Digitale SouveränitätVolle Kontrolle

Herr Ganten, digitale Souveränität ist in aller Munde. Was macht eine Cloud wirklich souverän – und wo endet das Konzept in der Realität?

Das Problem beim Begriff digitale Souveränität ist, dass er nicht geschützt ist. Jeder kann behaupten, seine Lösung sei souverän. Für uns bedeutet digitale Souveränität: Eine Organisation muss die volle Kon­trolle darüber haben, wer auf Daten zugreift, wer sie verändern oder mitlesen kann. Und sie muss ihre IT entsprechend der eigenen Anforderungen gestalten können – und im Zweifel Alternativen haben, wenn ein Anbieter etwas einstellt oder verändert. Es geht nicht da­rum, alles selbst machen zu können, aber um Vermeidung einseitiger Abhängigkeiten.

Sie stören sich daran, dass oft von souveräner Cloud gesprochen wird. Warum?

Weil eine Sache nicht souverän sein kann. Nur Menschen oder Organisationen können souverän handeln. Eine Cloud kann bestenfalls digitale Souveränität ermöglichen – aber sie ist nicht selbst souverän. Dafür müssen bestimmte Voraussetzungen erfüllt sein: Ich muss nachvollziehen können, was sie tut, ich muss zwischen Anbietern wechseln können, und ich muss Software bei Bedarf eigenständig weiterentwickeln lassen können.

In der Diskussion wird oft betont, wie wichtig der Speicherort der Daten sei. Ist das wirklich entscheidend?

Nein, der physische Ort ist zweitrangig. Entscheidend ist die rechtliche Zuständigkeit. Wenn ein US-Unternehmen in Deutschland eine Cloud betreibt, unterliegt es weiterhin dem amerikanischen Recht – einschließlich der Pflicht, Daten an Behörden wie die NSA herauszugeben. Da hilft auch ein Rechenzentrum in Frankfurt nichts. Deshalb bauen manche Anbieter Tochterunternehmen in Europa – aber die Kontrolle über die Software liegt oft weiter beim Mutterkonzern.

Neben der Infrastruktur ist auch die Software selbst ein kritischer Punkt. Welche Bedeutung hat sie für digitale Souveränität?

Eine sehr große. Denn die Nutzer arbeiten ja nicht mit der Infrastruktur, sondern mit konkreten Anwendungen: Datenbanken, Fachverfahren, Kollaborationswerkzeugen. Auch dort stellt sich die Frage: Kann ich hineinschauen? Habe ich Kontrolle? Und: Wer entscheidet über Updates, Schnittstellen oder Lizenzen? Wenn in einer vermeintlich souveränen Cloud Microsoft-Software läuft, kann diese weiterhin ein Einfallstor für Kontrolle von außen sein – etwa durch Updates oder Lizenzpolitik. Deshalb kommt es auf die gesamte Kette an: von der Infrastruktur über Middleware bis zur Anwendung.

Was wäre ein gutes Beispiel für eine praktikable Lösung?

Wenn eine Cloud zwar nicht vollständig offen ist, aber standardisierte Schnittstellen verwendet und den Wechsel zu anderen Plattformen erlaubt, ist das ein großer Gewinn. Die größte Gefahr liegt in Abhängigkeiten, die ich nicht auflösen kann – auch dann nicht, wenn die Basis offen ist, aber die Anwendung exklusiv.

Ein Prinzip scheint die Trennung von Infrastruktur und Software zu sein. Lässt sich das in der Praxis umsetzen?

Ja, und wir haben das auch gezeigt. In einem vom Bundeswirtschaftsministerium geförderten Projekt hat die Open Source Business Alliance den Sovereign Cloud Stack, der einen Satz von Standards für Cloud-Interoperabilität und eine Referenzimplementierung enthält, entwickelt. Dieser definiert Standards, wie Cloudsysteme verwaltet und Workloads zwischen Clouds migriert werden können. Gemeinsam mit der FITKO konnten wir in einer realen Verwaltungsumgebung zeigen, dass das funktioniert.

Welche Bedeutung hat ein anwendungsübergreifendes Identity and Access Management (IAM)?

IAM ist das Tor zu allen Anwendungen und Ressourcen. Es entscheidet, wer worauf zugreifen darf, und es protokolliert auch alle Zugriffe. Wenn dieses System etwa von US-Konzernen betrieben wird, hat man dort eine zentrale Stelle, die alles mitbekommt – unabhängig davon, ob die übrige Infrastruktur souverän ist oder nicht. IAM muss daher unbedingt unter eigener Kontrolle stehen.

„Eine Cloud kann bestenfalls digitale Souveränität ­ermöglichen – aber sie ist nicht selbst souverän.“

Können auch kleinere Kommunen souverän agieren?

Nicht allein, aber im Verbund mit IT-Dienstleistern oder regionalen Rechenzentren sehr wohl. Technisch kann man einen Sovereign Cloud Stack sogar auf zwei Servern unter dem Schreibtisch laufen lassen – empfehlenswert ist das aber nicht. Man braucht professionelles Hosting und qualifiziertes Personal oder gute Dienstleister.

Welche Technologien oder Open-Source-Lösungen empfehlen Sie konkret?

Die zentralen Technologien sind längst etabliert: OpenStack, Kubernetes, Gardener – alles Open Source. Wichtig ist aber, sich an Standards wie denen des Sovereign Cloud Stack zu orientieren. Dann kann man auch andere Komponenten verwenden, solange sie interoperabel sind. Es gibt auch gute Dienstleister, die genau das anbieten.

Warum ist Open Source aus Ihrer Sicht so wichtig für digitale Unabhängigkeit und Resilienz?

Zwei Gründe: Erstens Transparenz – ich kann nachvollziehen, wie die Software funktioniert, oder jemanden beauftragen, das zu prüfen. Zweitens Unabhängigkeit – ich habe das Recht, die Software anzupassen oder weiterzuentwickeln, notfalls mit einem anderen Dienstleister. Das schützt vor Preissteigerungen, Lizenzzwängen oder Produktabkündigungen. Beispiele wie LibreOffice zeigen, wie aus Communitys heraus tragfähige Alternativen entstehen können.

Heute gibt es Projekte wie openDesk, die Open-Source-Komponenten modular kombinieren. Ist das der richtige Weg?

Absolut. openDesk setzt auf bewährte Komponenten: Open-Xchange für Mail, Nextcloud für Dateien, Collabora für gemeinsame Dokumentbearbeitung, Element für Chat – und unsere Lösung Nubus für Identity and Access Management. Damit lässt sich eine moderne Arbeitsumgebung bereitstellen. Projekte wie in Baden-Württemberg, beim RKI oder in der Bundestagsverwaltung zeigen, dass es funktioniert.

Was raten Sie einem IT-Leiter, der so eine Lösung einführen will?

Einfach anfangen – mit einem realistischen Pilotprojekt. Eine Abteilung nehmen, mit echtem Support begleiten, Rückmeldungen ernst nehmen. Wenn das funktioniert, kann man skalieren. Und natürlich braucht es professionelle Unterstützung bei Migration und Inte­gration – gerade beim Übergang von alten Exchange- und SharePoint-Strukturen.

Was muss die Politik tun, damit digitale Souveränität Realität wird?

Zunächst: Die Richtung stimmt. Es gibt klare Bekenntnisse aus dem Digitalministerium und vom Zentrum für digitale Souveränität. Wichtig ist jetzt: liefern. Gleichzeitig braucht es klare Vorgaben: Etwa die Ansage, dass ab 2035 nur noch Software beschafft wird, die digitale Souveränität erfüllt. Das schafft Planungssicherheit und Innova­tionsdruck.