Daten, Prozesse und ganze Infrastrukturen wandern zunehmend in die Cloud \u2013 und damit oft in die USA oder nach China. Ist dadurch das Recht der europ\u00e4ischen und deutschen Wirtschaft, Gesellschaft und Politik auf digitale Selbstbestimmung in Gefahr? Die \u201ePlattform Innovative Digitalisierung der Wirtschaft\u201d beantwortet diese Frage mit einem deutlichen Ja \u2013 und stellt einen Katalog von Ma\u00dfnahmen vor, die dabei helfen, die Kontrolle \u00fcber unsere IT zu erhalten. Ein Schl\u00fcsselbegriff ist dabei vor allem das Thema offene Software.<\/p>\n
Wer auf die Cloud setzt, der setzt heute oft auf Services ausserhalb der EU. 2019 werden bereits 60 Prozent aller IT-gest\u00fctzten Unternehmensaufgaben in der Cloud realisiert werden. Doch ohne eine politische Gegensteuerung werde im Jahr 2020 die Cloud-Infrastruktur zu 80 Prozent aus USA und zu 15 Prozent aus China stammen, konstatieren die Autoren des Positionspapiers \u201eDigitale Souver\u00e4nit\u00e4t und K\u00fcnstliche Intelligenz \u2013 Voraussetzungen, Verantwortlichkeiten und Handlungsempfehlungen.\u201d Im Rahmen des Digitalgipfels 2018<\/a> diskutierten deshalb mehrere Experten, wie Regierungen, Unternehmen und Beh\u00f6rden innerhalb der EU ihre Datensouver\u00e4nit\u00e4t erlangen k\u00f6nnen. Eine Ma\u00dfnahme sticht dabei besonders heraus: Nur Systeme, bei denen der Quellcode zumindest gepr\u00fcft und individuell angepasst werden kann, k\u00f6nnen die Kontroll- und Steuerungsf\u00e4higkeit erhalten.<\/p>\n Um in Zukunft ein Maximum an Sicherheit, Kontrolle und Innovationsf\u00e4higkeit garantieren zu k\u00f6nnen, braucht es ein Mindestma\u00df an Vertrauen, Transparenz, Nachvollziehbarkeit, Interoperabilit\u00e4t und Anpassbarkeit beim Betrieb von Cloud-L\u00f6sungen.<\/p>\n Gemeint sind damit Systeme, deren Quellcode zumindest einsehbar und an entscheidenden Stellen auch ver\u00e4nderbar ist. Die Forderungen des Positionspapiers gehen damit weit \u00fcber die Forderungen des nationalen IT-Gipfels der Bundesregierung (2015) hinaus, auf dem der Begriff \u201eDigitale Souver\u00e4nit\u00e4t\u201c erstmals gepr\u00e4gt wurde.<\/p>\n Da eine 100%ige Souver\u00e4nit\u00e4t so gut wie ausgeschlossen werden kann, m\u00fcssten Organisationen und Staaten zun\u00e4chst die grundlegende Entscheidung treffen \u201ein welchen Bereichen eine hohe digitale Souver\u00e4nit\u00e4t elementar und von hoher strategischer Bedeutung ist<\/i>,\u201d so die Einsch\u00e4tzung der Teilnehmer des Digitalgipfels 2018. Die beschriebenen Entscheidungen m\u00fcssen demnach auf folgenden Ebenen erfolgen:<\/p>\n Ob sich ein Rechenzentrum in Europa oder au\u00dferhalb befindet, ist f\u00fcr die digitale Souver\u00e4nit\u00e4t von gro\u00dfer Bedeutung, da die dort gespeicherten Daten nur einer externen Kontrolle entzogen werden k\u00f6nnen, wenn sie sich im eigenen \u201eHoheitsgebiet\u201d befinden. Im Positionspapier hei\u00dft es hierzu deutlich: \u201eDie Speicherung von Daten deutscher Beh\u00f6rden, europ\u00e4ischer Unternehmen, Institutionen oder Verbrauchern fast ausschlie\u00dflich in der Hand nicht-europ\u00e4ischer Cloud-Betreiber stellt einen strategischen wie kommerziellen Nachteil f\u00fcr Europa dar.<\/i>\u201d<\/p>\n Aus Cloud-Perspektive kann die Antwort an dieser Stelle nur lauten, dass kritische Daten in jedem Fall in Rechenzentren auf europ\u00e4ischem Boden liegen sollten. Sp\u00e4testens seit dem US Cloud Act ist dies die einzige M\u00f6glichkeit, sicherzustellen, dass die Ermittlungsbeh\u00f6rden aus Rechtsr\u00e4umen mit geringerem Datenschutzniveau (z.B. die USA) keinen Zugriff auf diese Daten erhalten, daher ist es auch notwendig die Daten dem Zugriff durch den Cloud Act zu entziehen. Momentan scheint dies nur durch den Ausschluss von Unternehmen, die der US-Gerichtsbarkeit unterliegen, zu gelingen. Oft ist diese Kontrolle aber schwierig: Wer weiss schon, ob es sich bei einem franz\u00f6sischen Unternehmen nicht in Wirklichkeit um eine amerikanische Tochtergesellschaft handelt? Mit Hilfe von Cloud Federation ist das Hosting auf eigenen Servern zudem wirtschaftlich umsetzbar, da die gro\u00dfen \u2013 unkritischen \u2013 Datenmengen weiterhin in Public Clouds liegen k\u00f6nnen, w\u00e4hrend nur die sch\u00fctzenswerten Daten auf eigenen Servern liegen. Auf beide Datenquellen kann dann \u00fcber ein zentrales Interface zugegriffen werden. Public- und Private Clouds werden so unter einer einzigen Benutzeroberfl\u00e4che zusammengefasst. So kann jede Organisation f\u00fcr jede Datenquelle entscheiden, wo die Daten liegen. Auf diese Weise kann jeder an den M\u00f6glichkeiten des Technologiemarktes partizipieren, ohne seine Daten \u2013 ohne sein Wissen \u2013 preisgeben zu m\u00fcssen: schon gar nicht an eine fremde Regierung ohne jedweden eigenen Rechtsschutz.<\/p>\n Eine Technologie, der Wirtschaft, Politik, Gesellschaft und Wissenschaft Vertrauen k\u00f6nnen, muss zwangsl\u00e4ufig sicherstellen, \u201edass die Daten den richtigen Weg nehmen, den beabsichtigten Empf\u00e4nger erreichen, nicht abgeh\u00f6rt und nicht manipuliert werden.<\/i>\u201d Auch wenn es bei der Nutzung von IT nie eine absolute Sicherheit geben kann, so kann diese doch maximiert werden. Auch hier sollte das Hosting in sicheren Rechenzentren absoluter Mindeststandard sein. Zus\u00e4tzlich ist beim Austausch von kritischen Daten mit internen und externen Partnern darauf zu achten, dass weitere Sicherheitsma\u00dfnahmen ergriffen werden. Im Idealfall ist hier die Nutzung von sicheren Filesharing-Systemen zu empfehlen, da diese im Vergleich zur klassischen E-Mail besser bedienbar und sicherer sind. Systeme wie ownCloud bieten zus\u00e4tzlich auch eine Reihe von weiteren Sicherheits-Add-Ons an wie z.B. eine File Firewall<\/a>, Ransomware Protection oder \u2013 am allerwichtigsten \u2013 eine Ende-zu-Ende-Verschl\u00fcsselung.<\/p>\n Damit Staat, Wirtschaft und Wissenschaft bei der Schaffung neuer Erkenntnisse, Dienstleistungen oder Produkte das Maximum an Innovationskraft ausspielen k\u00f6nnen, bedarf es mehr Einigkeit \u00fcber eine m\u00f6glichst breite \u00f6ffentliche Verf\u00fcgbarkeit von Daten und frei einsetzbaren Programmcodes. \u201eM\u00f6glichst\u201d meint in diesem Kontext, dass Daten freilich auch f\u00fcr eigene Produkte und Dienstleistungen nutzbar und damit in privater Hand bleiben.<\/p>\n Nach Ansicht der Experten f\u00f6rdern folgende Prinzipien den innovativen Wettbewerb, um die jeweils beste L\u00f6sung zwischen wissenschaftliche Institutionen, Staaten und Unternehmen zu erreichen: \u201eDer Programmcode muss anpassbar und in andere Systeme \u00fcbertragbar sein, um Probleme notfalls eigenst\u00e4ndig beheben (lassen) zu k\u00f6nnen, um L\u00f6sungen in andere Rechenzentren \u00fcbertragen und um die Interoperabilit\u00e4t bereits eingesetzter L\u00f6sungen zu neuen Systemen gew\u00e4hrleisten zu k\u00f6nnen.<\/i>\u201d<\/p>\n Dies ist als ein klares Bekenntnis f\u00fcr offenen Code zu verstehen. Damit ist nicht nur die individuelle Anpassbarkeit gew\u00e4hrleistet, was vor allem im \u00f6ffentlichen Sektor eine hohe Bedeutung hat, sondern auch die Partizipation vieler spezialisierter Unternehmen bei der Weiterentwicklung von Software. Damit werden Oligopole einiger weniger gro\u00dfer Anbieter vermieden, das Wissen bleibt in den H\u00e4nden vieler, was am Ende die Unabh\u00e4ngigkeit der Software sicherstellt. An solcher Softwareentwicklung kann sich jeder unter gleichen Bedingungen beteiligen.<\/p>\n Staat, Wirtschaft und Wissenschaft m\u00fcssen eng zusammenarbeiten, um einzelne L\u00e4nder und die EU im gesamten zu einem starken Wissenschafts- und Wissenschaftsstandort zu machen. Im Idealfall forcieren sie gemeinsam den Aufbau dezentraler, unabh\u00e4ngiger und frei skalierbarer Datenspeicherung und -Verarbeitung auf Grundlage offener und interoperabler Standards. Besonders bei f\u00fcr die Digitale Souver\u00e4nit\u00e4t strategisch wichtigen Systemen sei es unabdingbar, dass der Quellcode jederzeit gepr\u00fcft und ge\u00e4ndert werden kann und dass Daten und Systeme jederzeit auch in andere Umgebungen \u00fcbertragen werden k\u00f6nnen. Als \u201eZentrale Kompetenz\u201d betrachten die Experten \u201edie F\u00e4higkeit, offene Schnittstellen und (De-facto-)Standards zu entwickeln, die die souver\u00e4ne Gestaltung von \u00d6kosystemen oder die sichere Integration externer L\u00f6sungen erlauben.<\/i>\u201d<\/p>\nMindestanforderung: offener Quellcode<\/b><\/h2>\n
Handlungsempfehlungen f\u00fcr (mehr) Digitale Souver\u00e4nit\u00e4t<\/b><\/h2>\n
Rechenzentren<\/b><\/h2>\n
Vertrauen in die Technologie<\/b><\/h2>\n
Interoperabilit\u00e4t \u00a0und Anpassbarkeit<\/b><\/h2>\n
Offene Schnittstellen und modifizierbare Quellcodes<\/b><\/h2>\n