricht: Wir müssen an unserer Haltung arbeiten.
IT und Software sind nicht mehr irgendwas, was die Nerds im Keller machen. IT und Software sind auch nicht kontrollierbar mit den klassischen Methoden der Finanz-ControllerInnen und JuristInnen. IT und Software sind wie Naturgewalten. Sie kommen über uns, egal ob wir es möchten oder nicht. Wir können auf ihnen surfen, ihre Kräfte für uns nutzen, uns an ihnen erfreuen – oder wir können untergehen. Das ist unsere Wahl.
Möchten wir uns also befreien vom Status der Digitalkolonie Amerikas, dann müssen wir surfen lernen. Wir müssen Schwimmen und Tauchen üben, unsere Technik verbessern, Muskeln aufbauen, Geld investieren in Trainingsanlagen und Ausrüstung – um dann an der richtigen Stelle mit Kraft die nächste Welle erwischen. Immer wieder, denn es wird immer mehr, immer größere Technologie-Wellen geben. Es wird wehtun, wir werden viel Wasser schlucken und Muskelkater haben.
Aber die Lösung liegt in uns.
