Digitale Souveränität – von der Nische zum Buzzword

Von Peter Ganten, CEO Univention GmbH und Vorstandsvorsitzender der Open Source Business Alliance – Bundesverband für digitale Souveränität

Noch vor wenigen Jahren weckte man vielerorts Unverständnis, wenn man als verantwortlicher IT-Leiter angesichts der allumfassenden Digitalisierung und dem vermeintlichen goldenen Weg in die Cloud Bedenken äußerte und Fragen aufwarf wie: Wer erhält dadurch Zugriff auf sensible Firmendaten? Kann man noch selbst entscheiden und kontrollieren, ob der eingesetzte Code sicher ist oder Hintertüren für konkurrierende oder gar feindliche Organisationen enthält? Können Dritte mit eigenen Daten Innovation betreiben, die letztlich das eigene Geschäft bedrohen?

Nun erleben wir, was es heißt, wenn einige wenige Unternehmen oder Staaten die Technologien und damit die Parameter vorgeben, nach denen wir Handel treiben und Wandel gestalten. Sei es die Sperre des Zugangs zu Cloud-Diensten für ein ganzes Land (siehe heise.de oder die Abhängigkeit vom guten Willen der Plattformanbieter bei der deutsch-europäischen Corona-Warnapp (siehe heise.de).

Diese Fälle haben allen Entscheidungsträgern sehr deutlich vor Augen geführt, warum Digitale Souveränität essentiell geworden ist. Sie hat als Ziel und Anspruch Eingang in die politischen Parteien, in die Regierungen von Bund und zahlreichen Ländern sowie in einige Verwaltungen gefunden. Führende deutsche Industrieunternehmen beteiligen sich an GAIA-X und anderen wichtigen Open-Source-Projekten, um die Kontrolle über die eigenen Daten zu behalten oder wiederzuerlangen.

Ohne digitale Souveränität können eine innovative und wettbewerbsfähige Volkswirtschaft, eine freie Forschung, eine mündige, partizipatorische Gesellschaft und ein moderner vernetzter Staat nicht funktionieren, geschweige denn auch in Zukunft gedeihen.

Was ist digitale Souveränität? Definitionen und Positionen

Digitale Souveränität ist im Kern die Garantie für Staat, Unternehmen und den Einzelnen, darüber zu bestimmen, wer wann unter welchen Umständen auf von ihnen generierte oder selbst gespeicherte Daten zugreifen kann.

Eine weitere Definition des Begriffs verwendet die geplante europäische Cloud- und Dateninfrastruktur GAIA-X. GAIA-X soll im Verbund mit anderen europäischen Ländern eine offene, vernetzte Dateninfrastruktur für Staaten, Unternehmen und Bürger schaffen, die den höchsten Ansprüchen an digitale Souveränität genügt und Innovationen fördert. Ziel ist es, die strategische Handlungsfähigkeit zu erhalten, um “auf Dauer digital frei und selbstbestimmt agieren zu können. Wir müssen dafür auch im Bereich der Daten digital souverän sein.”

Es darf bei der digitalen Souveränität aber keineswegs darum gehen, sich als Europäische Union, Einzelstaat oder Unternehmen abzuschotten und dabei das bewährte Prinzip der Arbeitsteilung aufzugeben. Gerade die Open-Source-Bewegung zeigt eindrucksvoll, dass eine weltweite Zusammenarbeit Innovationspotenziale freisetzt und einen lebendigen Markt schafft. Ebenso wenig kann Souveränität aber darin bestehen, dass insbesondere Behörden, aber auch Unternehmen nach eigenem Ermessen Software und Dienste am Markt einkaufen dürfen, ohne sich über daraus resultierende Gefahren für ihre zukünftige Handlungsfähigkeit überhaupt Gedanken machen zu müssen.

Was auf dem Spiel steht

Digitale Souveränität dient der marktwirtschaftlichen Grundordnung. Diese Ordnung wird unterminiert durch marktbeherrschende digitale Plattformen und Hyperscalern, die den Zugang zu Waren, Dienstleistungen, Inhalten und Daten bündeln und für eigene wirtschaftliche Interessen analysieren und nutzen. Beispiele für diese neuen Intermediäre sind Suchmaschinen, Vergleichs- und Bewertungsportale, Marktplätze, Mediendienste, Spiele oder soziale Netzwerke.

Im Extremfall werden in naher Zukunft einige wenige dominante Player, vor allem aus dem Silicon Valley oder oder aus der chinesischen Diktatur, der europäischen Wirtschaft die Parameter vorgeben, innerhalb derer sie Daten, die wertvollsten Ressourcen der modernen Wirtschaft, erzeugen, speichern und verarbeiten können. Das naheliegendste, vielen Nextcloud-Nutzern sicher bekannte Beispiel ist die sichere Aufbewahrung von geistigem Eigentum, etwa in Form von Designs oder Konstruktionszeichnungen in einer fremden Cloud.

Diese Public Cloud-Plattformen öffnen neuen Formen der Industriespionage und des Protektionismus Tür und Tor. Entwickler von zukunftsweisender Software, beispielsweise für autonomes Fahren, müssen ihre Daten den Serverfarmen von Unternehmen anvertrauen, die schon bald ihre Konkurrenten sein oder von staatlichen Stellen unter Druck gesetzt werden könnten.

Es ist also sinnvoll und absolut notwendig, die Kontrolle über die Cloud zu behalten.

Technologische Abhängigkeit birgt aber auch ein sicherheitspolitisches Risiko. Was etwa, wenn die öffentliche IT-Infrastruktur und damit die interne Kommunikation eines Landes wie der Bundesrepublik vom Funktionieren eines oder einiger weniger Anbieter aus den USA oder China abhängig ist? Sie könnten — womöglich auf Geheiß ihrer Regierung — im Krisenfall gezielt die Kommunikationswege wichtiger staatlicher Institutionen bis hinauf zur Regierung blockieren.

Dabei wären eine möglicherweise vorhandene Backdoor oder ein Kill Switch für Telekommunikations-Anlagen nur die Spitze des Eisbergs. Schon die übermäßige Abhängigkeit von wenigen technischen Plattformen reicht, um das souveräne Handeln eines Staates zu gefährden.

Zeit für neue Prinzipien

Den Gefahren für Marktwirtschaft und Demokratie kann und sollte man mit Prinzipien begegnen, die Offenheit und Transparenz bei Software, IT-Diensten und im Umgang mit unseren Daten großschreiben.

Es muss verbindlich festgelegt werden, dass Software, die in der öffentlichen IT-Infrastruktur zum Einsatz kommt, offen überprüfbar ist. Nur wenn der Quellcode einsehbar und auch veränderbar ist, können Unternehmen und Behörden prüfen, mit welchen Algorithmen und Sicherheitsvorkehrungen bestimmte Hardware-Komponenten und Dienste ausgestattet sind und unter welchem Bias ein System möglicherweise leidet, anstatt blind einer Black Box zu vertrauen. Diese Bedingungen von Nachprüfbarkeit, Flexibilität und Unabhängigkeit erfüllen Open-Source-Angebote am besten. Nextcloud gehört zu der Riege solcher innovativen deutschen Open-Source-Unternehmungen.

Jedes Unternehmen und jede*r Einzelne, die oder der Daten in den IT-Systemen Dritter generiert, muss selbst entscheiden können, wo diese Daten automatisch gesichert werden. Datenverursacher, egal ob privat oder als Unternehmen, sollten das Recht auf eine eigene „Datenadresse“ oder ihren Speicherort haben und gleichzeitig die Möglichkeit zur Kontrolle und selbstbestimmten Freigabe eigener Daten an von ihnen ausgewählte Dienstleister besitzen.

Die freie Wahl des Speicherortes für eigene Daten und die Verfügbarmachung der dort hinterlegten Daten besitzt eine besondere Bedeutung. So wie eine persönliche E-Mail-Adresse zum Standard gehört, muss auch ein persönlicher Datenspeicher zu einem zukünftigen Standard werden — egal ob es sich um ein Gerät in den eigenen vier Wänden bzw. im Unternehmen handelt oder um ein Konto bei einem Anbieter oder Treuhänder meines Vertrauens. Nextcloud erfüllt all diese Bedingungen, so dass es keine Überraschung ist, dass die Lösung zu den am häufigsten nachgefragten Angeboten im App Center der Univention-Plattform UCS gehört.

Offenheit und Transparenz haben zahlreiche positive Auswirkungen für alle Beteiligten.

Der Staat bewahrt sich die Möglichkeit zum unabhängigen, souveränen Handeln und kann seine Infrastruktur besser absichern. Die öffentliche Hand hat bei der Auswahl von Lieferanten mehr Flexibilität und kann ihre Infrastruktur notfalls unabhängig von Dritten betreiben lassen und sie — wenn erforderlich — von diesen an neue Anforderungen anpassen lassen. Und gewinnt so eine höhere Resilienz, auch in Krisensituationen wie der Corona-Pandemie, in der sich die enorme Abhängigkeit von Systemen für die digitale Kommunikation und Vernetzung oder die Logistikbranche deutlich gezeigt hat.

Für die Wirtschaft bringen Offenheit und Transparenz mehrere handfeste Vorteile. Unternehmen können sich an einem weltweiten, offeneren Markt frei bedienen. Gleichzeitig werden die Risiken eines Anbieterausfalls oder eines Strategiewechsels des Anbieters gesenkt sowie die sehr realen Gefahren einer unangemessenen Preisgestaltung oder schlechter Qualität minimiert. Langfristig bleibt die Innovationsfähigkeit erhalten und Eintrittsbarrieren in Märkte werden gesenkt. Firmen können selbst innovative Prozesse aus den von ihnen erzeugten Daten ableiten und zudem ihre Geschäftsgeheimnisse besser schützen.

Für die Forschung zahlt sich Open Source ebenso aus. Die Gewinnung von Erkenntnissen bleibt transparent und die Möglichkeit zu experimentieren und neue Erkenntniswege einzuschlagen bleibt bestehen.

Für die Gesellschaft schließlich birgt Offenheit den fundamentalen Vorteil, Software zu verstehen und kontinuierlich auf den Prüfstand stellen zu können. Bei gesellschaftlich relevanten Systemen haben NGOs und die Medien die Möglichkeit, diese Systeme kritisch zu hinterfragen und zu untersuchen. Zu guter Letzt lässt sich damit auch der Prozess der Software-Entwicklung besser an Nicht-Experten vermitteln. Offenheit hilft somit auch entscheidend beim Aufbau von dringend benötigtem Digitalisierungs-Knowhow.

Offenheit hat noch eine weitere Dimension. Die Ergebnisse von mit öffentlichen Geldern finanzierten oder geförderten IT-Projekten müssen frei zugänglich sein. Damit auch die gemeinschaftliche Nutzung und Weiterentwicklung solchen Codes endlich gelingt, hat die Open Source Business Alliance in Kooperation mit der VITAKO und vielen anderen Partnern gerade das Konzept für ein Open Source Code Repository für die öffentliche Hand veröffentlicht.

In vielen Fällen kommt die Übertragung von Daten aus der eigenen Organisation in Cloud-Rechenzentren gar nicht in Frage. Das ist ein Problem, wenn innovative Algorithmen und Dienste dann nicht genutzt werden können. Deswegen muss es möglich sein, dass die Cloud-Dienste auch zu den Daten kommen. Dies gelingt jedoch nur durch den Aufbau einer offenen, interoperablen Software für die Bereitstellung von Cloud-Diensten, die es praktisch jeder Organisation ermöglicht, Services auf interoperable Weise auch im eigenen Rechenzentrum bereitzustellen und zwischen verschiedenen Anwendern zu wechseln. Wichtig hierbei ist, dass es neben einer Zertifizierungsinstanz keine zentralen Gatekeeper gibt, die entscheiden, welche Daten oder Anwendungen wo und wie laufen bzw. verarbeitet werden.

Um dies zu erreichen beteiligen wir uns auch als Univention gerade an einem weiteren wichtigen Projekt, dem So vereign Cloud Stack (SCS), das eine wichtige Infrastrukturalternative und technische Basis für die europäische Cloud-Initiative GAIA-X bilden soll. Dieser Stack macht Cloud-Infrastrukturen austauschbar, sicher und miteinander kombinierbar, basiert auf einem föderativen Ansatz und ermöglicht es Organisationen, ihre Cloud-Plattformen selbst oder im Rechenzentrum ihrer Wahl betreiben zu können.

Fazit

Es ist ermutigend, dass sich bei fast allen Parteien die Erkenntnis durchgesetzt hat, dass digitale Souveränität keine leere Phrase, sondern ein handfestes Gut ist, das sich wieder zu erlangen und zu schützen lohnt. Und die beschriebenen Projekte, genauso wie der Erfolg von Lösungen wie Nextcloud, zeigen, dass wir auf dem Weg in Richtung digitaler Souveränität schon ein gutes Stück voran gekommen sind.

Wichtige Forderungen an die Politik bleiben aber: Gerade vor dem Hintergrund der aktuellen EuGH Urteils zum so genannten „Privacy Shield“ müssen wir akzeptieren, dass die Speicherung personenbezogener Daten in von uns nicht kontrollierbaren Staaten und Jurisdiktionen mit der DSVGO nicht vereinbar ist. Das ist für viele Organisationen aktuell zwar ein ernsthaftes Problem, kann aber nur mit einer klaren Roadmap hin zu einer Regulierung, die dies auch durchsetzt und Anwendern von Cloud-Services das Recht zur Wahl von Speicherort und Jurisdiktion des Verarbeiters gewährt, gelöst werden. Denn nur dann können Anwender und Anbieter langfristig planen und entsprechende Angebote effizient und zielstrebig entwickeln. Eine solche Roadmap würde einerseits unsere europäischen Werte schützen und betonen und gleichzeitig einen Markt für digitale Souveränität ermöglichende Angebote fördern.

Digitale Souveränität geht uns alle an. Eine Zukunft, in der Staat, Unternehmen und Bürger mit ihren Daten informiert, selbstbestimmt und transparent umgehen. Unser Ziel muss eine Welt sein, in der wir unsere Daten zum Wohle der gesamten Gesellschaft einsetzen und das von allen Stakeholdern auch einfordern, anstatt die Marktmacht ausländischer Plattformen ungefragt zu akzeptieren und sie durch eine unnötige Abhängigkeit noch weiter zu erhöhen.

Start the discussion at the
Nextcloud forums

Go to Forums