"Build your own Internet – das ist meine Antwort auf die Frage: Wie kann man sicher, performant und mit Souveranität digitale Infrastrukturen bilden."
Manfred Kloiber: Sagte Harald Summa, Geschäftsführer des eco-Verbandes der Internetwirtschaft am Montag auf dem Digitalgipfel der Bundesregierung in Dortmund. Und er beschrieb damit eigentlich ziemlich gut, was mit dem Projekt Gaia X so in der Planung ist: Eine Vernetzung von Servern unterschiedlicher Unternehmen und Organisationen. Das Thema Gaia X hat den Digitalgipfel in diesem Jahr beherrscht. Wird Gaia X denn wirklich die europäische Cloud werden, wie das schon vor dem Gipfel im Gespräch war, Peter Welchering?
Peter Welchering: Dazu gab es auch auf dem Digitalgipfel sehr unterschiedliche Auskünfte. Vor allen Dingen für das Umfeld von Bundeswirtschaftsminister Peter Altmaier ist Gaia X tatsächlich die europäische Datencloud. Für die Mittelstandsfraktion, für die auf dem Gipfel Sebastian Ritz vom Cloud-Anbieter Innovo GmbH sprach, siedelt sich das Projekt Gaia zwischen Cloud-Computing und Edge-Computing an. Also in der Cloud werden Daten und Anwendungen gespeichert, aber insbesondere bei zeitkritischen Anwendungen muss das Speichern und Verarbeiten direkt in der Fabrik oder im hochautomatisierten Auto, also on edge passieren. Deshalb spricht man da von Edge-Computing. Und Internet-Urgestein Harald Summa hat auf dem Digitalgipfel gern von der Multi-Cloud gesprochen. Also, da gibt es ein wenig Begriffsverwirrung.
Kloiber: Und diese Begriffsverwirrung wollen wir jetzt einmal entwirren und schauen uns an, warum denn nach Meinung vieler Unternehmen, Politiker und Techniker eine europäische Cloud sinnvoll ist, was sie leisten kann und wie sie aufgebaut sein muss:
Vorteile und Voraussetzungen für europäische Cloud
"Rechtlich gesehen kann man sagen: Europäische Clouds oder deutsche Clouds machen Sinn, weil ich habe deutsches Recht, ich habe europäisches Recht, das sich teilweise doch vom amerikanischen oder asiatischen Recht unterscheidet. Das heißt, aus der rechtlichen Sicht ist es durchaus interessant. Dann aber den Schluss zu ziehen: Nur weil ich in Europa in meiner Cloud bin, bin ich per Definition sicher. Da wäre ich ganz vorsichtig."
Sagt Udo Schneider, Analyst beim Sicherheitsunternehmen Trend Micro. Eine europäische Cloud ist für ihn in politischer und rechtlicher Hinsicht sinnvoll, aber nicht unter technischen Gesichtspunkten. Thomas Jarzombek, CDU-Bundestagsabgeordneter und Beauftragter des Bundesministeriums für Wirtschaft und Energie für die Digitale Wirtschaft und Start-ups sieht die politischen und rechtlichen Gründe für das Cloud-Projekt Gaia X ganz ähnlich, geht aber darüber noch hinaus:
"Dann kommen natürlich regulatorische Maßnahmen wie der US Cloud Act von 2018, wo man dann nicht mehr so genau weiß, wer denn da welchen Zugang bekommt. Und ich glaube, gerade in der aktuellen Situation eines Handelsstreits mit den USA sieht man, wie relativ willkürlich auf einmal Handelshemmnisse, tarifäre wie auch nicht-tarifäre Handelshemmnisse, verbreitet werden. Da werden auf einmal Lebensmittel mit Steuern und Zöllen belegt oder auch Flugzeuge und andere Dinge. Und wer kann einem denn sicher sagen, dass in dieser Welt des Handelsstreits nicht morgen die US-Regierung auf die Idee kommt, auch bei diesen Infrastrukturen etwas zu tun."
Es geht beim europäischen Projekt Gaia X also darum, dass auch Deutschland ein Stück digitale Souveränität zurückerhält. Deutsche Unternehmen und Behörden sollen nicht von Amazon & Co. abhängig sein, wenn sie Cloud-Anwendungen nutzen wollen. Gleichzeitig sollen die Unternehmen ermuntert werden, in die Plattform-Ökonomie einzusteigen, und die setzt nun einmal Cloud-Anwendungen voraus. Wie das funktioniert, hat Adobe mit seiner Software-Cloud vorgemacht. Aber auch in der KI-Strategie der Bundesregierung hat die europäische Cloud eine wichtige Funktion. Anwendungen mit maschinellem Lernen können nur dann gut trainiert werden, wenn möglichst viele Daten zur Verfügung stehen. Diese Daten können per Cloud geteilt und untereinander abgerechnet werden. Dafür soll Gaia X auch den rechtlichen Rahmen schaffen.
Sicherheit im Gesamtsystem aller Geschäftsprozesse
Allerdings: Der rechtliche Rahmen allein ist nicht ausschlaggebend für erfolgreiches Cloud-Computing, sagt Michael Cerny von der IBM. Komponentensicherheit allein genauso wenig. Es muss mehr her:
"Komponenten-Sicherheit ist sicherlich ein wichtiges Thema. Ich glaube aber auch, dass das, um was es am Ende geht, ist tatsächliche Geschäftsprozess-Sicherheit. Man muss es schon auf eine Ebene höher heben, weil selbst wenn Sie sichere Komponenten haben, sämtliche Einzelkomponenten könnten ja per se durchaus sehr sicher sein, dadurch, dass sie aber mit unterschiedlichsten Anbietern zusammenarbeiten, dass Sie Ebenen haben wie Hardware-Komponenten, Software-Komponenten, Anwendungs-Komponenten ist für den Nutzer am Ende entscheidend, ob das Gesamtsystem sicher ist und nicht nur die Einzelkomponente."
Die Sicherheit der Geschäftsprozesse ist also der entscheidende Faktor. Dafür aber muss der jeweilige Geschäftsprozess genau unter die Lupe genommen werden. Udo Schneider von Trend Micro:
"Es sollte mir aus Betriebssicht völlig egal sein, wo meine Cloud gehosted wird, ob sie in Deutschland, in Europa, in Amerika, in Asien gehosted wird. Ich muss meine Sicherheit mitbringen und selber garantieren."
Eine ganz grundlegende Sicherheitsvoraussetzung ist gute Verschlüsselung. Michael Cerny von der IBM:
"Wir haben Konzepte mit ‚Bring your own key‘, wo wir nicht einmal Zugang selbst als Provider auf diese Daten haben, sondern die Daten-Souveränität liegt nur beim Kunden, der nur den Schlüssel allein hat zu seinen eigenen Daten."
Dann steht dem Urteil der Cloud-Experten zufolge sogar Amazon, Google oder den anderen Internetkonzernen die Mitarbeit an einem Projekt wie Gaia X offen. Vorausgesetzt, sie akzeptieren die Sicherheitsvorgaben und Standards der Cloud-Anwender. Für das Projekt Gaia X müssen solche Standards noch definiert werden.
Verschiedene Akteure um Gaia X
Kloiber: Einerseits also soll die europäische Cloud für größere Unabhängigkeit von Amazon & Co. sorgen, andererseits sollen Amazon & Co. durchaus mitmachen können. Widerspricht sich das nicht, Peter Welchering?
Welchering: Bei einem Cloud-Projekt ist das ein Widerspruch. Allerdings soll Gaia X ja mehr den Rahmen für eine Daten- und Anwendungs-Plattform liefern. Und auf dieser Abstraktionsebene gibt es da keinen Widerspruch. Da könnte ein Amazon Cloud-Service seine eigenen Server tatsächlich einbringen, wenn Amazon eben die Bedingungen erfüllt, die dieses Rahmenwerk vorgibt. Das kann bei bestimmten Spezialanwendungen, wie etwa im Digital Farming sinnvoll sein. Aber Amazon wird natürlich seine eigenen Clouds nicht zu Gaia migrieren.
Kloiber: Nun ist ja das Konzept von Gaia X sehr offen angelegt. Technische Details finden sich in den 56 Seiten der Konzeptbeschreibung ja nicht. Wie soll das denn jetzt umgesetzt werden?
Welchering: Vor allen Dingen die an Gaia X beteiligten Mittelständler drängen sehr auf rasche Umsetzung. Aber da spielen gleich mehrere Beteiligte eine Rolle. Das Wirtschaftsministerium mit seinem zweistelligen Millionenbetrag als Anschubfinanzierung will das Heft bei Gaia X nicht ganz aus der Hand geben. Die Wirtschaftsverbände wollen auch mitreden. Und das ist auch eines der größten Probleme: Wir haben es hier mit einem vielstimmigen Chor zu tun, und die Vorgaben aus dem Wirtschaftsministerium sind abstrakt und unscharf. Mittelständler sehen in Gaia X einen Ansatz, um da für sie überlebensnotwendige Edge-Computing nach vorn zu bringen, also die Verarbeitung Produktionsdaten auf vielen kleine Servern in der Fabrik – on the edge. Die Automobilindustrie sieht in Gaia X eine Mobilitäts-Plattform und eine Chance, günstig an die vielen Daten fürs Maschinenlernen zu kommen, die man fürs autonome Fahren so braucht. Die Verwaltung will eine rechtssichere Cloud-Anwendung für sensible und hoheitliche Daten haben. Alle diese Interessen und Anforderungen müssen da erst mal unter einen Hut gebracht werden, bevor man sich an die technischen Spezifikationen begeben kann. Das wird dauern.
Kloiber: Gaia X soll im nächsten Jahr schon an den Start gehen. Wer wird das Projekt dann betreiben?
Welchering: Das weiß im Augenblick niemand. Diskutiert wird eine Betreibergesellschaft. Wie die aussehen könnte, ist noch völlig unklar. Einige Verbandsvertreter fordern, dass dieses Daten-Rahmennetzwerk als Infrastrukturmaßnahme erst einmal als staatliche Veranstaltung an den Start gehen soll, um dann später privatisiert zu werden. Den Gedanke finden auch einige Politiker ganz charmant. Auf dem Digitalgipfel wurde da eingewandt, dass die Privatisierung von Telekom und Deutscher Bahn für die Infrastruktur nicht unbedingt Vorteile gebracht hat. Also auch da muss sich noch vieles klären.
Kloiber: Wie schätzen Sie die nächsten Schritte von Gaia X ein?
Welchering: Ich fürchte, Gaia X wird es ähnlich gehen wie dem Digitalpakt. Da gibt es viele Konzepte. Große Beratungsunternehmen haben mit vielen Studien gutes Geld verdient. Aber in der Sache hat es so gut wie keine Fortschritte gegeben. Dass Gaia X ein so offenes Konzept sei, sich in technischer Hinsicht nicht festlege, wird von der Politik sehr gelobt. Das Risiko, dass es zu offen für eine Realisierung ist, bleibt groß. Auch ein Daten-Rahmennetzwerk benötigt eine technische Basis, und die fehlt bei Gaia X. Ob die jetzt nach dem Startschuss so draufgesattelt werden kann, da bin ich skeptisch. Die Interessen der Beteiligten liegen dafür viel zu weit auseinander.
Kloiber: Vom Digital-Gipfel der Bundesregierung diese Woche in Dortmund berichtete Peter Welchering, vielen Dank.