Das “Open” in Open Source wird zum Governance-Problem

 | 
15.01.2024
 | 
10 min Lesedauer
Featured Image

Im Interview mit Fabian Peters haben wir ein Szenario durchgespielt, in dem Deutschland keine Software-Updates mehr von den USA bekäme. Diesem Risiko könnten wir begegnen, indem wir konsequent auf Open-Source setzten. Welche Nachteile aber würde dieser Ansatz mit sich bringen? Unter anderem dazu haben wir Ansgar Baums gesprochen.

cloudahead Ansgar Baums

Zur Person

Ansgar Baums forscht seit Juni 2023 als Helmut-Schmidt-Stipendiat des German Marshall Fund und der Zeit-Stiftung zur Frage, wie sich Geopolitik und Technologie gegenseitig beeinflussen. 2024 erscheint sein Buch „The Tech Cold War“. Zuvor war er im Bereich Regierungsbeziehungen bei Zoom tätig sowie in ähnlichen Positionen bei HP und SAP. Baums arbeitete ebenso für den Bitkom e.V. und den Verfassungsschutz. Er hat einen Master-Abschluss mit Auszeichnung in internationaler Strategie und Wirtschaft von der University of St. Andrews und ein Diplom in Politikwissenschaft von der Freien Universität Berlin.

Gregor: Ansgar, Du bist in den im ständigen Dialog mit den Führungsriegen großer, internationaler Konzerne. Welche Rolle spielt dort die Souveränitäts-Debatte?

Ansgar: Gar keine.

Zumindest nicht unter diesem Namen. Ich glaube, dass der Souveränitäts-Begriff vor allen Dingen in der Policy Bubble eine Rolle spielt, aber für Manager praktisch nicht relevant ist. Bis jetzt hat noch niemand so eine richtig sinnvolle Definition präsentiert und für Unternehmen ist er einfach zu schwammig und undurchdacht.

Um die spezifischen Risiken hingegen kümmern sich die Unternehmen sowieso. Einem Supply-Chain-Manager muss ich nichts über technologische Souveränität erzählen, es ist sein Job, sich um genau die damit verbundenen Risiken zu kümmern. Tools wie Enterprise Risk Management und Business Continuity Planning sind bei den großen Unternehmen seit Langem etabliert und Mitglieder der SAP-User-Group kennen das Thema technologische Abhängigkeit sehr genau.

Ich frage mich: Was ist der analytische Mehrwert des Begriffs „Digitale Souveränität“? Vieles von dem, was ich beobachte, stufe ich als Marketingaktivitäten ein.

„Sorry Dudes, wir haben viel größere Risiken.“

Gregor: Aus Sicht von cloud ahead sind Organisationen digital souverän, wenn sie digital leistungsfähig sind und dabei ein ausreichendes Maß an Kontrolle über ihre IT-Wertschöpfung ausüben. Im Kontext der letzteren geht es vor allem um folgende 6 Risiken: Physische Gefahren, einzelne Abhängigkeiten, Cyberkriminalität, fremde Legislation, fremde Geheimdienste und geopolitische Gefahren.

Welche Rolle spielt denn in Unternehmen das Szenario, dass die USA und aus geopolitischen Erwägungen heraus, keine Updates mehr für US-Software schicken?

Ansgar: Unternehmen schauen auf dieses Thema durch ihre Risikolinse, und das bedeutet „möglicher Schaden * Eintrittswahrscheinlichkeit“. Im klassischen Enterprise Risk Management stehen dann Punkte wie „Der komplette Vorstand sitzt im gleichen Flugzeug und stürzt ab“ oder „Ein Tsunami trifft unsere Produktionsanlagen“. Wenn sich die verantwortliche Top-Führungskraft, meist der/die CFO, diese Matrix anschaut, dann heißt die Entscheidung bezogen auf eine US-Updatesperre in der Regel: „Sorry Dudes, wir haben viel größere Risiken.“

Man kann diesen Fall konstruieren, aber handlungsanleitend für ManagerInnen ist er aus guten Gründen nicht. Ja, in Venezuela wurde einmal US-Software abgeschaltet, aber solange die Hälfte aller amerikanischen Unternehmen SAP nutzen, sind wir eigentlich in einer ganz guten Position. „Retribution“ ist hier das Stichwort. Souveränität entsteht hier durch eigene Assets, die wir einsetzen könnten. Ein weiterer, wichtiger Punkt ist: Unternehmen denken relativ zu ihrer Konkurrenz. Es geht dann nicht darum, ob das Risiko komplett mitigiert ist, sondern wie gut stehe ich da im Vergleich zu den Mitbewerbern.

„‚Retribution‘ ist das Stichwort. Souveränität entsteht durch eigene Assets, die wir einsetzen könnten.“

Gregor: Deine Anspielung auf die Verbreitung von SAP in den USA erinnert mich an die Definition des Bitkom zum Thema „digitale Souveränität“. Dort heißt es: „Wir verfügen in zentralen Technologiefeldern […] über eigene Fähigkeiten auf weltweitem Spitzenniveau. […]“.

Ansgar: Genau genommen geht es nicht um Fähigkeiten, sondern um tatsächlich existierende Abhängigkeiten. Das ist ein altes Thema aus der International-Relations-Theorie. Interdependenzen haben oft eine konflikt-milderne Wirkung. Die Tatsache, dass mit ASML ein europäischer Akteur im Chip-Konflikt der USA mit China involviert ist, ist zwar unangenehm für die niederländische Regierung, aber immerhin, wir sitzen mit am Tisch.

„Anstatt über FISA und Snowden zu diskutieren, sollten wir lieber überlegen, wie wir langfristig mit China umgehen.“

Gregor: Der Punkt „Zugriff auf europäische Daten via US-Gesetze“ spielt in der europäischen Debatte um mehr Kontrolle über die IT ebenfalls eine große Rolle. Wie bewertest du dies aus geopolitischer Sicht?

Ansgar: Was mich an der ganzen Debatte um technologische Souveränität in Deutschland massiv stört, ist, dass sie im Grunde genommen aus der Zeit gefallen ist. Wir haben ein fast manische Fokussierung auf die Post-Snowden-Fragen, auf Schrems 2, CLOUD Act und FISA. Natürlich muss das im transatlantischen Innenverhältnis diskutiert werden. Aber wenn man ehrlich auf die Welt schaut, handelt es sich um eine Retro-Debatte. Es zeigt, wie sehr das Thema in einer Bubble hängt und diese die sich wandelnde Geopolitik kaum beachtet.

Wenn wir nur die Hälfte dieser Gedankenkraft auf die Frage verwenden würden, wie wir mit China langfristig umgehen, dann wäre uns schon viel geholfen ...

Gregor: … und die andere Hälfte bitte, um neue SAPs und ASMLs zu schaffen. Ein letzter Punkt, der häufig eine Rolle spielt, ist die Frage, ob die USA nicht durch die normalen Spionage-Aktivitäten ihrer US-Geheimdienste ebenfalls unsere Datensouveränität untergraben. In unserem Artikel „Hat die NSA unsere Cloud gehackt?“ haben wir die umfangreichen Möglichkeiten der Geheimdienste dazu aufgelistet.

Ansgar: Hier geht es aus meiner Sicht nicht spezifisch um US-Geheimdienste, sondern um die generelle Integrität von IT-Infrastrukturen – also um die Verhinderung von Hacking. Dafür brauchen wir aber den Begriff „Digitale Souveränität“ nicht, dafür gibt es Cybersicherheits-Abteilungen. Insbesondere im öffentlichen Dienst scheint mir dieses Thema erschreckend unterrepräsentiert. Die Russen waren jahrelang in den Netzen des Bundestages, als Reaktion gab es eher ein Schulterzucken. Da gibt es sehr tiefgehende Probleme.

Die Idee, dass der die öffentliche Hand besonders sicher einkauft, ist ebenfalls reine Fiktion.

„Wenn sich IT-Security-ExpertInnen mit VergaberrechtlerInnen streiten, gewinnen praktisch immer letztere.“

Gregor: Das musst du erklären!

Ansgar: Wenn du versuchst, zusätzliche Sicherheitskriterien in Ausschreibungen einzufügen, welche die Integrität der IT deutlich erhöhen würden, hast du sofort VerwaltungsjuristInnen am Bein. Diese Anforderung führe zur Marktverengung, die Vergabe werde juristisch angreifbar, und so weiter. Wenn sich IT-Security-ExpertInnen mit VergaberrechtlerInnen streiten, gewinnen praktisch immer letztere – trotz IT-Sicherheitsgesetz 2. Die Vergabeunterlagen für Endgeräte wie Laptops zeigen: Die öffentliche Hand kauft nicht besonders sicher ein.

Gregor: Ich fand diesen legalistischen Blick auf die Welt besonders spannend, als der Angemessenheitsbeschluss der EU wirksam wurde. Von einem Tag auf den anderen waren die Daten in der Public Cloud plötzlich sicherer.

Ansgar: Da kommen wir zum nächsten Mythos: Die Vorstellung, OnPremises seien Daten sicherer als in der Public Cloud. Diese Idee wird überraschenderweise besonders gepflegt von Unternehmen, die ihr Geschäft nicht in der Cloud machen.

Ich würde dazu gerne einmal einen Beleg oder eine Statistik sehen. Aber diese Debatten werden in Deutschland leider nicht datenbasiert geführt.

„Wie sicher ist denn der Code noch, wenn der geopolitische Wettbewerber die Hälfte der Kontributoren stellt?“

Gregor: Wir haben das Thema einmal qualitativ durchleuchtet und glauben ebenfalls, dass die wenigsten der 50.000 Rechenzentren in Deutschland sicherer sind als jene der Public Cloud.

Aber noch mal zurück zum Thema: Wäre Open Source nicht ein eleganter Weg, mehr digitale Souveränität in Europa zu erreichen?

Ansgar: Noch so ein Mythos. Open-Source-Jünger glauben, ihre Technologie sei isolierbar von den Konflikten dieser Welt, sie sei neutral im Streit der Weltmächte. Das ist Unsinn. Jede Technologie, die einem globalen Wettbewerber Vorteile verschafft, wird irgendwann in den Konflikt hineingezogen.

Ein Beispiel: Die New York Times hat gerade letzte Woche einen Artikel veröffentlicht zur Open-Source-Chip-Architektur RISC-V. Hierbei handelt es sich um einen offenen Standard zur Gestaltung von Mikroprozessoren, der ursprünglich an der US-Universität Berkeley entwickelt wurde. China setzt nun massiv auf das Konzept, um damit die eigene Chip-Industrie zu stärken – zum großen Missfallen der USA.

So heiß wie das Chip-Thema in Washington gerade gekocht wird, halte ich es für ausgeschlossen, dass die USA keine Maßnahmen ergreifen. Und spätestens dann wird es der, inzwischen in der neutralen Schweiz beheimateten, Risc-V-Organisation schwerfallen, neutral zu bleiben.

Gregor: Welche Risiken genau sehen denn die USA im Zusammenhang mit Open-Source-Schlüsseltechnologien genau?

Ansgar: Zum einen geht es darum, geopolitische Wettbewerber von der Technologie auszuschließen, um den eigenen Wettbewerbsvorteil zu schützen. Zum anderen aber stellt sich die Frage: Wie sicher ist denn der Code noch, wenn der geopolitische Wettbewerber die Hälfte der Kontributoren stellt?

Außerdem haben wir bei log4j gesehen, dass auch technologisch nicht besonders progressive Services zu riesigen Problemen führen können. Das Versprechen der Open-Source-Community, man könne in offenem Quellcode, schneller und besser Qualitätsprobleme finden und bereinigen, löst sich in Luft auf, wenn es keine Governance gibt, die das tatsächlich auch sicherstellt.

Eine weitere Frage stellt sich vor allem für uns Europäer: Wenn wir versuchen, alle nicht-europäischen Softwares durch Open-Source-Projekte zu ersetzen, rennen wir in ein ernsthaftes, demografisches Problem. Die Closed-Source-Softwares kommerzieller Unternehmen sind meist Plug&Play und skalieren deutlich besser – heißt: Ich brauche dafür keine Mitarbeiter in-house. Und da wird es in Zukunft einfach Limits geben, gerade im öffentlichen Sektor. Während der Pandemie haben wir Universitäten gezwungen, die wenigen vorhandenen IT-Ressourcen für den Aufbau ineffizienter Open Source On Premise-Lösungen zu verwenden. Die Leidtragenden waren die IT-Verantwortlichen und vor allem die Studenten.

Das „Open“ in Open Source wird somit nicht nur zum globalen Governance-Problem, es verstärkt auch unser Demographie-Problem. Ein einseitiger Fokus auf technologische Souveränität wäre eine Gefahr für unsere volkswirtschaftliche Produktivität.

„Meine Frage also an die Open Source Community ist: Was ist eure Antwort auf die großen geopolitischen Fragen dieser Zeit?“

Gregor: Welche Methoden könnten die USA denn anwenden, um kritische Open-Source-Technologien zu unterbinden?

Ansgar: Im Tech-Bereich werden ja gerade vor allem Exportkontrollen eingesetzt. Der Hebel über geistiges Eigentum – das ja Exportkontrollen unterliegen kann -  geht bei Open Source natürlich nicht. Möglich wäre aber ein „Entity Ban“. Amerikanischen Organisationen wäre es somit untersagt, Transaktionen auszuführen mit Unternehmen, die mit der Kommunistischen Partei China’s oder der PLA (chinesisches Militär) irgendwie in Verbindung stehen. Die gemeinsame Arbeit in einem Open-Source-Projekt würde unter die Definition einer „Transaktion“ fallen. Damit hättest Du dann de facto ein Betätigungsverbot für US-Unternehmen, sobald ein Vertreter eines gelisteten chinesischen Unternehmens im Raum ist.

RISC-V wird heute schon im „Select Committee on the Chinese Communist Party“ des Kongresses heiß diskutiert. Aus meiner Sicht ist es nur eine Frage der Zeit, bis so ein Entity Ban kommt.

Im Buch „The Tech Cold War“ beschreiben wir, wie sich der IT-Stack der geopolitischen Metastruktur anpasst: Nach 1990 war der IT-Stack unipolar, nun spaltet er sich – weil wir auf eine bipolare geopolitische Machtstruktur zusteuern. Open Source ist im unipolaren Moment des IT-Stacks groß geworden und reflektiert bezüglich der geopolitischen Governance diese sorgenfreie Zeit. Das ändert sich nun – und deswegen meine Frage an die Open Source Community: Was ist eure Antwort auf die großen geopolitischen Fragen dieser Zeit? Wie wird Open Source geopolitisch resilient? Solange diese Frage nicht geklärt ist, kann man sich das ganze Marketing zu „technologischer Souveränität“ eigentlich sparen.

Gregor: Wie werden denn die Unternehmen auf diesen Trend reagieren?

Ansgar: Pragmatisch.

Unternehmen verfolgen ihre eigenen Interessen anhand ihrer eigenen Logik. Es geht ihnen nicht um Patriotismus oder politische Linientreue. Schon heute zeigen sich diese Tendenzen. Große Konzerne entwickeln ihr geistiges Eigentum für China in China, auf Daten-Exporte wird verzichtet, ebenso verbleibt die physikalische Produktion dort. Die Konsolidierung erfolgt dann auf der Finanzebene der Holding. Dadurch gehen operative Synergien verloren, aber der Zugang zu den Märkten bleibt grundsätzlich erhalten.

„Wenn Europa an digitaler Souveränität gewinnen will, muss es ‚schneller rennen‘.“

Gregor: Letzte Frage. Auch wenn der Begriff etwas schwammig ist: Was kann Europa tun, um digital souveräner zu werden?

Ansgar: Schneller rennen.

Das ist die Strategie, welche die USA lange Zeit gegenüber China vertreten und jetzt, leider, aufgegeben haben. Wir in Europa müssen die Assets entwickeln, welche uns vom Opfer zum Akteur machen. Assets, die uns an den Tisch bringen, die uns helfen, unseren politischen Willen auch umzusetzen.

Gregor: Vielen Dank für Deine Zeit!

Alle Texte, Daten und Grafiken...

...der Blogeinträge und Hintergründe dürfen passend zur Nutzungslizenz verwendet werden, auch für kommerzielle Zwecke. Zu finden sind als offene Dateien unter Downloads.

Unsere neusten Artikel in Ihrer Inbox.

Verpassen Sie keine Neuigkeiten mehr zum Thema souveräne Cloud.

Hinweise zu dem Einsatz des Versanddienstleister Brevo, der Anmeldungsprotokollierung und zu Ihrem Widerrufsrecht erhalten Sie in unserer Datenschutzerklärung.