Gaia-X
Stärken und Schwächen der deutschen Cloud-Initiative
Sensible und nicht-sensible Daten unterschiedlich behandeln
Ein gescanntes Röntgenbild sollte hingegen so anonymisiert und fragmentiert sein, dass kein Rückschluss auf den Patienten möglich ist. Solche Daten sind ohne den Zugang zu den Tokens nicht mehr personenbezogen und könnten auf einem Gaia-X-Knoten mit niedrigstem Souveränitäts-Level gespeichert sein. Und das könnte dann auch ein US-Hyperscaler sein, denn der würde den Preispunkt für die vielen Petabytes an Röntgenbildern deutlich senken.
Multi-Cloud ist definitiv kein Buzzword, sondern der wichtigste Lösungsansatz um Privatsphäre und Kosten durch das Orchestrieren mehrere Dienste auszubalancieren - genauso, wie es die CIOs früher mit Zugriffszeiten und Kosten ihrer Storage-Systeme gemacht haben. Leider steht davon nichts im Gaia-X-Konzept!
Das BMWi hat im Vorfeld der Ankündigung zu wenig mit den Branchenkennern gesprochen. Selbst der ITK-Verband Bitkom war eher Zuschauer als Wissens-Pool für das Berliner Ministerium. Um die öffentliche Diskussion um die Datensouveränität besser zu strukturieren, hätte Crisp Research eine Betrachtung entlang des bekannten Cloud-Service-Stacks vorgeschlagen. Dann wird klar, wo man überhaupt Datensouveränität braucht:
Colocation: Wem die RZ-Fläche gehört, ist unbedeutend. Heute sollten eigentlich alle Data Center auf oder direkt neben dem Campus eines Colocator-Anbieters liegen - egal ob es sich um das Rechenzentrum einer einzelnen Bank, eines deutschen Service-Providers oder eines internationalen Hyperscalers handelt. Vereinfacht ausgedrückt, bietet der Vermieter ja nur vermietete Räumlichkeiten mit gemeinsamer Strom-, Kälte- und Netzversorgung.
Hier ist die beste Energieeffizienz, Ausfallsicherheit und Konnektivität gewährleistet. Nur Edge-Computing- Situationen, in denen viele Daten lokal an einer Industrieanlage verarbeitet werden müssen oder autonomes Handeln eines IoT Devices erfordern, bilden hier eine Ausnahme. Keinem "Colo" gehören irgendwelche Server. Die Anbieter sind heute im Großraum Frankfurt ein signifikanter Wirtschaftszweig, für die eigentliche Daten-Souveränität aber sind sie irrelevant.IaaS: Hier gilt es, Kosten mit nationaler Souveränität auszubalancieren. Stellen Sie sich vor, Sie sind Anbieter von Rechen- und Speicherressourcen aus der Cloud und plötzlich steht die deutsche Polizei oder ein Geheimdienst wie NSA, CIA oder FBI mit einem Hausdurchsuchungsbeschluss vor der Tür. Dann ist natürlich der Rechtsraum Ihrer Gesellschaft entscheidend. Deutsche Unternehmen werden die amerikanischen Secret Services eher nicht reinlassen.
Genauso wichtig ist aber, was die Polizei oder Agency dort überhaupt finden würde. Im beschriebenen Multi-Cloud-Beispiel des anonymisierten Röntgenbildes hätte die NSA keine Chance, an personenbezogene Daten zu kommen, wenn nicht gleichzeitig die deutsche Polizei den Personenschlüssel aus der Durchsuchung des "deutschen" Gaia-X-Knotens aushändigen würde. Zudem speichert ein erfahrener Cloud-Entwickler sensible Daten in einer Cloud immer verschlüsselt. Die deutsche Polizei müsste also auch noch das verdächtigte Unternehmen selbst durchsuchen um gegebenenfalls lokal gespeicherte Client-Zertifikate zu erhalten.PaaS: Die Entwicklungsplattform sollte für Gaia-X eigentlich viel interessanter als IaaS sein. Hier kann man sich eine Menge schlauer PaaS-Dienste vorstellen, die Gaia-X als Zielplattform interessant machen. Die Bundesregierung selbst hat auch interessante Assets, wie die Identität der Bürger aus dem elektronischen Personalausweis.
Würde Gaia-X eine einzige PaaS-API für das Speichern eines sensiblen Media-Files anbieten, wären nur noch ein paar Zeilen Code nötig, um die Logik für ein Röntgenbild zu anonymisieren und die sensiblen Metadaten auf einem Gaia-X-Knoten, die nicht-sensiblen Bilddaten aber auf einem anderen Knoten zu speichern. Solche branchenunabhängigen Plattformdienste würden Gaia-X zum Durchbruch verhelfen. Sie würden aber auch ein Entwicklungsbudget erfordern, dass heute keiner alleine einbringt.SaaS: Das ist der kritischste Dienst für die Datensouveränität. SaaS liefert fertige Business-Anwendungen oder Geschäftsprozesse, die in gleicher Weise von vielen Unternehmen genutzt werden. Die Daten sind dem Provider im allgemeinen unverschlüsselt zugänglich. Deshalb können amerikanische Geheimdienste die E-Mails oder Office-Dokumente aus Microsofts Office 365 anfordern und ein deutsches Gericht kann beispielsweise SAP anweisen, Transaktionen aus S4HANA auf der HANA-Cloud herauszugeben.
Die Provider müssen sich gegen solche Anfragen immer wieder im Einzelfall gerichtlich wehren. Leider betrachtet das Gaia-X-Konzept den SaaS-Level überhaupt nicht. Zwar bringen sich deutsche SaaS-Anbieter wie die Firma Open-Xchange als Alternative zu Office 365 aktiv ein, aber dieser Punkt müsste strategischer Fokus werden.
Bei Gaia-X aus Fehlern lernen
Das Gaia-X-Konzept hat also noch eine Chance, wenn die Macher aus den Fehlern der erfolglosen nationalen Clouds lernen, ihren Wertbeitrag auf alle drei Ebenen des As-A-Service-Stacks anwenden und in einen infrastrukturunabhängigen PaaS-Stack investieren. Letzterer muss Multi-Cloud-Szenarien der zukünftigen Data-Economy unterstützen.
Damit hätten Kunden eine Lösung die sowohl die Anforderung der deutschen Souveränität erfüllt, als auch die Konkurrenzfähigkeit der amerikanischen Hyperscaler für das große Volumen nutzt. Den Hyperscalern würde es Traffic bringen, solange es die politische Lage erlaubt, aber für die Kunden im Idealfall keinen Lock-In. Vor allem IBM, gefolgt von Microsoft, haben formal Interesse für eine Beteiligung an Gaia-X beim BMWi bekundet, wie die beiden Firmen auf Anfrage der Crisp Research bestätigten.