OUR AI DEFINED PLANET
, , , ,

By

Christian Raum

·

Hermann Haag, DSAG: „Digitale Souveränität ist immer eine Risikoabwägung“

Hermann-Josef Haag ist im DSAG-Vorstand für Personalwesen und den Public Sector verantwortlich. Der Verband beschäftigt sich schon sehr lange mit dem Thema Souveränität. Aktuell habe die geopolitische Situation als Katalysator dafür gesorgt, dass die Angebote deutlich schneller und mit höherer Priorität diskutiert werden.

Viele Datacenter-Betreiber bieten Clouds mit dem Label „Digitale Souveränität“ an. Wie bewerten Sie aus Sicht der DSAG diese Entwicklung?

Hermann-Josef Haag: Es gibt auch im SAP-Ökosystem einige Angebote und viele Mitglieder beschäftigen sich sehr intensiv damit. Gerade in regulierten Bereichen, also beispielsweise im Public Sector, in Banken, im „KRITIS“-Umfeld, bei Stadtwerken und natürlich im Defense sehe ich hohen Bedarf.

Und ich beobachte, wie sich die Diskussionen wandeln. Vor einigen Jahren war die Forderung, Daten dürfen nicht irgendwo in einer Cloud liegen, sie müssen in Deutschland gespeichert sein.

Mittlerweile ist diese Diskussion deutlich erweitert. Der Begriff „Souveränität“ wird von den Anwendern viel deutlicher geformt und definiert. Heute sprechen wir über rechtliche Souveränität, über Betriebssouveränität, es geht um souveräne Prozesse und sichere Künstliche Intelligenz.

Hermann-Josef Haag, DSAG-Fachvorstand Personalwesen und Public Sector: „Europa muss zusammenrücken. Die US-amerikanischen Hyperscaler haben viele Jahre Vorsprung. Um dies aufzuholen, muss Europa all das aus dem Boden stampfen, was über Jahrzehnte nicht aufgebaut wurde.“
(BILD: DSAG)

Dagegen definieren die Anbieter – oft Souveränität vor allem so, wie sie am besten in ihr Angebot passt. Wie groß ist der Gap zwischen Angebot und Nachfrage und nach welchen Kriterien analysieren die Verantwortlichen ihren Bedarf?

Haag: Wer die Notwendigkeit sieht, Daten und kritische Geschäftsprozesse in eine souveräne Cloud zu verlagern, muss für sich einen notwendigen Grad der Souveränität definieren.

Aber was macht einen Anbieter aus Ihrer Sicht tatsächlich digital souverän? Reicht es, sich für eine deutsche GmbH zu entscheiden oder geht es eher darum, dass der Anbieter keine US-amerikanische Software benutzt oder eben keine Infrastruktur in China?

Haag: Tatsächlich ist die Frage nicht so einfach zu beantworten. Ich sehe insbesondere eine Infrastrukturfrage und einige rechtliche Probleme.

Nehmen Sie dieses Beispiel: Ein Cloud-Anbieter hat aufgrund der Marktnachfrage zum Thema digitale Souveränität eine Tochtergesellschaft als deutsche GmbH gegründet.

Allerdings ist sie zu 100 Prozent die Tochterfirma eines US-Konzerns. Die Frage ist, ob ein Unternehmen sich darauf verlassen möchte, dass diese Cloud souverän und rechtssicher vom US CLOUD Act ist.

Das ist eine komplexe Frage – wird in dieser Frage das EU-Cloud-Sovereignty-Framework Orientierung und Unterstützung geben?

Haag: Das BSI wird im Laufe des Jahres diese allgemeinen Souveränitätskriterien für das Cloud-Computing veröffentlichen. Das wären erste Kriterien, an denen Organisationen den Grad der angebotenen Souveränität messen können.

Diese Kriterien könnten als Grundlage zur Bewertung des „Autonomiegrades“ von Cloud-Lösungen dienen. Eine Möglichkeit ist es, diese Vorgaben für Ausschreibungen oder Beschaffungsprozesse heranzuziehen.

Sobald mit dem EU-Cloud-Sovereignty-Framework eine Übersetzung für die Einstufung der Souveränitätsgrade vorliegt, können wir hoffentlich eine gleichwertige Gegenüberstellung der Angebote machen.

Datensouveränität ist laut DSAG-Investitonsreport eine der Herausforderungen der SAP-Anwender.
(BILD: DSAG)

Erwarten Sie, dass es Angebote geben wird, die eine komplette Souveränität gewährleisten? Oder wird es immer eine Software oder eine Hardware geben, die von einem amerikanischen oder chinesischen Hersteller hergestellt wurde?

Haag: Ich glaube nicht, dass wir sofort eine 100-prozentige Souveränität erreichen. Überlegen Sie, wie und wo beispielsweise Computerchips produziert werden. Der Großteil kommt aus China oder den USA.

Das heißt, wir werden immer die paradoxe Situation haben, dass „digital“ und „souverän“ an einem Cloud-Angebot stehen, das eigentlich nicht vollständig souverän ist. Es kommt also darauf an, wie wir Souveränität beschreiben. Und am Ende ist die Entscheidung immer eine Risikoabwägung.

Welche Risiken gehen Organisationen mit einer mehr oder weniger souveränen Cloud-Lösung ein?

Haag: Es gibt eine Reihe von Risiken. Denken Sie an Betrieb oder Zugriff – wer hat Zugriff auf die Daten? Wer betreibt die Plattform? Wird von außen Einfluss auf die Software genommen? Wie überwacht eine IT-Abteilung, dass bei Updates und Patches, keine Backdoors und kein toxischer Code eingebaut werden?

Wichtig ist zu wissen, was in einem Notfall passiert und ob die IT-Abteilung die Plattform wechseln kann; es braucht also eine Exit-Strategie. Bei den Angeboten für den öffentlichen Sektor kommt es besonders auf den Umgang im Krisenfall an. Wird Deutschland angegriffen – wann und wie erfolgt ein Hand-over einer Infrastruktur zur Steuerung durch den Staat?

Das sind wichtige Fragen, auf die Anbieter antworten müssen.

Sehen Sie mit Blick auf die internationale Situation und aus Ihrer persönlichen Perspektive aus einer öffentlichen Behörde das Risiko, dass US-amerikanische Anbieter auf Clouds in Europa zugreifen und da unberechtigt Daten oder Prozesse beeinflussen oder kopieren?

Haag: Da es in der Vergangenheit bereits Beispiele gab, in denen es Zugriffs- oder Nutzungseinschränkungen gegeben hat, ist es ein reales Risiko.

Der E-Mail-Account von Karim Khan, dem Chefankläger beim Internationalen Gerichtshof in Den Haag wurde in der Folge eines US-Erlasses gesperrt. Ein Resultat ist, dass der Europäische Gerichtshof eine Strategieentscheidung getroffen hat und in Zukunft, in dem Bereich, komplett mit Open Source arbeitet.

Gibt es aus dieser Übermacht der USA einen Ausweg?

Haag: Meiner Meinung nach ist eine Abwägung möglich, ob ein Cloud-Angebot oder ein Cloud-Modell für eine Behörde im Rahmen der Risikoabwägung tragbar ist. Es gibt interne Unterscheidungen von kritischen Bereichen, sehr kritischen Bereichen und den Aufgaben, die eben kein hohes oder sehr hohes Schutzniveau benötigen.

Aus marktwirtschaftlicher Sicht ist es relativ einfach zu argumentieren, wer auf dem Cloud-Markt Geld verdienen möchte, positioniert sich einfach gegen die US-Konzerne. Meinen Sie, dass deutsche Cloud-Anbieter tatsächlich eine Chance haben, auf diesem Markt anzutreten, also in einem Bereich, in dem wirklich riesige Datenmengen von großen deutschen Konzernen weltweit verarbeitet und bewegt werden?

Haag: Ich denke, es gibt nur eine Handvoll Anbieter in Deutschland und Europa, die diese Leistungsfähigkeit haben. Die erste Hürde ist, dass die Cloud-Anbieter erst die Infrastruktur schaffen müssen, um solche Volumina auch verarbeiten zu können.

Da muss Europa zusammenrücken und den Schulterschluss suchen. Denn die US-amerikanischen Hyperscaler haben viele Jahre Vorsprung. Um dies aufzuholen, muss Europa all das aus dem Boden stampfen, was über Jahrzehnte nicht aufgebaut wurde.

Tags:

, , , , , , , ,

Kommentar verfassen

Entdecke mehr von OUR AI DEFINED PLANET

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen