Comment

Digitale Souveränität in Zeiten der Cloud

Mit offenen Standards zu mehr europäischer Unabhängigkeit
design contribution

Daten, Prozesse und ganze Infrastrukturen wandern zunehmend in die Cloud – und damit oft in die USA oder nach China. Ist dadurch das Recht der europäischen und deutschen Wirtschaft, Gesellschaft und Politik auf digitale Selbstbestimmung in Gefahr? Die „Plattform Innovative Digitalisierung der Wirtschaft” beantwortet diese Frage mit einem deutlichen Ja – und stellt einen Katalog von Maßnahmen vor, die dabei helfen, die Kontrolle über unsere IT zu erhalten. Ein Schlüsselbegriff ist dabei vor allem das Thema offene Software.

Wer auf die Cloud setzt, der setzt heute oft auf Services ausserhalb der EU. 2019 werden bereits 60 Prozent aller IT-gestützten Unternehmensaufgaben in der Cloud realisiert werden. Doch ohne eine politische Gegensteuerung werde im Jahr 2020 die Cloud-Infrastruktur zu 80 Prozent aus USA und zu 15 Prozent aus China stammen, konstatieren die Autoren des Positionspapiers „Digitale Souveränität und Künstliche Intelligenz – Voraussetzungen, Verantwortlichkeiten und Handlungsempfehlungen.” Im Rahmen des Digitalgipfels 2018 diskutierten deshalb mehrere Experten, wie Regierungen, Unternehmen und Behörden innerhalb der EU ihre Datensouveränität erlangen können. Eine Maßnahme sticht dabei besonders heraus: Nur Systeme, bei denen der Quellcode zumindest geprüft und individuell angepasst werden kann, können die Kontroll- und Steuerungsfähigkeit erhalten.

Mindestanforderung: offener Quellcode

Um in Zukunft ein Maximum an Sicherheit, Kontrolle und Innovationsfähigkeit garantieren zu können, braucht es ein Mindestmaß an Vertrauen, Transparenz, Nachvollziehbarkeit, Interoperabilität und Anpassbarkeit beim Betrieb von Cloud-Lösungen.

Gemeint sind damit Systeme, deren Quellcode zumindest einsehbar und an entscheidenden Stellen auch veränderbar ist. Die Forderungen des Positionspapiers gehen damit weit über die Forderungen des nationalen IT-Gipfels der Bundesregierung (2015) hinaus, auf dem der Begriff „Digitale Souveränität“ erstmals geprägt wurde.

Handlungsempfehlungen für (mehr) Digitale Souveränität

Da eine 100%ige Souveränität so gut wie ausgeschlossen werden kann, müssten Organisationen und Staaten zunächst die grundlegende Entscheidung treffen „in welchen Bereichen eine hohe digitale Souveränität elementar und von hoher strategischer Bedeutung ist,” so die Einschätzung der Teilnehmer des Digitalgipfels 2018. Die beschriebenen Entscheidungen müssen demnach auf folgenden Ebenen erfolgen:

Rechenzentren

Ob sich ein Rechenzentrum in Europa oder außerhalb befindet, ist für die digitale Souveränität von großer Bedeutung, da die dort gespeicherten Daten nur einer externen Kontrolle entzogen werden können, wenn sie sich im eigenen „Hoheitsgebiet” befinden. Im Positionspapier heißt es hierzu deutlich: „Die Speicherung von Daten deutscher Behörden, europäischer Unternehmen, Institutionen oder Verbrauchern fast ausschließlich in der Hand nicht-europäischer Cloud-Betreiber stellt einen strategischen wie kommerziellen Nachteil für Europa dar.

Aus Cloud-Perspektive kann die Antwort an dieser Stelle nur lauten, dass kritische Daten in jedem Fall in Rechenzentren auf europäischem Boden liegen sollten. Spätestens seit dem US Cloud Act ist dies die einzige Möglichkeit, sicherzustellen, dass die Ermittlungsbehörden aus Rechtsräumen mit geringerem Datenschutzniveau (z.B. die USA) keinen Zugriff auf diese Daten erhalten, daher ist es auch notwendig die Daten dem Zugriff durch den Cloud Act zu entziehen. Momentan scheint dies nur durch den Ausschluss von Unternehmen, die der US-Gerichtsbarkeit unterliegen, zu gelingen. Oft ist diese Kontrolle aber schwierig: Wer weiss schon, ob es sich bei einem französischen Unternehmen nicht in Wirklichkeit um eine amerikanische Tochtergesellschaft handelt? Mit Hilfe von Cloud Federation ist das Hosting auf eigenen Servern zudem wirtschaftlich umsetzbar, da die großen – unkritischen – Datenmengen weiterhin in Public Clouds liegen können, während nur die schützenswerten Daten auf eigenen Servern liegen. Auf beide Datenquellen kann dann über ein zentrales Interface zugegriffen werden. Public- und Private Clouds werden so unter einer einzigen Benutzeroberfläche zusammengefasst. So kann jede Organisation für jede Datenquelle entscheiden, wo die Daten liegen. Auf diese Weise kann jeder an den Möglichkeiten des Technologiemarktes partizipieren, ohne seine Daten – ohne sein Wissen – preisgeben zu müssen: schon gar nicht an eine fremde Regierung ohne jedweden eigenen Rechtsschutz.

Vertrauen in die Technologie

Eine Technologie, der Wirtschaft, Politik, Gesellschaft und Wissenschaft Vertrauen können, muss zwangsläufig sicherstellen, „dass die Daten den richtigen Weg nehmen, den beabsichtigten Empfänger erreichen, nicht abgehört und nicht manipuliert werden.” Auch wenn es bei der Nutzung von IT nie eine absolute Sicherheit geben kann, so kann diese doch maximiert werden. Auch hier sollte das Hosting in sicheren Rechenzentren absoluter Mindeststandard sein. Zusätzlich ist beim Austausch von kritischen Daten mit internen und externen Partnern darauf zu achten, dass weitere Sicherheitsmaßnahmen ergriffen werden. Im Idealfall ist hier die Nutzung von sicheren Filesharing-Systemen zu empfehlen, da diese im Vergleich zur klassischen E-Mail besser bedienbar und sicherer sind. Systeme wie ownCloud bieten zusätzlich auch eine Reihe von weiteren Sicherheits-Add-Ons an wie z.B. eine File Firewall, Ransomware Protection oder – am allerwichtigsten – eine Ende-zu-Ende-Verschlüsselung.

Interoperabilität  und Anpassbarkeit

Damit Staat, Wirtschaft und Wissenschaft bei der Schaffung neuer Erkenntnisse, Dienstleistungen oder Produkte das Maximum an Innovationskraft ausspielen können, bedarf es mehr Einigkeit über eine möglichst breite öffentliche Verfügbarkeit von Daten und frei einsetzbaren Programmcodes. „Möglichst” meint in diesem Kontext, dass Daten freilich auch für eigene Produkte und Dienstleistungen nutzbar und damit in privater Hand bleiben.

Nach Ansicht der Experten fördern folgende Prinzipien den innovativen Wettbewerb, um die jeweils beste Lösung zwischen wissenschaftliche Institutionen, Staaten und Unternehmen zu erreichen: „Der Programmcode muss anpassbar und in andere Systeme übertragbar sein, um Probleme notfalls eigenständig beheben (lassen) zu können, um Lösungen in andere Rechenzentren übertragen und um die Interoperabilität bereits eingesetzter Lösungen zu neuen Systemen gewährleisten zu können.

Dies ist als ein klares Bekenntnis für offenen Code zu verstehen. Damit ist nicht nur die individuelle Anpassbarkeit gewährleistet, was vor allem im öffentlichen Sektor eine hohe Bedeutung hat, sondern auch die Partizipation vieler spezialisierter Unternehmen bei der Weiterentwicklung von Software. Damit werden Oligopole einiger weniger großer Anbieter vermieden, das Wissen bleibt in den Händen vieler, was am Ende die Unabhängigkeit der Software sicherstellt. An solcher Softwareentwicklung kann sich jeder unter gleichen Bedingungen beteiligen.

Offene Schnittstellen und modifizierbare Quellcodes

Staat, Wirtschaft und Wissenschaft müssen eng zusammenarbeiten, um einzelne Länder und die EU im gesamten zu einem starken Wissenschafts- und Wissenschaftsstandort zu machen. Im Idealfall forcieren sie gemeinsam den Aufbau dezentraler, unabhängiger und frei skalierbarer Datenspeicherung und -Verarbeitung auf Grundlage offener und interoperabler Standards. Besonders bei für die Digitale Souveränität strategisch wichtigen Systemen sei es unabdingbar, dass der Quellcode jederzeit geprüft und geändert werden kann und dass Daten und Systeme jederzeit auch in andere Umgebungen übertragen werden können. Als „Zentrale Kompetenz” betrachten die Experten „die Fähigkeit, offene Schnittstellen und (De-facto-)Standards zu entwickeln, die die souveräne Gestaltung von Ökosystemen oder die sichere Integration externer Lösungen erlauben.

Diese Interoperabilität ist mit Technologien wie ownCloud jederzeit gewährleistet. Durch die Tatsache, dass eine Open-Source-Filesharingsoftware viele verschiedene Datenquellen miteinander verknüpft, lassen sich diese Datenquellen auch beliebig austauschen, indem die dort gehosteten Informationen einfach von einer Cloud in eine andere verschoben werden. Der Providerwechsel wird dadurch einfacher, ein Vendor Lock-In vermieden. Multi Cloud Environments bedeuten daher nicht weniger als die weitgehende Unabhängigkeit vom Markt zu erreichen.

Fazit: ownCloud als Einstieg in die digitale Souveränität

Als Open Source Produkt ist ownCloud modular aufgebaut, beliebig erweiterbar und lässt sich in jede bestehende Infrastruktur integrieren. Der Quellcode ist frei verfügbar und kann bei Bedarf angepasst werden. Dies gilt auch für alle Enterprise Module, die ownCloud als Erweiterungen im Rahmen einer Enterprise Subscription anbietet.

Insbesondere große Unternehmen, der öffentliche Sektor oder ganze Staaten sind allerdings darauf angewiesen, Änderungen und Anpassungen an ihrer Software geheim zu halten. Drittanbieter, die zusätzliche Anwendungen bereitstellen, müssen ebenfalls diese Möglichkeit haben.

Für diese Fälle sieht ownCloud die sogenannte „Commercial License” vor, bei der der Kern einer Software frei verfügbar ist (üblicherweise unter der AGPLv3-Lizenz), die eingesetzten Erweiterungen aber als geschützte Enterprise-Version lizenziert sind.  Dieses „Dual-Licensing“ ermöglicht einen frei verfügbaren Quellcode, der aber jederzeit geändert werden kann, ohne dass eine Pflicht zur Veröffentlichung besteht. Anwender auf der ganzen Welt haben so die Möglichkeit, eine freie Version zu verwenden, bei der sämtliche Änderungen und Erweiterungen veröffentlicht werden, oder eine Commercial License zu erwerben, bei der diese Anforderung entfällt. Die IT behält immer die volle Kontrolle über alle vertraulichen Daten und die Administratoren wissen immer, wo eine Datei liegt, wer wann und wie auf die Datei zugegriffen hat und wer sie mit wem geteilt hat, auch außerhalb des Unternehmens.

Größere Unternehmen nutzen ownCloud insbesondere, um den Zugriff auf sämtliche Speichersysteme über ein zentrales Frontend selbst zu steuern – egal wo die Daten liegen, ob in File Systemen, Object Stores, On-Premises oder der Cloud. Doch da IT-Projekte i.d.R nicht bei Null starten, kann ownCloud problemlos angepasst werden an die jeweiligen Speichersysteme, Server, Cloud-Management- und Backup-Tools oder sonstige Anwendungen. Denn ownClouds offene Architektur gestattet Unternehmen, die eigenen Kernfunktionen zu erweitern oder auch technische Lösungen weiterzuentwickeln, um z.B. spezielle Nutzeranforderungen zu erfüllen.

Wenn die Teilnehmer des Digitalgipfels nun also ein ein Mindestmaß an Vertrauen, Transparenz, Nachvollziehbarkeit, Interoperabilität und Anpassbarkeit fordern, so lässt sich sicher sagen: Lösungen wie ownCloud erfüllen diese Forderungen bereits heute. Sie werden im Kampf der europäischen Staaten um ihre digitale Souveränität zum maßgeblichen „Enabler” von Unternehmen, Regierungen und aller gesellschaftlicher Gruppen. Um in naher Zukunft nicht endgültig die Kontrolle über die eigenen Daten zu verlieren, ist es unbedingt nötig, ein Bewusstsein für Datenschutz, Datensicherheit und Datenkontrolle zu schaffen. Die Realisierung digitaler Souveränität ist keine Frage der technischen Möglichkeiten: Diese sind heute schon verfügbar und umsetzbar. Dazu braucht es nicht mal einen multinationalen Kraftakt zum Aufbau einer europäischen Lösung, quasi einen „Airbus der Softwareindustrie”, sondern lediglich den Mut, existierende Technologien mit frei verfügbarem Quellcode und offenen Standards beim Aufbau jedweder IT-Infrastruktur von vornherein zu berücksichtigen.

Holger Dyroff

Dezember 13, 2018

Read now: