Der Sovereign Cloud Stack (SCS) wurde entwickelt, um eine eigene Cloud-Infrastruktur auf Basis von Open-Source-Software zu schaffen. Bis 2024 wurde das Projekt durch das Bundeswirtschaftsministerium gefördert. Was SCS der Verwaltung bietet, wo es bereits eingesetzt wird und wie seine Zukunft aussieht, erzählt der CTO Kurt Garloff im Interview. Die Fragen stellte Anna Ströbele.
Behörden Spiegel: Wie verstehen Sie das Konzept der digitalen Souveränität und hat sich Ihr Verständnis in den letzten Jahren verändert?
Kurt Garloff: Digitale Souveränität ist sich im Digitalen selbstbestimmt bewegen zu können. Die für den Digitalgipfel 2018 ausgehandelte Formulierung enthielt die wichtigen Elemente Datensouveränität, technologische Souveränität und Fähigkeiten. Seit SCS Projektbeginn entstanden allenthalben sogenannte „souveräne Clouds“, die digitale Souveränität versprechen, aber dabei ein stark verkürztes Verständnis von digitaler Souveränität zugrunde legen. Wir haben daher eine Taxonomie dafür entwickelt, zur Einordnung, inwieweit Cloud-Plattformen digitale Souveränität unterstützen. In der Publikation in der Zeitschrift Datenschutz und Datensicherheit unterscheiden wir 4 Stufen:
- Datensouveränität: Die Kontrolle über Speicherung und Weitergabe der Daten. Das ist zur Einhaltung der DSGVO notwendig und schließt aus, dass Daten unter den Cloud Act oder FISA Regeln fallen.
- Wahlfreiheit: Kann man problemlos zwischen Cloudanbietern wechseln? Dazu benötigt man hochgradig kompatible Schnittstellen und gut definiertes Systemverhalten.
- Technologische Souveränität: Hat man Gestaltungsmöglichkeiten, selbst auf Infrastrukturebene Optimierungen und Innovation betreiben zu können? Dies ist nur bei offen entwickelter und vollständig offener Software möglich.
- Kompetenz: Ist auch das Wissen zum Betrieb einer solchen Plattform offen verfügbar und transparent? Kann man somit mit realistischem Aufwand zuverlässig eine Plattform betreiben? Hierfür ist transparentes Betriebswissen, Open Operations erforderlich.
Behörden Spiegel: Was war die Startidee des Sovereign Cloud Stacks und wie hat sich das Projekt letztlich tatsächlich entwickelt?
Garloff: Europäische Bürger, Unternehmen und Staaten haben eine sehr große Abhängigkeit von digitalen Plattformen von außerhalb Europas: Wir sind digitale Kolonie. Diese Abhängigkeit kann gegen uns verwendet werden. Ohne weitere Maßnahmen neigen Plattformmärkte zu Monopolen – wir beobachten hier ein Oligopol weniger großer amerikanischer (und chinesischer) Technologie-Unternehmen, den sogenannten Hyperscalern.
Neben regulatorischen Maßnahmen ist es nach meiner Überzeugung dringend erforderlich, dass in Europa eigene Wertschöpfung und Innovation im Bereich von Cloud-Infrastruktur stattfindet. Diese Notwendigkeit wurde von der Agentur für Sprunginnovationen und vom Bundesministerium für Wirtschaft und Energie auch gesehen und das Projekt SCS bei der Open Source Business Alliance (OSBA) gefördert.
Man darf sich dabei nicht von den vielen Milliarden blenden lassen, die die Hyperscaler gerne anführen, um uneinholbar zu erscheinen. Vieles davon geht in Hardware und Rechenzentren. Und in Plattformdienste, die zwar den Lock-In vergrößern sollen, aber von vielen Nutzern gar nicht benötigt werden. Auch bei Open Source Software (OSS) bedienen sie sich in großem Maßstab.
Letzteres ist der Startpunkt für SCS: Wir schultern die Integration der OSS-Komponenten in eine konsistente offene Lösung gemeinsam, so dass wir sehr viel Effizienz gewinnen und dabei auch Standards definieren können, die einen Betreiberwechsel und eine Föderierung einfach machen. Dafür konnten wir Cloud-Anbieter gewinnen.
Behörden Spiegel: Was waren Ihrer Meinung nach die größten Errungenschaften des Projekts?
Garloff: Wir hatten das große Glück, direkt zu Beginn einen potenten Partner zu gewinnen, der eine eigene Cloud-Plattform aufbauen wollte und damit einen großen Nutzer, der mit unserer Technologie ein kommerzielles Angebot aufgebaut hat. Das Feedback und die Erfahrungen aus dem Produktivbetrieb waren für uns sehr wertvoll. Heute nutzen täglich Hunderttausende Menschen diese Infrastruktur z. B. in der BayernCloud Schule.
Mittlerweile gibt es sechs Anbieter (PlusServer, Wavecon/Noris, RegioCloud, AOV, artcodix, scaleUp Technologies), die die SCS Software erfolgreich für kommerzielle Cloud-Infrastrukturdienste nutzen. Darüber hinaus gibt es Anbieter, die die Container-Plattform auf nicht-SCS Virtualisierung einsetzen sowie private Clouds und Projekte an Hochschulen.
Behörden Spiegel: Wozu dienen die SCS-Standards?
Garloff: Moderne Cloudanwendungen werden durch DevOps Teams vollautomatisch in Test- und Produktivumgebungen installiert. Die Automatisierung der Installation und des Betriebs ist viel Arbeit und stark von der Cloud-/Containerinfrastruktur abhängig. Also benötigt man eine hohe Investitionssicherheit. Bei den Hyperscalern scheint der Fortbestand gesichert, auch wenn die Abhängigkeit hier zu bösen Überraschungen bezgl. der Kosten führen kann, so wie wir das zuletzt bei Microsoft und in noch viel stärkerem Maße bei VMware beobachten konnten.
Bei kleineren Anbietern wird immer das Risiko gesehen, dass sie vom Markt verschwinden könnten. Die SCS-Standards helfen doppelt: Durch die Existenz vieler Anbieter, die technisch hochgradig kompatible Umgebungen anbieten, ist nicht nur das Verschwinden für die Nutzer viel weniger schmerzhaft, sondern sie sind auch vor bösen kommerziellen Überraschungen durch die Abhängigkeiten geschützt. Die SCS-Standards garantieren einen einfachen Anbieterwechsel und sind ein Garant für Qualität, Offenheit und Transparenz.
Die Standards wurden gemeinsam mit der Software entwickelt und sind somit nicht graue Theorie. Sie werden durch die Angebote der SCS-Partner erfüllt. Automatische kontinuierliche (nächtliche) Tests stellen sicher, dass es auch so bleibt.
Das SCS-Projekt hat auch mit Partnern gearbeitet, die eigene Technologie einsetzen und nicht auf die offene Referenzimplementierung von SCS setzen. Sowohl syseleven als auch Cloud&Heat konnten erfolgreich ihre Technologie als SCS-kompatibel zertifizieren. In einem Projekt mit der FITKO wurde erfolgreich das Versprechen überprüft, dass mit den Standards ein Provider-Wechsel sehr viel einfacher zu bewerkstelligen ist. Hierzu wurden bewusst unterschiedliche SCS-kompatible Softwarestacks benutzt. Das Projekt wurde sehr erfolgreich umgesetzt und hat nützliches Feedback für die Standards generiert.
In der internationalen govstack Initiative werden Bausteine für digitale öffentliche Dienstleistungen definiert. Es wurde dort eine Spezifikation zu einem Cloudbaustein entwickelt. SCS erfüllt alle vorgeschriebenen und auch die meisten empfohlenen Standards. Daher werden jetzt Testinstallationen von SCS in einigen afrikanischen Ländern und in den UN-Rechenzentren umgesetzt.
Behörden Spiegel: Welche Vorteile bietet SCS der öffentlichen Verwaltung, insbesondere hinsichtlich der Sicherheit?
Garloff: Durch den Preiswettbewerb sind die vorhergesehenen Leistungen bei Ausschreibungen der öffentlichen Verwaltung durchaus kosteneffizient, aber bei den schnellen Innovationszyklen in der IT ist das Vorhersagbare ja immer nur ein Anfang. Wir wollen doch von der Weiterentwicklung im Bereich KI profitieren, auch wenn wir das vor ein paar Jahren nicht mit ausgeschrieben haben! Bei einer erfolgten Vergabe an proprietäre Anbieter ist die Verwaltung aufgrund der hohen Wechselkosten für alles Unvorhergesehene und häufig auch für Folgeausschreibungen aber dem Anbieter ausgeliefert.
Solche Abhängigkeiten gibt es bei SCS nicht, denn die Standards sind anbieterübergreifend. Zusätzliche Dienste oder Anschlussverträge können flexibel an andere, kompatible Anbieter vergeben werden. Das führt zu einem funktionierenden Markt auch nach einer initialen Vergabeentscheidung – Konkurrenz belebt das Geschäft.
Die Architektur von SCS wurde für sehr hohe Sicherheitsansprüche entworfen. Für eine hohe Sicherheit bei der Isolation verschiedener Nutzer wird die Hardware-Virtualisierung genutzt. Der ganze Entwicklungsprozess bei SCS nutzt Reviews und kontinuierliche Tests für das komplette System, so dass jederzeit ein vollständig validierter Entwicklungsstand vorliegt. Im Falle bekanntwerdender Sicherheitslücken ist damit ein kurzfristiges Bereitstellen und Installieren von Fehlerbehebungen realistisch. Dies ist im Laufe des Projekts mehrmals bewiesen worden.
SCS hat seine Hausaufgaben bezüglich der Softwarelieferkette gemacht. Aus Projektmitteln wurden weiterhin Penetration Tester (Hacker, die im Auftrag des Softwareanbieters Sicherheitslücken suchen und melden) bezahlt. Die gefundenen Schwächen wurden adressiert und viele der Angriffe in automatische Tests umgesetzt, so dass ganze Klassen von Lücken in Zukunft nicht unentdeckt bleiben können. Zwei der SCS Anbieter haben erfolgreich eine BSI C5 Sicherheitszertifizierung durchgeführt.
Behörden Spiegel: Welche Rolle spielt der Sovereign Cloud Stack in der Deutschen Verwaltungscloud-Strategie (DVC)?
Garloff: Frühere Versionen der DVC-Dokumente hatten konkrete technische Anforderungen definiert, die von SCS erfüllt wurden und entsprechend SCS auch explizit als eine mögliche Umsetzung der Anforderungen genannt wurde. Mittlerweile gibt es ein höheres Abstraktionsniveau des DVC-Dokuments, so dass SCS hier nicht mehr so prominent erscheint.
In den Initiativen zur konkreten Umsetzung, insbesondere der Interessengemeinschaft Betrieb von Containern (IGBvC), hat SCS mitgearbeitet und ist dort als eine mögliche Umsetzung der Anforderungen positioniert. Aus diesem Kontext ist auch das erfolgreiche FITKO Providerwechsel-Projekt zu verstehen. Hieraus sollten im nächsten Schritt konkrete Angebote gebaut werden, z. B. mit der openDesk Lösung des ZenDiS, die wunderbar auf SCS funktioniert.
Behörden Spiegel: Nach Ende der BMWK-Förderung: Wie sehen Sie die Zukunft von SCS?
Garloff: Als gefördertes Projekt hatte SCS die Besonderheit, keine eigenen kommerziellen Interessen zu verfolgen und somit die hohe Expertise auch in diverse Aktivitäten – insbesondere der öffentlichen Hand – neutral einbringen zu können. Diese Arbeit wird auch nach dem erfolgreichen Abschluss des Projekts zum 31.12.2024 fortgesetzt: Initial 14 (mittlerweile 16) Unternehmen haben sich zusammengefunden und das Forum SCS-Standards in der OSBA gegründet. Mit den Mitgliedsgebühren wird ein kleines Team finanziert, das die Weiterentwicklung der SCS-Standards steuert und die Zertifizierungen durchführt.
Daneben gibt es Technologiepartner. Sie nehmen durch Support- und Wartungsdienstleistungen Geld ein und finanzieren durch diese die Weiterentwicklung der freien Software. Dank der existierenden Nutzung von SCS fangen sie auch nicht bei Null an. Ich selbst habe das Unternehmen S7n Cloud Services GmbH gegründet, welches auch mit diesen Partnern übergreifende Entwicklung und Wartung koordinieren kann. Darüber hinaus gibt es ein Ökosystem von Dienstleistern für Beratung, Implementierungsleistungen und Schulungen.
