Ziel dieses Beitrags ist es den Einfluss von einer Kontrolle der Wertschöpfung auf die von uns definierten Souveränitätsziele (Leistungsfähigkeit und Kontrolle) darzustellen und Vor- und Nachteile zu bewerten.
Was bedeutet Kontrolle der Wertschöpfung?
Unter Kontrolle der Wertschöpfung verstehen wir das (1) Verständnis der Details der eigenen IT-Wertschöpfungskette sowie (2) Fähigkeit und Recht, diese Details auch zu verändern. Die folgende Grafik stellt die IT-Wertschöpfung vereinfacht dar:
Ein gutes Beispiel für mangelnde Kontrolle der Wertschöpfung sind die Bürosoftwares Microsoft O365 und Google Workspace. Beide Cloud-Lösungen bieten ihren Nutzern umfassende und einfach nutzbare Leistungen. Welche IT-Komponenten auf den Ebenen Middleware, Infrastruktur und Hardware verwendet werden, ist für die Kunden kaum erkennbar und nicht veränderbar. Das niedrige Niveau an Kontrolle betrifft nicht nur Bürosoftware, sondern viele wichtige Softwares (z.B. Oracle, SAP, VMware) der meisten Organisationen in Europa.
Das maximale Maß an Kontrolle würden Organisationen erreichen, wenn sie alle Leistungen der IT-Wertschöpfungskette selbst erbringen. Dies würde neben den oben genannten Bereichen aus Soft- und Hardware auch Rohstoff-Abbau, die Chip-Produktion, bis zu Rechenzentren, Softwareentwicklung und Betrieb gehen (siehe dazu auch unseren Artikel zum Thema „Digitale Souveränität“). Abhängigkeiten wären somit nicht vorhanden, die Organisation wäre autark. In der Realität erreichen diesen Zustand nicht einmal die USA, denn sie sind neben Rohstoffen aus China auch auf Taiwanesische Chips angewiesen. Autarkie bedingt somit den Verzicht auf digitale Leistungsfähigkeit.
Die folgende Grafik zeigt das von der Bitkom 2016 gezeichnete Spektrum der digitalen Souveränität:
Warum eine Kontrolle der Wertschöpfung?
Die Transparenz zur und Einfluss auf die eigene IT-Wertschöpfung schützen eine Organisation gegen einzelne Abhängigkeiten und helfen ihr, flexibel und sicher mit Unwägbarkeiten umzugehen.
Die folgende Tabelle erläutert die wichtigsten Abhängigkeiten:
| Abhängigkeit | Beschreibung | Beispiel |
| Proprietäre Software | Die Software gehört einem Hersteller, der keinen Einblick in den Code und Änderungen durch Dritte zulässt. Da sich Softwares häufig nicht einfach austauschen lassen, entsteht Abhängigkeit zu diesem Hersteller. | Microsoft erhöht die Preise für M365 um +40%, ohne dass Kunden verloren gehen. Amazon benötigt ein mehrjähriges Projekt, um die proprietäre Software von Oracle durch eigene Services von AWS zu ersetzen. |
| Software-Supply-Chain | Die eigene IT-Wertschöpfung beinhaltet Softwares, welche (1) unbekannte Sicherheitslücken oder Überwachungsprogramme enthält oder (2) zu geopolitischen oder wirtschaftlichen Abhängigkeiten führt. | Die US-Software Solarwinds wurde in Rechenzentren von US-Ministerien deployed, enthielt aber eine vom russischen Geheimdienst implementierte Wanze. Die Sicherheitsfirma RSA nutzte bewusst Sicherheitsalgorithmen, die einfach von der NSA decodiert werden konnten. |
| Hardware-Supply-Chain | Die eigene IT-Wertschöpfung beinhaltet Hardwares, welche (1) unbekannte Sicherheitslücken oder Überwachungsprogramme enthält oder (2) zu geopolitischen oder wirtschaftlichen Abhängigkeiten führt. | Viele Komponenten stammen aus der Indo-Pazifik-Gegend. Krisen dort würden zu digitalen Leistungsproblemen in Deutschland führen. Hardware der Firma Cisco wurden durch die NSA mit Abhöreinrichtungen ausgestattet. |
| Risiken durch Schwachstellen | Software und Hardware können Schwachstellen enthalten. Diese können bewusst eingeführt (Backdoors) oder unbewusst offengeblieben (Sicherheitslücken) sein. | In Cisco Switches tauchen immer wieder Backdoors auf, durch die ein geheimer Zugriff stattfinden kann. Die Sicherheitslücke in Log4j hatte weltweite und monatelange Auswirkungen auf viele Softwares. |
| Kontrollverlust durch Fremdbetrieb | Ein externer Dienstleister betreibt die genutzte Infrastruktur oder Software. Der Kunde hat keine Kontrolle über die Details der Leistungserbringung. | Der Brand beim Cloud-Anbieters OVH, einem der größten Internetdienstleister in Europa, hatte massive Auswirkungen. Eine AWS-Störung verursachte Ausfälle bei vielen Websites und Services, wie Netflix. |
| Einfluss fremder Behörden | Ausländische Anbieter unterliegen lokalen Gesetzen, auch wenn sie im Ausland operieren. | Allein das FBI hat 2021 bis zu 3,4 Million Mal Daten auf Basis von FISA-Anfragen durchsucht. BND hat über G10-Gesetze Zugriff auf Rechenzentren in Deutschland, auch wenn dort US-Daten liegen. |
| Unerwünschte Provider-interne Datenflüsse | Anfallende Kunden- und Telemetriedaten werden zur Verbesserung des eigenen Angebots genutzt. | Der bei ChatGPT eingegebene Text kann bei anderen Nutzern auftauchen oder zum Training des Modells genutzt werden. |
Will eine Organisation Kontrolle über ihre Wertschöpfung erreichen, muss sie sich mit der eingesetzten IT und auch den daraus resultierenden Abhängigkeiten beschäftigen.
Kontrolle der Wertschöpfung am Beispiel Deutschlands
Der deutsche Staat möchte Teile seiner IT in die Public Cloud outsourcen, gleichzeitig aber die Kontrolle über seine IT-Wertschöpfung behalten. Um diesen Widerspruch aufzulösen, hat das BSI die „roten Linien” entwickelt. Diese 121 Anforderungen definieren die wesentlichen Kontroll-Anforderungen für Cloud-Plattformen für die öffentliche Verwaltung. Damit schafft das BSI ein Rahmenwerk, auf dessen Basis Anbieter Clouds zur Verfügung stellen können, welche den Kontrollanforderungen des Staates gerecht werden.
Die 121 Anforderungen lassen sich zu den folgenden sechs Kern-Herausforderungen zusammenfassen:
In der Zusammenfassung lassen sich die Voraussetzungen sehen, unter denen Deutschland bereit ist, sich auf außereuropäische Cloud-Technologie einzulassen. Weitere Details zu den sechs Kern-Herausforderungen werden hier beschrieben.
Der Einfluss der Wertschöpfungskontrolle auf die Leistungsziele
Die Kontrolle der Wertschöpfung hat, nach unserer Einschätzung, einen meistens positiven Einfluss auf die Ziele der Leistungsfähigkeit. Würden die roten Linien entsprechend umgesetzt, wäre die Nutzung der leistungsfähigsten Cloud-Services der US-Provider möglich. Das Delos Angebot, dass eine dedizierte Microsoft Azure Infrastruktur unter die Kontrolle eines deutschen Treuhänders bringt, ist dafür ein gutes Beispiel. Sie wird über aktuelle Azure Services verfügen, aber außerhalb der direkten Kontrolle der USA liegen. Bemessen an den öffentlich verfügbaren roten Linien wäre die Delos Umsetzung nicht komplett konform, da ein Betrieb durch deutsche Beamte ausgeführt werden muss. Im Vergleich zu einer Public Cloud-Nutzung ist die Kontrolle aber weitaus höher und im Vergleich zu den meisten Private Clouds die Serviceauswahl größer.
Im Gegensatz dazu muss vor der Nutzung mehr Eigenleistung erbracht werden. Statt einfach einen Service zu abonnieren, muss der Staat intensiv mit dem US-Hersteller verhandeln und umfangreiche Kontrollmechanismen und -Kompetenzen schaffen.
Im Rahmen unseres Whitepapers haben wir den Einfluss von einer Kontrolle der Wertschöpfung auf jedes Leistungsziel abgewogen:
| Hebel / Ziel | Abwägung | Bewertung |
| Fachliche Probleme | Durch eine Kontrolle der Wertschöpfungskette können mehr Technologien genutzt werden, mit denen dann einfacher fachliche Probleme gelöst werden können. Dies wird für ausgewählte Services (z.B. Azure/Delos) möglich sein, für viele weitere fachliche Services dagegen eher nicht (z.B. Salesforce, Shopify). | 3 |
| Automatisierung | Durch eine Kontrolle der Wertschöpfungskette können mehr Technologien genutzt werden, die zur Automatisierung von Prozessen beitragen. Dies wird für ausgewählte Services (z.B. Azure/Delos) möglich sein, für viele weitere fachliche Services dagegen eher nicht (z.B. Salesforce, Shopify). | 4 |
| Schnelle Innovationen | Die Kontrolle der Wertschöpfung benötigt erheblichen Aufwand vor Beginn der Nutzung der kontrollierten Technologie. Sind die Prozesse der Wertschöpfungskontrolle einmal eingerichtet, kann die Innovationsgeschwindigkeit für die einzelne Applikation sehr hoch sein. | -1 |
| Applikations-Landschaft | Durch eine Kontrolle der Wertschöpfungskette können mehr Technologien genutzt werden, die zur Abdeckung von Applikationslandschaften beitragen. Dies wird für ausgewählte Services (z.B. Azure/Delos) möglich sein, für viele weitere fachliche Services dagegen eher nicht (z.B. Salesforce, Shopify). | 0 |
| Einfache Zugänglichkeit | Die Kontrolle der Wertschöpfung benötigt erheblichen Aufwand vor Beginn der Nutzung der kontrollierten Technologie und verzögert somit deren einfache Zugänglichkeit. Ist die Freigabe der Technologie erfolgt, ist deren Nutzerfreundlichkeit meist höher als bei lokalen Alternativen. | 3 |
| Skalierbarkeit | Wertschöpfungskontrollierte Technologie läuft meist in dedizierten Rechenzentren. Deren Skalierbarkeit ist meist reduziert gegenüber öffentlichen Standardservices, aber meist besser als in den üblichen Private Clouds. | 1 |
Der Einfluss der Wertschöpfungskontrolle auf die Kontrollziele
Mit Blick auf die Kontrollziele ergibt sich ein stark positives Bild durch die Kontrolle der Wertschöpfung. Der größte Mehrwert ist der Schutz vor dem Zugriff fremder Regierungen und vor geopolitischen Krisen. Die Kontrollfähigkeit ist stark erhöht und die Cloud läuft auch im Krisenfall sicher weiter. Dass ein geopolitisches Machtspiel, wie bei Google/Huawei, die eigene Wertschöpfung vernichtet, wäre mit einer auf Basis der roten Linien aufgebauten Cloud in Europa deutlich weniger wahrscheinlich. Im Krisenfall hätte die deutsche Regierung eine definierte Zeit, um weitere Vorkehrungen zu treffen.
Zwar können weiterhin einzelne Abhängigkeiten bestehen, die aber kalkuliert eingegangen und gesteuert werden können. Auch hier ist für die Wahrnehmung der Kontrolle mehr Eigenleistung und Kompetenz notwendig, damit Krisenfälle auf allen Ebenen der IT-Wertschöpfung geplant und bei Eintritt gemanagt werden können.
Im Rahmen unseres Whitepapers haben wir den Einfluss von einer Kontrolle der Wertschöpfung auf jedes Kontrollziel abgewogen:
| Hebel / Ziel | Abwägung | Bewertung |
| Physische Gefahren | Der physische Schutz von Daten ist abhängig von der Umgebung, in welcher die kontrollierte Technologie genutzt wird. Im Falle einer souveränen Cloud wird diese höher sein, als in einer durchschnittlichen Private Cloud. | 6 |
| Einzelne Abhängigkeiten | Wird die Wertschöpfungskette eines Anbieter besonders kontrolliert, können darauf basierend trotzdem Abhängigkeiten zu diesem entstehen, etwa durch proprietäre Services oder Schnittstellen. Mit entsprechendem Know-how können diese vermieden bzw. reduziert werden. | -3 |
| Kriminelle | Der Schutz vor Kriminellen ist unter anderem abhängig von der Umgebung, in welcher die kontrollierte Technologie genutzt wird. Im Falle einer souveränen Cloud wird diese höher sein als in einer durchschnittlichen Private Cloud. | 7 |
| Fremde Legislation | Mittels der Kontrolle der Wertschöpfung kann sichergestellt werden, dass Technologien von Drittländern im Rahmen des eigenen Landes betrieben werden. Dadurch kann sich dem Zugriff fremder Legislation entzogen werden. | 8 |
| Fremde Geheimdienste | Geheimdienste haben besondere Fähigkeiten, bei allen Cloud-Varianten in die Hard- und Software-Wertschöpfungskette einzudringen. Eine besondere Kontrolle wird diesen Zugriff erschweren, aber nicht ausschliessen. | 2 |
| Geopolitische Krisen | Mittels der Kontrolle der Wertschöpfung kann sichergestellt werden, dass Technologien von Drittländern im Rahmen des eigenen Landes betrieben werden. Dadurch wird der Schutz vor geopolitischen Krisen erhöht. Die Abhängigkeiten bezogen auf Updates bleiben aber für alle fremden Technologien in allen Cloud-Varianten bestehen. | 4 |
Der Einfluss Wertschöpfungskontrolle auf benötigte Ressourcen
Unsere Bewertung fällt vor allem deswegen eher negativ aus, weil die Vorteile in Kontrolle und Leistungsfähigkeit mit viel Aufwand erarbeitet werden müssen. Einführung und Pflege erfordern Vorbereitung, entsprechendes Personal und bringen laufende Kosten mit sich. Eine Umsetzung der roten Linien beinhaltet sehr viel Aufwand und ein permanentes Management von Risiken und Abhängigkeiten. In dieser Komplexität ist das, von einer durchschnittlichen Organisation, nicht ohne weiteres zu erbringen.
Im Rahmen unseres Whitepapers haben wir den Einfluss der Kontrolle der Wertschöpfung auf die Ressourcenfaktoren abgewogen:
| Hebel / Ziel | Abwägung | Bewertung |
| Investitionen | Einführung und Betrieb einer Wertschöpfungskontrolle erfordert viel Vorbereitung und Einarbeitung. | -6 |
| Laufende Kosten | Der Betrieb einer Wertschöpfungskontrolle geht mit festen laufenden Kosten einher. | -3 |
| Variable Kosten | Der Betrieb einer Wertschöpfungskontrolle erhöht nicht grundsätzlich die variablen Kosten. | 0 |
| Qualifiziertes Personal | Für Einführung und Betrieb einer Wertschöpfungskontrolle ist eingearbeitetes Personal erforderlich. | -1 |
Zusammenfassung
Bei unserer Bewertung bringt eine Kontrolle der Wertschöpfung als Hebel zur Steigerung der Souveränität in Bezug auf Leistungsfähigkeit und Kontrolle ein positives Bild. Durch ihren Einsatz kann ein Mehrwert für die Organisation und eine Steuerung zentraler Abhängigkeiten erreicht werden. Für eine Organisation bedeutet das aber mehr Investitionen, mehr Kompetenz und mehr Aufwand in der Steuerung der Wertschöpfungskette.
Um einen Überblick über die eigene Wertschöpfung zu erlangen, empfehlen wir die Bearbeitung der folgenden Punkte:
- Welche Komponenten werden eingesetzt?
- Welche davon sind kritisch und systemrelevant?
- Welche Komponenten sind aktuell nicht austauschbar?
- Wo und von wem werden die Komponenten betrieben?
- Welches Anbietermodell wird genutzt und in welchem Land sitzt der Anbieter?
- Welche Risiken bestehen oder können auf meine Wertschöpfung wirken?
Mit dieser Basis, unter Einbeziehung der eigenen Kompetenzen, kann ein Zielszenario, passend zu den eigenen Anforderungen, entwickelt werden. Eine Übersicht findet sich in der folgenden Grafik:
