GAIA-X – eine europäische Cloud-Alternative?

Amazon AWS, Microsoft Azure, Alibaba Cloud und ihre Konkurrenten treten an, um weltweit im großen Stil das Verarbeiten und Speichern von Daten als Dienstleistung anzubieten. Viele Unternehmen verlagern ihre komplette IT bereits zu Cloud-Anbietern und schließen mit Konzernen, die durch Gesetze in ihren Heimatländern gebunden sind – meist ­zuungunsten der Anwender. Einander ­widersprechende Vorschriften wie DSGVO und US Cloud Act mehren sich.

Die Politik sieht hier Handlungsbedarf, droht doch nicht nur der Verlust von Selbstbestimmung, sondern auch von Wettbewerbsfähigkeit. Aus der Industrie heraus und mithilfe des Bundeswirtschaftsministeriums startete folgerichtig auf dem Digitalgipfel 2019 in Dortmund die Europäische Cloud-Initiative GAIA-X: „Der Digitalgipfel sieht in der Gewährleistung einer umfassenden Datensouveränität der Bürger, der Wirtschaft und der Staaten sowie in sicheren Cloud-Lösungen Grundvoraussetzungen zur Entwicklung von Plattformen ‚Made in Europe‘. [...] Die EU-Mitgliedstaaten können gemeinsam mit der Wirtschaft dazu beitragen, dass sich europäische Multicloud-Lösungen etablieren, sodass digitale Plattformen ‚Made in Europe‘ darauf zugreifen können.“ GAIA-X ist die Multicloud für eine europäische Datensouveränität.

Die Projektbeschreibung zu GAIA-X (siehe Abbildung) beinhaltet sieben Leitlinien für den Aufbau einer „leistungs- und wettbewerbsfähigen, sicheren und vertrauenswürdigen Dateninfrastruktur für ­Europa“: europäischer Datenschutz, Offenheit und Transparenz, Authentizität und Vertrauen, Souveränität und Selbstbestimmtheit, freier Marktzugang und europäische Wertschöpfung, Modularität und Interoperabilität sowie die Nutzerfreundlichkeit stehen dabei im Mittelpunkt.

Dazu hat man sich an den Aufbau ­einer vernetzten, offenen Dateninfrastruktur auf Basis europäischer Werte gemacht. Erstens will man „die technische und wirtschaftliche Konzeption einer solchen ­Infrastruktur konkretisieren, zweitens auf dieser Basis ein gemeinsames Ökosystem von Anwendern und Anbietern aus Organisationen der öffentlichen Verwaltung, des Gesundheitswesens, Unternehmen und wissenschaftlichen Einrichtungen schaffen und drittens [...] unterstützende Rahmenbedingungen und Strukturen ­etablieren“.

Wiege eines Ökosystems

Ziel ist es, GAIA-X einzurichten „als Wiege eines offenen digitalen Ökosystems, in dem Daten sicher und vertrauensvoll geteilt werden können“. Gemeinsam mit anderen europäischen Ländern will man „für Europa, seine Staaten, seine Unternehmen und seine Bürgerinnen und Bürger die nächste Generation einer vernetzten Dateninfrastruktur“ schaffen, die den höchsten Ansprüchen an digitale Souveränität genügt und Innovationen fördert.

So ambitioniert das klingt, so nötig wäre es. Zwar gibt es hierzulande zahlreiche mittelständische Anbieter von Cloud- und Datendiensten, aber keiner von ihnen kann es alleine mit den großen ­Hyperscalern aufnehmen. Das gilt für die Deutsche Telekom gleichermaßen wie für den französischen Anbieter OVH, von ­allen Versuchen einer „deutschen Wolke“ ganz zu schweigen. Aber die europäischen Anbieter haben einen großen Vorteil: Sie kennen die Bedürfnisse ihrer Kunden und unterliegen nationalen und europäischen Gesetzen und Regelungen wie der DSGVO.

Geht es nach den Initiatoren, bietet die GAIA-X-Struktur Anbietern Optionen zur Wertschöpfung in drei Kategorien:

• Infrastruktur: Rechenzentren, Edge, ISPs, Software-defined Wide Area Network, Internetknoten und Carrier;
• Cloud- und IT-Systeme: Cloud-Anbieter, Hoster, Managed Service Provider;
• Services und Plattformen: Plattformanbieter, IDS, AI as a Service, Systemintegration.

Wer aber Mehrwertdienste für Datensouveränität anbieten möchte, braucht eine funktionierende Plattform, in der alle ­Anbieter klarstellen, nach welchen Regeln sie spielen und welche Art von Datensouveränität sie favorisieren – standardisiert, transparent und zertifiziert. Für die öffentliche Verwaltung beispielsweise gilt: „Die vom Bundesamt für Sicherheit in der ­Informationstechnik (BSI) ausgearbeiteten ‚Mindeststandards zur Nutzung externer Cloud-Dienste‘ werden eingehalten.“ Wer in der GAIA-X-Cloud Anbieter sein will, muss dem BSI ein Prüfungs- und Revi­sionsrecht einräumen und den BSI-­Anforderungskatalog Cloud Computing (C5) inklusive Basis- und Zusatzkriterien erfüllen und die einschlägigen Module des IT-Grundschutzes umsetzen. Für ­bestimmte Anwendungsfälle wird auch eine ISO-27001-Zertifizierung erwartet.

Jeder teilnehmende Anbieter muss Selbstbeschreibungen für sich und seine Dienste veröffentlichen. Konsumenten, in der Regel andere Unternehmen, sollen im GAIA-X-Katalog nach den für sie und ihre Kunden wichtigen Attributen suchen können, etwa Standort, Gesetzgebung, ISO-Zertifizierungen, SLAs, Sicherheits- sowie Dienstmerkmale, Datensouveränitätseigenschaften und so weiter.

(De-)zentraler Katalog

Im GAIA-X-Katalog begegnen sich – das ist zumindest der Plan – Anbieter aller Größen auf Augenhöhe. Geplant ist auch, statt eines zentralen mehrere dezentrale Kataloge zu unterstützen, die sich zusammenschließen können.

Die Initiatoren wollten erreichen, dass ihre Idee möglichst breite Unterstützung von Wirtschaft und Politik innerhalb der EU und darüber hinaus findet. Das Gesamtkonstrukt sollte deshalb weder von einzelnen Unternehmen noch von Nationalstaaten dominiert werden.

Das zieht sich als roter Faden durch die technische Architektur von GAIA-X: Die grundlegenden Dienste, die sogenannten „Federation Services“, sind nicht als ­Monolithen oder Solitäre angelegt. Einer dieser Dienste ist der Katalog, in dem alle Anbieter und ihre Dienstleistungen innerhalb von GAIA-X verzeichnet sind. Da kann es beispielsweise zwei französische und drei deutsche Kataloge geben, die Systeme sind miteinander föderiert.

Die Situation ist vielleicht vergleichbar mit dem Root-DNS-Konzept: 13 Root-Name­server überall auf der Welt werden von verschiedenen Parteien als ein verteiltes System betrieben, unterstehen aber der Aufsicht von ICANN. Die Konsumenten auf der GAIA-X-Plattform finden im Katalog eine Liste von Anbietern, die auf ihre Bedürfnisse zugeschnittene, zertifizierte Dienste anbieten. Die Einträge im Katalog, die sogenannten Selbstbeschreibungen von Anbietern und Diensten, enthalten Werte für Eigenschaften wie die Gerichtsbarkeit und geografische Ver­ortung, denen Anbieter und Dienste unterliegen, Sicherheitszertifizierungen, Unterstützung von Gesetzesvorgaben und Richtlinien wie die DSGVO, SLAs und viele weitere mehr.

Ein Nutzer kann durch diese vielseitige Auswahl genau bestimmen, welches Profil der Datenverarbeiter seines Vertrauens haben muss, und ist somit weitgehend ­datensouverän. Eine Teilnahme am Katalog soll gleichermaßen den bekannten ­europäischen IT-Dienstleistern, kleinen, regionalen Anbietern wie auch Amazon, Google und Co. offenstehen, sollten diese die Mindestanforderungen umsetzen.

Das „vielleicht ambitionierteste Digitalprojekt dieses Jahrzehnts“ (Altmaier), ein „Schlüsselprojekt für eine souveräne und vertrauenswürdige Dateninfrastruktur“, soll dann eben diese Basis für das „europäische Datenökosystem“ bilden. Seit Juni läuft die erweiterte Projektphase mit mittlerweile über 300 Unternehmen und Organisationen. Sie sei mit dem „Startschuss einer digitalen Mondrakete“ vergleichbar. Erste Dienste sollen für die Allgemeinheit ab Anfang 2021 verfügbar sein – das scheint ambitioniert für ein Projekt dieser Größenordnung. Der Vorschusslorbeeren sind reichlich ausgeschüttet, man spricht gar vom „digitalen Airbus“.

Mehr Wettbewerb auf digitalen Märkten!

GAIA-X hat ganz offensichtlich viel Rückhalt in der deutschen Politik. Auch in der Anhörung zu GAIA-X im Ausschuss Digitale Agenda Ende Oktober gab es kaum kritische Nachfragen. Angesichts der großen Summen, die im Spiel sind, und der bislang wenigen konkreten Ergebnisse kam das dann doch überraschend.

Dabei hat GAIA-X noch sehr viel ­Arbeit vor sich. Wie die Sachverständigen den Politikern erklärten, hat die DSGVO den Fokus der Datenstrategie verschoben: Heute gehe es mehr um die Förderung von Datennutzung und Datenräumen in ­Europa, ohne den Datenschutz zu gefährden. Das eröffnet Chancen, setze aber funktionierende Märkte voraus. Man müsse überlegen, Anbieter auch zu zwingen, daten- und entgeltgetriebene Business- und Bezahlmodelle anzubieten. Im Vertragsrecht müssten Daten als Gegenleistung festgeschrieben werden und es brauche Informationsmodelle für Verbraucher. Die „Informationsasymmetrien“ seien kaum noch durchschaubar. Und es brauche eine offizielle Definition von digitaler Souveränität auf EU-Ebene.

Vom eco – Verband der Internetwirtschaft hört man, GAIA-X sei ein Beitrag zu transparenten Ökosystemen, die die Größenvorteile der marktdominierenden Systeme aus den USA auszugleichen vermögen. SAP will mit GAIA-X helfen, „den Goldstandard für Datensouveränität zu setzen“. Eine europäische Strategie für mehr technologische Souveränität verlange eben auch die Förderung der Entwicklung und Maintenance digitaler Infrastrukturkomponenten und ein verändertes Selbstverständnis öffentlicher Einrichtungen als aktiver Part des Open-Source-Ökosystems. Open Source und Open Data muss fester Bestandteil von Vergaberichtlinien werden und der Staat eigene Software unter offenen Lizenzen veröffentlichen.

Vom Vorstand der Open Source Business Alliance – Bundesverband für digitale Souveränität e. V., Peter Ganten, kommt die Definition des Begriffs digitale Souveränität als „die Fähigkeit, als Einzelperson, Organisation oder Staat darüber bestimmen zu können, von wem und in welcher Art die durch die betreffende Entität selbst generierten oder gespei­cherten Daten genutzt werden können“. ­Unsere digitale Souveränität sei durch Software eingeschränkt, die Hintertüren und Geschäftsmodelle mitbringt, die auf intransparente Weise Daten erheben und monetarisieren, und das sei auch einer der Gründe, warum Anbieter wie Microsoft mehr und mehr in die Cloud drängten.

Man solle nicht versuchen, die Hyperscaler aus den USA oder China zu kopieren, sondern vielmehr einen offenen Markt freier Anwendungen schaffen. „Das geht nur mit einer freien, verteilten Plattform, die es erlaubt, eigene Dienste anzubieten – mit Föderationen, die so einfach funktionieren wie heute innerhalb der Walled Gardens.“ Der ausschließliche Einsatz von Open Source sei da von zentraler Bedeutung. „GaiaX greift das Erfolgskonzept des Internet auf, Vernetzung und Föde­rationen.“

„Eine deutsch-französische Liaison“

Andreas Weiss vom eco – Verband der Internetwirtschaft betont das föderative, selbstbestimmte und selbstorganisierte Konzept von GAIA-X und seiner Dienste: Die Entwicklung finde zwar noch vor ­allem in Deutschland und Frankreich statt, zunehmend kämen aber auch Ideen aus anderen Ländern. Er schwärmt vom „wunderbaren Ansatz“, dem gemeinsamen Ziel und spricht von der ungeheuren Herausforderung. Das Potenzial von GAIA-X sei groß, erklärt der eco-Vertreter, beispielsweise in Sachen Machine Learning und künstliche Intelligenz, größtes Problem sei es, Fachpersonal zu finden.

Anfang 2021 sollen also die ersten Ergebnisse vorliegen, die sich auch testen lassen. Für dieses Ziel organisiert sich GAIA-X in 13 Arbeitsgruppen, einige Komitees und drei Communityprojekte. Zu Letzteren zählt der im folgenden Artikel beschriebene Sovereign Cloud Stack aber auch die Federation Services, beides außerordentlich große und komplexe Projekte. Die 13 Ad-hoc-Arbeitsgruppen widmen sich der Standardisierung und Definition von Themen wie Monitoring, Frameworks, aber auch dem User Interface oder dem föderierten Katalog. Wichtig sei es, an den Wurzeln zu arbeiten: „Vom Baum sehen Sie meist nur die Krone und dem Stamm, aber die wirklich wichtige Arbeit findet unter der Erde statt“, erklärt ein GAIA-X-Insider.

Kritiker fragen sich, warum denn der Staat nicht mit gutem Beispiel vorangeht und nennenswerte Fördergelder bereitstellt. Es würde die Entwicklung sicher beschleunigen, würde eine Bundesregierung, vielleicht gefolgt von ein paar Bundesländern, sich auch vertraglich binden, virtuelle Infrastruktur und Software aus GAIA-X zu buchen und Ähnliches für Städte und Gemeinden zu fordern. Aber das gelänge alles sicher nicht mit so einem „halbherzigen Versuch“, moniert beispielsweise Volker Markl, Leiter des KI-Kompetenzzentrums BIFOLD (Berlin Institute for the Foundations of Learning and Data). Er kritisiert, mancher Ansatz sei veraltet, Daten seien eben nicht das neue Öl, und man möge sich mehr an anderen Erfolgsbranchen orientieren. IONOS, Cloud-Hoster von 1&1, trägt zwar selbst zu GAIA-X bei, berichtet aber noch im März von Kritikern, die das Projekt für eine „regionale Lösung für ein globales Problem“ halten, das vielleicht niemals „die hohen bürokratischen Hürden nimmt, die die EU mit sich bringt“.

Für Googles CEO Cloud Thomas ­Kurian kann jede Lösung des „Datenschutzpro­blems“ nur technischer Natur sein, gerne führt er aktuelle Entwicklungen aus dem Bereich Confidential Computing ins Feld. Dabei wird die vom Kunden genutzte ­Infrastruktur so weit vom Cloud-Betreiber entkoppelt und mit Verschlüsselung geschützt, dass der Betreiber Daten nicht einsehen kann. Der Kunde bringt seine Kryptoschlüssel von außen ein. Alle drei großen US-Akteure bieten Confidential Computing schon auf die eine oder andere Weise an. Amazon AWS ist seit Ende ­Oktober mit dem Produkt AWS Nitro ­En­claves dabei.

Ein Angebot, das man nicht ablehnen kann

Auch Microsoft zeigt sich auf den ersten Blick kompromissbereit. Selbstverständlich könne man auch eine Cloud wie Azure Stack HCI datenschutzkonform betreiben, keine Sorge! Kein Wunder, dass der MS-­Begriff „Souveräne Microsoft-Cloud“ es bis in offizielle Dokumente der Ministerien geschafft hat, sogar bis in Entwürfe von Beschlussvorlagen. Aber on Premises sei das leider erst ab ein paar Millionen Usern möglich, haben Microsoft-Vertreter Insidern zufolge bekundet.

Manche Stimme aus der Politik behauptet auch, Altmaier, EX-Bundes-CIO Vitt und andere Verantwortliche seien verärgert gewesen, als sich Microsoft allzu ­unbeweglich in Verhandlungen verhielt. Mit „alternativlosen“ Angeboten wollte man sich nicht abfinden, schon gar nicht in Zeiten, wo Medien den Finger in die Wunden legten (etwa in der ARD-Dokumentation „Software-Kolonie Europa“) oder Konzerne ganzen Ländern den Stecker ziehen, so wie Adobe in Venezuela. Vielleicht war das der Kipppunkt, der das Thema ins allgemeine Interesses brachte, sicher ist, dass dagegen auch kein Feigenblatt à la „Confidential Computing“ hilft.

Diese Großgemengelage war sicher ­einer der Ausgangspunkte für das GAIA-X-­Projekt, klug lanciert vom Wirtschaftsminister angesichts von Wahlen und einer günstigen Stimmung. Das erklärt vielleicht, warum auch im Ausschuss nur ­wenige kritischen Fragen kamen.

Und so kommt es, dass der im vorherigen Artikel interviewte Ex-Vizepräsident des europäischen Parlaments, Gerhard Schmid, schon mal im Scherz meint, man möge doch Donald Trump für den Karlspreis nominieren. Der geht an Menschen, die sich besonders für die europäische Einigung hervorgetan haben.

Update: In einer früheren Version des Artikels wurde ein Zitat fälschlicherweise IONOS zugeschrieben. Richtigerweise berichtet die IONOS-Webseite nur von Kritikern und deren Aussagen. Das Originalzitat findet sich im Digital Guide von IONOS. (mfe@ix.de)