Die Crux mit der Souveränität

0
725
Global operierende Digital-Konzerne besitzen im virtuellen Raum große Macht, die der digitalen Souveränität einer Nation schaden. Um sich von diesen Big Playern zu emanzipieren, und die Datenhoheit zu verteidigen, bedarf es auch in Deutschland mehr Anstrengung.(Foto: TheDigitalArtist, pixabay.com)

Die Diskussion um digitale Souveränität erhält dieser Tage eine neue Dimension, denn hier geht es nicht mehr um Souveränität gegenüber anderen Staaten, sondern gegenüber globalen Konzernen. Es geht also nicht nur darum, russische, chinesische und US-amerikanische Ausspähung von Daten zu verhindern, sondern darum, nicht in Abhängigkeit supranationaler, global operierender Digital-Konzerne zu geraten. Das ist eine Herausforderung, der sich besonders europäische Regierungen derzeit widmen. Dies auch deswegen, weil die großen Digital-Konzerne in den USA direktem Staatszugriff unterliegen, ebenso die IT-Unternehmen in Russland oder Telekommunikationsausrüster in China. Europa verfügt nicht über vergleichbare Konzerne und stellt sich daher die Frage nach einer Souveränitätsstrategie. Eine Frage, auf die es viele Antworten gibt, doch bisher keine schlüssigen.

Da ist zum einen die Frage, wie die Daten der Bürger geschützt werden können. Dazu hat Europa mit der Europäischen Datenschutz- Grundverordnung eine Antwort gegeben. Diese trägt innerhalb Europas einigermaßen, doch globale Konzerne wie Google, Amazon und andere halten sich schlicht nicht dran oder erzwingen im “Kleingedruckten” eine Einwilligung über die Verwendung der Daten ihrer Nutzer, die dies zwingend tun müssen, um weiterhin die Dienste dieser Konzerne in Anspruch nehmen zu können.

Doch was macht der Staat? Wie will er sich gegen den Zugriff auf seine Daten schützen? Das ist eine Diskussion, die seit der Abhör-Affäre auf das Handy der Bundeskanzlerin in Berlin läuft, also seit sechs Jahren.

Dutzende von Konzeptpapieren zur digitalen Souveränität kursieren. Doch am Ende des Tages – und das ist die bittere Erkenntnis – lässt sich digitale Souveränität nicht postulieren, sondern nur in Form von ITTechnik “festschrauben”.

All die Think Tanks, Verbände, Parteien und Ministerien, die zu diesem Thema Doktrinen formuliert haben, bleiben eine einfache Antwort schuldig: Wie organisiert der Staat sich so, dass er einer digitalen Fremdbestimmung entgeht. Kann man eine staatliche IT-Infrastruktur so errichten, dass sie es der nationalen Regierung erlaubt, souverän über die Verwendung der Daten und ihre Verfügbarkeit zu entscheiden? Das ist in einer Welt, die von Cloud Computing wird beherrscht und damit der Internationalisierung der Datenspeicherung huldigt, eigentlich eine Frage an die technologische Vergangenheit.

Am Ende geht es immer darum, mit welchen technologischen Partnern digitale Souveränität zu realisieren ist. Denn der Staat selber wird nicht in der Lage sein, den Innovationszyklen bei Softwareentwicklung und dem rasanten technologischen Fortschritt als Selbstversorger oder Eigenproduzent beizukommen. Staaten mit großen IT-Konzernen haben es da einfacher. Was kann also Deutschland machen, um digital souverän zu werden?

Es wird nach technischen Lösungen gesucht, die mit den globalen Playern zu vereinbaren sind. Seit zwei Jahren verhandeln Microsoft und die Bundesregierung. Die Gespräche sind derzeit abgebrochen, nachdem es zwar mehrere Vorschläge seitens Microsoft gab, Rechenzentren zur Verfügung zu stellen, die mehr oder weniger gekapselt werden und durch Mitarbeiter der Regierung betrieben werden könnten. Nach mehreren Verhandlungsrunden ist derzeit jedoch Stillstand. Ein Vorschlag von Microsoft war unter anderem eine sogenannte Airway-Lösung, die das Unternehmen für die NSA nach der Snowden-Affäre eingeführt hat. Beim US-amerikanischen Geheimdienst hatte man nach Edward Snowden keinen Bedarf mehr an Fremdmitarbeitern in den eigenen IT-Systemen. Also erklärte sich Microsoft bereit, die direkte Verbindung nach Redmond in die Zentrale zu kappen und alle Updates und Releases von der NSA selbst prüfen zu lassen. Dies ist für die Bundesregierung aber keine Option, wie diese Zeitung erfuhr, weil trotz dieser Maßnahmen Mitarbeiter von Microsoft Zugang zu den IT-Systemen der NSA haben. Als industrielle Alternative steht der deutsche Softwarekonzern SAP zur Verfügung. Er hat sich angeblich bereit erklärt, eine On Premise Cloud zur Verfügung zu stellen. Das bedeutet, dass eine SAP-Software betrieben wird, allerdings ohne direkten Zugriff von SAP und “gefahren” von Mitarbeitern der Regierung.

Dritte Variante ist derzeit eine Open-Source-Lösung, möglich etwa mithilfe des von IBM gekauften Unternehmens Red Hat oder auch mit Suse. Dies würde ermöglichen, dass die Bundesregierung eine eigene Cloud betreiben könnte. Doch bei all diesen Lösungen stehen nicht alle Funktionalitäten uneingeschränkt zur Verfügung.  Die Bundesregierung ist derzeit also in einer Klemme, zumal ein erster Versuch von Microsoft, T-Systems und der Bundesdruckerei der Bundesregierung eine seriöse Private Cloud anzubieten, letztlich an der fehlenden Nachfrage scheiterte. Microsoft hatte die Infrastruktur auf zwei Rechenzentren in Magdeburg und Frankfurt zur Verfügung gestellt, T-Systems den Betrieb organisiert und die Bundesdruckerei über ein Verschlüsselungssysteme den Treuhänder gegeben.

Im Bundesinnenministerium (BMI) hat man nun eine Arbeitsgruppe “Digitale Souveränität” eingerichtet, die bis zur Sitzung des IT-Planungsrats im März eine Strategie vorlegen will, mit der man eine eigene deutsche Cloud auf Basis von Rechenzentren des Bundes wie auch großer IT-Landesbetriebe, gegebenenfalls auch weiterer kommunaler Rechenzentren, realisieren kann. Diese soll auf Open Source basieren. Gespräche mit Open Source Communities haben bereits stattgefunden. Eine Bereitschaft bei einigen Rechenzentren, etwa Dataport, ist da. Das Ganze läuft aber mit hohem Risiko, denn bereits die Landeshauptstadt München hatte sich vor Jahren von Microsoft abgewendet und auf die Open Source-Lösung Linux gesetzt. Das Ganze endete in einem Fiasko. Mitarbeiter saßen an zwei Bildschirmen. Auf dem einen liefen die Microsoft-basierten Fachanwendungen und auf dem anderen die interne Kommunikation. Im BMI ist man der Ansicht, dass München seinerzeit nicht groß genug gewesen sei, um ein solches Verfahren gegenüber Microsoft durchzustehen. Also heißt das, die Marktmacht zu bündeln. Dafür spricht einiges, denn auch in den Niederlanden und Frankreich gibt es Bestrebungen, sich von Microsoft zu lösen. Was ist das Problem bei Microsoft? Das US-Unternehmen hat mit Windows 10 eine klare Linie in Richtung Consumer-Markt gesetzt. Permanent laufen Metadaten aus den Kundenrechnern in die Entwicklungsabteilung nach Redmond, um die “Gesundheit“ des Systems zu verbessern. Damit fließen aber auch Daten ab, die die Bundesregierung nicht abfließen sehen möchte. Microsoft hat sich also für den Massenmarkt und gegen Government entschieden. Mehrere Zugeständnisse wurden dennoch gemacht, wieder zurückgezogen und aktuell herrscht Schweigen zwischen den Parteien. Auch für Microsoft ist das ein hohes Risiko, denn Deutschland ist der größte Markt außerhalb der USA und die öffentlichen Verwaltungen wiederum der größte Kunde innerhalb dieses Marktes. Microsoft Deutschland stand daher im ständigen kontroversen Dialog mit der Zentrale, denn dort will man von Sonderlösungen möglichst wenig wissen. Die Ausrichtung des Unternehmens auf Windows 10 und die Azure Cloud verspricht voluminöse Umsätze. Sonderregelungen passen da nicht ins Konzept. Wenn einige Regierungen, vorneweg Deutschland und Holland, jedoch abspringen und eigene Wege gingen, widerspricht das dem linearen Microsoft-Geschäftsmodell. In Frankreich ist das bereits geschehen, denn dort haben Gendarmerie und Militär Open-Source-Lösungen eingeführt, um sich von Microsoft zu “befreien“.

Die Diskussionen laufen nun in den beiden IT-verantwortlichen Ressorts BMI und BMF auf vollen Touren. Während im BMI die Arbeitsgruppe Digitale Souveränität definieren will, was Souveränität eigentlich bedeutet und wie sie strategisch gesichert werden kann, laufen im BMF, zuständig für den IT-Betrieb, die Diskussionen darüber, mit wem man das eigentlich realisieren könnte. Hier gibt es große Unterschiede in der Betrachtungsweise, da der Betreiber einer IT-Infrastruktur eine völlig andere Sicht auf die Dinge hat als derjenige, der für die Strategie verantwortlich zeichnet. Im BMF schließt man eine Nutzung verschiedener Cloud-Anbieter schon längst nicht mehr aus, denn die Masse der Daten allein aus der Finanzverwaltung muss irgendwo bleiben. Sie könnten kryptiert werden und in kleinen Paketen auf verschiedene seriöse und geprüfte Cloud-Anbieter verteilt werden. So zumindest derzeit die perspektivische Diskussion im BMF. Das BMI schließt dies völlig aus, wenn staatliche Daten so gespeichert würden, müsse dies obligatorisch in der eigenen Bundes-Cloud geschehen.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here