Foto: BMWi
Eigentlich hört sich die Idee einer nationalen Datensouveränität erst einmal gut an. Wer europäisch denkt, fragt sich aber, warum hier das Deutsche Bundesministerium für Wirtschaft und Energie (BMWi) als Initiator der Gaia-X Initiative erscheint und nicht gleich die Europäische Union.
Echte Datensouveränität braucht folgende Zutaten:
Lokalität der Daten,
Rechtsraum, in dem die betreibenden Firmen agieren, und
Nationalität und Compliance der Personen die mit dem Betrieb von Rechenzentrums- und Plattform-Diensten betraut sind.
All das wäre mittelfristig in der EU gegeben, doch die Länder sind sich außenpolitisch nicht einig. Während Frankreichs Präsident Emmanuel Macron fairen Wettbewerb einklagt und die amerikanischen Konzerne zwingen möchte, Steuern auch im Land der jeweiligen Leistungserbringung zu zahlen, traut sich in Deutschland kein Regierungspolitiker wirklich, diese "Internet-Steuer" gegen Amazon, Google und Microsofts Cloud-Dienste zu erheben.
Zu groß ist die Angst vor politischen Konsequenzen: Die Trump-Administration könnte ihre Zoll-Drohungen gegen die deutsche Autoindustrie wahr machen. Dementsprechend verfolgt das Gaia-X-Konzept jetzt das Ziel, die heimische IT-Industrie ebenso einzubeziehen wie die verbliebenen kleineren IT-Dienstleister. Alle Hyperscaler (Amazon, Microsoft, Google) und auch IBM sind bisher nicht involviert, sie werden sogar als Konkurrenz gesehen.
Stattdessen redet das Team von Bundeswirtschaftsminister Peter Altmaier mit den deutschen Unternehmen SAP, Deutsche Telekom und Deutsche Bank. Hinzu kommen einige wirklich kleine IT-Dienstleister, die im Vergleich zu den amerikanischen Gorillas keine Rolle spielen. So kommt eine Botschaft im deutschen Markt an: Wir schaffen die deutsche Cloud gegen die großen Amerikaner!
SAP will immer weniger Cloud-Provider sein
Dabei sollten die genannten großen deutschen Player dem Wirtschaftsministerium eigentlich erklären können, wie schwierig das wird. SAP zum Beispiel hat mit der HANA-Plattform einen der stärksten Software Stacks der Welt für Unternehmensanwendungen. Doch als End-to-End-Cloud-Provider rudern die Walldorfer nach anfänglicher Euphorie um die SAP HANA Cloud wieder kräftig zurück.
Auch die Infrastruktur von SAP ist für echtes Volumengeschäft zu klein, zudem fallen die Margen deutlich niedriger aus als mit der Business Software selbst. Infrastructure as a Service (IaaS) ist nun Mal ein reines Massengeschäft. Hier präferiert SAP für die meisten Kunden inzwischen den Betrieb des HANA-Stack auf Infrastruktur eines der rasant wachsenden Cloud-Riesen aus den USA: Amazon Web Services (AWS), Microsoft Azure oder Google Cloud. So rutscht das verbliebene eigene Infrastruktur-Business von SAP immer mehr in eine teure Nische ab, die nur für eine sehr kleine Klientel interessant ist.
Telekom hat durch Azure-Treuhänderschaft Schaden genommen
Auch die Telekom sollte genügend Erfahrungen mit ihren Cloud-Angeboten gesammelt haben, um das BMWi warnen zu können. Früh hat der größte deutsche Carrier erkannt, dass neben dem reinen IaaS-Angebot vor allem die modernen Platform-as-a-Service-(PaaS-)Dienste für Entwickler attraktiv sind. Das ist aber ein Geschäft, bei dem es um Softwareinvestitionen geht, kein Netz- oder Infrastruktur-Business.
Die Deutsche Telekom hatte deshalb mit Microsoft eine lokale Azure-Zone unter ihrer Treuhänderschaft aufgebaut: Die Daten sollten im hiesigen Rechenzentrum und damit im deutschen Rechtsraum vorgehalten werden, der Technologie-Stack kam von Microsofts Azure, aber der Datenzugriff sollte ausschließlich deutschem Telekom-Personal vorbehalten bleiben. Das ganze Projekt ist 2018 mit Vollgas gegen die Wand gefahren!
Nur wenige Kunden wollten einen zehn- bis 15-prozentigen Aufpreis für die deutsche Datensouveränität zahlen. Die letzten Nutzer mussten ihre Anwendungen schließlich auf eigene Kosten in eine der großen Clouds umziehen. Wahrscheinlich ist das der Grund dafür, dass hierzulande nur Sabine Bendiek, Geschäftsführerin von Microsoft Deutschland, den Mut hatte, sich kritisch zu Gaia-X zu äußern. AWS und Google hielten sich bislang politisch korrekt zurück - so, wie sie grundsätzlich die immer wieder aufkeimenden, nationalen Cloud-Ideen unkommentiert lassen.
Die Hyperscaler wissen eben, dass eine Cloud ohne sie nie die Skaleneffekte und damit die finanzielle Konkurrenzfähigkeit erreichen wird, die dem Markt gerecht wird. Alle großen US-Cloud-Anbieter sind heute so weitreichend kompatibel zur Europäischen Datenschutz-Grundverordnung (DSGVO), dass inzwischen auch einige deutsche Finanzdienstleister mittlerer Größe zu ihren Kunden zählen. Heute vertreibt die Deutsche Telekom die Azure-Plattform aus dem Microsoft Rechenzentrum - nicht aus dem eigenen.
Deutsche Bank bringt Kernsystem nicht in eine Public Cloud
Auch die Deutsche Bank könnte Peter Altmaier ein wenig mehr über den Charakter ihrer internen IT-Workloads erzählen. Denn nur, wenn die Leistungsanforderungen eines Unternehmens stark schwanken, etwa bei einem Retailer im Weihnachtsgeschäft oder wenn, wie bei Volkswagen, viele Firmen entlang einer Industrie-4.0-Lieferkette zusammenarbeiten, spielen die Public Clouds ihre Vorteile aus. Bei einer Bank tritt dieser Fall so gut wie nie ein. Deshalb betreiben die Größen der Finanzbranche ihre Kerninfrastrukturen weiter selbst.
Wenn man aber die Elastizität der Infrastruktur nicht braucht und wenig Bedarf an vollständig gemanagten PaaS-Lösungen hat, ist eine Public Cloud nicht mehr günstiger. Dann teilt man sich vielleicht noch Strom, Netzwerk und Klimatisierung mit den US-Cloud-Providern bei einem der großen Frankfurter Colocation-Anbieter. Das ist aber auch schon alles.
In Summe schätzen wir die meisten der an Gaia-X beteiligten Großunternehmen heute nicht so ein, dass sie ihre Core-Workloads oder Umsatzströme mit Gaia-X in Einklang bringen könnten. Das Konzept (PDF) sieht auch gar nicht vor, dass keinerlei Infrastruktur von einem der vier US-Provider kommen darf. Der ursprüngliche Anspruch war vielmehr Monopolvermeidung und die Stimulation eines Ökosystems, in dem der Austausch von Daten (zum Beispiel der Zugriff auf Lernmodelle) konform mit unserer Rechtsauffassung ablaufen kann.
Diese Abbildung von Gaia-X zeigt, wie das Daten-Ökosystem auf einem verteilten Infrastruktur-Ökosystem aufbauen soll. Eine Data Economy aufzubauen, die keinen Lock-in in eine bestimmte Infrastruktur erlaubt, ist eine sehr gute Idee! Damit setzt Gaia-X mit seinem Infrastruktur-Ökosystem genau das um, was die drei Hyperscaler technisch jeweils schon mit ihren Availability Zones - proprietär allerdings - implementiert haben. Wir können uns vorstellen, dass das Gaia-X-Knotenverzeichnis ein Meta-Repository über Kubernetes-Cluster ist. Aber so konkret ist das Projekt noch nicht.
Das Konzept schlägt für die Schaffung eines offenen Standards und einer Referenzarchitektur die Etablierung einer Europäischen Organisation vor: "Zur Umsetzung der vernetzten Dateninfrastruktur erachten wir eine zentrale, europäisch getragene Organisation für notwendig. Sie soll aus wirtschaftlicher, organisatorischer und technischer Sicht die Basis für eine vernetzte Dateninfrastruktur sein. Ihre Aufgabe wird sein, eine Referenzarchitektur zu entwickeln, Standards zu definieren sowie Kriterien für Zertifizierungen und Gütesiegel vorzugeben. Sie soll ein neutraler Mittler und Kern des europäischen Ökosystems sein." (Das Projekt GAIA-X, BMWi)
Die International Data Spaces (IDS)-Initiative, die vom Fraunhofer Institut angeregt wurde, wird als erfolgreiches Beispiel angeführt. Jedoch haben in Sachen vernetzter Dateninfrastruktur die vier Amerikaner einfach die größte Kompetenz am Markt. Es wäre gut dieses Wissen zu nutzen, ohne Abhängigkeiten einzugehen und Monopole zu begünstigen.
Wo sind bei Gaia-X die Multi-Cloud-Szenarien?
Ein Punkt der bei Gaia-X vollkommen fehlt, sind hybride und Multi-Cloud-Szenarien. Dabei geht es um ganz konkrete Szenarien: Heute, rund 20 Jahre nach den Storage-Konsolidierungen in Enterprise-Rechenzentren, weiß jeder CIO was kalte (alte) und heiße (aktuelle) Daten sind. Er speichert sie auf unterschiedlichen Systemen, um Preis und Zugriffszeiten zu balancieren. In gleicher Weise werden Unternehmen künftig ihre Daten auf modernen Microservice-Architekturen erneut zweiteilen. Wenige, aber hochsensible Daten werden vollständig verschlüsselt und gegebenenfalls in maximaler Daten-Souveränität abgelegt - in Deutschland. Folgendes Video vom Fraunhofer Institut erklärt Gaia-X:
So geht beispielsweise Bosch in eigenen Rechenzentren vor, die zwar deutlich teurer als AWS/Azure/Google sind, aber die eigene Souveränität gewährleisten. Der volumenmäßig viel größere Teil lässt sich meist so weit anonymisieren und "tokenizen", dass er problemlos am kostengünstigsten Ort liegen kann. Beim Autonomen Fahren sollten die Telematik-Daten, die zeigen, dass Autos vor einer Schule scharf bremsen mussten, beispielsweise am besten unverschlüsselt an der günstigsten Stelle liegen und für maschinelles Lernen zugänglich sein. Das sind die Inhalte für die schon längst überfällige Zusammenarbeit der Autobauer im Bereich des Autonomen Fahrens. Aber welcher Fahrzeuge tatsächlich scharf bremsen mussten, das ist natürlich sehr vertraulich und liegt tatsächlich besser in der Bosch-Cloud.
Ähnlich sollte es sich mit der elektronischen Gesundheitsakte verhalten. Patientenname, Versicherungsnummer und ein geheimer Schlüssel (Token) sind sensible Daten, die an einem sicheren Ort liegen müssen. Dazu könnte Gaia-X den zertifizierten Souveränitäts-Level eines Infrastruktur-Knotens einführen. Faktisch wären das nur ein paar Gigabyte an Daten - und zwar für alle Versicherten in Deutschland.
Sensible und nicht-sensible Daten unterschiedlich behandeln
Ein gescanntes Röntgenbild sollte hingegen so anonymisiert und fragmentiert sein, dass kein Rückschluss auf den Patienten möglich ist. Solche Daten sind ohne den Zugang zu den Tokens nicht mehr personenbezogen und könnten auf einem Gaia-X-Knoten mit niedrigstem Souveränitäts-Level gespeichert sein. Und das könnte dann auch ein US-Hyperscaler sein, denn der würde den Preispunkt für die vielen Petabytes an Röntgenbildern deutlich senken.
Multi-Cloud ist definitiv kein Buzzword, sondern der wichtigste Lösungsansatz um Privatsphäre und Kosten durch das Orchestrieren mehrere Dienste auszubalancieren - genauso, wie es die CIOs früher mit Zugriffszeiten und Kosten ihrer Storage-Systeme gemacht haben. Leider steht davon nichts im Gaia-X-Konzept!
Das BMWi hat im Vorfeld der Ankündigung zu wenig mit den Branchenkennern gesprochen. Selbst der ITK-Verband Bitkom war eher Zuschauer als Wissens-Pool für das Berliner Ministerium. Um die öffentliche Diskussion um die Datensouveränität besser zu strukturieren, hätte Crisp Research eine Betrachtung entlang des bekannten Cloud-Service-Stacks vorgeschlagen. Dann wird klar, wo man überhaupt Datensouveränität braucht:
Colocation: Wem die RZ-Fläche gehört, ist unbedeutend. Heute sollten eigentlich alle Data Center auf oder direkt neben dem Campus eines Colocator-Anbieters liegen - egal ob es sich um das Rechenzentrum einer einzelnen Bank, eines deutschen Service-Providers oder eines internationalen Hyperscalers handelt. Vereinfacht ausgedrückt, bietet der Vermieter ja nur vermietete Räumlichkeiten mit gemeinsamer Strom-, Kälte- und Netzversorgung.
Hier ist die beste Energieeffizienz, Ausfallsicherheit und Konnektivität gewährleistet. Nur Edge-Computing- Situationen, in denen viele Daten lokal an einer Industrieanlage verarbeitet werden müssen oder autonomes Handeln eines IoT Devices erfordern, bilden hier eine Ausnahme. Keinem "Colo" gehören irgendwelche Server. Die Anbieter sind heute im Großraum Frankfurt ein signifikanter Wirtschaftszweig, für die eigentliche Daten-Souveränität aber sind sie irrelevant.IaaS: Hier gilt es, Kosten mit nationaler Souveränität auszubalancieren. Stellen Sie sich vor, Sie sind Anbieter von Rechen- und Speicherressourcen aus der Cloud und plötzlich steht die deutsche Polizei oder ein Geheimdienst wie NSA, CIA oder FBI mit einem Hausdurchsuchungsbeschluss vor der Tür. Dann ist natürlich der Rechtsraum Ihrer Gesellschaft entscheidend. Deutsche Unternehmen werden die amerikanischen Secret Services eher nicht reinlassen.
Genauso wichtig ist aber, was die Polizei oder Agency dort überhaupt finden würde. Im beschriebenen Multi-Cloud-Beispiel des anonymisierten Röntgenbildes hätte die NSA keine Chance, an personenbezogene Daten zu kommen, wenn nicht gleichzeitig die deutsche Polizei den Personenschlüssel aus der Durchsuchung des "deutschen" Gaia-X-Knotens aushändigen würde. Zudem speichert ein erfahrener Cloud-Entwickler sensible Daten in einer Cloud immer verschlüsselt. Die deutsche Polizei müsste also auch noch das verdächtigte Unternehmen selbst durchsuchen um gegebenenfalls lokal gespeicherte Client-Zertifikate zu erhalten.PaaS: Die Entwicklungsplattform sollte für Gaia-X eigentlich viel interessanter als IaaS sein. Hier kann man sich eine Menge schlauer PaaS-Dienste vorstellen, die Gaia-X als Zielplattform interessant machen. Die Bundesregierung selbst hat auch interessante Assets, wie die Identität der Bürger aus dem elektronischen Personalausweis.
Würde Gaia-X eine einzige PaaS-API für das Speichern eines sensiblen Media-Files anbieten, wären nur noch ein paar Zeilen Code nötig, um die Logik für ein Röntgenbild zu anonymisieren und die sensiblen Metadaten auf einem Gaia-X-Knoten, die nicht-sensiblen Bilddaten aber auf einem anderen Knoten zu speichern. Solche branchenunabhängigen Plattformdienste würden Gaia-X zum Durchbruch verhelfen. Sie würden aber auch ein Entwicklungsbudget erfordern, dass heute keiner alleine einbringt.SaaS: Das ist der kritischste Dienst für die Datensouveränität. SaaS liefert fertige Business-Anwendungen oder Geschäftsprozesse, die in gleicher Weise von vielen Unternehmen genutzt werden. Die Daten sind dem Provider im allgemeinen unverschlüsselt zugänglich. Deshalb können amerikanische Geheimdienste die E-Mails oder Office-Dokumente aus Microsofts Office 365 anfordern und ein deutsches Gericht kann beispielsweise SAP anweisen, Transaktionen aus S4HANA auf der HANA-Cloud herauszugeben.
Die Provider müssen sich gegen solche Anfragen immer wieder im Einzelfall gerichtlich wehren. Leider betrachtet das Gaia-X-Konzept den SaaS-Level überhaupt nicht. Zwar bringen sich deutsche SaaS-Anbieter wie die Firma Open-Xchange als Alternative zu Office 365 aktiv ein, aber dieser Punkt müsste strategischer Fokus werden.
Bei Gaia-X aus Fehlern lernen
Das Gaia-X-Konzept hat also noch eine Chance, wenn die Macher aus den Fehlern der erfolglosen nationalen Clouds lernen, ihren Wertbeitrag auf alle drei Ebenen des As-A-Service-Stacks anwenden und in einen infrastrukturunabhängigen PaaS-Stack investieren. Letzterer muss Multi-Cloud-Szenarien der zukünftigen Data-Economy unterstützen.
Damit hätten Kunden eine Lösung die sowohl die Anforderung der deutschen Souveränität erfüllt, als auch die Konkurrenzfähigkeit der amerikanischen Hyperscaler für das große Volumen nutzt. Den Hyperscalern würde es Traffic bringen, solange es die politische Lage erlaubt, aber für die Kunden im Idealfall keinen Lock-In. Vor allem IBM, gefolgt von Microsoft, haben formal Interesse für eine Beteiligung an Gaia-X beim BMWi bekundet, wie die beiden Firmen auf Anfrage der Crisp Research bestätigten.