Marktübersicht über weitere Souveränitäts-Ansätze in Deutschland (Teil 2)

Im ersten Teil dieses Artikels haben wir Varianten von IT-Infrastrukturen beschrieben, die versuchen, mehr Souveränität in bekannte Cloud-Modelle wie Private oder Public Cloud zu bringen. Dieser Teil widmet sich der Frage, wie alternative Ansätzen zur Verbesserung der Selbstbestimmung in der Cloud aussehen können. IT-Akteure in Europa haben sich dazu einige interessante Idee einfallen lassen. Viele setzen auf Open Source in sehr unterschiedlichen Varianten, andere versuchen es mit einer Steuerungsschicht zwischen eigener IT und dem Cloud-Anbieter und das europäische Modell GaiaX verfolgt zwei neuartige Ansätze gleichzeitig.

Welche anderen cloud-basierten Souveränitäts-Konzepte gibt es?

Eigene Technologie - sogar autark statt souverän

Grundsätzlich können Organisationen jegliche Software, die für eine souveräne Cloud notwendig ist, selbst entwickeln. Hierzu können sie auf bestehender Open-Source-Software aufsetzen oder auf der grünen Wiese neu beginnen. Ein gutes Beispiel hierfür ist die RISE von SAP. Die Kernelemente dieser Cloud hat SAP selbst entwickelt: die Datenbank-Technologie HANA sowie die Software für Warenwirtschaft und Buchhaltung S/4.

• Vorteile: SAP ist hier somit unabhängig von anderen Software-Anbietern wie Microsoft oder Oracle und muss für die Cloud hauptsächlich Hardware wie Server und Netzwerk-Komponenten von Drittanbietern zukaufen.
• Nachteile: SAP musste hohe Summen in die Entwicklung der Software investieren. Für eine Organisation lohnen sich die Investitionen nur dann, wenn sie die Software nicht nur für eigene Zwecke nutzt sondern auch selbst als IT-Anbieter auftritt.

Eine Fussnote: Völlig autark ist auch SAP nicht. Einerseits ist davon auszugehen, dass viele kleinere Services, die für Betrieb und Erstellung der Software notwendig sind, von Drittanbietern geliefert werden. Zudem ist SAP angewiesen auf Kunden aus aller Welt, um die Investitionen in die eigenen Produkte zu finanzieren.

Beispiel für dieses Modell von öffentlichen Institutionen sind nicht bekannt.

Open-Source-Software - der bevorzugte Weg zur Souveränität

Open Source ist ein Ansatz, bei dem Entwickler den Quelltext ihrer Software veröffentlichen und zur weiteren Entwicklung und Nutzung freigeben. Der für die Souveränitäts-Idee wesentliche Vorteil: die Unabhängigkeit des Nutzers der Software von deren Ersteller ist möglich. Wenn viele Entwickler vieler Organisationen gleichzeitig an der Open-Source-Software arbeiten, kann diese zudem zu geringen Kosten je Unternehmen eine sehr hohe Leistungsfähigkeit erreichen.

• Vorteil: Beschließt der Entwickler, die Software nicht mehr zu pflegen oder die Preise für seine Leistungen zu erhöhen, kann das nutzende Unternehmen eigene Entwickler einstellen und seine Abhängigkeit auflösen. Zudem können eigene Varianten der Software erstellt, genutzt und vertrieben werden.
• Nachteil: Nur wenn das Unternehmen Kompetenz und Ressourcen vorhält, die Software auch selbst betreiben und weiterzuentwickeln, löst sich die tatsächliche Abhängigkeit auf. Wird die Software lediglich genutzt, unterscheidet sich die Situation kaum von proprietärer Software.

Die Fussnote hier: Im Bereich Sicherheit spielt Open Source eine interessante Rolle. Einerseits finden viele unabhängige Entwickler den Fehler im Code der Software schnell (siehe hier das Beispiel der Corona-Warn-App). Andererseits: Erfolgt keine Code-Kontrolle durch die Community, kann Open-Source-Software auch einmal als größte Sicherheitslücke des Jahres in die Geschichte eingehen (siehe Log4j).

Verbundene Infrastrukturen - der Versuch mit der Dezentralität

Bekannt gemacht hat diese Idee GaiaX. Genauer gesagt: Durch den unteren Teil des "X", also die Infrastruktur-Ebene. Bestehende Anbieter wie T-Systems, ATOS oder Arvato Systems sollen ihre IT-Services beim zentralen GaiaX-Portal anmelden und auf diese Weise aus vielen kleinen Clouds eine große, europäische Mega-Cloud gründen. Die Plattform übernimmt zudem zentrale Aufgaben wie Identitäts-Management und Compliance und stellt damit bestimmte Kontroll-Funktionen sicher.

• Vorteile: Laut ihren Gründervatern macht GaiaX "aus einzelnen Seen eine Seenplatte". Ohne große eigene Investitionen in neue Rechenzentren entstünde somit eine riesige Cloud mit einem großen Portfolio.
• Nachteile: Die Vielzahl kleiner, vernetzter Cloud-Services wird technische Probleme erzeugen bezüglich Kompatibilität, Skalierung, Latenz und Bandbreite. Die Verteilung von Betriebsverantwortung auf viele verschiedene Akteure wiederum wird zu Verantwortungsdebatten und Unzuverlässigkeit im Betrieb führen.

Die Fussnote: Der Beweis steht aus, dass eine solche vernetzte Groß-Cloud technisch funktionieren und für IT-Landschaften großer Organisationen nutzbar sein kann.

Governance Layer - Souveränität durch intelligente Steuerung

Die Idee der sogenannten Governance-Layer ist es, zwischen die (fremde) Cloud und die (eigenen) Anwendungen eine Kontrollebene zu ziehen. Diese kann beispielsweise sicherstellen, dass nur Services genutzt werden, für die es von anderen Anbietern Alternativen gibt. Auch können Prozesse vordefiniert werden, die einen Anbieterwechsel automatisiert im Bedarfsfall auslösen. Die Details dieser Governance Layer sind individuell je Anbieter, zudem prägen Kunden diese unterschiedlich aus. Beispiele für dieses Modell sind der ATOS Sovereign Shield und der Accenture Sovereignty Layer.

• Vorteil: Die Governance Layer ermöglichen es Organisationen, die leistungsfähigen Public Clouds weiterhin zu nutzen. Damit erhalten sie den Zugang zu einem großen und skalierbaren Portfolio an It-Services ohne eigene Investitionen in Hardware und Betrieb.
• Nachteil: Die Einführung der Kontrollebene ist aufwändig und schränkt den nutzbaren Leistungsumfang der Clouds meist etwas ein. Da kein Hyperscaler in europäischer Hand ist, verbleibt somit weiterhin die Abhängigkeit zu meist amerikanischen Dienstleistern.

Die Fussnote: Die genannten Anbieter Accenture und ATOS haben, unseres Wissens nach, noch keine große Referenzimplementierung ihrer Souveränitäts-Ebenen kommuniziert. Es bleibt abzuwarten, wie praktikabel die Konzepte in der Praxis tatsächlich sind.

Datenräume - die Datenträume Europas

Das Fraunhofer Institut für Software- und Systemtechnik (ISST) propagiert schon seit Langem die Einrichtung von sicheren, domänenübergreifenden Datenräumen. Diese "International Data Spaces" sollen Unternehmen helfen, entlang ihrer Wertschöpfungskette Daten mit anderen Unternehmen selbstbestimmt zu teilen und gemeinsam daraus Mehrwerte zu schaffen. Im Gegensatz zu den anderen Modellen, erzeugt dieses Konzept Souveränität auf der Ebene der Daten. Auf der Ebene von IT-Infrastruktur, Middleware und Applikation können alle bestehenden Angebote nach Belieben der Teilnehmer eingesetzt werden. Ein Beispiel für diesen Souveränitätsansatz ist das obere Teil des "X" von GaiaX.

• Vorteil: Die Datenräume erzeugen ihre Wirkung sehr nah am Geschäftsmodell der teilnehmenden Organisationen. Zudem können gesellschaftliche Vorteile entstehen, die deutlich über die Gewinnmaximierung einzelner Akteure hinausgehen.
• Nachteil: Mögliche Abhängigkeiten zu einzelnen Cloud-Anbietern werden nicht betrachtet und auch nicht verändert. Zudem ist die Orchestrierung vieler, heterogener Teilnehmer mit unterschiedlichen Interessenslagen aufwändig und nicht immer erfolgreich.

Die Fussnote: GaiaX hat zwei grundlegend unterschiedliche Modelle vereint. Der Infrastruktur-Teil versucht die vielen Infrastruktur-Clouds kleiner Anbieter zu einer Plattform zusammenzuführen und nutzbar zu machen. Der Daten-Teil versucht unternehmensübergreifende Datenräume zu schaffen und daraus Mehrwerte für Teilnehmer und Gesellschaft zu erzeugen. Beide Konzepte sind inhaltlich unterschiedlich und könnten jeweils unabhängig voneinander genutzt werden.

Das Spektrum der alternativen Souveränitäts-Ansätze

Die in Teil 1 vorgestellten Varianten der souveränen Clouds beziehen sich alle auf die Bereiche Infrastruktur, Middleware und Anwendung und konnten daher anhand der Kriterien "Leistungsfähigkeit vs. Kontrolle" auf das Spektrum der souveränen Clouds auftragen werden. Die im Teil 2 skizzierten alternativen Ansätze zur Erhöhung der Souveränität im IT-Bereich bewegen sich dagegen auf unterschiedlichen Ebenen.

Hilfreich hierfür erweist sich das Schichtenmodell der acatech auf deren mittleren vier Ebenen die Clouds aufgetragen werden.

Die oberste Ebene (europäische Rechte und Werte) sowie die unteren drei (Rohmaterialien, Komponenten und Kommunikationsinfrastruktur) werden in der Grafik ausgelassen.

Interessant ist: Die meisten bekannten Souveränitäts-Ansätze basierend in irgendeiner Art und Weise auf der Idee des Open Source.