Gaia-X

Stärken und Schwächen der deutschen Cloud-Initiative

Kommentar  von Stefan  Ried
Das Bundeswirtschaftsministerium fördert mit Gaia-X ein Konzept, um eine deutsche Datensouveränität sicherzustellen. Die Idee ist gut, doch das Risiko, ohne die Marktführer zu starten, scheint beträchtlich. Und warum eigentlich keine EU-weite Lösung?
  • Das Konzept von Gaia-X enthält eine Menge guter Ideen, doch der nationale Alleingang wird die Umsetzung erschweren
  • Hybride und Multi-Cloud-Szenarien werden vollständig ausgeblendet
  • Vor allem IBM und Microsoft haben beim BMWi formal Interesse an einer Gaia-X-Beteiligung bekundet
Aufbau des Daten-Ökosystems von Gaia-X auf einem verteilten Infrastruktur-Ökosystem.
Foto: BMWi

Eigentlich hört sich die Idee einer nationalen Datensouveränität erst einmal gut an. Wer europäisch denkt, fragt sich aber, warum hier das Deutsche Bundesministerium für Wirtschaft und Energie (BMWi) als Initiator der Gaia-X Initiative erscheint und nicht gleich die Europäische Union.

Echte Datensouveränität braucht folgende Zutaten:

All das wäre mittelfristig in der EU gegeben, doch die Länder sind sich außenpolitisch nicht einig. Während Frankreichs Präsident Emmanuel Macron fairen Wettbewerb einklagt und die amerikanischen Konzerne zwingen möchte, Steuern auch im Land der jeweiligen Leistungserbringung zu zahlen, traut sich in Deutschland kein Regierungspolitiker wirklich, diese "Internet-Steuer" gegen Amazon, Google und Microsofts Cloud-Dienste zu erheben.

Zu groß ist die Angst vor politischen Konsequenzen: Die Trump-Administration könnte ihre Zoll-Drohungen gegen die deutsche Autoindustrie wahr machen. Dementsprechend verfolgt das Gaia-X-Konzept jetzt das Ziel, die heimische IT-Industrie ebenso einzubeziehen wie die verbliebenen kleineren IT-Dienstleister. Alle Hyperscaler (Amazon, Microsoft, Google) und auch IBM sind bisher nicht involviert, sie werden sogar als Konkurrenz gesehen.

Stattdessen redet das Team von Bundeswirtschaftsminister Peter Altmaier mit den deutschen Unternehmen SAP, Deutsche Telekom und Deutsche Bank. Hinzu kommen einige wirklich kleine IT-Dienstleister, die im Vergleich zu den amerikanischen Gorillas keine Rolle spielen. So kommt eine Botschaft im deutschen Markt an: Wir schaffen die deutsche Cloud gegen die großen Amerikaner!

SAP will immer weniger Cloud-Provider sein

Dabei sollten die genannten großen deutschen Player dem Wirtschaftsministerium eigentlich erklären können, wie schwierig das wird. SAP zum Beispiel hat mit der HANA-Plattform einen der stärksten Software Stacks der Welt für Unternehmensanwendungen. Doch als End-to-End-Cloud-Provider rudern die Walldorfer nach anfänglicher Euphorie um die SAP HANA Cloud wieder kräftig zurück.

Auch die Infrastruktur von SAP ist für echtes Volumengeschäft zu klein, zudem fallen die Margen deutlich niedriger aus als mit der Business Software selbst. Infrastructure as a Service (IaaS) ist nun Mal ein reines Massengeschäft. Hier präferiert SAP für die meisten Kunden inzwischen den Betrieb des HANA-Stack auf Infrastruktur eines der rasant wachsenden Cloud-Riesen aus den USA: Amazon Web Services (AWS), Microsoft Azure oder Google Cloud. So rutscht das verbliebene eigene Infrastruktur-Business von SAP immer mehr in eine teure Nische ab, die nur für eine sehr kleine Klientel interessant ist.

Telekom hat durch Azure-Treuhänderschaft Schaden genommen

Auch die Telekom sollte genügend Erfahrungen mit ihren Cloud-Angeboten gesammelt haben, um das BMWi warnen zu können. Früh hat der größte deutsche Carrier erkannt, dass neben dem reinen IaaS-Angebot vor allem die modernen Platform-as-a-Service-(PaaS-)Dienste für Entwickler attraktiv sind. Das ist aber ein Geschäft, bei dem es um Softwareinvestitionen geht, kein Netz- oder Infrastruktur-Business.

Die Deutsche Telekom hatte deshalb mit Microsoft eine lokale Azure-Zone unter ihrer Treuhänderschaft aufgebaut: Die Daten sollten im hiesigen Rechenzentrum und damit im deutschen Rechtsraum vorgehalten werden, der Technologie-Stack kam von Microsofts Azure, aber der Datenzugriff sollte ausschließlich deutschem Telekom-Personal vorbehalten bleiben. Das ganze Projekt ist 2018 mit Vollgas gegen die Wand gefahren!

Nur wenige Kunden wollten einen zehn- bis 15-prozentigen Aufpreis für die deutsche Datensouveränität zahlen. Die letzten Nutzer mussten ihre Anwendungen schließlich auf eigene Kosten in eine der großen Clouds umziehen. Wahrscheinlich ist das der Grund dafür, dass hierzulande nur Sabine Bendiek, Geschäftsführerin von Microsoft Deutschland, den Mut hatte, sich kritisch zu Gaia-X zu äußern. AWS und Google hielten sich bislang politisch korrekt zurück - so, wie sie grundsätzlich die immer wieder aufkeimenden, nationalen Cloud-Ideen unkommentiert lassen.

Die Hyperscaler wissen eben, dass eine Cloud ohne sie nie die Skaleneffekte und damit die finanzielle Konkurrenzfähigkeit erreichen wird, die dem Markt gerecht wird. Alle großen US-Cloud-Anbieter sind heute so weitreichend kompatibel zur Europäischen Datenschutz-Grundverordnung (DSGVO), dass inzwischen auch einige deutsche Finanzdienstleister mittlerer Größe zu ihren Kunden zählen. Heute vertreibt die Deutsche Telekom die Azure-Plattform aus dem Microsoft Rechenzentrum - nicht aus dem eigenen.

Deutsche Bank bringt Kernsystem nicht in eine Public Cloud

Auch die Deutsche Bank könnte Peter Altmaier ein wenig mehr über den Charakter ihrer internen IT-Workloads erzählen. Denn nur, wenn die Leistungsanforderungen eines Unternehmens stark schwanken, etwa bei einem Retailer im Weihnachtsgeschäft oder wenn, wie bei Volkswagen, viele Firmen entlang einer Industrie-4.0-Lieferkette zusammenarbeiten, spielen die Public Clouds ihre Vorteile aus. Bei einer Bank tritt dieser Fall so gut wie nie ein. Deshalb betreiben die Größen der Finanzbranche ihre Kerninfrastrukturen weiter selbst.

Wenn man aber die Elastizität der Infrastruktur nicht braucht und wenig Bedarf an vollständig gemanagten PaaS-Lösungen hat, ist eine Public Cloud nicht mehr günstiger. Dann teilt man sich vielleicht noch Strom, Netzwerk und Klimatisierung mit den US-Cloud-Providern bei einem der großen Frankfurter Colocation-Anbieter. Das ist aber auch schon alles.

In Summe schätzen wir die meisten der an Gaia-X beteiligten Großunternehmen heute nicht so ein, dass sie ihre Core-Workloads oder Umsatzströme mit Gaia-X in Einklang bringen könnten. Das Konzept (PDF) sieht auch gar nicht vor, dass keinerlei Infrastruktur von einem der vier US-Provider kommen darf. Der ursprüngliche Anspruch war vielmehr Monopolvermeidung und die Stimulation eines Ökosystems, in dem der Austausch von Daten (zum Beispiel der Zugriff auf Lernmodelle) konform mit unserer Rechtsauffassung ablaufen kann.

Diese Abbildung von Gaia-X zeigt, wie das Daten-Ökosystem auf einem verteilten Infrastruktur-Ökosystem aufbauen soll. Eine Data Economy aufzubauen, die keinen Lock-in in eine bestimmte Infrastruktur erlaubt, ist eine sehr gute Idee! Damit setzt Gaia-X mit seinem Infrastruktur-Ökosystem genau das um, was die drei Hyperscaler technisch jeweils schon mit ihren Availability Zones - proprietär allerdings - implementiert haben. Wir können uns vorstellen, dass das Gaia-X-Knotenverzeichnis ein Meta-Repository über Kubernetes-Cluster ist. Aber so konkret ist das Projekt noch nicht.

Das Konzept schlägt für die Schaffung eines offenen Standards und einer Referenzarchitektur die Etablierung einer Europäischen Organisation vor: "Zur Umsetzung der vernetzten Dateninfrastruktur erachten wir eine zentrale, europäisch getragene Organisation für notwendig. Sie soll aus wirtschaftlicher, organisatorischer und technischer Sicht die Basis für eine vernetzte Dateninfrastruktur sein. Ihre Aufgabe wird sein, eine Referenzarchitektur zu entwickeln, Standards zu definieren sowie Kriterien für Zertifizierungen und Gütesiegel vorzugeben. Sie soll ein neutraler Mittler und Kern des europäischen Ökosystems sein." (Das Projekt GAIA-X, BMWi)

Die International Data Spaces (IDS)-Initiative, die vom Fraunhofer Institut angeregt wurde, wird als erfolgreiches Beispiel angeführt. Jedoch haben in Sachen vernetzter Dateninfrastruktur die vier Amerikaner einfach die größte Kompetenz am Markt. Es wäre gut dieses Wissen zu nutzen, ohne Abhängigkeiten einzugehen und Monopole zu begünstigen.

Wo sind bei Gaia-X die Multi-Cloud-Szenarien?

Ein Punkt der bei Gaia-X vollkommen fehlt, sind hybride und Multi-Cloud-Szenarien. Dabei geht es um ganz konkrete Szenarien: Heute, rund 20 Jahre nach den Storage-Konsolidierungen in Enterprise-Rechenzentren, weiß jeder CIO was kalte (alte) und heiße (aktuelle) Daten sind. Er speichert sie auf unterschiedlichen Systemen, um Preis und Zugriffszeiten zu balancieren. In gleicher Weise werden Unternehmen künftig ihre Daten auf modernen Microservice-Architekturen erneut zweiteilen. Wenige, aber hochsensible Daten werden vollständig verschlüsselt und gegebenenfalls in maximaler Daten-Souveränität abgelegt - in Deutschland. Folgendes Video vom Fraunhofer Institut erklärt Gaia-X:

So geht beispielsweise Bosch in eigenen Rechenzentren vor, die zwar deutlich teurer als AWS/Azure/Google sind, aber die eigene Souveränität gewährleisten. Der volumenmäßig viel größere Teil lässt sich meist so weit anonymisieren und "tokenizen", dass er problemlos am kostengünstigsten Ort liegen kann. Beim Autonomen Fahren sollten die Telematik-Daten, die zeigen, dass Autos vor einer Schule scharf bremsen mussten, beispielsweise am besten unverschlüsselt an der günstigsten Stelle liegen und für maschinelles Lernen zugänglich sein. Das sind die Inhalte für die schon längst überfällige Zusammenarbeit der Autobauer im Bereich des Autonomen Fahrens. Aber welcher Fahrzeuge tatsächlich scharf bremsen mussten, das ist natürlich sehr vertraulich und liegt tatsächlich besser in der Bosch-Cloud.

Ähnlich sollte es sich mit der elektronischen Gesundheitsakte verhalten. Patientenname, Versicherungsnummer und ein geheimer Schlüssel (Token) sind sensible Daten, die an einem sicheren Ort liegen müssen. Dazu könnte Gaia-X den zertifizierten Souveränitäts-Level eines Infrastruktur-Knotens einführen. Faktisch wären das nur ein paar Gigabyte an Daten - und zwar für alle Versicherten in Deutschland.

Sensible und nicht-sensible Daten unterschiedlich behandeln

Ein gescanntes Röntgenbild sollte hingegen so anonymisiert und fragmentiert sein, dass kein Rückschluss auf den Patienten möglich ist. Solche Daten sind ohne den Zugang zu den Tokens nicht mehr personenbezogen und könnten auf einem Gaia-X-Knoten mit niedrigstem Souveränitäts-Level gespeichert sein. Und das könnte dann auch ein US-Hyperscaler sein, denn der würde den Preispunkt für die vielen Petabytes an Röntgenbildern deutlich senken.

Multi-Cloud ist definitiv kein Buzzword, sondern der wichtigste Lösungsansatz um Privatsphäre und Kosten durch das Orchestrieren mehrere Dienste auszubalancieren - genauso, wie es die CIOs früher mit Zugriffszeiten und Kosten ihrer Storage-Systeme gemacht haben. Leider steht davon nichts im Gaia-X-Konzept!

Das BMWi hat im Vorfeld der Ankündigung zu wenig mit den Branchenkennern gesprochen. Selbst der ITK-Verband Bitkom war eher Zuschauer als Wissens-Pool für das Berliner Ministerium. Um die öffentliche Diskussion um die Datensouveränität besser zu strukturieren, hätte Crisp Research eine Betrachtung entlang des bekannten Cloud-Service-Stacks vorgeschlagen. Dann wird klar, wo man überhaupt Datensouveränität braucht:

Bei Gaia-X aus Fehlern lernen

Das Gaia-X-Konzept hat also noch eine Chance, wenn die Macher aus den Fehlern der erfolglosen nationalen Clouds lernen, ihren Wertbeitrag auf alle drei Ebenen des As-A-Service-Stacks anwenden und in einen infrastrukturunabhängigen PaaS-Stack investieren. Letzterer muss Multi-Cloud-Szenarien der zukünftigen Data-Economy unterstützen.

Damit hätten Kunden eine Lösung die sowohl die Anforderung der deutschen Souveränität erfüllt, als auch die Konkurrenzfähigkeit der amerikanischen Hyperscaler für das große Volumen nutzt. Den Hyperscalern würde es Traffic bringen, solange es die politische Lage erlaubt, aber für die Kunden im Idealfall keinen Lock-In. Vor allem IBM, gefolgt von Microsoft, haben formal Interesse für eine Beteiligung an Gaia-X beim BMWi bekundet, wie die beiden Firmen auf Anfrage der Crisp Research bestätigten.