Digitale Souveränität: Kann Deutschland ohne US-Cloud-Anbieter überleben?
Experten fordern angesichts der Corona-Krise vom Staat, die Pläne für mehr digitale Souveränität stärker zu verfolgen und sich gegen US-Sanktionen zu wappnen.
(Bild: Gorodenkoff/Shutterstock.com)
Die Skizzen für eine größere digitale Souveränität Deutschlands und Europas liegen etwa mit dem Cloud-Projekt Gaia X seit langer Zeit auf dem Tisch, doch die Coronavirus-Krise und die damit benötigten Tele-Anwendungen zeigen, wie groß die Abhängigkeit von US-Anbietern nach wie vor ist. Videos, Chats, Kalender- und Kollaborationslösungen übers Netz seien aktuell fürs Homeoffice mehr denn je gefragt, weiß Holger Dyroff aus dem Vorstand der Open Source Business Alliance. Die Frage sei aber, ob Nutzer hierzulande überhaupt in der Lage seien, "ohne US-Clouds überleben zu können".
Studien hätten auch der Politik längst vor Augen geführt, dass es überfällig sei, "Schmerzpunkte" etwa gegenüber Microsoft auszumerzen, betonte Dyroff am Dienstag bei einem Webinar des eco-Verbands der Internetwirtschaft zur digitalen Souveränität. Aufgrund von US-Sanktionen seien die "großen Cloud-Services" etwa in Venezuela und im Iran schon abgeschaltet worden, warnte der Geschäftsführer des Nürnberger Online-Diensts OwnCloud. Deutschland sei davor keineswegs gefeit, wie US-Präsident Donald Trump mit seinen Strafmaßnahmen gegen die Nord-Stream-Pipeline bereits gezeigt habe.
Föderierte Clouds
Digitale Souveränität ist für Dyroff daher essenziell, um den berühmt-berüchtigten "Lock-in-Effekt" abzuschaffen, also Services unabhängig von einzelnen Anbietern zu machen. Entscheidend dafür seien offene Standards für Schnittstellen und offener Quellcode. Etwa mit "föderierten Clouds" oder interoperablen Messenger-Diensten gelte es, den "vollen Zugriff" auf alle Komponenten sowie die "volle Transparenz" herzustellen. Wichtig sei auch ein Betrieb in der EU, um einen externen Datenabfluss auf Basis von Gesetzen wie dem Cloud Act der USA bestmöglich zu verhindern.
Der Nutzer sollte exakt auswählen können, wem er welche persönlichen Daten für welche Zwecke zur Verfügung stelle, forderte der Branchenvertreter. Klare Regeln dazu müssten etwa über Zertifikate implementiert werden. Die Politik müsse zudem deutlich sagen: "Nicht-souveräne Services wollen wir nicht oder nur eingeschränkt zulassen." Gerade Anwender in Behörden müssten damit anfangen, offene Lösungen wie Jabber alias XMPP oder Chat over IMAP etwa für die Kommunikation zu benutzen, sonst sei die "Bürger-Souveränität" nicht hinzubekommen. Dyroff ist zuversichtlich: Es werde in zehn Jahren "eine hundertprozentige digitale Souveränität" bei staatlichen Anwendungen etwa im Verteidigungsbereich geben.
Gaia X
Die aktuellen Pläne für das Cloud-Prestigeprojekt Gaia X der Bundesregierung gingen stark in diese Richtung, verdeutlichte Christian Banse vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC). Der Public-Cloud-Massenmarkt sei mit Amazon Web Services (AWS), Microsofts Azure und Google-Rechnerwolken fest in US-amerikanischer Hand. Bei Gaia X gehe es nun darum, den Internetriesen mit einem "virtuellen Hyperscaler" über verschiedene Provider und Dienste hinweg zumindest Paroli zu bieten.
Entstehen soll so ein europäisches Netzwerk von Hochleistungsrechnern, um bei Cloud Computing und Big Data den Bedarf an Leistung und Durchsatz möglichst redundant decken zu können. Einschlägige Services müssten bei Gaia X über einen Verzeichnisdienst vertrauenswürdiger Diensteanbieter und einzelne "Knoten" im Netzwerk automatisch bereitgestellt werden, erläuterte Banse. Dafür seien Schnittstellen und Kataloge nötig.
Offene Standards für Datenportabilität
In die erforderlichen offenen Standards etwa für die Datenportabilität "müssen wir noch sehr viel Arbeit reinstecken", räumte das Mitglied der Gaia-X-Arbeitsgruppe zur Zertifizierung ein. Als Modell einer verteilten Dateninfrastruktur könne der Industrial Data Space fungieren. Unternehmen stellten dann "Konnektoren" bereit mit unterschiedlichen Sicherheitsstufen von der automatischen Überprüfung offener SSH-Ports oder Passwort-Regeln bis hin zu einer kontinuierlichen Zertifizierung.
Eine Referenz-Implementierung des "Trusted-Connector-Konzepts" hat das AISEC auf Basis eines gehärteten Linux-Systems bereits erarbeitet. Damit könnten sich Anwender etwa einen externen Algorithmus reinholen und damit auf ein gewisses Datenset zugreifen oder eigene Messwerte in einen Container verpacken und "woanders hinschicken", führte Banse aus. Firmen behielten so die Kontrolle über ihre Daten, könnten diese auf sehr granularer Ebene an Dritte – gegebenenfalls gegen Geld – weitergeben und mit Nutzungsrichtlinien versehen, die auch aus der Ferne durchsetzbar seien. Diensteanbieter müssten zudem "gute und sichere Konfigurationsmöglichkeiten" verfügbar machen, Nutzer diese dann auch korrekt einstellen, um die Gefahr von Datenpannen zu verringern.
