Coming soon ... IT Summit by heise

Datenhoheit durch Open Source: Wer den Cloud-Verteidigungsfall ausruft

Google, AWS, Micro­soft und IBM halten rund 70 % Anteil am immer weiter wachsenden welt­weiten Cloud-Markt. Diese Vormacht­stellung bereitet Unter­nehmen und Regierungen gleicher­maßen Kopf­schmerzen. Die Zeit ist also günstig für die Ent­wicklung euro­päischer Alter­nativen. Open Source hat gute Karten.

Das Unbehagen in der Cloud

Von Roland Freist

Ende 2019 erschien in der Heilbronner Stimme ein Artikel, dessen Inhalt auf den ersten Blick ein wenig skurril wirkte: Die Schwarz-Gruppe aus Neckarsulm, die Mutterfirma von Lidl und Kaufland, wolle ein eigenes europäisches Angebot auf den Cloud-Markt bringen, hieß es da. Eine mittelständische Einzelhandelskette gegen die internationalen Cloud-Riesen? Das klang so, als würde sich da jemand gewaltig überschätzen. Doch der Schwarz-Konzern nimmt das Vorhaben sehr ernst. Und die Corona-Krise bestätigte die Verantwortlichen in ihrem Vorhaben. Anfang 2021 startete die Lidl-Mutter ihre Cloud-Plattform Stackit.

Gefühlter Datenhochverrat

Der Zeitpunkt ist günstig. Seit das Projekt Gaia-X vorgestellt wurde, scheint Bewegung in die europäische Cloud-Landschaft zu kommen. Mit Gaia-X soll in Europa eine sichere und vertrauenswürdige und zugleich leistungs- und wettbewerbsfähige Dateninfrastruktur entstehen. Ziel ist es laut Bundeswirtschaftsministerium, die europäische Datensouveränität zu erhalten, die Abhängigkeit von internationalen Anbietern zu verringern, Cloud-Dienste für die Wirtschaft attraktiver zu machen und ein „Ökosystem für Innovation“ zu schaffen.

Mit Gaia-X wollen Deutschland und Frankreich bei einer Entwicklung gegensteuern, die den Regierungen der beiden Länder zunehmend Unbehagen bereitet. Immer mehr europäische Unternehmen begeben sich beim Cloud Computing in die Abhängigkeit der vier großen Hyperscaler Amazon Web Services (AWS), Microsoft Azure, Google und IBM – wobei Alibaba außerhalb der allgemeinen Aufmerksamkeit Weltmarktanteile aufholt. Die Befürchtung ist nicht nur, dass man sich auf diese Weise erpressbar macht. Der 2018 verabschiedete CLOUD Act verpflichtet US-amerikanische Internet-Firmen, den Behörden ihres Landes auch dann Zugriff auf die gespeicherten Daten zu gewähren, wenn der Server nicht in den USA, sondern etwa im europäischen Ausland steht. Das Misstrauen ist groß, dass auf diese Weise wertvolle Industriedaten von europäischen Firmen in die USA abfließen könnten.

Serie: DSGVO-konformes Cloud Computing
Teil 1 beginnt dort, wo der Daten­schutz am wichtigsten ist: bei den Auftrags­daten­verarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechen­zentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.

Das Konzept für Gaia-X sieht jedoch nicht vor, eine staatliche Cloud einzurichten, die in Konkurrenz zu den großen Hyperscalern tritt. Stattdessen soll in Zusammenarbeit mit Forschungsinstituten und der Privatwirtschaft ein Netz aus kleineren und größeren Cloud-Angeboten entstehen, die dezentral miteinander verbunden sind. Dabei will die Planungsgruppe auch außereuropäische Anbieter einbeziehen. Der Datenaustausch und die -migration sollen über standardisierte Schnittstellen erfolgen, die möglichst auf offenen Technologien beruhen und ein hohes Maß an Transparenz bieten sollen. Einiges davon ist bereits vorhanden, andere Programme und Schnittstellen müssen von den Unterstützern des Projekts noch entwickelt werden.

Open Source und Transparenz

Auf technischer Ebene ist bei Gaia-X neben dem Einsatz von offenen Technologien der Aufbau von eigenständigen und eindeutig identifizierbaren Netzknoten geplant. Diese Knoten entsprechen den Rechenzentren bzw. den Servern der beteiligten Betreiberfirmen, aus denen sich an den verschiedenen Standorten die Cloud zusammensetzt. Gemäß dem Konzept sollen die Kunden zwischen den Standorten frei wählen können. Zudem sollen die Betreiber zu einer Beschreibung verpflichtet werden, in der die Fähigkeiten und Attribute der Rechenzentren sowie unter anderem auch der Energiebedarf und die Effizienz aufgeführt sind.

ITK-Unternehmen 2020-01.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilage „IT- und Technologie­unternehmen stellen sich vor“. Einen Über­blick mit freien Downl­oad-Links zu sämt­lichen Einzel­heften be­kommen Sie online im Presse­zentrum des MittelstandsWiki.

Alle Anbieter, die am Gaia-X-Programm teilnehmen wollen, müssen sich an die definierten Transparenzregeln und Standards halten. Dazu zählen die Einhaltung der Europäischen Datenschutz-Grundverordnung und Maßnahmen gegen den Zugriff auf die Daten konkurrierender Unternehmen. Eine entsprechende Zertifizierung soll sicherstellen, dass diese Regeln auch eingehalten werden. So soll einem Lock-in-Effekt vorgebeugt werden, die Kunden sollen problemlos den Anbieter wechseln können.

Auf dem Papier liest sich das Konzept für Gaia-X wie eine gut durchdachte, moderne Alternative zu den Angeboten der großen Hyperscaler. Dennoch wurden kritische Stimmen laut. Einige Kommentatoren bezweifelten, dass sich das Projekt am Markt gegen die amerikanische und chinesische Konkurrenz durchsetzen könne. Sie verwiesen zudem darauf, dass viele Unternehmen bereits zufrieden seien, wenn sie sicher sein können, dass ihre Daten innerhalb der EU gelagert würden. Aus der Industrie hingegen waren skeptische Stimmen zu hören, ob es ein staatliches Projekt mit der Entwicklungsgeschwindigkeit privater Initiativen aufnehmen könne. Der Zeitplan für Gaia-X ist immerhin recht anspruchsvoll: Die Cloud soll bis Anfang 2021 live gehen.

Nextcloud user interface (german).jpg
Vollständige Datenhoheit ist das Kernargument der Open-Source-Lösung Nextcloud. (Bild: Nextcloud GmbH)

Nextcloud als Alternative

Wie groß die Nachfrage in Europa nach Datensouveränität derzeit ist und wie schnell die Entwicklung passender Lösungen gehen kann, zeigt das Beispiel Nextcloud. Die Open-Source-Software der gleichnamigen deutschen Firma entstand 2016 als Fork des Community-Projekts Owncloud, das u.a. hinter der niedersächsischen Academic Cloud steht, und dient zum Speichern von Dateien auf einem eigenen Server. Die Daten werden automatisch mit angemeldeten Clients synchronisiert, der Datenbestand bleibt immer konsistent. Nextcloud wurde von vornherein im Hinblick auf die Datensouveränität der Anwender entwickelt.

Das Konzept überzeugte, zumal die Zahl der verwalteten Dateien und Ordner bei Nextcloud unbegrenzt ist. Bereits im April 2018, zwei Jahre nach Veröffentlichung der ersten Version, entschied das Informationstechnikzentrum Bund (ITZBund), Nextcloud als Basis für die Bundescloud einzusetzen. Im August 2019 konnte Nextcloud weitere europäische Kunden bekanntgeben. Das französische Innenministerium will die Software für seine rund 100.000 Mitarbeiter nutzen, die auf diesem Wege auch Dokumente gemeinsam bearbeiten sollen. Darüber hinaus interessieren sich auch das niederländische Bildungsministerium und die schwedische Sozialversicherung für die deutsche Cloud-Lösung.

MW-IT-Unternehmen 2020-H2 ID05-Nextcloud DICOM-medical-image viewer-in-use.jpg
Exportmodell Datenschutz für kritische Infrastrukturen: In den USA setzt Nextcloud beim Gesundheitswesen den HIPAA-Hebel an (Health Insurance Portability and Accountability Act), der den Patientendatenschutz regelt. So nutzt das Massachusetts General Hospital derzeit u.a. den Nextcloud DICOM Viewer zur Covid-19-Diagnose. (Bild: Nextcloud GmbH)

Die Kooperation von Nextcloud mit dem Webhoster 1&1 Ionos zeigt, wohin die Reise in den kommenden Jahren gehen soll. Gemeinsam wirbt man damit, deutschen Unternehmen volle Datensouveränität anbieten zu können. Da beide Firmen ihren Sitz in Deutschland haben, seien die Daten vor Zugriffen im Rahmen des US-amerikanischen CLOUD Act geschützt. Darüber hinaus stellte Nextcloud unter dem Produktnamen Nextcloud Hub eine Software vor, die erstmals ein Office-Paket enthält. Damit will Nextcloud eine direkte Konkurrenz zu Microsoft Office 365 und Google Docs schaffen.

Und dann die Preisfrage

Die IT entwickelt sich immer weiter in Richtung Cloud – das haben sowohl die Industrie wie auch die europäischen Regierungen klar erkannt. Doch die daraus gezogenen Schlussfolgerungen sehen unterschiedlich aus. Obwohl die Gefahren mittlerweile allgemein bekannt sind, vertrauen viele Unternehmen ihre Daten dennoch den großen internationalen Cloud-Anbietern an. Lokale Alternativen, wie sie etwa Microsoft vor einigen Jahren zusammen mit der Deutschen Telekom entwickelt hatte, scheinen aufgrund der höheren Preise am Markt nicht anzukommen. Es wird daher spannend sein zu beobachten, welche Akzeptanz private Initiativen wie etwa Stackit in der Wirtschaft bekommt und ob ein Angebot wie Nextcloud auch außerhalb von Regierungsorganisationen Kunden findet.

Roland-Freist.jpg

Roland Freist, Jahrgang 1962, begann nach einem Studium der Kommunikations­­wissenschaft ein Volontariat beim IWT Verlag in Vater­­stetten bei München. Anschließend wechselte er zur Zeitschrift WIN aus dem Vogel Verlag, wo er zum stell­­vertretenden Chef­­redakteur aufstieg. Seit 1999 arbeitet er als freier Autor für Computer­­zeitschriften und PR-Agenturen. Seine Spezial­­gebiete sind Security, Mobile, Internet-Technologien und Netz­­werke, mit Fokus auf Endanwender und KMU.


Redaktionsbüro Roland Freist, Fritz-Winter-Str. 3, 80807 München, Tel.: (089) 62 14 65 84, roland@freist.de

Nützliche Links