Souverän ist das noch lange nicht

SAP und die Bertelsmann-Tochter Arvato Systems haben Pläne angekündigt, eine „souveräne“ Cloud-Plattform für deutsche Behörden und Ministerien aufzubauen. Dort sollen Bürger- und sonstige sensible Daten gespeichert werden. Die Cloud soll auf Microsoft Azure aufbauen, gleichzeitig aber betonen sie in ihrem kurzen Ankündigungstext ganze neun Mal die Unabhängigkeit von Microsoft und die Souveränität ihres Angebots. Damit sensibilisieren sie erfreulicherweise für die berechtigten Sicherheitsbedenken gegen US-Cloudanbieter und bestätigen sie damit ungewollt, gleichzeitig aber werden sie dem selbst formulierten Anspruch nicht gerecht.

Durch die Nutzung von Microsoft Azure und die zwangsläufig damit verbundene Abhängigkeit von Closed Source bleiben Datensouveränität und Individualisierbarkeit auf der Strecke. Es wird vielmehr das alte proprietäre Spiel von Intransparenz und Vendor-Lock-in weitergeführt, mit allen damit verbundenen Gefahren, wie beispielsweise Problemen bei der Datenmigration oder mangelnder Investitionssicherheit. Digitale Souveränität ist ohne offenen Quellcode gar nicht möglich. Ohne Open Source gibt es weder Transparenz noch Kontrollmöglichkeiten. Solange der Code nicht einsehbar ist, ist er für Behörden, sicherheitssensible Anwendungen oder KRITIS-Infrastrukturen schlicht inakzeptabel. Das bedeutet: Beruht die gesamte geplante Cloud-Plattform nicht auf Open-Source-Technologie, verbietet sich die Beschreibung als „souverän“ und „sicher“. Doch dazu sagen beide Partner nichts.

Eine souveräne Cloud-Plattform für sensible Behördendaten kann es also mit Microsoft-Technologie de facto gar nicht geben – und ist ein Widerspruch in sich, so sehr SAP und Arvato „technische, operative und rechtliche“ Souveränität, Sicherheit und die „vollständige Trennung von den globalen Rechenzentren“ in den Vordergrund rücken. DSGVO-Konformität allein bedeutet eben noch lange nicht echte Datensouveränität. Und die ist nicht nur für Behörden unverzichtbare Voraussetzung für die Cloud-Nutzung. Immer wieder wird von sogenannten Experten kolportiert, der Aufbau einer nationalen Open-Source-basierten Cloud dürfte Jahre in Anspruch nehmen. Das ist Unsinn. Natürlich ist die (deutsche) Open-Source-Wirtschaft in der Lage, Angebote in wenigen Wochen und nicht in Jahren zu entwickeln, wie es bei proprietären Lösungen meist der Fall ist. Staatliche Organisationen ihrerseits sollten in der Lage sein, solche Angebote schnell anzunehmen.

Es ist zu hoffen, dass die deutschen Behörden nicht auf eine solche – man muss fast sagen Mogelpackung – hereinfallen, weil zwei deutsche Unternehmen vermeintlich die Zügel in der Hand halten: Im Kern ist und bleibt diese Cloud ein Microsoft-Angebot, das jede Art von Datenschutz und Souveränität, wie sie deutsche Behörden benötigen, letztlich ignoriert. Staatliche Stellen würden sich abhängig von Microsofts proprietären Technologien machen. Die Tragweite einer solchen Abhängigkeit sehen wir gerade im Energiemarkt. Wollen wir das?