Zahlreiche Organisationen, insbesondere der öffentlichen Hand, legen in ihrer Digitalisierungsstrategien die Hoffnung in souveräne Clouds. Mit der Skalierbarkeit und der Funktionsvielfalt einer Public Cloud und der gleichzeitig Datenkontrolle wie bei einer Private Cloud sollen sie insbesondere datenschutzsensitive Institutionen als Alternative dienen.
Mehrere Anbieter bringen sich derzeit in Position, als Infrastrukturprovider oder Dienstleister souveräne Cloud-Services anzubieten. Dabei sind weder die finalen technischen noch strategischen Rahmenbedingungen final geklärt. Was braucht eine souveräne Cloud, um souverän zu sein und für wen ist sie geeignet?
Worauf es dabei ankommt und wie weit die Angebote schon heute ausgereift sind, haben wir mit Andreas Tamm, Lead Enterprise Architect & Microsoft Technology Lead bei Arvato Systems, diskutiert.
Roland: Aktuelle geopolitische Spannungen sorgen dafür, dass das Thema der digitalen Souveränität als immer wichtiger erachtet wird. Souveräne Cloud-Lösungen erfahren daher aktuell eine große Aufmerksamkeit. Wie erlebst Du das in Deinem beruflichen Umfeld?
Andreas: Aktuell erleben wir bei Arvato Systems, dass immer mehr Kunden zu uns kommen, die aufgrund aktueller Entwicklungen – zum Beispiel den Gerichtsurteilen rund um den Cloud Act, aber auch in Folge der Unsicherheiten im Zuge des Ukrainekonflikts – nach neuen und sicheren Cloud Lösungen suchen.
Dabei handelt es sich häufig um Institutionen mit sensiblen Datenbeständen. Zum Beispiel im Bereich Energieversorgung oder Health Care. Deshalb ist aktuell ein großer Bedarf an souveränen Cloud-Angeboten entstanden.
Max: Wer kommt denn aus Deiner Sicht als Nutzer souveräner Clouddienste in Frage?
Andreas: die Nutzer souveräner Clouddienste werden vor allem staatliche Institutionen sein: Behörden, Kommunen, Länder.
Und dann gibt es als Abstufung die Möglichkeit der Nutzung der Cloud for Sovereignty in der Public Cloud. Das wird vor allem für Unternehmen mit hohen Datenschutzanforderungen relevant sein. D.h. dass Unternehmen die Möglichkeiten der Public Cloud aus einem gesicherten Bereich heraus nutzen.
Aus meiner Perspektive ist es aber so, dass kein privates Unternehmen aktuell sagen wird: „Wir werden vollständig in die souveräne Cloud migrieren.“ Weil das aus zahlreichen Gründen einen Nachteil für sie darstellt. Nehmen wir als Beispiel ein deutsches Großunternehmen wie BASF oder Siemens. Die haben Anforderungen, die jenseits von nationalen Cloudangeboten angesiedelt sind.
Roland: Und wieviel Souveränität bzw. Autarkie brauchen deutsche Behörden?
Andreas: Die Trigger für die Nutzung der souveränen Cloud sind in vielen Fällen Vorurteile. Da wird dann schnell gesagt: Ich will meine Daten nicht bei einem amerikanischen Unternehmen ablegen. Die Ängste in diesem Bereich reichen von Spionage der Geheimdienste über Wissenstransfer zu anderen Anbietern und nicht gesicherten Datensätzen. Das ist aus meiner Perspektive der falsche Ansatz. Vielmehr geht es darum, den jeweiligen Use Case einzeln zu betrachten. Und dann zu entscheiden, welcher Grad an Souveränität oder Autarkie wirklich sinnvoll ist.
Nehmen wir als Beispiel die Bundeswehr, Geheimdienste oder das BKA. Diese Institutionen haben natürlich einen anderen Anspruch auf Autarkie als andere Behörden. Sie müssen auch dann funktionieren, wenn externe Akteure meinen: das geht nicht mehr oder ihr dürft nicht mehr.
Dieser Anspruch gilt aber nicht für alle Teile der kommunalen Verwaltung. Die haben andere Ansprüche. Die wollen digital souverän sein. Klar. Und dafür sorgen, dass sie ihre Datenhoheit behalten. Und dass sie beispielsweise die DSGVO einhalten.
Das sind also unterschiedliche Anspruchslevel an dieses Thema, die wir betrachten müssen. Die einen brauchen Autarkie. Den anderen reicht die Souveränität. Ein Beispiel liefert ein deutsches Fachverfahren: „Wie beantrage ich meinen Jagdschein?“ Das ist kein Autarkie-Szenario. Diese Services kann ich auch außerhalb einer vollständig souveränen Cloud betreiben.
Und am Ende ist das natürlich auch eine Kostenfrage. Denn es gilt: Je souveräner ich werden möchte, desto teurer wird es. Und Autarkie legt dann nochmal eine Schippe drauf.
Roland: Kannst Du anhand eines Beispiels verdeutlichen, wie die souveräne Cloud Institutionen dabei helfen kann, die eigenen Prozesse und Angebote zu verbessern?
Andreas: Ein ganz eindringliches Beispiel lieferte der Umgang der öffentlichen Verwaltung mit der Corona-Pandemie. Da gab es Behörden in Deutschland, die für das Versenden von Bescheiden bis zu 6 Monate gebraucht haben.
Bei Arvato haben wir das Szenario mal in der Cloud auf der Power-Plattform von Azure durchgespielt. Die Entwicklung des Proof-of-Concept hat einen halben Tag gedauert und dann hatten die Experten das programmiert. Danach hatten wir eine Plattform einsatzbereit, auf der die Nutzer:innen online alle Eintragungen machen konnten. Die Covid19-relevanten Informationen oder Bescheide konnten anschließend innerhalb von Sekunden per Mail oder via Messaging-Dienst verschickt werden.
Das ist aber nur ein Beispiel für die zahlreichen Innovationspotenziale der Cloud, die man nutzen kann. In den meisten Fällen wird es um Datennutzung und Datenanalyse gehen. Ob das die Nutzung des Data Warehouse BigQuery bei Google oder der Data Analytics Service Synapse bei Azure ist. Die analytische Auswertung von Daten auf der Basis von Artificial Intelligence sind die Dienste, die wirklich interessant werden in der Zukunft. Es geht also auch in den öffentlichen Institutionen und Behörden um die Themen: Data Analytics, Data Plattformen und Data Governance.
Max: Was für Arten von souveränen Cloud Lösungen gibt es aktuell in Deutschland?
Andreas: Ein Trend im Markt für souveräne europäische Cloudangebote sind Partnerschaften zwischen amerikanischen Cloudanbietern und großen europäischen Telekommunikationsfirmen – wie beispielsweise die Kooperation zwischen Google und der Telekom.
Darüber hinaus gibt es auch eigenständige europäische Ansätze – wie beispielsweise die Angebote OVH in Frankreich oder Ionos in Deutschland.
Inwieweit diese Angebote aber als souverän bezeichnet werden können lässt sich zumindest diskutieren. Die Kooperationspartner aus den USA sagen: Wir sind zwar ein amerikanischer Anbieter aber wir betreiben einen Cloud Stack in Frankreich oder Deutschland. Ist das wirklich schon souverän?
Max: Was lässt Dich daran zweifeln?
Andreas: Das Ziel einer souveränen Cloud Lösung muss aus meiner Sicht ein anderes sein. Wenn wir wirklich modernisieren wollen, wirklich transformieren wollen, dann wird es nicht ausreichen, lokale Infrastrukturen zu nutzen. Wir müssen dahin kommen, dass Institutionen in der Lage sind, höherwertige Dienstleistungen wie PaaS und SaaS zu nutzen. Das hätte dann auch Relevanz für den deutschen Mittelstand, der dann ein europäisches SaaS-Angebot nutzen könnte; das dann nicht mehr in den Rechenzentren eines außereuropäischen Anbieters angeboten wird.
Wenn wir diese Art von Souveränität erreichen wollen, dann genügt es nicht, „souveräne“ Infrastruktur zu schaffen oder bereitzustellen. Denn in diesem Bereich können wir sowieso nicht mit den amerikanischen Hyperscalern mithalten
Roland: Und was sind mögliche Alternativen?
Andreas: Eine mögliche Alternative für Institutionen und Unternehmen bietet zukünftig die Delos Cloud. Ein Zusammenschluss zwischen Microsoft, SAP und Arvato Systems zur Schaffung einer eigenständigen souveränen Cloudinfrastruktur für staatliche Behörden. D.h. bei einem solchen Zusammenschluss bringen alle Partner ihre Angebote mit ein.
Ein wichtiger Punkt dabei ist, dass die Spezifikation der verwendeten Hardware von Microsoft als Open Source (Open Compute) zur Verfügung gestellt wird. D.h. dass jeder, der Zugang zum Markt hat, kann diese Hardware nachbauen. Das ist ein wichtiger Aspekt. So kann die Souveränität gewahrt bleiben.
Max: Wie sähen die ersten Schritte einer öffentlichen Institution in Richtung Verwaltungscloud aus?
Andreas: Bislang ist die Nutzung der Public Cloud in der öffentlichen Verwaltung noch sehr gering. Mal von Office 365 abgesehen. Aber das ändert sich aktuell schrittweise. Inzwischen gibt es in unterschiedlichen Ministerien Pilotprojekte, die bereits in abgesperrten Bereichen die Public Cloud nutzen.
Ein erster Schritt auf dem Weg in die souveräne Cloud ist also die Schaffung von geschützten Bereichen. Namen für diese Bereiche sind Proof-of-Concept-Umgebung oder Sandbox. Bei Delos nennen wir diese Bereiche „kontextnahe Entwicklungsumgebungen“.
Diese Bereiche ermöglichen es den Behörden und deren Entwicklungsteams einen ersten Eindruck über die Optionen zu bekommen, die sich für sie aus der souveränen Cloud ergeben. Wichtig dabei ist zu verstehen, dass es in diesen Schutzzonen keine Migration von Datenbeständen oder Applikationen in die Delos Cloud geben wird.
Es geht also darum, zunächst mal eine Awareness zu schaffen: Schaut euch die Möglichkeiten an. Ihr könnt diese nutzen. D.h. diese Umgebungen dienen zunächst einmal der Lernerfahrung.
Roland: Was sind aktuell die größten Herausforderungen für Delos auf dem Weg zur Schaffung der Delos Verwaltungscloud?
Andreas: Unsere größte Herausforderung ist aktuell, etwas zu tun, was bisher niemand getan hat. Das ist der springende Punkt. Microsoft betreibt hunderte Rechenzentren weltweit. Und muss jetzt in kürzester Zeit den Know-How-Transfer zu Delos betreiben. Das ist aktuell die größte Herausforderung.
Und dabei sind viele Aspekte zu beachten. Da geht es unter anderem auch um rechtliche Fragen. Denn der Vertragspartner der Delos Cloud ist nicht Microsoft, sondern Delos. Das macht man nicht in drei oder sechs Monaten.
Roland: Wie schätzt Du die zukünftige Bedeutung des Themas souveräne Cloud ein?
Andreas: Der Markt ist groß. Und das Interesse ist aktuell riesengroß. Vor allem in Deutschland. Aber auch in europäischen Nachbarländern wie Frankreich. In Frankreich gibt es ein ähnliches Modell unter dem Namen „Bleu“.
Und die steigende Nachfrage geht ja auch einher mit der Strategie der Bundesregierung. Der IT-Rat des Bundes hat zusammen mit dem Finanzministerium die Vorgabe zur Nutzung hybrider Cloudstrukturen in öffentlichen Behörden geschaffen.
Die Umsetzung der Delos Cloud ist ein wichtiger Schritt in diese Richtung – weil dort Services angeboten werden, die andere nicht anbieten können. So gelingt es auch staatlichen Institutionen, das Bestmögliche von allen Anbietern zu bekommen.
Und diese Idee ist ja auch längst in der Privatwirtschaft angekommen. Hybride Cloud Strukturen sind längst Realität in Unternehmen. Weil es eben auch da weiterhin Anwendungen gibt, die On-Prem laufen müssen. Dabei spielt das Thema Latenzzeiten eine große Rolle. Aber auch das dezentrale Verarbeiten von Daten im Rahmen von Edge Computing Anwendungen. Und das wird auch im öffentlichen Sektor nicht anders sein: der Nutzer möchte immer das Beste aus allen Welten.
