Deutschland ist digital nicht souverän, darin sind sich alle einig. Streit gibt es vor allem um die Frage, wie Abhilfe aussehen könnte: Mehr lokale US-Clouds nach dem Vorbild von Delos? Mehr Open Source? Ein europäischer Hyperscaler? Gestritten wird auch darum, auf welche Krisenszenarien sich Europa vorbereiten muss: Müssen wir uns vor US-Geheimdiensten schützen oder eher vor der Abhängigkeit zu China? Geht es um Raketen auf europäische Rechenzentren oder um Bugs in Routern? Ich habe den Praktiker Christoph Puppe gebeten, diese Fragen für uns zu sortieren.

Gregor: Christoph, jede gute Debatte zur digitalen Souveränität beginnt mit einer Klage über die mangelnde Klarheit des Begriffs. Was ist denn deine Definition der souveränen Cloud?

Christoph: Mir geht es erst einmal um Datensicherheit. Unternehmen und Regierungen müssen sicherstellen, dass ihre Daten in der Cloud sicher und geschützt sind und dass sie die Kontrolle über ihre Daten behalten. Derzeit wird als ein Aspekt der Sicherheit auch die Souveränität stark diskutiert.

“Autarkie ist kaum realisierbar und auch nicht unbedingt wünschenswert”

Gregor: Unterscheidest du dabei zwischen "Souveränität" und "Autarkie"?

Christoph: "Souveränität" und "Autarkie" werden häufig synonym verwendet, bedeuten aber nicht dasselbe. Vereinfacht gesagt beschreibt Souveränität die Fähigkeit, selbstbestimmt Entscheidungen zu treffen und zu handeln. 

Autarkie hingegen bedeutet vollständige Unabhängigkeit und Selbstversorgung. Im digitalen Bereich würde dies bedeuten, dass ein Land alle Technologien und Ressourcen selbst entwickelt und betreibt, ohne auf ausländische Anbieter angewiesen zu sein. Im digitalen Zeitalter ist Autarkie kaum realisierbar und auch nicht unbedingt wünschenswert. Die globale Vernetzung und der internationale Austausch von Technologien und Wissen sind wichtige Treiber für Innovation und Fortschritt. Eine vollständige Abschottung würde die wirtschaftliche und technologische Entwicklung behindern.

Souveränität hingegen ist ein wichtiges Ziel, das es anzustreben gilt. Sie ermöglicht es Staaten und Unternehmen, ihre eigenen Interessen zu wahren und sich vor externen Einflüssen zu schützen. Im digitalen Bereich bedeutet dies, die Kontrolle über kritische Infrastrukturen und Daten zu behalten und wird oft so verstanden, dass man sich nicht von ausländischen Anbietern abhängig machen darf. Souverän kann eine Firma oder ein Staat aber auch entscheiden, Angebote aus Ländern, mit denen wir verbündet und in vielen Aspekten stark verzahnt sind, zu nutzen. Ganz konkret sind das die US Hyperscaler, an denen eigentlich kein Weg vorbei geht, wenn man einen modernen und effizienten IT-Betrieb wünscht.

Gregor: Autarkie, sagst du, sei nicht möglich. Kann Europa denn noch digital souverän werden?

Christoph: Aus meiner Sicht benötigten wir leistungsfähige Clouds. Nicht nur für unsere bestehenden Anwendungen, sondern verstärkt auch für KI. Gaia-X war ein Versuch, eine europäische Groß-Cloud zu schaffen, indem man viele kleinere Anbieter zu einem Netzwerk zusammenschließt. Auch haben wir in der EU einige mittelständische Unternehmen, die Computer zum Mieten anbieten. Allerdings hat sich bisher noch kein wirklich konkurrenzfähiger europäischer Anbieter, den man mit Fug und Recht als Hyperscaler bezeichnen könnte, etabliert.

Der Grund dafür ist unter anderem, dass die Entwicklung von Cloud-Infrastrukturen extrem teuer ist. Die großen US-Anbieter haben immense Budgets für Forschung und Entwicklung. Amazon, Microsoft und Google investieren jedes Jahr zusammen etwa 120 Milliarden US-Dollar in Forschung und Entwicklung, inklusive ihrer Cloud-Dienste. Das ist für europäische Anbieter nicht erreichbar.

Somit erwarte ich nicht, dass sich an der Situation der von US-Angeboten dominierten Cloud-Landschaft etwas ändern wird. Wenn die Länder und Firmen der EU sich wegen teilweise überzogenen Risikobetrachtungen deswegen von diesen Anbietern abwenden, müssen wir die Kosten dafür als Bürger tragen. Weniger Effizienz, weniger Wertschöpfung und damit auch Wohlstandsverlust.

Gregor: Auf LinkedIn bekomme ich häufig folgende Feedbacks: Wir brauchen zur Digitalisierung gar keine Clouds, klassischen Rechenzentren reichen dafür auch. Schon gar nicht benötigt es Groß-Clouds, denn kleinere Infrastrukturen sind häufig viel günstiger. Investieren die Hyperscaler vielleicht nur deswegen so viel Geld, um ihre Kunden in klebrige Services hineinzutricksen, die diese eigentlich gar nicht brauchen? „Schlangenöl“ ist hier, glaube ich, der Fachbegriff.

Christoph: Die Frage, ob Hyperscaler für die Digitalisierung notwendig sind, ist berechtigt, denn klassische Rechenzentren und kleine Cloud-Anbieter haben auch ihre Stärken. Hyperscaler bieten jedoch entscheidende Vorteile, die man nicht ignorieren sollte. Sie ermöglichen eine nahezu unbegrenzte Skalierung von Ressourcen, was besonders für Unternehmen mit stark schwankendem Bedarf wichtig ist. Mit Rechenzentren weltweit ermöglichen sie geringe Latenzzeiten und die Einhaltung von Datenschutzbestimmungen. Hyperscaler investieren außerdem massiv in Forschung und Entwicklung, beispielsweise in KI/ML, Big Data und Serverless Computing, und bieten somit Zugang zu Innovationen. Nicht zuletzt erfüllen sie höchste Sicherheitsstandards und investieren in modernste Sicherheitstechnologien. Der Begriff "Schlangenöl" ist irreführend, denn Hyperscaler-Services sind essenziell für die Digitalisierung und ermöglichen Unternehmen, innovativ zu sein.

“In die Cloud zu gehen bedeutet immer, einen Teil seiner Souveränität aufzugeben.”

Gregor: Interessant. Nun aber zurück zum Thema: Kann ich denn in Europa souverän in die Cloud gehen?

Christoph: In die Cloud zu gehen bedeutet immer, einen Teil seiner Souveränität aufzugeben. Geteilte Verantwortung, weniger Arbeit für die eigene Organisation, die vorhandenen Personen mehr auf die eigentlichen Ziele der Organisation ausrichten und sich nicht mit administrativen Standardaufgaben belasten. Für Firmen ist es also eine Entscheidung, was ihnen wichtiger ist: Mehr Fokus auf das Kerngeschäft oder mehr Kontrolle über den IT-Betrieb.

Für Staaten und ihre Behörden gibt es die Option, einen Cloud-Anbieter zu wählen, dessen Hauptsitz im eigenen Hoheitsgebiet liegt. Der also nicht den Gesetzen eines anderen Staates unterliegt. Da es nun keine vergleichbar attraktiven Anbieter in der EU gibt und der technologische Vorsprung der US-Anbieter uneinholbar ist, versuchen es derzeit Microsoft und SAP zusammen. Die Firma heißt Delos und soll die Angebote der Azure Cloud für den europäischen Markt bereitstellen. Ein sehr interessantes Projekt, dessen Entwicklung viele mit großer Aufmerksamkeit beobachten. Ich persönlich würde - sofern es die gäbe - derzeit allerdings keine Aktien dieses Projekts kaufen. Das Risiko ist hoch, dass Delos so endet wie das Datenschutz RZ der Telekom in Magdeburg. SAP sieht die Behörden-Clouds als Zukunftsmarkt und hat letzte Woche angekündigt, DELOS als Geschäftsmodell zu skalieren.

Gregor: Gibt es noch mit DELOS vergleichbare Optionen?

Christoph: Die Cloud On-Premises zu hosten, so wie Delos es auch vorhat, gibt es tatsächlich. Google hat z. B. die GCP-Hosted im Angebot. AWS und Azure etwas Ähnliches. Was dagegen spricht, ist, dass diese Produkte nur einen sehr kleinen Teil der Dienste bieten. Zumeist ist es “nur” ein Kubernetes mit Benutzerverwaltung, Speicher und IaaS. Eine Übersicht dieser Dienste hatte ich letztes Jahr für die iX geschrieben.

Gregor: Warum setzen wir in Europa nicht einfach konsequent auf Open-Source-basierte Clouds?

Christoph: Open Source kann eine wichtige Rolle bei der Gewährleistung von Datensouveränität und IT-Sicherheit spielen. Open-Source-Software ist transparenter und kann von unabhängigen Experten überprüft werden. Dies macht es schwieriger für Regierungen, Hintertüren in Open-Source-Software einzubauen. Allerdings ist Open Source kein Allheilmittel. Es gibt auch Sicherheitslücken in Open-Source-Software, und es ist wichtig, dass Unternehmen die Open-Source-Software, die sie verwenden, sorgfältig auswählen und regelmäßig aktualisieren.

Gregor: Welche Herausforderungen siehst du bei der Verwendung von Open Source?

Christoph: Eine Herausforderung ist dabei die Schwierigkeit, qualifizierte Open-Source-Entwickler zu finden. Es ist auch wichtig zu beachten, dass die Entwicklung von Open-Source-Software, neben den Firmen, die Mitarbeiter dafür abstellen, oft von Freiwilligenarbeit getragen wird. Dies kann zu Problemen führen, wenn die Freiwilligen ihre Arbeit an der Software einstellen. Der Sovereign Tech Fund versucht dieses Problem mit staatlicher Unterstützung zu lösen, aber seit seiner Gründung waren dies erst 60 Projekte. Das ist viel zu wenig.

Was die Unterstützung von OpenSource angeht, sieht man in den Auswertungen der CNCF, wer sich bei Kubernetes beteiligt. Nur zwei europäische Firmen sind hier auf den Plätzen 12 und 14.

“Die fehlgeschlagene IT-Konsolidierung des Bundes hat viel für die Resilienz getan!”

Gregor: Wir müssen also nicht die Clouds skalieren, sondern unseren Support für Open-Source nach dem Muster des Sovereign Tech Funds?

Christoph: Ich glaube, wir brauchen beides. Die EU sollte die Entwicklung europäischer Cloud-Anbieter fördern, genauso wie sie mehr Open-Source-Projekte absichern sollte. Sie sollte auch die Zusammenarbeit mit anderen Ländern im Bereich Datensouveränität und IT-Sicherheit verstärken. Es ist auch wichtig, dass die EU die aktuellen Hindernisse durch zu viel Regulierung, zu wenig Anreize und eine ausufernde Bürokratie abbaut. Wenn das nicht passiert, werden Investitionen in der EU kaum Erfolge bringen.

Wir dürfen nicht vergessen: IT und Software sind wichtige, geopolitische Faktoren. Gegenseitiger Zugriff auf Finanzplattformen wie Swift, Markt- und andere Daten sowie geheimdienstliche Erkenntnisse sind wichtig. Aber auch betriebliche Abhängigkeiten, Zugang zu Chips und Rohstoffen sind relevante Themen bei der Diskussion um die Souveränität. Man kann schon sagen: die IT hat in den letzten Jahrzehnten ihre politische Unschuld verloren. Der zunehmende Wettbewerb zwischen den USA und China bei Chips gibt uns einen Ausblick auf mögliche geopolitische Konflikte der Zukunft. Beide Länder versuchen, ihre technologische Dominanz zu nutzen, um ihre eigenen Interessen durchzusetzen. Auch der Konflikt in der Ukraine ist ein gutes Beispiel für die Verknüpfung von Politik und Technologie.

Gregor: Das musst du erklären!

Christoph: Der Ukraine-Krieg hat die Bedeutung von Resilienz und die Fähigkeit zur schnellen Reaktion auf Krisen dramatisch verdeutlicht. Ein eindrucksvolles Beispiel ist die Auslagerung der ukrainischen Staats-IT in die AWS-Cloud innerhalb kürzester Zeit nach Kriegsbeginn. Dieser Schritt hatte mehrere Gründe. Durch die Verlagerung der Daten in die Cloud wurden diese vor Zerstörung durch Bombenangriffe oder Sabotage geschützt. Die ukrainische Regierung konnte durch den Umzug in die Cloud sicherstellen, dass wichtige Dienste wie Kommunikation, Verwaltung und Informationsverbreitung auch im Kriegsfall weiter funktionieren. In Deutschland haben wir zwar die redundanten Rechenzentren des ITZBund. Ein paar konventionelle Raketen später hätten wir die leider nicht mehr. Auch DELOS wird daran nichts ändern, da es hier nur um wenige physikalische Rechenzentren geht.

Solche Überlegungen sind den Politikern durch die Invasion sehr bewusst geworden. Was man am Rande erwähnen kann: nur wenige Bundesbehörden sind vollständig beim ITZBund. Die fehlgeschlagene Konsolidierung der Bundes-IT hat hier mehr für die Resilienz getan als die meisten anderen Maßnahmen.

Gregor: Du sprichst das Thema Resilienz an. Welche Rolle spielt diese im Kontext digitaler Souveränität?

Christoph: Ich glaube, dass eine Fokussierung auf die IT-Resilienz alleine nicht ausreicht. Wir müssen eine ganzheitliche Perspektive einnehmen und die gesamte Wertschöpfungskette betrachten. Die Abhängigkeit von asiatischen Produktionsstätten, insbesondere bei kritischen Gütern wie Chips, Handys, Medikamenten oder medizinischer Ausrüstung, stellt ein erhebliches Risiko dar. Im Krisenfall, sei es durch einen militärischen Konflikt, eine Naturkatastrophe oder eine Pandemie, können diese Lieferketten schnell zusammenbrechen. Dann nützt es wenig, wenn unsere Computer noch funktionieren, aber die Apotheken leer sind.

Die aktuelle Situation zeigt uns, dass wir dringend eine Diversifizierung der Produktionsstandorte und eine Stärkung der europäischen Industrie brauchen. Wir müssen wieder mehr "Made in Europe" produzieren, um unsere Versorgungssicherheit zu gewährleisten. Gleichzeitig müssen wir aber auch die Chancen der Digitalisierung nutzen, um die Resilienz unserer Lieferketten zu erhöhen. Durch Technologien wie Künstliche Intelligenz und das Internet der Dinge können wir die Transparenz und Nachverfolgbarkeit von Lieferketten verbessern und so frühzeitig auf Störungen reagieren. Es ist also ein Balanceakt: Wir müssen die IT-Resilienz stärken, aber gleichzeitig auch die physischen Produktionsstätten und Lieferketten diversifizieren und robuster gestalten. Nur so können wir im Krisenfall die Versorgung mit lebenswichtigen Gütern sicherstellen.

“Die internationale Verflechtung im IT-Bereich kann dazu beitragen, Frieden und Stabilität zu fördern.”

Gregor: Können wir in Deutschland mit unserem Hang zum globalen Outsourcing überhaupt insgesamt souverän sein?

Christoph: Die internationale Verflechtung der IT bringt auch erhebliche Vorteile mit sich. Sie ermöglicht einen weltweiten Wissensaustausch, fördert Innovationen und trägt zu wirtschaftlichem Wachstum bei.

Denk beispielsweise an Open-Source-Software: Entwickler aus aller Welt arbeiten gemeinsam an Softwareprojekten, teilen ihren Code und verbessern sich gegenseitig. Das wäre ohne eine globale Vernetzung nicht möglich. Oder nimm die Cloud: Durch die Nutzung von Cloud-Diensten können Unternehmen auf IT-Ressourcen zugreifen, die sie selbst nicht betreiben könnten. Das ermöglicht es auch kleinen und mittleren Unternehmen, von modernster Technologie zu profitieren und global wettbewerbsfähig zu bleiben.

Willy Brandt sagte zum Thema Globalisierung: 

„Die Welt ist eine Einheit, und wir müssen anfangen, entsprechend zu handeln - als Glieder dieser Einheit, die aufeinander angewiesen sind." (Brandt-Report, S. 62f.)

Auch die internationale Verflechtung im IT-Bereich kann dazu beitragen, Frieden und Stabilität zu fördern. Je enger die Länder miteinander verbunden sind, desto geringer ist die Wahrscheinlichkeit - oder schlicht Möglichkeit - von Konflikten.

Es ist also wichtig, die Chancen und Risiken der internationalen Verflechtung im IT-Bereich sorgfältig abzuwägen. Wir sollten die Vorteile der Angebote aus den befreundeten Nationen nutzen, aber gleichzeitig die Risiken minimieren, zum Beispiel durch eine Stärkung der europäischen IT-Industrie und die Förderung von Open-Source-Software. Verbote dagegen werden uns kaum helfen, mehr Innovation und Marktpräsenz zu erreichen. Mein Ansatz wäre eingebettet in ein Netz von Partnern die Geschäftsmodelle der Firmen in der EU durch Cloud voranbringen und in den Industrien Erfolge feiern, in denen wir stark sind. In einem Netz muss nicht jeder in allem stark sein, aber das Netz der Kooperationen wird stärker, wenn jeder seinen Teil gut macht!

Gregor: Spannend. Du bist also für Delos UND für Open-Source, für europäische Hyperscaler UND US-Hyperscaler, für mehr Industriepolitik auf EU-Ebene UND für weniger Regulierung. Habe ich das richtig verstanden?

Christoph: Delos und GAIA-X sind gute Ansätze, auch der mit dem GDPR erfolgte Protektionismus war teilweise erfolgreich. Aber die technologischen Durchbrüche in der Cloud und der KI werden auf absehbare Zeiten in den USA passieren, das müssen wir anerkennen und uns entsprechend aufstellen. Wir sollten also diese Angebote nutzen und gleichzeitig die Schaffung eigener Angebote ermöglichen. Nicht fördern mit der Gießkanne, sondern den regulatorischen Rahmen schaffen, so dass hiesige Anbieter eine Chance haben. Also Regulierung reduzieren, praxisnäher und mit weniger Bürokratieaufwand gestalten.

Gregor: Vielen Dank für Deine Zeit!