Digitale Souveränität

Gaia-X und die Public Cloud

Kommentar  25.02.2020
Von   IDG ExpertenNetzwerk, und


Tobias Regenfuß ist bei Accenture der Geschäftsführer für den Bereich Cloud und Infrastructure in der DACH-Region. Der Evangelist und Advokat für Cloud Transformation und Cloud-Reise berät in dieser Rolle Kunden aus allen Branchen. Sein Schwerpunkt seiner Karriere lag auf Unternehmen aus den Bereichen Kommunikation und Medien. Der studierte Mathematiker ist bereits seit 1994 für Accenture tätig.
Frank Riemensperger leitet als Vorsitzender der Geschäftsführung die Accenture-Ländergruppe Deutschland, Schweiz, Österreich und Russland.
Prof. Dr. Svenja Falk ist Managing Director bei Accenture Research. Dort verantwortet sie unter anderem das Thema Zukunft der Arbeit.

Gaia-X vs. Hyperscaler

Gaia-X steht in Kontrast zu einem kompakten und von massiven Investitionen geprägten Antritt der Hyperscaler:

  • Microsoft, Amazon und Google halten laut der Marktforscher von Statista gemeinsam 57 Prozent Marktanteil am globalen Cloud-Infrastruktur-Markt. Der einzige nennenswerte Wettbewerb kommt aus China.

  • Seit dem Jahr 2000 haben die drei großen Tech-Unternehmen zusammen 270 Milliarden Dollar an Kapital investiert, davon 116 Milliarden allein in den letzten zwei Jahren laut einer Analyse der Financial Reports von Microsoft, Amazon und Google von Accenture.

  • Im Jahr 2018 waren es laut Accenture Cloud-Investitionen in Gesamthöhe von 43 Milliarden Dollar beziehungsweise 62 Prozent des gesamten CAPEX von 69 Milliarden Dollar, das von den drei Unternehmen ausgegeben wurde.

  • Die sieben größten Cloud-Anbieter der Welt stehen laut Beratungshaus McKinsey nun jährlich für fast 50 Prozent des gesamten Enterprise-Einkaufsvolumens von Hardware-Komponenten wie CPUs, Dynamic RAM, NAND und Hard Disk Drives.

Unternehmen investieren aber nicht nur in Hardware und den Infrastruktur-Ausbau, sondern auch in kontinuierliche Innovationen in den Service-Portfolios. Über 100 Cloud-Bausteine können in einer Art Cloud-Periodensystem angeordnet werden, das den "Werkzeugkasten" für Entwicklung und Betrieb von Cloud-Services auf den Ebenen IaaS, PaaS und SaaS beschreibt. Dies zeigt die Mächtigkeit der großen Cloud-Plattformen jenseits des oft noch vorherrschenden Verständnisses von Public Cloud als einer großen Festplatte im Internet.

Periodensystem der Cloud-Bausteine
Periodensystem der Cloud-Bausteine
Foto: Accenture

Jeder der MAG deckt nahezu alle dieser Komponenten ab und baut sein Portfolio kontinuierlich aus. Amazon beispielsweise berichtet von jährlich etwa 2.000 neuen Features, die zur AWS-Plattform hinzugefügt werden. Ähnliches gilt für die Azure und Google Clouds. Zurzeit sind die MAGs insbesondere aktiv beim Ausbau ihrer Big-Data- und KI-Fähigkeiten, aber auch im Bereich von Quanten-Computing aus der Cloud. Somit gilt: Jedes Unternehmen, das diese Milliarden-Investitionen nicht zum eigenen Vorteil hebelt, schneidet sich von den rapiden Innovationszyklen der Digitalisierungsindustrie ab.

Um der Sorge des "Lock-in" zu begegnen, arbeiten die Anbieter auch intensiv an der Portierbarkeit von Workloads in der Cloud über diverse - auch konkurrierende - Clouds hinweg. So wurden 2019 sowohl von Google mit Anthos als auch von Microsoft mit Azure Arc entsprechende Services auf den Markt gebracht. Damit können Computing-Container variabel über diverse Clouds, inklusive privater Clouds, verteilt und verwaltet werden. Die Hyperscaler reagieren hier auf die Anforderung ihrer Kunden, Multi-Cloud-Szenarien zu unterstützen. Sie wollen Ängste vor einer Abhängigkeit von ihren Plattformen adressieren und Alternativen aufzeigen.

Digitale Souveränität - Zielsetzung und Handlungs-Optionen

Die technologische Abhängigkeit von den globalen Hyperscalern bei fehlender Ausweich- oder zumindest Rückzugs-Alternative, stellt eines der Risiken dar, die im Rahmen von Digitaler Souveränität adressiert werden sollten. Im Detail gibt es bezüglich digitaler Souveränität eine ganze Reihe von Zielsetzungen:

  • den "Lock-in" in eine bestimmte Technologie, mit resultierender technologischer und kommerzieller Abhängigkeit vom Anbieter, vermeiden;

  • das Risiko reduzieren, dass Dienste unabgestimmt vom Anbieter modifiziert oder beendet werden - bis hin zu einem plötzlichen "Lock-out";

  • Daten und Systeme vor unerlaubtem Zugriff durch Dritte schützen;

  • die Kontrolle über die Entwicklung, den Betrieb und die Lieferung digitaler, datenbasierter Dienste erhalten.

Die Handlungsoptionen der beteiligten Parteien lassen sich grob in die politische, nationale/europäische Ebene und die der einzelnen Unternehmen oder Institution bündeln:

Unternehmens-/Institutionsebene

  • Vertragliche Schutzmaßnahmen: Hier legen Unternehmen ihren Fokus auf den rechtlichen Sitz der Vertragspartner. Sie bevorzugen es, einen Vertrag mit EU- beziehungsweise deutschen Gesellschaften der Cloud-Anbieter zu schließen, um etwa den Schutz vor dem US Cloud Act zu erhöhen. Auch individuelle Regelungen zu spezifischen Compliance- oder Sicherheits-Anforderungen durchzusetzen, gehört zu solchen vertraglichen Maßnahmen. Hier gilt grundsätzlich, dass die Größe des Kundenunternehmens einen wesentlichen Einfluss auf die Bereitschaft der Hyperscaler hat, von ihren Standardvertragsbedingungen abzuweichen.

  • Eine Multi-Cloud Umgebung etablieren: Viele Unternehmen und Institutionen streben eine Infrastruktur an, die sich auf mehrere Clouds stützt, zum Beispiel eine private Cloud plus einen oder mehrere Hyperscaler. Dies soll die Abhängigkeit von einzelnen Cloud-Anbietern reduzieren und ermöglichen, auf Veränderungen durch die flexible Verteilung von Workloads über mehrere "Landezonen" hinweg reagieren zu können. Die technologische Komplexität, eine solche Architektur aufzubauen und zu verwalten, ist jedoch nicht zu unterschätzen.

  • Die Anwendungs-Architektur auf Beweglichkeit ausrichten: Ein alternativer Ansatz zur relativ komplexen Multi-Cloud-Umgebung ist es, proprietäre Technologien in der Infrastruktur- und Plattform-Schicht bewusst zu vermeiden. Hier stehen beispielsweise Kubernetes (Container), PostgreSQL (Datenbanken), Tomcat (Application Server) und Hadoop/Spark (Big Data) als Open-Source-Lösungen zur Verfügung. Sie können als Basiskomponenten für die Anwendungsentwicklung auf Public Cloud verwendet werden. Auch offene Frameworks wie OpenShift Origin oder CloudFoundry sind geeignet, einen Lock-in zu vermeiden. Dieser Lösungsansatz bringt allerdings auch eine technische Komplexität mit sich. Zudem schneidet eine "Isolationsschicht" auf die Native-Cloud-Dienste das Unternehmen von einem Großteil der differenzierenden Services und Innovationen der Hyperscaler ab.

  • Eine strikte Governance für die Platzierung von Workloads etablieren: Um von einem konkreten Architektur-Ansatz unabhängig zu sein, ist es sinnvoll, die Verwendung der Bausteine aus dem Public-Cloud-Werkzeugkasten für jede Anwendung und jedes Entwicklungsvorhaben zu beleuchten. In welcher Form welcher Services aus der Public Cloud genutzt wird und welche Abhängigkeiten sich ergeben, sollte eine bewusste Entscheidung sein. Hierbei sind Aspekte wie Innovation, Business-Kritikalität, Differenzierung, Abhängigkeit und die Exit-Optionen zu berücksichtigen.

Nationale/Europäische Ebene

  • Regulierung und Compliance-Vorgaben: Diese können Unternehmen und Institutionen gezielt davon abhalten, die Cloud zu nutzen. Zudem erhöhen sie den Druck auf die Hyperscaler, geforderte Rahmenbedingungen zu bieten. In der Vergangenheit haben jedoch viele Vorgaben, wie zum Beispiel die IT-Regulation der Banken, eher als Bremsschuhe für Innovation und Wettbewerbsfähigkeit von Unternehmen oder ganzen Sektoren gewirkt. Hier ist eine umsichtige politische Gestaltung des gesetzlichen Rahmens gefordert.

  • Nationale/europäische oder Industrie-Clouds aufbauen: Der Ruf nach dem Aufbau eigener souveräner Cloud-Plattformen in Europa, die den Hyperscalern die Stirn bieten können, kommt regelmäßig auf. Die technologische Komplexität eines solchen Unterfangens, kombiniert mit dem Investitionsbedarf macht schnell klar, dass dies ein ambitioniertes Vorhaben ist. Die Machbarkeit erscheint utopisch. Diverse Versuche sind in der Vergangenheit zumindest gescheitert: Der Cloud Exchange der Deutschen Börse wurde 2016 eingestellt, 2018 beendete Microsoft seine deutsche Treuhänder-Cloud in Zusammenarbeit mit der Deutschen Telekom. Das Angebot war nicht wettbewerbsfähig. Microsoft setzt zukünftig schlicht auf Azure-Rechenzentren in Deutschland.

  • Zugriffs-/Kontrollrechte einrichten: Eine andere Möglichkeit, digitale Souveränität in den Clouds außereuropäischer Unternehmen zu erreichen, könnte die Gewährleistung von gesicherten Zugriffsrechten für eine Art Notfall-Kontrollübernahme durch europäische oder nationale Institutionen sein. Je mehr die Public Cloud in Unternehmen genutzt wird, desto mehr werden Public-Cloud-Rechenzentren zur kritischen Infrastruktur. Somit können spezifische Regelungen für den Notfall eingefordert werden. Eine solche Option ist technisch und organisatorisch sicher alles andere als trivial, sollte aber intensiver geprüft werden. Entsprechende Rechte bei den amerikanischen oder gar chinesischen Cloud-Playern durchzusetzen ist grundsätzlich denkbar, wird aber einen gemeinsamen europäischen Ansatz und hohe politische Durchsetzungskraft erfordern.

Gaia-X ist die Antwort der deutschen Regierung auf die Sorge um digitale Souveränität. Ein Netzwerkverbund soll geschaffen werden, um bestehende IT-Ressourcen zu bündeln, in einer integrierten Art verfügbar zu machen und standardisierten Datenaustausch zu ermöglichen. Die veröffentlichten Papiere beschreiben eine Vielzahl von Anwendungsszenarien, die Gaia-X unterstützen soll, von der Plattform für die intelligente Fertigung der Industrie 4.0 bis zur sicheren Cloud für die Finanzwirtschaft. Ein detaillierteres technisches Konzept, wie diese Anforderungen umgesetzt werden sollen, liegt bisher jedoch nicht vor, Zwar gibt es eine Referenz zur Architektur des "International Data Space", die deckt aber nur einen Teil der technischen Aspekte des Vorhabens ab.

Die Vielzahl der beteiligten Stakeholder mit unterschiedlichsten Interessenlagen deutet auf einen langwierigen, mehrjährigen Abstimmungsprozess und eine hochkomplexe Governance hin. Bis auf die angekündigten überschaubaren Investitionen ist die Finanzierung des Vorhabens ebenfalls noch zu klären. Ein Taktwechsel scheint erforderlich, wenn diese Initiative Aussicht auf Erfolg haben soll.

Zusammenfassung und Handlungsempfehlung

Die Services der internationalen Cloud-Hyperscaler zu nutzen ist für Europa unabdingbar. Mit einer Entkopplung würde der Zugriff auf hochrelevante Technologien und damit verbundene eigene Innovationen verloren gehen, die für unsere Industrien und deren Digitalisierung überlebenswichtig sind.

Andererseits wird digitale Souveränität für die Wirtschaft und Gesellschaft immer wichtiger, je mehr Cloud-Services genutzt werden. Wenn in ein paar Jahren 50 Prozent der Unternehmens-Workloads in den Public Clouds der Hyperscaler laufen, gibt es keine Rückzugsmöglichkeit auf einen Plan B. Gaia-X muss die wichtige Aufgabe wahrnehmen, hier die Brücke zu schlagen und die neuralgischen Punkte adressieren.

Es gilt auch, jetzt machbare Konzepte für künftige digitale Infrastrukturen zu diskutieren, um den Wettbewerb in den Leitindustrien auch künftig zu gewinnen. Dazu sollten wir uns auf die Bereiche fokussieren, die wettbewerbsentscheidend für unsere Leitindustrien sind: Digitalisierung von Maschinen und Anlagen und neue digitale Geschäftsmodelle auf Basis von Daten, Software und neue IT - in der Cloud. Die deutsche Industrie sollte erwägen, die Milliardeninvestitionen der Hyperscaler unter Wahrung der eigenen Vorteile für sich zu nutzen.

Die europäische Politik muss parallel effektive Regelungen schaffen, damit Zugriff auf die Clouds und deren Daten zu jeder Zeit gewährleistet ist. Auch jedes einzelne Unternehmen braucht eine Cloud-Strategie, die beschreibt, wie Public Cloud-Services zum maximalen eigenen Wettbewerbsvorteil verwendet werden und andererseits digitale Souveränität und Beweglichkeit erhalten bleiben. (jd)