Gaia-X: Wie Europa in der Cloud unabhängig werden soll
Der deutsche Wirtschaftsminister und sein französischer Amtskollege haben Details zum europäischen Cloud-Projekt Gaia-X vorgestellt. Dabei blieben viele Fragen offen.
(Bild: BMWi)
- Jan Mahn
Eigentlich wollten Wirtschaftsminister Peter Altmaier und sein französischer Kollege Bruno Le Maire gemeinsam vor die Presse treten und verkünden, wie sich Europa den US-Cloud-Anbietern entgegenstellen will. Daraus wurde nichts, stattdessen gab es einen improvisierten Livestream mit allerlei Video-, Ton- und Verständigungsproblemen. Was Gaia-X genau ist, blieb während der Vorstellung noch immer sehr vage. Klar ist bisher: Viele Unternehmen, Interessenvertreter und Wissenschaftler arbeiten unter der Schirmherrschaft der beiden Ministerien an Software, Standards und einem organisatorischen Rahmen, mit deren Hilfe europäische Unternehmen verstärkt Dienste in der Cloud nutzen sollen.
Für alle, die im Cloud-Geschäft nicht zu Hause sind, zunächst etwas Begriffsklärung: Unter dem Begriff Cloud versteht man eine Spielart von Server-Vermietung, die besonders flexibel ist. Vermietet werden (virtuelle) Maschinen, Speicherplatz, Netzwerkdurchsatz, vorkonfigurierte Datenbanken oder Spezial-Hardware wie Grafikkarten fürs Training künstlicher Intelligenz.
Beim klassischen Hosting (das es schon seit Jahrzehnten gibt) mietet man Server und andere Ressourcen mit monatlichen oder sogar jährlichen Verträgen. Im unflexibelsten Fall ist das eine physische Maschine, im flexibleren Fall eine virtuelle. Cloud-Anbieter dagegen leben von der Flexibilität. Der Kunde bezahlt auf Stundenbasis, kann virtuelle Maschinen nach Bedarf hochfahren und wieder vernichten. Die Weboberfläche des Anbieters ist nur ein möglicher Zugang, in größeren Umgebungen nutzt man eher eine Programmierschnittstelle und lässt Skripte und Automationen Rechenleistung, Speicherplatz oder Datenbanken bestellen. Die großen Mitspieler in dem Geschäft sind Amazon AWS, Microsoft Azure und Google Cloud, allesamt mit Firmenzentrale in den USA. Aber auch deutsche Anbieter spielen durchaus mit – ihre Vorteile sind ein datenschutzfreundlicher Standort, deutschsprachiger Support und eine gewisse Vertrauenswürdigkeit.
Erfolgreich sind all diese Unternehmen (Europäer und US-Amerikaner) im Cloud-Geschäft vor allem, weil sie sehr schnell auf Open-Source-Software gesetzt haben und diese zusammen weiterentwickeln. Für den Kunden bedeutet das, dass die Dienste austauschbar sind. Für einen Großteil der angemieteten Ressourcen ist es unerheblich, für welchen der Anbieter man sich entscheidet. Viele Kunden haben sich sogar für eine Multi-Cloud-Strategie entschieden.
Die Autoren der Gaia-X-Papiere sehen das grundlegend anders: Sie beschreiben eine Welt, in der Kunden ständig Angst haben müssen, in einer Cloud eingesperrt zu werden, weil die Clouds untereinander inkompatibel seien. Als Gegenentwurf wird eine Cloud-übergreifende Infrastruktur skizziert, die aus Europa kommt: Gaia-X.
Was Gaia-X ist
Zunächst ist Gaia-X viel große Politik und Marketing: Es geht um europäische Werte, um Datenschutz und vor allem um Unabhängigkeit. Gleich 14 Mal kommen „Souveränität“ und „souverän“ im 10-seitigen Grundlagendokument vor, auch Altmaier betonte das immer wieder. Bruno Le Maire sah sogar einen regelrechten Krieg um diese Werte: „Wir sind nicht China. Wir wollen unsere Werte verteidigen“. Dass gerade Frankreich und Deutschland vorangehen, ist ebenfalls kein Zufall, beide wollen mal wieder zeigen, dass sie – so wie früher bei Kohle und Stahl – die Anführer eines vereinten Europas bei einem Zukunftsthema sind. Und die deutschen Digitalverbände eco und Bitkom folgten dem Narrativ: Vor allem ein Gegenpol zu den US-Cloud-Anbietern wolle man schaffen. „Gaia-X ebnet den Weg für ein neues Level an digitaler Souveränität“, schrieb der eco-Vorstandsvorsitzende Oliver J. Süme. „Damit stärkt Europa langfristig seine Datensouveränität“, legte Bitkom-Präsident Achim Berg nach.
Drei Bausteine sind in Planung, um Cloud-Anbietern und -Kunden das Leben zu erleichtern und unabhängig zu werden: Über einen Katalog sollen sich Anbieter von Cloud-Diensten vorstellen und diese in einem standardisierten Datenformat präsentieren. Eine Suchmaschine für Cloud-Produkte wäre eine Möglichkeit, diese Daten zu nutzen – ein Dienst, der automatisch den günstigsten Server mietet, wenn die Last wächst, eine andere. Um hier Mitglied zu werden, muss sich ein Anbieter einem Onboarding-Prozess unterziehen und sicherstellen, dass er (europäische) Datenschutz- und Sicherheitsstandards erfüllt. Das Label „Gaia-X“ könnte also im besten Fall zu einem Qualitätssiegel für Cloud-Produkte werden. Die US-Anbieter reagierten durchaus positiv und zeigten sich interessiert, an dieser Zertifizierung teilzunehmen.
Ein weiterer Baustein heißt „Sovereign Data Exchange“, eine Art Datenhalde, auf der Unternehmen Daten abladen und mit anderen Unternehmen teilen können. Diese Infrastruktur läuft verteilt auf gemieteter Infrastruktur von Hostern, die Gaia-X-kompatibel sind. Eine (noch zu entwickelnde) Software vernetzt die Gaia-X-Knoten. Nutzen kann man diesen Austausch nach den Vorstellungen der Autoren zum Beispiel, wenn man als Unternehmen eigene Messwerte mit einem Maschinenhersteller zur Analyse austauschen oder ein Start-up gründen will, das solche Daten mit KI-Werkzeugen auf Anomalien untersucht.
Um sicherzustellen, dass nur Berechtigte die Daten nutzen können, sieht der Entwurf den Baustein „Identity & Trust“ vor. Im Gaia-X-Netzwerk soll es auf Basis von Zertifikaten möglich sein, das Gegenüber zu identifizieren. Auf Grundlage dieser Authentifizierung wählt man aus, wer auf welche Datensätze zugreifen darf.
Was Gaia-X nicht ist
Die Zertifizierung neuer Mitglieder, die Verwaltung der rechtlichen Rahmenbedingungen und den Vertrauensanker für den zertifikatsbasierten Authentifizierungsprozess im Netzwerk übernimmt eine nicht gewinnorientierte Organisation nach belgischem Recht, also eine Art gemeinnütziger Verein, an dem die Ministerien und die Gründungsmitglieder beteiligt sind. Gaia-X ist aber kein neuer Cloud-Anbieter, der gegen Amazon und Google antritt. Die Regierungen haben nicht vor, staatliche Rechenzentren aus dem Boden zu stampfen und Serverleistung auf Stundenbasis zu vermieten. Stattdessen sollen Katalog und Authentifizierungsdienste (welche allesamt noch zu entwickeln sind) auf bestehenden Maschinen der beteiligten Hoster laufen.
Von hinten durch die Brust ins Auge
Zumindest bemerkenswert für ein – dem Selbstverständnis nach offenes – Softwareprojekt, ist die Vorgehensweise. Das lässt sich vielleicht dadurch erklären, dass Politiker – nicht Entwickler – die treibenden Kräfte sind. Seit dem Digitalgipfel im Herbst 2019, auf dem Altmaier Gaia-X erstmals vorstellte, hat sich ein geschlossener Kreis offenbar regelmäßig getroffen, um einen technischen Rahmen zu skizzieren. Die Liste der Autoren der „Technical Architecture“ ist lang. Mit dabei sind deutsche und französische Hoster, kleine und große Unternehmen und Forschungseinrichtungen und Interessenverbände. Dass die Ergebnisse offen sein sollen („open standards“ und „open source“), ist offenbar Konsens.
„Wir sind nicht China. Wir wollen unsere Werte verteidigen.“
Bruno Le Maire, französischer Wirtschaftsminister
Die Art, wie schon diese ersten Dokumente entstanden, spricht aber eine andere Sprache: Es gibt zum Beispiel kein öffentliches Repository bei GitHub oder GitLab, in dem man der Diskussion folgen könnte und in dem die Rohfassungen der Veröffentlichung als Textdateien liegen. Stattdessen hat man ein layoutetes und sehr abgeschlossen wirkendes PDF-Dokument in den Ring geworfen. Wer in den letzten Jahren verfolgt hat, wie andere Open-Source-Projekte erfolgreich wurden, findet das befremdlich: Für gewöhnlich fangen ein bis zwei Unternehmen an, schreiben Code und veröffentlichen ihn. Andere beginnen ihn zu nutzen, und erst dann gründet man eine Organisation oder spendet den Code an eine Stiftung. Erst dann plant man die weitere Entwicklung und schreibt Standards. Ob das Modell „Open Source am Reißbrett“ gelingt, wird die Zukunft zeigen.
Was jetzt?
Als Privatnutzer brauchen Sie über Gaia-X nicht nachzudenken. Gaia-X ist keine Alternative zu Dropbox oder OneDrive und hilft Ihnen auch im Beruf nicht bei den Herausforderungen des Homeoffice. Wenn Sie für ein Unternehmen überlegen, Server-Leistung in „die Cloud“ auszulagern, müssen Sie nicht auf Gaia-X warten. Es gibt bereits jetzt deutsche Hoster, die virtuelle Server – datenschutzfreundlich in deutschen Rechenzentren – zum Stundenpreis vermieten oder Ihre Container im Kubernetes-Cluster ausführen. Dafür nutzen sie bereits jetzt bewährte Open-Source-Umgebungen wie OpenStack und sind kompatibel zu Automationslösungen wie Terraform. Der für Herbst angekündigte Katalog von Gaia-X hilft vielleicht etwas bei der Suche nach geeigneten Anbietern oder bringt Sie auf bisher unbekannte Anbieter. Der experimentelle Katalog liegt bereits in einer sehr frühen Form vor.
Wenn Ihr Unternehmen überlegt, Daten mit anderen auszutauschen, kann die geplante Datenhalde in Gaia-X für Sie interessant werden. Was Sie voraussichtlich bekommen, ist eine vertrauenswürdige Plattform, über die Sie solche Daten über Cloud-Anbieter hinweg austauschen und digital signieren können. Weil es für die Prüfung der Identität des Gegenübers eine neutrale Instanz gibt (in Form einer von Staaten gestützten Non-Profit-Organisation), kann Gaia-X vielleicht all jene IT-Manager auf neue Gedanken bringen, die bisher alle Probleme mit Blockchain lösen wollten. Ausprobieren können Sie übrigens noch nichts, es gibt noch keinen öffentlichen Code zum Runterladen. Wenn Sie daran interessiert sind und noch nicht Teil des exklusiven Zirkels sind, müssen Sie sich an einen der Beteiligten wenden, um mitspielen zu dürfen.
