Digitale Souveränität

Gaia-X und die Public Cloud

Kommentar von Tobias Regenfuß, Frank Riemensperger und Svenja Falk

Die Cloud zu nutzen ist oft wichtig, um Wettbewerbsfähigkeit zu sichern. Unternehmen und Politik sind gefragt, damit die Digitale Souveränität dabei erhalten bleibt.

Digitale Souveränität ist ein wichtiges Thema deutscher wie auch europäischer Politiker und Unternehmen. Aktuell beschränkt sich die öffentliche Diskussion auf die Frage: Huawei-Technologien in den 5G-Netzen - ja oder nein? Doch auch die zunehmend genutzten Cloud-Technologien, insbesondere der MAG-Hyperscaler Microsoft, Amazon und Google, schafft neue Abhängigkeitsverhältnisse.

Europäische Unternehmen befinden sich im Spannungsfeld zwischen den Angeboten der Cloud-Hyperscaler und dem Bedürfnis nach digitaler Souveränität.
Foto: ultramansk - shutterstock.com

Mit Gaia-X hat die Bundesregierung eine Initiative gestartet, um eine europäische Alternative zu schaffen. Das Interesse - über ganz Europa hinweg - ist groß, die Ambitionen sind gewaltig, konkrete Konzepte fehlen aber noch. Investitionsbedarf und Innovations-Vorsprung der Hyperscaler schließen den Aufbau eines vergleichbaren deutschen oder europäischen Konkurrenz-Players so gut wie aus. Intelligente Cloud-Nutzungsmodelle und regulatorische Vorgaben zur Öffnung der Cloud-Plattformen scheinen besser geeignet, um jetzt zur digitalen Wettbewerbsfähigkeit und Souveränität der Unternehmen, Industrien und Länder Europas beizutragen.

Digitale Souveränität adé?

Venezuelanische Nutzer von Adobe-Services wie "Creative Cloud" erhielten im Oktober 2019 ein Schreiben von Anbieter. Es bezieht sich auf eine Executive Order des amerikanischen Präsidenten, welche die Zusammenarbeit von US-Unternehmen mit Individuen und Unternehmen in Venezuela einschränkt. Den Kunden blieben nur wenige Tage Zeit, ihre Daten aus der Cloud herunter zu laden und anderweitige Lösungen zu finden, bevor Adobe den Zugang sperrt. Nach der Auslieferungs-Blockade von Android-Betriebssystemkomponenten für Huawei ist das ein weiterer Fall, in dem politischer Druck aufgebaut wird, indem der Zugriff auf IT-Technologien plötzlich entzogen wird.

So ein Bedrohungsszenario ist politisch auch in Deutschland und Europa vorstellbar. Dennoch ersetzen viele Unternehmen derzeit weitgehend eigene Datacenter-Hardware amerikanischer Hersteller durch Cloud-basierte Rechenzentrumsleistung aus den USA. Ist Gaia-X also eine große Aufregung um nichts? Auf keinen Fall. Deutschland und Europa müssen aber erst verstehen, was sich wirklich mit der flächendeckenden Nutzung der Cloud ändert und in welchen Bereichen möglicherweise ein neuer Souveränitätsverlust droht.

Digitalisierung bedeutet eine neue Art der Differenzierung. Produkte und Services, der Markterfolg von Unternehmen und die Wettbewerbsfähigkeit von Ökonomien werden zunehmend durch Daten, Software und deren Beherrschung bestimmt.

Cloud-Technologien bilden die Basis für eine neue IT. Software wird mit neuen Verfahren (Agile, DevOps, Site Reliability Engineering) und neuen Architekturen (KI, Big Data, Micro-Services, Tool-Chains) entwickelt beziehungsweise betrieben, die die Digitalisierung der Unternehmen ermöglichen und den Markterfolg sicherstellten soll. Hierfür stellen die Hyperscaler Plattformen bereit, die mit bisher unvorstellbar großem Investitionsvolumen kontinuierlich ausgebaut und weiterentwickelt werden.

Erfolgsfaktoren für Cloud-native im Unternehmen

Robin Parr, Neos
"Wie stark der Impact von Cloud-native ist, sieht man auch an Themen wie DevOps: Während Entwicklung und Betrieb in traditionellen Umgebungen möglichst nah zusammenwachsen, existiert diese Trennung bei Cloud-native schon gar nicht mehr: „Dev" und „Ops" sind dort ein und dieselbe Person."

Heinz Bruhn, Rackspace
"Cloud-native bedeutet mehr Freiheit, die gleichzeitig mit gestiegenen Ängsten bei den Unternehmen einher geht – auf prozessualer, auf technologischer und nicht zuletzt auf organisatorischer Ebene. Um diese zu adressieren, braucht es die Bereitschaft der Geschäftsführung, auf jeder dieser Ebenen die notwendigen Veränderungen anzustoßen."

Matthias Kranz, Red Hat
"In der Diskussion mit Kunden treten wir häufig ganz bewusst einen Schritt zurück und fragen: Warum soll es überhaupt die Cloud sein? Auf der Basis dieser Frage gilt es dann, eine klare Strategie zu formulieren und nicht einfach „Lift and Shift” zu betreiben. Das gilt auch und vor allem für die kulturelle Ebene: Gerade in großen Unternehmen führt eine allzu schnelle Migration zu Unsicherheit und auch zu Widerstand. Erst wenn der Nutzen klar wird, verschwinden die Ängste."

Rene Funk, Maturity
"DevOps ist grundsätzlich der richtige Ansatz, wenn es von der Organisation entsprechend konsequent umgesetzt wird –- strukturell und kulturell. Vergleiche mit traditionellen Methoden belegen, dass dann die Abstimmung zwischen Angebot und Nachfrage schneller läuft, Fehlerquoten sinken und unter dem Strich die Applikations-TCO reduziert wird."

Marcus Flohr, Delphix
"Wir können uns Prozesse und Technologien ausdenken, wie wir wollen: Wenn die richtige kulturelle Basis nicht da ist, dann laufen wir gegen Wände. Diese Voraussetzungen schaffen wir aber nur in einem kontinuierlichen Prozess, der die gesamte Organisation betrifft. Eine Ausgründung in Form eines Start-ups kann oft auch ein Entwicklungshemmer sein, da die generierten Innovationen es nicht in die Mitte des Unternehmens schaffen."

Simon Fleischer, ConSol
"An die Stelle von technischem Know-how tritt in Cloud-native-Umgebungen das Business-Know-how, das den Nutzen einer Technologie in den Vordergrund stellt. Vor allem mit Blick auf den Fachkräftemangel ergeben sich für viele Unternehmen so auch Chancen. Sie können sich fragen, welches Wissen sie wirklich im Haus benötigen."

Benjamin Treichel, Brockhaus
"Die gewissenhafte Analyse von Prozessen ist ein wesentliches Erfolgskriterium bei der Überführung von Unternehmensinfrastrukturen in die Cloud. Wenn von oben einfach nur die Ansage „Wir machen ab jetzt Cloud” kommt, dann kommt lediglich „Lift and Shift“ dabei heraus. Erst wenn Unternehmen verstehen, dass die Migration ein langwieriger, aber lohnenswerter Prozess ist, schaffen sie den Sprung. Ein großer Hemmschuh ist außerdem nach wie vor die Security.

Dominic Lindner, ownCloud
"Gerade in mittelständischen Unternehmen besteht häufig eine hohe Unsicherheit, ob sich die hohen Kosten und Aufwendungen der Integration von Daten in die Cloud lohnen und wo man genau ansetzen kann. Hier gilt es, mithilfe von klaren Use-Cases, erste Ansätze der Nutzung von Cloud kostengünstig zu erproben."

Das Technologie-Dilemma

Der Markt nimmt diese Cloud-Dienste gerne an. Deutschland liegt beim Einsatz von Public-Cloud-Technologien zwar international zurück, holt aber stark auf. Während bei uns im Land momentan etwas weniger als 10 Prozent der Unternehmens-IT auf öffentlichen IaaS-, PaaS- und SaaS-Plattformen läuft, gehen Marktforscher von mehr als einer Verdopplung der Nutzung von Public Cloud-Diensten in Drei-Jahres-Schritten aus. In sechs Jahren könnten somit bereits nahezu 50 Prozent der deutschen Unternehmens-IT in den Public Clouds der Hyperscaler laufen. In den USA und in einigen anderen Ländern wird dieser Zustand bereits in drei Jahren oder sogar früher erwartet. Dann würden auch die damit verbundenen Wettbewerbsvorteile für diese Unternehmen deutlich früher realisiert.

Allerdings gilt dann auch: Ein Szenario wie in Venezuela könnte einem "Kill Switch" für die deutsche Wirtschaft nahekommen. Die Cloud wird somit zur kritischen Infrastruktur.

Es gilt, Alternativen zu finden, um einen gefühlten Kontrollverlust zu verhindern. Gaia-X wurde von Wirtschaftsminister Altmaier als Initiative verkündet, mit der bestehende Infrastrukturen und Datenplattformen vernetzt, die Ressourcen europäischer Firmen gebündelt und eine "leistungs- und wettbewerbsfähige, sichere und vertrauenswürdige Dateninfrastruktur für Europa" geschaffen werden soll. Einen zweistelligen Millionenbetrag will die deutsche Politik zunächst in das Projekt investieren. Mehr als 60 Akteure aus deutscher Wirtschaft sowie von Institutionen - von SAP und Bosch über die Deutsche Telekom bis hin zur Berliner Charité - wollen dabei unterstützen.

Gaia-X vs. Hyperscaler

Gaia-X steht in Kontrast zu einem kompakten und von massiven Investitionen geprägten Antritt der Hyperscaler:

Microsoft, Amazon und Google halten laut der Marktforscher von Statista gemeinsam 57 Prozent Marktanteil am globalen Cloud-Infrastruktur-Markt. Der einzige nennenswerte Wettbewerb kommt aus China.
Seit dem Jahr 2000 haben die drei großen Tech-Unternehmen zusammen 270 Milliarden Dollar an Kapital investiert, davon 116 Milliarden allein in den letzten zwei Jahren laut einer Analyse der Financial Reports von Microsoft, Amazon und Google von Accenture.
Im Jahr 2018 waren es laut Accenture Cloud-Investitionen in Gesamthöhe von 43 Milliarden Dollar beziehungsweise 62 Prozent des gesamten CAPEX von 69 Milliarden Dollar, das von den drei Unternehmen ausgegeben wurde.
Die sieben größten Cloud-Anbieter der Welt stehen laut Beratungshaus McKinsey nun jährlich für fast 50 Prozent des gesamten Enterprise-Einkaufsvolumens von Hardware-Komponenten wie CPUs, Dynamic RAM, NAND und Hard Disk Drives.

Unternehmen investieren aber nicht nur in Hardware und den Infrastruktur-Ausbau, sondern auch in kontinuierliche Innovationen in den Service-Portfolios. Über 100 Cloud-Bausteine können in einer Art Cloud-Periodensystem angeordnet werden, das den "Werkzeugkasten" für Entwicklung und Betrieb von Cloud-Services auf den Ebenen IaaS, PaaS und SaaS beschreibt. Dies zeigt die Mächtigkeit der großen Cloud-Plattformen jenseits des oft noch vorherrschenden Verständnisses von Public Cloud als einer großen Festplatte im Internet.

Periodensystem der Cloud-Bausteine
Foto: Accenture

Jeder der MAG deckt nahezu alle dieser Komponenten ab und baut sein Portfolio kontinuierlich aus. Amazon beispielsweise berichtet von jährlich etwa 2.000 neuen Features, die zur AWS-Plattform hinzugefügt werden. Ähnliches gilt für die Azure und Google Clouds. Zurzeit sind die MAGs insbesondere aktiv beim Ausbau ihrer Big-Data- und KI-Fähigkeiten, aber auch im Bereich von Quanten-Computing aus der Cloud. Somit gilt: Jedes Unternehmen, das diese Milliarden-Investitionen nicht zum eigenen Vorteil hebelt, schneidet sich von den rapiden Innovationszyklen der Digitalisierungsindustrie ab.

Um der Sorge des "Lock-in" zu begegnen, arbeiten die Anbieter auch intensiv an der Portierbarkeit von Workloads in der Cloud über diverse - auch konkurrierende - Clouds hinweg. So wurden 2019 sowohl von Google mit Anthos als auch von Microsoft mit Azure Arc entsprechende Services auf den Markt gebracht. Damit können Computing-Container variabel über diverse Clouds, inklusive privater Clouds, verteilt und verwaltet werden. Die Hyperscaler reagieren hier auf die Anforderung ihrer Kunden, Multi-Cloud-Szenarien zu unterstützen. Sie wollen Ängste vor einer Abhängigkeit von ihren Plattformen adressieren und Alternativen aufzeigen.

Digitale Souveränität - Zielsetzung und Handlungs-Optionen

Die technologische Abhängigkeit von den globalen Hyperscalern bei fehlender Ausweich- oder zumindest Rückzugs-Alternative, stellt eines der Risiken dar, die im Rahmen von Digitaler Souveränität adressiert werden sollten. Im Detail gibt es bezüglich digitaler Souveränität eine ganze Reihe von Zielsetzungen:

den "Lock-in" in eine bestimmte Technologie, mit resultierender technologischer und kommerzieller Abhängigkeit vom Anbieter, vermeiden;
das Risiko reduzieren, dass Dienste unabgestimmt vom Anbieter modifiziert oder beendet werden - bis hin zu einem plötzlichen "Lock-out";
Daten und Systeme vor unerlaubtem Zugriff durch Dritte schützen;
die Kontrolle über die Entwicklung, den Betrieb und die Lieferung digitaler, datenbasierter Dienste erhalten.

Die Handlungsoptionen der beteiligten Parteien lassen sich grob in die politische, nationale/europäische Ebene und die der einzelnen Unternehmen oder Institution bündeln:

Unternehmens-/Institutionsebene

Vertragliche Schutzmaßnahmen: Hier legen Unternehmen ihren Fokus auf den rechtlichen Sitz der Vertragspartner. Sie bevorzugen es, einen Vertrag mit EU- beziehungsweise deutschen Gesellschaften der Cloud-Anbieter zu schließen, um etwa den Schutz vor dem US Cloud Act zu erhöhen. Auch individuelle Regelungen zu spezifischen Compliance- oder Sicherheits-Anforderungen durchzusetzen, gehört zu solchen vertraglichen Maßnahmen. Hier gilt grundsätzlich, dass die Größe des Kundenunternehmens einen wesentlichen Einfluss auf die Bereitschaft der Hyperscaler hat, von ihren Standardvertragsbedingungen abzuweichen.
Eine Multi-Cloud Umgebung etablieren: Viele Unternehmen und Institutionen streben eine Infrastruktur an, die sich auf mehrere Clouds stützt, zum Beispiel eine private Cloud plus einen oder mehrere Hyperscaler. Dies soll die Abhängigkeit von einzelnen Cloud-Anbietern reduzieren und ermöglichen, auf Veränderungen durch die flexible Verteilung von Workloads über mehrere "Landezonen" hinweg reagieren zu können. Die technologische Komplexität, eine solche Architektur aufzubauen und zu verwalten, ist jedoch nicht zu unterschätzen.
Die Anwendungs-Architektur auf Beweglichkeit ausrichten: Ein alternativer Ansatz zur relativ komplexen Multi-Cloud-Umgebung ist es, proprietäre Technologien in der Infrastruktur- und Plattform-Schicht bewusst zu vermeiden. Hier stehen beispielsweise Kubernetes (Container), PostgreSQL (Datenbanken), Tomcat (Application Server) und Hadoop/Spark (Big Data) als Open-Source-Lösungen zur Verfügung. Sie können als Basiskomponenten für die Anwendungsentwicklung auf Public Cloud verwendet werden. Auch offene Frameworks wie OpenShift Origin oder CloudFoundry sind geeignet, einen Lock-in zu vermeiden. Dieser Lösungsansatz bringt allerdings auch eine technische Komplexität mit sich. Zudem schneidet eine "Isolationsschicht" auf die Native-Cloud-Dienste das Unternehmen von einem Großteil der differenzierenden Services und Innovationen der Hyperscaler ab.
Eine strikte Governance für die Platzierung von Workloads etablieren: Um von einem konkreten Architektur-Ansatz unabhängig zu sein, ist es sinnvoll, die Verwendung der Bausteine aus dem Public-Cloud-Werkzeugkasten für jede Anwendung und jedes Entwicklungsvorhaben zu beleuchten. In welcher Form welcher Services aus der Public Cloud genutzt wird und welche Abhängigkeiten sich ergeben, sollte eine bewusste Entscheidung sein. Hierbei sind Aspekte wie Innovation, Business-Kritikalität, Differenzierung, Abhängigkeit und die Exit-Optionen zu berücksichtigen.

Nationale/Europäische Ebene

Regulierung und Compliance-Vorgaben: Diese können Unternehmen und Institutionen gezielt davon abhalten, die Cloud zu nutzen. Zudem erhöhen sie den Druck auf die Hyperscaler, geforderte Rahmenbedingungen zu bieten. In der Vergangenheit haben jedoch viele Vorgaben, wie zum Beispiel die IT-Regulation der Banken, eher als Bremsschuhe für Innovation und Wettbewerbsfähigkeit von Unternehmen oder ganzen Sektoren gewirkt. Hier ist eine umsichtige politische Gestaltung des gesetzlichen Rahmens gefordert.
Nationale/europäische oder Industrie-Clouds aufbauen: Der Ruf nach dem Aufbau eigener souveräner Cloud-Plattformen in Europa, die den Hyperscalern die Stirn bieten können, kommt regelmäßig auf. Die technologische Komplexität eines solchen Unterfangens, kombiniert mit dem Investitionsbedarf macht schnell klar, dass dies ein ambitioniertes Vorhaben ist. Die Machbarkeit erscheint utopisch. Diverse Versuche sind in der Vergangenheit zumindest gescheitert: Der Cloud Exchange der Deutschen Börse wurde 2016 eingestellt, 2018 beendete Microsoft seine deutsche Treuhänder-Cloud in Zusammenarbeit mit der Deutschen Telekom. Das Angebot war nicht wettbewerbsfähig. Microsoft setzt zukünftig schlicht auf Azure-Rechenzentren in Deutschland.
Zugriffs-/Kontrollrechte einrichten: Eine andere Möglichkeit, digitale Souveränität in den Clouds außereuropäischer Unternehmen zu erreichen, könnte die Gewährleistung von gesicherten Zugriffsrechten für eine Art Notfall-Kontrollübernahme durch europäische oder nationale Institutionen sein. Je mehr die Public Cloud in Unternehmen genutzt wird, desto mehr werden Public-Cloud-Rechenzentren zur kritischen Infrastruktur. Somit können spezifische Regelungen für den Notfall eingefordert werden. Eine solche Option ist technisch und organisatorisch sicher alles andere als trivial, sollte aber intensiver geprüft werden. Entsprechende Rechte bei den amerikanischen oder gar chinesischen Cloud-Playern durchzusetzen ist grundsätzlich denkbar, wird aber einen gemeinsamen europäischen Ansatz und hohe politische Durchsetzungskraft erfordern.

Gaia-X ist die Antwort der deutschen Regierung auf die Sorge um digitale Souveränität. Ein Netzwerkverbund soll geschaffen werden, um bestehende IT-Ressourcen zu bündeln, in einer integrierten Art verfügbar zu machen und standardisierten Datenaustausch zu ermöglichen. Die veröffentlichten Papiere beschreiben eine Vielzahl von Anwendungsszenarien, die Gaia-X unterstützen soll, von der Plattform für die intelligente Fertigung der Industrie 4.0 bis zur sicheren Cloud für die Finanzwirtschaft. Ein detaillierteres technisches Konzept, wie diese Anforderungen umgesetzt werden sollen, liegt bisher jedoch nicht vor, Zwar gibt es eine Referenz zur Architektur des "International Data Space", die deckt aber nur einen Teil der technischen Aspekte des Vorhabens ab.

Die Vielzahl der beteiligten Stakeholder mit unterschiedlichsten Interessenlagen deutet auf einen langwierigen, mehrjährigen Abstimmungsprozess und eine hochkomplexe Governance hin. Bis auf die angekündigten überschaubaren Investitionen ist die Finanzierung des Vorhabens ebenfalls noch zu klären. Ein Taktwechsel scheint erforderlich, wenn diese Initiative Aussicht auf Erfolg haben soll.

Zusammenfassung und Handlungsempfehlung

Die Services der internationalen Cloud-Hyperscaler zu nutzen ist für Europa unabdingbar. Mit einer Entkopplung würde der Zugriff auf hochrelevante Technologien und damit verbundene eigene Innovationen verloren gehen, die für unsere Industrien und deren Digitalisierung überlebenswichtig sind.

Andererseits wird digitale Souveränität für die Wirtschaft und Gesellschaft immer wichtiger, je mehr Cloud-Services genutzt werden. Wenn in ein paar Jahren 50 Prozent der Unternehmens-Workloads in den Public Clouds der Hyperscaler laufen, gibt es keine Rückzugsmöglichkeit auf einen Plan B. Gaia-X muss die wichtige Aufgabe wahrnehmen, hier die Brücke zu schlagen und die neuralgischen Punkte adressieren.

Es gilt auch, jetzt machbare Konzepte für künftige digitale Infrastrukturen zu diskutieren, um den Wettbewerb in den Leitindustrien auch künftig zu gewinnen. Dazu sollten wir uns auf die Bereiche fokussieren, die wettbewerbsentscheidend für unsere Leitindustrien sind: Digitalisierung von Maschinen und Anlagen und neue digitale Geschäftsmodelle auf Basis von Daten, Software und neue IT - in der Cloud. Die deutsche Industrie sollte erwägen, die Milliardeninvestitionen der Hyperscaler unter Wahrung der eigenen Vorteile für sich zu nutzen.

Die europäische Politik muss parallel effektive Regelungen schaffen, damit Zugriff auf die Clouds und deren Daten zu jeder Zeit gewährleistet ist. Auch jedes einzelne Unternehmen braucht eine Cloud-Strategie, die beschreibt, wie Public Cloud-Services zum maximalen eigenen Wettbewerbsvorteil verwendet werden und andererseits digitale Souveränität und Beweglichkeit erhalten bleiben. (jd)