Digitale Souveränität: Kann Deutschland ohne US-Cloud-Anbieter überleben?

Experten fordern angesichts der Corona-Krise vom Staat, die Pläne für mehr digitale Souveränität stärker zu verfolgen und sich gegen US-Sanktionen zu wappnen.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 184 Beiträge

(Bild: Gorodenkoff/Shutterstock.com)

Von

Die Skizzen für eine größere digitale Souveränität Deutschlands und Europas liegen etwa mit dem Cloud-Projekt Gaia X seit langer Zeit auf dem Tisch, doch die Coronavirus-Krise und die damit benötigten Tele-Anwendungen zeigen, wie groß die Abhängigkeit von US-Anbietern nach wie vor ist. Videos, Chats, Kalender- und Kollaborationslösungen übers Netz seien aktuell fürs Homeoffice mehr denn je gefragt, weiß Holger Dyroff aus dem Vorstand der Open Source Business Alliance. Die Frage sei aber, ob Nutzer hierzulande überhaupt in der Lage seien, "ohne US-Clouds überleben zu können".

Studien hätten auch der Politik längst vor Augen geführt, dass es überfällig sei, "Schmerzpunkte" etwa gegenüber Microsoft auszumerzen, betonte Dyroff am Dienstag bei einem Webinar des eco-Verbands der Internetwirtschaft zur digitalen Souveränität. Aufgrund von US-Sanktionen seien die "großen Cloud-Services" etwa in Venezuela und im Iran schon abgeschaltet worden, warnte der Geschäftsführer des Nürnberger Online-Diensts OwnCloud. Deutschland sei davor keineswegs gefeit, wie US-Präsident Donald Trump mit seinen Strafmaßnahmen gegen die Nord-Stream-Pipeline bereits gezeigt habe.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Digitale Souveränität ist für Dyroff daher essenziell, um den berühmt-berüchtigten "Lock-in-Effekt" abzuschaffen, also Services unabhängig von einzelnen Anbietern zu machen. Entscheidend dafür seien offene Standards für Schnittstellen und offener Quellcode. Etwa mit "föderierten Clouds" oder interoperablen Messenger-Diensten gelte es, den "vollen Zugriff" auf alle Komponenten sowie die "volle Transparenz" herzustellen. Wichtig sei auch ein Betrieb in der EU, um einen externen Datenabfluss auf Basis von Gesetzen wie dem Cloud Act der USA bestmöglich zu verhindern.

Der Nutzer sollte exakt auswählen können, wem er welche persönlichen Daten für welche Zwecke zur Verfügung stelle, forderte der Branchenvertreter. Klare Regeln dazu müssten etwa über Zertifikate implementiert werden. Die Politik müsse zudem deutlich sagen: "Nicht-souveräne Services wollen wir nicht oder nur eingeschränkt zulassen." Gerade Anwender in Behörden müssten damit anfangen, offene Lösungen wie Jabber alias XMPP oder Chat over IMAP etwa für die Kommunikation zu benutzen, sonst sei die "Bürger-Souveränität" nicht hinzubekommen. Dyroff ist zuversichtlich: Es werde in zehn Jahren "eine hundertprozentige digitale Souveränität" bei staatlichen Anwendungen etwa im Verteidigungsbereich geben.

Die aktuellen Pläne für das Cloud-Prestigeprojekt Gaia X der Bundesregierung gingen stark in diese Richtung, verdeutlichte Christian Banse vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC). Der Public-Cloud-Massenmarkt sei mit Amazon Web Services (AWS), Microsofts Azure und Google-Rechnerwolken fest in US-amerikanischer Hand. Bei Gaia X gehe es nun darum, den Internetriesen mit einem "virtuellen Hyperscaler" über verschiedene Provider und Dienste hinweg zumindest Paroli zu bieten.

Entstehen soll so ein europäisches Netzwerk von Hochleistungsrechnern, um bei Cloud Computing und Big Data den Bedarf an Leistung und Durchsatz möglichst redundant decken zu können. Einschlägige Services müssten bei Gaia X über einen Verzeichnisdienst vertrauenswürdiger Diensteanbieter und einzelne "Knoten" im Netzwerk automatisch bereitgestellt werden, erläuterte Banse. Dafür seien Schnittstellen und Kataloge nötig.

In die erforderlichen offenen Standards etwa für die Datenportabilität "müssen wir noch sehr viel Arbeit reinstecken", räumte das Mitglied der Gaia-X-Arbeitsgruppe zur Zertifizierung ein. Als Modell einer verteilten Dateninfrastruktur könne der Industrial Data Space fungieren. Unternehmen stellten dann "Konnektoren" bereit mit unterschiedlichen Sicherheitsstufen von der automatischen Überprüfung offener SSH-Ports oder Passwort-Regeln bis hin zu einer kontinuierlichen Zertifizierung.

Eine Referenz-Implementierung des "Trusted-Connector-Konzepts" hat das AISEC auf Basis eines gehärteten Linux-Systems bereits erarbeitet. Damit könnten sich Anwender etwa einen externen Algorithmus reinholen und damit auf ein gewisses Datenset zugreifen oder eigene Messwerte in einen Container verpacken und "woanders hinschicken", führte Banse aus. Firmen behielten so die Kontrolle über ihre Daten, könnten diese auf sehr granularer Ebene an Dritte – gegebenenfalls gegen Geld – weitergeben und mit Nutzungsrichtlinien versehen, die auch aus der Ferne durchsetzbar seien. Diensteanbieter müssten zudem "gute und sichere Konfigurationsmöglichkeiten" verfügbar machen, Nutzer diese dann auch korrekt einstellen, um die Gefahr von Datenpannen zu verringern.

In der EU nehme das gespeichertes Datenvolumen im Vergleich zur globalen Entwicklung aber ab, warnte Béla Waldhauser, Sprecher der Allianz zur Stärkung digitaler Infrastrukturen in Deutschland. Dies liege daran, dass der Staat viel zu wenig in diesen Bereich investiere, die Stromkosten für Rechenzentren zu teuer, die Genehmigungsverfahren zu kompliziert und langwierig seien. Gebraucht würden für Smart-City-Konzepte, das Internet der Dinge und die Industrie 4.0 vor allem mehr Serverfarmen fürs sogenannte Edge Computing nah an den Datenverarbeitern. Kunden müssten aber auch bereit sein, hier für ein regionales oder lokales Produkt mehr zu bezahlen.

Die Gesetzgeber hierzulande und auf europäischer Ebene sind laut dem Bremer Informationsrechtler Dennis-Kenji Kipker dabei, etwa über Nachweispflichten, IT-Sicherheitskennzeichen oder Cybersicherheits-Zertifikate die Daumenschrauben bei Herstellern anzuziehen und den Verbrauchern mehr "digitale Mündigkeit" zu verschaffen. Bald griffen in diesem Bereich deutlich höhere Sanktionen analog zur Datenschutz-Grundverordnung (DSGVO), sodass IT-Sicherheit neben der Privatsphäre zum Verkaufsargument werde.

Laut einer eco-Umfrage bei 500 IT-Fachkräften sehen 32 Prozent der Teilnehmer eine große Abhängigkeit von Anbietern außerhalb Europas bei Endgeräten und Bürosoftware, 30 Prozent bei Netzwerk-Software und jeweils über 20 Prozent bei Cloud-Diensten. 52 Prozent wünschen sich offene Standards für einen besseren Datenaustausch, knapp 46 Prozent Schnittstellen und Apps zur "Softwareverknüpfung". Volle digitale Souveränität bezeichnete Oliver Dehning, Leiter der eco-Kompetenzgruppe Sicherheit, als "Utopie". Trotzdem sei es wichtig, diese anzustreben. (olb)