Missing Link: Was bedeutet digitale Souveränität für die Verteidigungsfähigkeit?
Im Interview mit heise online erläutert BWI-Chef Frank Leidenberger, wie der größte IT-Dienstleister der Bundeswehr diese fit für die Zukunft machen soll.
(Bild: Gorodenkoff/Shutterstock.com)
- Falk Steiner
- Imke Stock
Eine Großorganisation wie die Bundeswehr hat spezielle Anforderungen an ihre IT. Einer der wichtigsten Dienstleister für das Militär der Bundesrepublik ist die BWI, einst ein staatlich-privates Joint-Venture, heute komplett in der Hand des Bundes. Der ehemalige Bundeswehrgeneral Frank Leidenberger war zeitweise zum BND abgeordnet, war für die Bundeswehr viele Jahre in Auslandseinsätzen erst in Bosnien-Herzegowina und später in Afghanistan in hohen Positionen verantwortlich. Seit 2023 ist er Geschäftsführer des größten IT-Dienstleisters der Bundeswehr – und damit mitverantwortlich für die Arbeitsfähigkeit von 260.000 Soldaten und zivilen Angestellten.
Im Interview mit heise online erklärt er: Was bedeuten Cloud und digitale Souveränität für die Verteidigungsfähigkeit? Und ließe sich notfalls auch auf US-Dienstleister verzichten? Die Fragen stellten Imke Stock und Falk Steiner.
7000 Leute für 300 Projekte
Herr Leidenberger, was macht die BWI für die Bundeswehr?
Die BWI erbringt zunächst einmal Betriebsleistungen: die Rechenzentren, das Wide Area Network. Wir stellen 220.000 Clients für die Bundeswehr zur Verfügung, jede Menge Mobiltelefone. Wir sind die Foundation des IT-Systems der Bundeswehr. Darüber hinaus bearbeiten wir kontinuierlich im Durchschnitt 300 Projekte: Von der Digitalisierung landbasierter Operationen bis hin zur Gesundheitsversorgung oder Kollaborationsumgebungen wie Groupware.
Wir beraten die Bundeswehr, von Beratung für IT-Prozesse und Modelle über Architekturfragen bis hin zu konzeptionellen Grundlagen. Wir decken mit momentan 7000 Menschen alle Facetten ab, die ein großes IT-Dienstleistungsunternehmen zur Verfügung stellt.
(Bild: BWI GmbH/Xandra Herdieckerhoff)
Sie haben aus verschiedenen Perspektiven die Bundeswehr wahrgenommen. Aus jetziger BWI- Perspektive: was ist aus Ihrer Sicht das Dringlichste, was die Bundeswehr momentan im Digitalen braucht?
Das Dringlichste aus reiner Bundeswehrperspektive ist das Herstellen eines resilienten Kommunikationssystems. Also insbesondere die Ausrüstung mit Software Defined Radios, eine stärkere Abstützung auf Satellitensysteme, aber auch Hochfrequenzfunk. Aktuell liegt das nicht im Schwerpunkt der Aufgabenerbringung der BWI, ist aber Grundvoraussetzung für Services, die auch die BWI zur Verfügung stellt. Ohne performantes Kommunikationsnetz helfen Rechenzentren und Datensätze nichts.
Digitalisierung lässt sich per Fortschrittsbalken beschreiben. Wenn Sie jetzt so einen nehmen, den jeder User kennt, bei wie viel Prozent würden Sie dabei liegen?
Mein Bauchgefühl ist: Im Stationären liegen wir beinahe bei 100 Prozent, bei den mobilen Anteilen vielleicht bei 50 Prozent. Das IT-System der Bundeswehr besteht nicht nur aus der BWI, die Bundeswehr hat eine größere Anzahl IT-Dienstleistern. Wir sind vom Volumen betrachtet der Größte, sie macht ihre IT in großen Teilen aber selbst. Wir sind aber übergreifend wichtig, weil wir mit der Rechenzentrums-Infrastruktur und dem Wide-Area-Network den Backbone zur Verfügung stellen.
Wenn Sie das auf das schauen, was die BWI heute kann und was sie eigentlich können müsste: Gibt es da Lücken?
Die BWI macht, wofür sie beauftragt ist und was die Bundeswehr von uns haben möchte. Natürlich folgen wir der technologischen Entwicklung und dem, was sich die Streitkräfte wünschen. Die möchten ihre IT-Services schneller adaptieren können, in größerem Umfang mit mehr Daten und darauf auch mit KI-Unterstützung arbeiten. Das führt automatisch zum Oberbegriff der „Cloud“. Wir bauen die der Bundeswehr gerade entsprechend der BSI-Sicherheitsauflagen: air-gapped, komplett von uns kontrolliert.
Bundeswehr-Cloud vs. Hyperscaler
Was muss die Cloud für die Bundeswehr können?
Sie ist für das Gesamtsystem Bundeswehr konzipiert, neben den Soldaten auch die Reservisten und die Verwaltung als Nutzer. Das passiert also nicht als Big Bang: Wir haben ein laufendes, funktionierendes und, wie wir glauben, auch ziemlich sicheres IT-System.
Nun bauen wir für heute und für zukünftige Anwendungen, die eher ins Militärische reichen, Cloudstrukturen. So, dass wir theoretisch fast alle IT-Services nach und nach in die Cloud ziehen können.
Wir stellen uns dabei die gleichen Fragen wie alle anderen: Ist es wirtschaftlich sinnvoll? Macht die Migration Sinn? Konzipiert man lieber gleich neue Services?
Wie lässt sich denn eine leistungsfähige, souveräne Cloud unabhängig von großen Hyperscalern bauen?
Die Entwicklungen sind sehr dynamisch, und natürlich ist es ein bisschen ein Schuss ins Ungewisse. Wenn wir es mit den Hyperscalern vergleichen wollen: eine Cloud-Region hat typischerweise drei synchronisierte Rechenzentren in einer gewissen Entfernung voneinander, immer für 2 Millionen Nutzer. Dann bauen wir qualitativ das Gleiche, aber quantitativ etwa 15 bis 20 Prozent davon dediziert mit entsprechender Befähigung für die Bundeswehr.
Man darf sich das aber nicht total isoliert vorstellen. Natürlich machen wir nicht simpel einen Cloudstack und sind damit zufrieden. Sondern evaluieren kontinuierlich, wie wir vielleicht andere einbinden können. Es gibt in Deutschland mehrere Initiativen, die zumindest für „Verschlusssache – nur für den Dienstgebrauch“ zugelassene Clouds zur Verfügung stellen. Selbstverständlich beobachten wir, ob das für die Bundeswehr und uns nutzbar wäre. Wir müssen nicht alles selber machen, und es ist eine Frage der Resilienz, ob man Daten oder Anwendungen auch mal woanders hin auslagern kann.
Rechenzentren gehören im Verteidigungsfall zu den potenziellen Zielen, wahrscheinlich Primär-Zielen. Wie gehen Sie damit um?
Der Erste ist: man sichert sie hinreichend ab, hat nicht ein Rechenzentrum, in dem alles liegt. Da stellt sich die Frage: Kann man gewisse Workloads auch woanders laufen lassen? Dieses "woanders", das fangen wir schon an, jetzt auch sehr groß zu denken.
Was heißt das in der Konsequenz?
Ich will mich nicht zu weit aus dem Fenster lehnen, nehme als Beispiel aber die Ukraine. Wo laufen deren Rechenzentren? Überwiegend nicht auf deren Territorium, würde ich sagen. Natürlich schauen wir uns das NATO-Gebiet an und auch darüber hinaus. Brauchen wir Rechenzentren, die nicht in Deutschland sind? Datenspeicher und Rechenleistung an anderen Orten dieser Welt, wo die Daten kryptologisch gesichert in unserem Zugriff sind?
Da wird man weiterdenken müssen. Im Moment sorgen wir zunächst dafür, dass wir die großen Rechenzentren in Deutschland so redundant und sicher auslegen, dass unsere Daten souverän gehalten werden können und auch verfügbar sind.
Gilt das für die ganze Bundeswehr?
Die ist noch viel flexibler aufgestellt und hat das, was wir verlegefähige Rechenzentren nennen: Compute-Kapazitäten ganz „am Edge“. Durch die zunehmende Leistungsfähigkeit der Hardware kann man heute schon viel Storage und Computing in kleinen containerbasierten Rechenzentren vorhalten. Wenn man etwa bei der Gefechtsführungsfähigkeit von Streitkräften differenziert, wird man feststellen, dass viele Daten flüchtig sind. Ein Zieldatum, was ich jetzt habe, kann in zehn Minuten wieder irrelevant sein. Das kann ich speichern, muss ich aber nicht. Die Möglichkeiten sind vielfältig, das so aufzustellen, dass es sehr resilient wird. Auch Kommunikationsbeziehungen kann man so resilient und vielfältig auslegen.
Was verstehen Sie dabei unter digitaler Souveränität?
Wir gehen davon aus, dass Souveränität im Wesentlichen bedeutet, dass wir eine Wahlfreiheit haben. Wir werden technologisch von den vier oder fünf Hyperscalern dieser Welt nicht wegkommen. Es sei denn, man setzt ganz stark auf Open Source und on-bare-metal. Da arbeiten wir auch dran, schauen uns das an, weil es vielleicht für hochsichere Anwendungen eine zusätzliche Forderung sein könnte.
Wir folgen den Vorgaben des BSI, bewerten die Produkte und sind im Austausch mit der Community. Es ist selbstverständlich, dass wir keine Produkte aus Ländern nehmen, die auch sonst eher fragwürdig geworden sind, was man vielleicht vor rund zehn Jahren noch anders hätte bewerten können.
Die 100.000-Dollar-Frage
Bei Souveränität dachte man lange vor allem an China. Die USA scheinen derzeit aber auch nicht zwingend wie ein Verbündeter, auf den man sich hundertprozentig verlassen kann. Wie gehen Sie damit um?
Das ist die 100.000-Dollar- und vor allem eine politische Frage. Wir halten uns an das, was wir an strategischen, militärischen und politischen Vorgaben bekommen und würden immer noch ein bisschen Sicherheit draufpacken. Es wäre sehr schwierig, wenn wir die USA nicht als befreundete Nation einordnen würden. Dann, glaube ich, würden die IT-Systeme in Europa zunächst nur noch sehr überschaubare Funktionalitäten bieten können.
Metadaten-Abflüsse aus Windows-Systemen und Vergleichbares beobachten und minimieren wir wo immer technisch möglich. Deswegen bauen wir unsere Cloud so, dass wir keinen Datenabfluss haben. Alles was rein- und rausgeht, geht über unsere Schleuse. Wir reflektieren dabei, dass es nichts hundertprozentig Vertrauenswürdiges gibt, setzen jedoch darauf, dass die, mit denen wir verbündet sind, uns grundsätzlich Software und Hardware zur Verfügung stellen, mit der wir arbeiten können.
Wir bewerten auch andere Versorgungswege, prüfen Dual-Vendor-Strategien, bezüglich Lieferfähigkeit und Sicherheit in der Versorgungskette. Das hat aber immer ein Preisschild. Nicht nur, dass man doppelt kaufen muss. Sondern auch den betrieblichen Aspekt, wenn man immer zwei Systeme betreibt. Und selbst wenn sie verschiedene Lieferwege nehmen, wo kommen die Chips her? Wahrscheinlich sind die alle irgendwie in Taiwan produziert, zumindest die performanten.
Wie hat sich die ausgerufene Zeitenwende auf die BWI ausgewirkt?
Wir haben uns ein eigenes Zielbild gegeben: Wir haben uns vorgenommen, einen Beitrag zur Führungs- und Einsatzfähigkeit zu leisten und nicht "nur ein bisschen IT" zur Verfügung zu stellen, weil die Erkenntnis gereift ist: Wer nicht digitalisiert, verliert. Die BWI muss im Kern für die Leistungsfähigkeit der Streitkräfte zur Verfügung stehen und dafür mitverantwortlich sein. Nicht nur dafür, ob jetzt mal ein E-Mail-System geht oder nicht. Aufgrund der höheren Verfügbarkeit von Haushaltsmitteln - Stichwort Sondervermögen - gibt es mehr Geld, mehr Beauftragung insbesondere für die Ausgestaltung des Rechenzentrumverbunds
Unser zweites großes Thema ist das "German Mission Network", das Führungssystem für den Einsatz. Dabei müssen wir nicht immer alles selber bauen und zusammenlöten. Wenn es um verlegefähige Container geht, um Rechenzentrum-Infrastruktur, kommt das alles vom Markt. Daher glaube ich auch, dass es zügig gehen kann, obwohl es große Volumina sind.
Finden Sie die Partner, die Sie brauchen, in Deutschland?
Prinzipiell gibt es Partner am deutschen Markt. Wir selektieren dabei, soweit es vergaberechtlich konform ist, auch unter dem Aspekt der Vertrauenswürdigkeit der Eigentümer-Verhältnisse unserer strategischen Partner. Andererseits gibt es technologische Bestimmungsgrößen. Ich kenne keinen großen deutschen Serverhersteller, dessen Produkte wir schnell in notwendigen Größenordnungen ins Rechenzentrum stellen könnten. Daher sind wir bei Basistechnologie darauf angewiesen mit unseren Partnern zusammenzuarbeiten, wie wir es über viele Jahre erfolgreich getan haben.
Es gibt immer wieder Überlegungen, die Bundeswehr, oder hier die BWI, als Ankerkunde für ein gestärktes deutsches Ökosystem zu nutzen. Wie würden Sie da Ihre Rolle sehen?
Wir sind dazu in Diskussionen. Wenn man bei Cloud eher einen Open Source Ansatz fährt, könnte man gemeinsam den Versuch unternehmen, eine größere Infrastruktur für den öffentlichen Bereich aufzubauen. Schaut man auf die Hardware und die Performance, kann man nicht einfach sagen: das machen jetzt mal alles Deutsche – und die Bundeswehr ist immer der erste Nutzer. Am Ende des Tages ist es immer eine Abwägungsentscheidung: Wie viel Risiko können Sie eingehen, weil Sie etwas jetzt brauchen? Wie kann man diese Risiken mitigieren? Wir tun alles, um unser System sicher zu halten. Und sind auch angemessen zuversichtlich, dass uns das gelingt.
Das geht auch mit den lang bewährten Partnern. Ich warne davor das alles schlecht zu reden. Wir arbeiten mit den großen US-Konzernen seit zig Jahren wirklich gut zusammen. Und auch die haben ihre Herausforderungen. Man sollte jetzt nicht so tun, als ob die auf einmal der Gegner sind.
Videos by heise
Was sind Ihre Top-Drei-Prioritäten bei der BWI für die nächsten 5 bis 10 Jahre?
Cloud, Cloud, KI. [lacht]. Na ja, ohne Cloud keine KI. Natürlich gibt es da noch mal Spezialthemen. Die Cloud treibt die Datenverfügbarkeit und -nutzung, die dann auch KI enabled. Das sind Mega-Themen für die Bundeswehr, die wir entsprechend unterstützen.
Sie haben eine lange Bundeswehrkarriere, sind dann zur BWI gekommen. Wenn Sie auf die Bundeswehr gucken, die verschlafene Digitalisierung, die BWI als Dienstleister. Wenn ein erfahrener Bundeswehrmann dort als CEO sitzt, was macht das anders, als wenn dort ein klassischer IT-Manager sitzen würde?
Ich würde der Bundeswehr nicht vorwerfen, dass sie das verschlafen hat. Sie konnte es einfach nicht umsetzen. Gesehen haben wir das: Wir haben selbst im Heer ganz unten ja mal Papiere geschrieben, die darauf hingewiesen haben, dass man was tun muss. Aber wenn sie die 3,50 € nicht zusätzlich bekommen, kann man nur die höchsten Prioritäten bedienen.
Ich hoffe zumindest, dass meine Erfahrung als Soldat für die BWI kein Nachteil ist. Aber ich kann nur unterstreichen: Der CEO darf die Interviews geben, umsetzen werden es die vielen hervorragenden Mitarbeitenden der BWI – die das um der Sache Willen machen.
(nen)
