Im Jahre 2021 trat der Sovereign Cloud Stack (SCS) an, Deutschland digital souveräner zu machen. Sein Ansatz? Die Macht der US-amerikanischen Virtualisierungs-Giganten mit einer smarten, kostengünstigen und leistungsfähigen Referenzarchitektur rund um OpenStack zu brechen. Die Broadcom-VMware-Saga zu Beginn des Jahres 2024 zeigte es dann früher als geplant: Der SCS hatte den richtigen Riecher.
Was aber ist Virtualisierung? Und was ist OpenStack? Wie könnten ungefähr 13 Millionen Euro Fördergeld die US-Giganten in die Knie zwingen? Und was ist überhaupt eine Referenzarchitektur?
Virtualisierung ist die Basis der Digitalisierung
Um diese Fragen zu beantworten, bedarf es eines kurzen Ausflugs in die IT-Wertschöpfungskette. Ein Rechenzentrum besteht im Wesentlichen aus einem sicheren, gekühlten Raum mit Stromanschluss. Darin werden Computer und Speicher installiert und mit einem Netzwerk verbunden.
Auf diese drei Hardware-Komponenten wird eine sogenannte „Virtualisierungsschicht“ gelegt: der Hypervisor. Den Mechanismus dazu habe ich hier beschrieben. Dank dieser Software werden aus einem Server viele virtuelle Server („Virtual Machines“ = VMs). Neben dem offensichtlichen Nutzen, weniger Hardware beschaffen zu müssen, ergibt sich die Chance, die Hardware per Software-Schnittstelle ansprechen und konfigurieren zu können. Auf diese Weise können die Bestell-, Liefer- und Abrechnungsprozesse eines Rechenzentrums automatisiert werden.
Die ökonomische Wirkung von Virtualisierung und Infrastructure-as-Code, also der Softwarisierung der IT-Wertschöpfung, ist nicht zu unterschätzen. Die beiden Effekte ebneten den Weg zur Digitalisierung, wie wir sie heute kennen. VMware war Vorreiter in der Kommerzialisierung dieser Technologie und baute damit ein Milliardengeschäft auf. AWS und die anderen Hyperscaler kopierten die Idee und erweitern den Markt in den Billiardenbereich.
Admins bekommen Panik, wenn sie OpenStack hören
Wo ein großes Software-Geschäft ist, da sind die Open-Source-EnthusiastInnen nicht weit. Im Wissen um die Relevanz der Technologie, die neuen Abhängigkeiten und die hohen Margen der Unternehmen schufen sie seit 2010 das Projekt „OpenStack“.
Begabte Cloud-ArchitektInnen also laden sich die Software auf openstack.org herunter und installieren sie in 30 Minuten. Warum nur gibt es überhaupt noch teure Closed-Source-Player wie VMware? Martin Loschwitz schildert das Problem im Linux-Magazin (06/2024) wie folgt: „[…] viele Administratoren ergreift die blanke Panik, wenn sie den Begriff OpenStack auch nur hören.“ Ursache hierfür sei „[…] die hohe implizite technische Komplexität massiv skalierbarer Umgebungen […].
Was nun ist die „implizite technische Komplexität“? OpenStack besteht aus sehr vielen Komponenten: cinder, glance, nova, neutron, keystone, und mehr. Jede Komponente ist Open-Source, jede gibt es in vielen Versionen, jede kann individuell angepasst werden, jede kann Abhängigkeiten zur Hardware aufweisen, jede kann Abhängigkeiten in der Software erzeugen, die auf ihr läuft. Das aber ist noch nicht alles. Für einen modernen Cloud-Betrieb benötigt es noch Container-Services, Betriebstools für Monitoring, Logging und Identity-Management. Wiederum alles Open-Source verfügbar, in verschiedenen Versionen, mit vielen Abhängigkeiten.
OpenStack et. al. testweise auf dem eigenen Laptop zu installieren ist das eine. Die eigentliche Kunst ist es, diese Softwares in einer Produktivumgebung zu betreiben. Warum? Dort müssen sie ständig aktuell sein und genau dann zuverlässig laufen, wenn sie besonders benötigt wird: Unter großer Last.
SCS macht OpenStack zugänglich
In Deutschland gibt es laut dem Bitkom etwa 50.000 Rechenzentren. 47.000 davon sind eher Server-Räume oder Server-Schränke, die meist von typischen Allround-AdministratorInnen betreut werden. Diese kümmern sich neben der Virtualisierungssoftware auch noch um Hardware, Netzwerk-Anbindung, Betriebssysteme, Datenbanken, Endgeräte und NutzerInnen-Support. Die Angriffswelle gegen VMware ESXi etwa nutzte im Februar 2023 eine kritische Schwachstelle in der Software aus, für die es schon seit 2021 einen Patch gab. Die AllrounderInnen hatten also zwei Jahre lang keine Zeit, ein Standard-Update für das vergleichsweise einfach betreibbare VMware einzuspielen.
Wie also sieht es wohl um Sicherheit und Skalierbarkeit der sehr viel komplexer zu betreibenden OpenStack-Installationen aus?
Genau dieses Problem nun löst der Sovereign Cloud Stack. Die Idee: Mit einer offenen Referenzarchitektur die technische Komplexität für den einzelnen Cloud-Betreiber reduzieren. OpenStack und das Ökosystem drumherum werden dadurch so einfach und zuverlässig, wie es bis dato nur VMware kann. Die Open-Source-Alternativen wären dann nicht nur deutlich günstiger in Beschaffung bzw. Miete, sondern auch ebenso effizient im Betriebsaufwand.
Vier Stufen der Souveränität … und des Kundennutzens
Die Vorteile des SCS gehen noch weiter. Sie lassen sich gut anhand der SCS-eigenen Definition von „digitaler Souveränität“ erklären. Daher ein kurzer Ausflug in diese 5-stufige Taxonomie:
- Stufe 0: Es handelt sich um eine cloud-artige IT-Infrastruktur. Dieses Kriterium erfüllen von IONOS über metalstack.cloud bis zu AWS, Microsoft Azure und Google Cloud praktisch alle Wettbewerber.
- Stufe 1: Diese Stufe erlangt eine Cloud, sobald diese „ohne Weiteres“ GDPR erfüllt. Hier scheitern die Standard-Clouds der Hyperscaler, denn für die Speicherung von personenbezogenen Daten bedarf es einer aufwändigen Datenschutzfolgeabschätzung. „Ohne weiteres“ können Kunden also nur die souveränen Cloud-Varianten der US-Player (Bsp: AWS Sovereign Cloud, Oracle Sovereign Cloud) nutzen. Freilich gibt es auch hier noch Zweifel.
- Stufe 2: Diese Stufe erfüllen dann nur noch Clouds, die derart standardisiert sind, dass Kunden ohne wochenlange Projekte von einem Anbieter zum nächsten wechseln können. Neben den SCS-Clouds könnten VMware-basierte IT-Infrastrukturen diese Anforderung erfüllen. Europäische Clouds wie OVH oder IONOS allerdings würden aufgrund der Einzigartigkeit ihrer Architektur an dieser Stelle scheitern.
- Stufe 3: Die Kriterien der dritten Stufe erfüllen Clouds, die ihren Code offenlegen und ihre Weiterentwicklung durch die Nutzer mitbestimmen lassen. An dieser Stelle verlassen alle Closed-Source-Akteure wie VMware oder Citrix den Wettbewerb (vgl. 4 opens). Lediglich Clouds basierend auf OpenStack oder ProxMox blieben übrig.
- Stufe 4: Diese Stufe wird erreicht, wenn die Clouds zusätzlich ihre Betriebswerkzeuge offenlegen. Sie würde nur von SCS-basierten Clouds erreicht (vgl. Open Operations Manifesto).
Die Vorteile für die Cloud-Kunden werden insbesondere ab Stufe 2 sehr deutlich, wirken aber bis ganz nach oben:
- Stufe 2: Cloud-Nutzer können jederzeit, schnell und kostengünstig den Cloud-Anbieter wechseln. Sind sie mit Plusserver nicht zufrieden, migrieren sie in wenigen Tagen zu Betacloud. Jegliche Abhängigkeit zum Anbieter entfällt, es entsteht die perfekte Verhandlungsposition für Kostenreduktion und Qualitäts-Steigerung.
- Stufe 3: Cloud-Kunden können fehlende Features selbst beisteuern, die Community kann Security-Probleme erkennen und beheben. Cloud-Anbieter können auf diese Weise keinen eigenen USP und somit unerwünschte Abhängigkeiten erzeugen.
- Stufe 4: Cloud-Kunden können jederzeit entscheiden, eigene Clouds nach dem SCS-Standard aufzubauen. Ebenso sinken die Markteintrittshürden für neue Marktbegleiter. Aus dem aktuellen Oligopol mit hohen Preisen wird der perfekte Wettbewerb.
Sollte die Mission des SCS gelingen, wären die volkswirtschaftlichen Implikationen riesig. Nicht nur würde die durchschnittliche Qualität der vielen halbgaren OpenStack-Installationen in Deutschland steigen, auch könnten sich Cloud-Nutzer von den vielen Abhängigkeiten der US-Cloud-Riesen VMware, Azure, Google und AWS befreien. Die Kosten für IT-Infrastrukturen würden durch den gestiegenen Wettbewerb insgesamt sinken, Cloud-Nutzer könnten das Gesparte für eigene Investitionen verwenden.
Souverän oder doch eher autark?
Steuert der SCS uns also in die souveräne Zukunft Europas? Vielleicht nicht ganz, denn ich bin über drei Steine gestolpert, die ich näher beleuchten möchte.
1) Für Souveränität ist Kontrolle nicht ausreichend
Souveränität ist Kontrolle UND Leistungsfähigkeit. Die fünf Stufen der digitalen „Souveränität“ nach dem SCS allerdings beinhalten keinerlei Anforderungen hinsichtlich der Leistungsfähigkeit der Clouds. Zur Erinnerung: Virtualisierungsplattformen können begabte Admins auch auf einem Laptop installieren. Die höchste Stufe der Souveränität nach dem SCS könnte Deutschland also erreichen, wenn Volker Wissing Proxmox (ein anderes Open-Source-Virtualisierungstool) auf den Rechnern von Markus Söder und Nancy Faeser installiert und die Betriebstools dazu offenlegt.
Würden solche souveränen Klein-Clouds ernsthaft Deutschland in die digitale Souveränität führen? Die aktuellen SCS-Piloten von Plusserver und Scaleup sind bei weitem besser als Politiker-Laptops, aber das Beispiel offenbart die konzeptionelle Lücke in der Vorstellung des SCS von Souveränität.
Ein gutes Beispiel für europäische Souveränität in Krisenzeiten ist das Unternehmen BionTech. Die Situation Europas im Streit um Impfstoffe war ja nicht deswegen gut, weil wir die Wertschöpfung des Unternehmens in Friedenszeiten transparent kontrollieren konnte. Europas Handlungsfähigkeit war gegeben, weil Biontech zum Zeitpunkt der Krise einen leistungsfähigen Impfstoff herzustellen wusste.
Gleiches gilt für Europas Cloud-Industrie: echte Souveränität entstünde, wenn wir einen europäischen Hyperscaler hätten, der leistungsmäßig mit AWS, Azure und GCP mithalten könnte. In Krisenzeiten dann könnte ihn die europäische Politik auf gleiche Weise instrumentalisieren wie Trump seine US-Giganten.
Zwar verfolgt der SCS die Idee, die souveränen Klein-Clouds zu föderieren und damit einen virtuellen Riesen entstehen zu lassen. Die eigentliche Macht der Hyperscaler aber liegt nicht in der Summe ihrer Infrastrukturen, sondern in dem auf ihrer wirtschaftlichen Größe beruhenden Gestaltungsfähigkeit (siehe Abbildung).
2) Digitale Abhängigkeiten gibt es auch woanders
Die vier Stufen der Souveränität nach dem SCS lösen tatsächlich alle Abhängigkeiten bezogen auf Software und Betrieb von IT-Infrastruktur auf. Kein US-Präsident könnte Deutschland auf diesen Ebenen etwas anhaben, wir würden nicht nur souverän, sondern völlig autark. Nur: Die digitalen Abhängigkeiten auf allen anderen Ebenen bleiben. Seltene Erden, Chips, Server-Komponenten, Betriebssysteme, Mobiltelefone, Datenbanken, Verzeichnisdienste, Büro-Software, Kommunikations-Software, Finanzmarkttransaktionen, Teslas… Für einen ernsthaften Handelskrieg blieben Trump genug Angriffsflächen.
Anders gesagt: Der SCS beseitigt viele der besonders große Tretminen, Deutschland könnte mit Hilfe des SCS im Schlüsselbereich "Cloud-Infrastruktur" Autarkie erreichen. Die digitalen Abhängigkeiten insgesamt aber bleiben, unserer Verwundbarkeit in Handelskonflikten bleibt bestehen. Die Minenräumarbeit des SCS-Teams also bleibt sinnvoll, sie ist gut und bewirkt gutes. Lediglich die dazugehörige Taxonomie führt Laien in die Irre. Denn: selbst eine Zwangseinführung der SCS-Stufe 4 für alle 50.000 deutschen Clouds würde zu keiner nennenswerten Veränderung der Verwundbarkeit unserer IT-Landschaften in Summe führen.
3) Der Cloud-Markt muss auch für Anbieter funktionieren
Die Stufen 2 bis 4 der oben geschilderten Taxonomie machen den SCS tatsächlich einzigartig. Mir ist kein Modell bekannt, dass die Auflösung von digitalen Abhängigkeiten derart weit denkt, wie dieses. Der SCS vereinfacht Aufbau und Betrieb hochmoderner Cloud-Technologie und hilft Unternehmen und Diensteanbietern dabei, ihre Ressourcen auf wirklich werthaltige IT wie Software-Applikationen oder künstliche Intelligenz zu fokussieren.
Zudem ist es dem SCS-Team mit vergleichsweise wenig Fördergeldern gelungen, Verfügbarkeit und Versionierung der SCS-basierten Clouds zu monitoren. Dies schafft das Vertrauen bei den Cloud-Kunden, dass sie auch wirklich unkompliziert ihren Anbieter wechseln können. Cloud wird damit austauschbar wie Benzin. Egal ob Esso oder Aral, das standardisierte Produkt kann ich dort beziehen, wo es am günstigsten ist.
Nur in dieser totalen Kommoditisierung der IT-Infrastruktur liegt auch die operative Gefahr für den Sovereign Cloud Stack. Denn was ist das Interesse eine Cloud-Anbieters, in den Aufbau einer absolut austauschbaren Cloud zu investieren? Ein Produkt ohne Wettbewerbsvorteil, ohne USP, ohne Kundenbindung? Auch europäische Cloud-Anbieter sind keine Charities. Sie stehen im Wettbewerb, müssen MitarbeiterInnen halten und ausbilden, Zinsen und Dividenden zahlen, in Produkte, Vertrieb und Marketing investieren. Woher soll das Geld stammen, wenn nicht aus einem stabilen Basisprodukt wie IT-Infrastruktur? Die europäischen Clouds könnten lediglich versuchen, auf Ebene von Plattform Services und Managed Services Lock-Ins zu erzeugen.
Cloud unterliegt auch dem Kapitalismus
Auf der Ebene der IT-Infrastruktur sind Deutschland und Europa digital abhängig von den US-Unternehmen VMware/Broadcom, Amazon, Microsoft und Google. Diese sind allerdings nicht deswegen so stark, weil wir Europäer nicht das nötige Know-how für Betrieb und Software von IT-Infrastrukturen haben. Es liegt auch nicht an Patenten, die wir nicht umgehen könnten, oder einem Mangel an Unternehmen, die gerne IT-Infrastruktur anbieten würden.
Nein, die US-Unternehmen sind vor allem deshalb so stark, weil sie so stark sind. Sie verdienen mit ihrer Basis-Infrastruktur Milliarden pro Monat, vielmehr noch als sie in ihren Quartalsberichten zeigen. Denn: Die Deckungsbeiträge aus virtuellen Maschinen, Speicher und Netzwerk finanzieren die Stabilisierung ihrer Marktposition auf vielen Wegen. Freemium-Modelle zum leichten Einstieg, 5.000 Euro Startup-Bonus, kostenlose Cloud-ArchitektInnen für Großkonzern, Lustreisen ins Silicon Valley, Schulungen, Marketing, Partnernetzwerke und Horden an Vertrieblern. Alles das sucht man vergeblich bei den armen deutschen und europäischen Clouds. Karl Marx würde zusammenfassen: „Hyperscaler sind das Werkzeug großkapitalistischer Unterjochung.“
Der Sovereign Cloud Stack also hält es mit Che Guevara: „Seien wir realistisch, versuchen wir das Unmögliche.“ Das Unmögliche in diesem Falle ist: Die Großkapitalisten zu schlagen, in dem man den Kleinkapitalisten den Gewinn nimmt, und mit einer guten Vision alleine kämpfen lässt.
Von anderen Infrastrukturen lernen
Der SCS hat Großartiges erbracht. Das Team hat mit einem sehr smarten Ansatz und basierend auf existierenden Technologien ein Konstrukt in einem Schlüsselbereich der Digitalisierung geschaffen, das sehr viel zur digitalen Souveränität Europas beitragen könnte.
Das Problem nun ist: Wie kann dem SCS der Markteintritt gelingen? Große Organisationen wechseln nur ungerne ihre IT-Infrastrukturen. Solchen Migrationen gehen mehrjährige Sondierungsprojekte voraus. Networking, Vertrauensaufbau, Branchenreferenzen, technische Piloten, Besuche im Rechenzentrum, Ausschreibungen. All dies leisten die Hyperscaler und ihre Partner „gratis“. Welcher SCS-basierte Cloud-Anbieter wird sich diese Go-To-Market-Investitionen leisten wollen? Welche SCS-Cloud wird die Ausschreibung gewinnen, wenn alle gleich sind? Wie lange werden die Kunden auf der ersten SCS-Cloud bleiben, wenn sie diese doch binnen Tagen zur zweiten wechseln können?
Ich glaube, der SCS kann zum Erfolg werden, wenn Deutschland das Vorgehen aus anderen Lebensbereichen, in denen es um Souveränität und Grundversorgung geht, kopiert. Im Bereich der Nahrungsmittel hat die EU ein umfangreiches System aufgebaut, damit Europa nicht abhängig wird von Grundnahrungsmittel-Lieferungen anderer Länder. In Verkehrsinfrastruktur, wie Autobahnen investiert der Staat selbst. Die Investitionen in Telefon- und Internet-Infrastruktur werden hochgradig staatlich gesteuert und reguliert.
In einer Welt, in der immer mehr Menschen von zu Hause arbeiten, in der die meisten Güter online gehandelt werden, in der alle Finanzströme virtuell sind, da sind IT-Infrastrukturen nicht weniger relevant als klassische Infrastrukturen. Für ein wenig Regulierung und staatliche Investitionen in diesem Bereich müsste sich Deutschland also nicht schämen.
Ein Drittel von KRITIS in autarke Clouds
Wie könnte so ein Vorschlag aussehen? Unternehmen, die in den Bereich ‚Kritische Infrastrukturen‘ fallen, sollten verpflichtet werden, ein Drittel ihrer Anwendungen in autarke Clouds zu verlagern. Dies fallen dann nach der Taxonomie des SCS IT-Infrastrukturen mindestens in Stufe 3.
Eine solche Verpflichtung würde eine enorme Nachfrage nach SCS-basierten Clouds generieren. Die Cloud-Anbieter wären dann zwar immer noch weitgehend austauschbar untereinander, sie könnten aber zumindest mit großer und stabiler Nachfrage rechnen. Vielleicht würde sogar ein Industriestandard entstehen wie bei Eisenbahnschienen. Unsere IT-Loks könnten dann auf im Notfall von den Microsoft-Schienen schnell rüber auf die SCS-Gleise fahren.
Wehtun würde eine solche Regulierung auch niemandem. Die meisten KRITIS-Unternehmen haben ohnehin Handlungsbedarf. Sie wollen sich von VMware lösen und müssen ihre Applikationen modernisieren. Ob sie da zwischendrin noch auf eine SCS-basierte Cloud wechseln, fiele kaum ins Gewicht.
Regulierung ist uncool?
In der Tat, nach Regulierung zu rufen, ist irgendwie doof. Nur ist der Cloud-Markt sehr stabil. Er wächst insgesamt ordentlich, wird aber von den Hyperscalern dominiert. Wie schwer der Markteintritt ist zeigt Google: Trotz Milliardeninvestitionen stagniert der Marktanteil bei etwa 10%.
Den Markt ausschliesslich mit Open-Source zu erobern ist noch einmal schwerer. Wie sehr, zeigen die Beispiele Kubernetes (Container-Software) und Llama (KI-Sprachmodell). Beides sind erfolgreiche Open-Software-Softwares, die Deutschland und Europa jetzt schon helfen, in den jeweiligen Bereichen souveräner zu werden. Aber hinter beiden steht jeweils ein reicher Closed-Source-Player. Meta beispielsweise finanzierte die Milliarden für das Training von Llama mit den Einnahmen aus Instagram. Könnte die Social-Media-Plattform Mastodon nicht ebenfalls ihre Einnahmen verwenden, um Europas Souveränität in der nächsten Technologie-Welle abzusichern? Natürlich nicht, aufgrund ihres Open-Source-Ansatzes fehlen ihnen ja die Einnahmen dazu.
Wenn wir also Deutschland mit Open-Source, ohne Closed-Source-Mäzene und ohne Regulierung digital souveräner machen wollen, müssen wir den Kapitalismus irgendwie austricksen. Wir müssen Wege finden, die Incentives im Markt der IT-Infrastrukturen zu ändern. Vielleicht müssen wir mal ein Open-Source-Geschäftsentwicklungs-Projekt ins Leben rufen – aber interdisziplinär besetzt, auch mit ÖkonomInnen und JuristInnen. Ich hoffe nur, dass diese bereit sind, unter einer Open-Source-Lizenz zu arbeiten.
Dieser Artikel ist in Zusammenarbeit mit Marcel Gocke entstanden. In Absprache mit dem SCS-Team möchte ich noch folgende Punkte ergänzen:
- SCS gibt es auch als "Cloud-in-the-Box"-Variante, die sich für kleiner Installationen und Edge-Lösungen eignen.
- Mit größerer Verbreitung könnte durch den SCS ein "virtueller Hyperscaler" gemäß einer der Original-Ideen von Gaia-X entstehen. Dieser würde zwar nicht zu den ökonomischen Vorteilen von Closed-Source-Hyperscalern führen (z.B. Investitionen in die nächste Technologie-Generation finanzieren), könnte aber die Handlungsfähigkeit Europas im Falle eines Handelskonflikts deutlich verbessern.
