Gaia-X und Datenräume: Zeig mir den Code

Inhaltsverzeichnis

Mit Gaia-X soll ein digitales Ökosystem entstehen, in dem Daten in einem vertrauenswürdigen Umfeld zur Verfügung gestellt, gesammelt und getauscht werden können. Der Schwerpunkt hat sich dabei seit der Ankündigung der Idee 2019 von einem europäischen Cloud-Projekt verlagert auf möglichst miteinander verbundene Datenräume in Form sogenannter Föderationen. Entsprechende Gaia-X Federation Services (GXFS) sind bereits definiert. Was Mitstreiter aber besonders vermissen, sind zugehörige Quelltexte und Anwendungen.

Offenlegung der Quelltexte gefordert

"Es gibt bisher keine Codes, keine Prototypen sowie nichts 'zum Ausprobieren'", monieren die Verfasser einer heise online vorliegenden Studie für Strategien zum Aufbau von Gaia-X-Ökosystemen mithilfe der Föderationsdienste, die der Analyseleiter Jens Böcker am Donnerstag auf der Konferenz "GXFS Connect" des eco-Verbands der Internetwirtschaft vorgestellt hat. Selbst Alpha-Versionen seien willkommen, um die Federation Services greifbarer zu machen. Einhellig bäten die Projektverantwortlichen um eine frühere Offenlegung der nötigen Quelltexte, um das Zusammenspiel aller Dienste simulieren zu können.

Der eco arbeitet daran, mit den GXFS Basismodule für das europäische Vorzeigeprojekt zu entwickeln. In der ersten Runde stehen dabei Kerndienste wie ein Identitätsservice, ein Verzeichnis verfügbarer föderierter Angebote, der souveräne Datenaustausch, ein Portal, die übergreifende Integration sowie die Kontrolle der Einhaltung von Regeln wie Verschlüsselung, Datenschutzstandards und Interoperabilität im Vordergrund. Das Bundeswirtschaftsministerium unterstützt dieses Vorhaben mit rund 13,5 Millionen Euro.

Diese technischen Bausteine sollen Basis für die gewünschten Ökosysteme und Verbundangebote bilden. Als bekanntestes Beispiel dient die "Auto-Cloud" Catena-X, zu dem sich Automobilhersteller und -zulieferer, Händlerverbände sowie Ausrüster zusammengeschlossen haben. Ein Ziel davon ist es, einen standardisierten Austausch von Daten über Lieferketten hinweg zu ermöglichen. Weitere Datenräume sollen mit Projekten wie Marispace-X für maritime Anwendungen, Merlot für Bildungsinformationen und Dataloft für Gesundheitsdaten entstehen.

Die Gaia-X-Föderationsdienste befänden sich im Rahmen geförderter Leuchtturmprojekte "in der Implementierungsphase und stehen nun in einer ersten Version zur Verfügung", heißt es im Vorwort der Studie. Gemeint ist damit die GXFS-Werkzeugkiste. Diese soll zeitnah Open-Source-Referenzcode liefern, um Anwendungen und Dienste zu entwickeln, die den Anforderungen ihrer jeweiligen Föderation entsprechen. Der Quelltext sei als Referenzimplementierung zu betrachten, schreibt der eco, "um Interoperabilität zwischen den Ökosystemen zu fördern".

Minimalvoraussetzung

Die fertigen GXFS stellten eine "Minimalvoraussetzung" dar, erläutern die Autoren der Untersuchung. "Alle Funktionalitäten, die branchen- und projektspezifisch darüber hinaus benötigt werden, sollen und können von den jeweiligen Projekten ergänzend programmiert werden." So ließen sich damit etwa maßgeschneiderte Dienste aufbauen, "die die Authentifizierung und Autorisierung anderer Teilnehmer in einer Föderation unterstützen".

Gefragt seien zudem beispielsweise Services, "die Transparenz schaffen und die Kontrolle über die Datennutzung ermöglichen". Es müsse unter allen Umständen verhindert werden, "dass ein versehentliches Zusammenführen vormals getrennter Daten" eine bereits durchgeführte Anonymisierung konterkariere. Letztlich sei der Gedanke hinter den GXFS, die vorhandenen Gesetze für Datenaustausch sowie etwa Informations- und Austauschrecht "in digitale Spielregeln umzusetzen".

"Für den Erfolg ist eine kritische Masse an Teilnehmern nötig, die dem Ganzen vertraut", ist der Studie weiter zu entnehmen. "Wird dies durch einen privaten Anbieter besser und schneller bereitgestellt", werde sich dieser vor Gaia-X durchsetzen. Einige frühere Verfechter des Ansatzes wie Scaleway haben sich bereits zurückgezogen. Gaia-X müsse "jetzt auch zeigen, dass es der richtige Weg nach oben ist", mahnte Böcker zur Eile. Es gelte, vertrauenswürdige Referenzdienste sowie den Mehrwert des Datenteilens jetzt unter Beweis zu stellen und dann zum Standard im Markt zu machen.

Viel zu tun

Der Bedarf sei da, meinte Felix Beckmann, Digitalexperte bei Airbus Operations. Viele Firmen seien bereit für einen Datenaustausch, doch es fehle die passende Infrastruktur dafür. Die meisten wollten etwa Messwerte, Informationen aus Sensoren oder sensible Finanzdaten nicht "bei einem Hyperscaler hochladen, wo sie keine Kontrolle mehr darüber haben". US-Cloud-Größen wie Amazon, Google und Microsoft sind bei Gaia-X aber längst an Bord. Sie müssen sich für die Beteiligung an den gemeinsamen Wertekanon mit Leitlinien wie Offenheit, Transparenz, Souveränität und Selbstbestimmtheit halten.

"Wir brauchen eine Art von Sicherheitssiegel", betonte Peter Kraemer, der Gaia-X bei der Technikakademie acatech wissenschaftlich begleitet. Die GXFS böten eine "Abkürzung, um zu einer Technologie zu kommen, die eine souveräne Datenökonomie ermöglicht". Der Forscher zeigte sich zuversichtlich, dass der Mittelstand in Deutschland am meisten davon haben werde. Langsam sei es aber an der Zeit, zu zeigen: "Das funktioniert im Übrigen auch."

Mit einem "Seil über die Schlucht", auf dem man eine Brücke bauen könne, verglich Harald Wagener, Gruppenleiter Cloud und IT bei der Charité, die Föderationsdienste. Die Berliner Uniklinik sei gerade dabei, einen einschlägigen praktischen "Durchstich" zu planen, mit der "kleinstmöglichen Aktivität" eines Bürgers im Gesundheitswesen: dem Abruf einer Datei mit persönlichen Informationen aus dem Krankenhaus, die der Nutzer dann ausgewählten Dritten zur Verfügung stellen könne. Anhand dieser Strecke wolle die Charité Gaia-X-Dienste dann links und rechts ausbauen und zusätzliche von außen einbinden.

Die Anforderungen und Spezifikationen seien mittlerweile größtenteils entwickelt, im Anschluss folge der Code, erklärte Roland Fadrany, Leiter des operativen Geschäfts der gemeinnützigen Gaia-X-Gesellschaft in Brüssel. Zugleich unterstrich er: "Gaia-X ist für mich kein IT-Projekt." Die Föderationsdienste seien technisch zwar eine große Unterstützung. Zunächst müsse jeder Interessierte aber selbst wissen, was er tue und erreichen wolle. Digitale Souveränität sei kein Schalter, den man einfach auf ein gewisses Level stellen könne.

Niedrige Einstiegsbarrieren schaffen

Für Fadrany ist es wichtig, die Eintrittsbarrieren so niedrig wie möglich zu halten: "Das darf nicht irgend so ein Hightech-Schnickschnack sein." Vor allem große Konzerne hätten auch gewisse Ängste, Daten zu teilen. Die Vorteile davon müssten daher besser dargelegt werden. Der Österreicher nannte dafür beispielhaft die Entwicklung eines Batteriepasses mit der Uni Graz, für den Daten von Fahrern, Ausrüstern und Autobauern nötig seien. Eine Verknüpfung könnte hier manipulationssicher die vorhandene Kapazität mitteilen und gegebenenfalls den Wiederverkaufswert steigern. Kämen Navigations- oder Temperaturdaten dazu, ließen sich mit Künstlicher Intelligenz (KI) zudem noch "interessantere Modelle" fahren.

Nicht nur aus technischer, sondern auch aus rechtlicher Sicht müssten die Konsortien, die Datenräume aufbauen, noch einige Herausforderungen meistern, räumte eco-Vorstand Oliver Süme ein. So gebe es in Europa etwa unterschiedliche Erwartungen an die Vertragsgestaltung und die Haftung und es solle ja "keine deutsche Geschichte werden". Die GFXS-Werkzeugkiste enthalte daher bislang keine Abrechnungsmöglichkeiten: "Wo Sie Zahlungsdienste anbieten, unterliegen Sie sehr engen regulatorischen Voraussetzungen." Fehler bei deren Umsetzung habe man beim ersten Aufschlag nicht unbedingt in Kauf nehmen wollen.

(olb)