Das Unbehagen in der Cloud
Von Roland Freist
Ende 2019 erschien in der Heilbronner Stimme ein Artikel, dessen Inhalt auf den ersten Blick ein wenig skurril wirkte: Die Schwarz-Gruppe aus Neckarsulm, die Mutterfirma von Lidl und Kaufland, wolle ein eigenes europäisches Angebot auf den Cloud-Markt bringen, hieß es da. Eine mittelständische Einzelhandelskette gegen die internationalen Cloud-Riesen? Das klang so, als würde sich da jemand gewaltig überschätzen. Doch der Schwarz-Konzern nimmt das Vorhaben sehr ernst. Und die Corona-Krise bestätigte die Verantwortlichen in ihrem Vorhaben. Anfang 2021 startete die Lidl-Mutter ihre Cloud-Plattform Stackit.
Gefühlter Datenhochverrat
Der Zeitpunkt ist günstig. Seit das Projekt Gaia-X vorgestellt wurde, scheint Bewegung in die europäische Cloud-Landschaft zu kommen. Mit Gaia-X soll in Europa eine sichere und vertrauenswürdige und zugleich leistungs- und wettbewerbsfähige Dateninfrastruktur entstehen. Ziel ist es laut Bundeswirtschaftsministerium, die europäische Datensouveränität zu erhalten, die Abhängigkeit von internationalen Anbietern zu verringern, Cloud-Dienste für die Wirtschaft attraktiver zu machen und ein „Ökosystem für Innovation“ zu schaffen.
Mit Gaia-X wollen Deutschland und Frankreich bei einer Entwicklung gegensteuern, die den Regierungen der beiden Länder zunehmend Unbehagen bereitet. Immer mehr europäische Unternehmen begeben sich beim Cloud Computing in die Abhängigkeit der vier großen Hyperscaler Amazon Web Services (AWS), Microsoft Azure, Google und IBM – wobei Alibaba außerhalb der allgemeinen Aufmerksamkeit Weltmarktanteile aufholt. Die Befürchtung ist nicht nur, dass man sich auf diese Weise erpressbar macht. Der 2018 verabschiedete CLOUD Act verpflichtet US-amerikanische Internet-Firmen, den Behörden ihres Landes auch dann Zugriff auf die gespeicherten Daten zu gewähren, wenn der Server nicht in den USA, sondern etwa im europäischen Ausland steht. Das Misstrauen ist groß, dass auf diese Weise wertvolle Industriedaten von europäischen Firmen in die USA abfließen könnten.
Teil 1 beginnt dort, wo der Datenschutz am wichtigsten ist: bei den Auftragsdatenverarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechenzentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.
Das Konzept für Gaia-X sieht jedoch nicht vor, eine staatliche Cloud einzurichten, die in Konkurrenz zu den großen Hyperscalern tritt. Stattdessen soll in Zusammenarbeit mit Forschungsinstituten und der Privatwirtschaft ein Netz aus kleineren und größeren Cloud-Angeboten entstehen, die dezentral miteinander verbunden sind. Dabei will die Planungsgruppe auch außereuropäische Anbieter einbeziehen. Der Datenaustausch und die -migration sollen über standardisierte Schnittstellen erfolgen, die möglichst auf offenen Technologien beruhen und ein hohes Maß an Transparenz bieten sollen. Einiges davon ist bereits vorhanden, andere Programme und Schnittstellen müssen von den Unterstützern des Projekts noch entwickelt werden.
Open Source und Transparenz
Auf technischer Ebene ist bei Gaia-X neben dem Einsatz von offenen Technologien der Aufbau von eigenständigen und eindeutig identifizierbaren Netzknoten geplant. Diese Knoten entsprechen den Rechenzentren bzw. den Servern der beteiligten Betreiberfirmen, aus denen sich an den verschiedenen Standorten die Cloud zusammensetzt. Gemäß dem Konzept sollen die Kunden zwischen den Standorten frei wählen können. Zudem sollen die Betreiber zu einer Beschreibung verpflichtet werden, in der die Fähigkeiten und Attribute der Rechenzentren sowie unter anderem auch der Energiebedarf und die Effizienz aufgeführt sind.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilage „IT- und Technologieunternehmen stellen sich vor“. Einen Überblick mit freien Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Alle Anbieter, die am Gaia-X-Programm teilnehmen wollen, müssen sich an die definierten Transparenzregeln und Standards halten. Dazu zählen die Einhaltung der Europäischen Datenschutz-Grundverordnung und Maßnahmen gegen den Zugriff auf die Daten konkurrierender Unternehmen. Eine entsprechende Zertifizierung soll sicherstellen, dass diese Regeln auch eingehalten werden. So soll einem Lock-in-Effekt vorgebeugt werden, die Kunden sollen problemlos den Anbieter wechseln können.
Auf dem Papier liest sich das Konzept für Gaia-X wie eine gut durchdachte, moderne Alternative zu den Angeboten der großen Hyperscaler. Dennoch wurden kritische Stimmen laut. Einige Kommentatoren bezweifelten, dass sich das Projekt am Markt gegen die amerikanische und chinesische Konkurrenz durchsetzen könne. Sie verwiesen zudem darauf, dass viele Unternehmen bereits zufrieden seien, wenn sie sicher sein können, dass ihre Daten innerhalb der EU gelagert würden. Aus der Industrie hingegen waren skeptische Stimmen zu hören, ob es ein staatliches Projekt mit der Entwicklungsgeschwindigkeit privater Initiativen aufnehmen könne. Der Zeitplan für Gaia-X ist immerhin recht anspruchsvoll: Die Cloud soll bis Anfang 2021 live gehen.
Vollständige Datenhoheit ist das Kernargument der Open-Source-Lösung Nextcloud. (Bild: Nextcloud GmbH)
Nextcloud als Alternative
Wie groß die Nachfrage in Europa nach Datensouveränität derzeit ist und wie schnell die Entwicklung passender Lösungen gehen kann, zeigt das Beispiel Nextcloud. Die Open-Source-Software der gleichnamigen deutschen Firma entstand 2016 als Fork des Community-Projekts Owncloud, das u.a. hinter der niedersächsischen Academic Cloud steht, und dient zum Speichern von Dateien auf einem eigenen Server. Die Daten werden automatisch mit angemeldeten Clients synchronisiert, der Datenbestand bleibt immer konsistent. Nextcloud wurde von vornherein im Hinblick auf die Datensouveränität der Anwender entwickelt.
Das Konzept überzeugte, zumal die Zahl der verwalteten Dateien und Ordner bei Nextcloud unbegrenzt ist. Bereits im April 2018, zwei Jahre nach Veröffentlichung der ersten Version, entschied das Informationstechnikzentrum Bund (ITZBund), Nextcloud als Basis für die Bundescloud einzusetzen. Im August 2019 konnte Nextcloud weitere europäische Kunden bekanntgeben. Das französische Innenministerium will die Software für seine rund 100.000 Mitarbeiter nutzen, die auf diesem Wege auch Dokumente gemeinsam bearbeiten sollen. Darüber hinaus interessieren sich auch das niederländische Bildungsministerium und die schwedische Sozialversicherung für die deutsche Cloud-Lösung.
Exportmodell Datenschutz für kritische Infrastrukturen: In den USA setzt Nextcloud beim Gesundheitswesen den HIPAA-Hebel an (Health Insurance Portability and Accountability Act), der den Patientendatenschutz regelt. So nutzt das Massachusetts General Hospital derzeit u.a. den Nextcloud DICOM Viewer zur Covid-19-Diagnose. (Bild: Nextcloud GmbH)
Die Kooperation von Nextcloud mit dem Webhoster 1&1 Ionos zeigt, wohin die Reise in den kommenden Jahren gehen soll. Gemeinsam wirbt man damit, deutschen Unternehmen volle Datensouveränität anbieten zu können. Da beide Firmen ihren Sitz in Deutschland haben, seien die Daten vor Zugriffen im Rahmen des US-amerikanischen CLOUD Act geschützt. Darüber hinaus stellte Nextcloud unter dem Produktnamen Nextcloud Hub eine Software vor, die erstmals ein Office-Paket enthält. Damit will Nextcloud eine direkte Konkurrenz zu Microsoft Office 365 und Google Docs schaffen.
Und dann die Preisfrage
Die IT entwickelt sich immer weiter in Richtung Cloud – das haben sowohl die Industrie wie auch die europäischen Regierungen klar erkannt. Doch die daraus gezogenen Schlussfolgerungen sehen unterschiedlich aus. Obwohl die Gefahren mittlerweile allgemein bekannt sind, vertrauen viele Unternehmen ihre Daten dennoch den großen internationalen Cloud-Anbietern an. Lokale Alternativen, wie sie etwa Microsoft vor einigen Jahren zusammen mit der Deutschen Telekom entwickelt hatte, scheinen aufgrund der höheren Preise am Markt nicht anzukommen. Es wird daher spannend sein zu beobachten, welche Akzeptanz private Initiativen wie etwa Stackit in der Wirtschaft bekommt und ob ein Angebot wie Nextcloud auch außerhalb von Regierungsorganisationen Kunden findet.
Roland Freist, Jahrgang 1962, begann nach einem Studium der Kommunikationswissenschaft ein Volontariat beim IWT Verlag in Vaterstetten bei München. Anschließend wechselte er zur Zeitschrift WIN aus dem Vogel Verlag, wo er zum stellvertretenden Chefredakteur aufstieg. Seit 1999 arbeitet er als freier Autor für Computerzeitschriften und PR-Agenturen. Seine Spezialgebiete sind Security, Mobile, Internet-Technologien und Netzwerke, mit Fokus auf Endanwender und KMU.
Redaktionsbüro Roland Freist, Fritz-Winter-Str. 3, 80807 München, Tel.: (089) 62 14 65 84, roland@freist.de
