Categories: CloudCloud-Management

Souverän ist das noch lange nicht

SAP und die Bertelsmann-Tochter Arvato Systems haben Pläne angekündigt, eine „souveräne“ Cloud-Plattform für deutsche Behörden und Ministerien aufzubauen. Dort sollen Bürger- und sonstige sensible Daten gespeichert werden. Die Cloud soll auf Microsoft Azure aufbauen, gleichzeitig aber betonen sie in ihrem kurzen Ankündigungstext ganze neun Mal die Unabhängigkeit von Microsoft und die Souveränität ihres Angebots. Damit sensibilisieren sie erfreulicherweise für die berechtigten Sicherheitsbedenken gegen US-Cloudanbieter und bestätigen sie damit ungewollt, gleichzeitig aber werden sie dem selbst formulierten Anspruch nicht gerecht.

Durch die Nutzung von Microsoft Azure und die zwangsläufig damit verbundene Abhängigkeit von Closed Source bleiben Datensouveränität und Individualisierbarkeit auf der Strecke. Es wird vielmehr das alte proprietäre Spiel von Intransparenz und Vendor-Lock-in weitergeführt, mit allen damit verbundenen Gefahren, wie beispielsweise Problemen bei der Datenmigration oder mangelnder Investitionssicherheit. Digitale Souveränität ist ohne offenen Quellcode gar nicht möglich. Ohne Open Source gibt es weder Transparenz noch Kontrollmöglichkeiten. Solange der Code nicht einsehbar ist, ist er für Behörden, sicherheitssensible Anwendungen oder KRITIS-Infrastrukturen schlicht inakzeptabel. Das bedeutet: Beruht die gesamte geplante Cloud-Plattform nicht auf Open-Source-Technologie, verbietet sich die Beschreibung als „souverän“ und „sicher“. Doch dazu sagen beide Partner nichts.

Eine souveräne Cloud-Plattform für sensible Behördendaten kann es also mit Microsoft-Technologie de facto gar nicht geben – und ist ein Widerspruch in sich, so sehr SAP und Arvato „technische, operative und rechtliche“ Souveränität, Sicherheit und die „vollständige Trennung von den globalen Rechenzentren“ in den Vordergrund rücken. DSGVO-Konformität allein bedeutet eben noch lange nicht echte Datensouveränität. Und die ist nicht nur für Behörden unverzichtbare Voraussetzung für die Cloud-Nutzung. Immer wieder wird von sogenannten Experten kolportiert, der Aufbau einer nationalen Open-Source-basierten Cloud dürfte Jahre in Anspruch nehmen. Das ist Unsinn. Natürlich ist die (deutsche) Open-Source-Wirtschaft in der Lage, Angebote in wenigen Wochen und nicht in Jahren zu entwickeln, wie es bei proprietären Lösungen meist der Fall ist. Staatliche Organisationen ihrerseits sollten in der Lage sein, solche Angebote schnell anzunehmen.

Es ist zu hoffen, dass die deutschen Behörden nicht auf eine solche – man muss fast sagen Mogelpackung – hereinfallen, weil zwei deutsche Unternehmen vermeintlich die Zügel in der Hand halten: Im Kern ist und bleibt diese Cloud ein Microsoft-Angebot, das jede Art von Datenschutz und Souveränität, wie sie deutsche Behörden benötigen, letztlich ignoriert. Staatliche Stellen würden sich abhängig von Microsofts proprietären Technologien machen. Die Tragweite einer solchen Abhängigkeit sehen wir gerade im Energiemarkt. Wollen wir das?

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago