Souveräne Cloud von SAP und Arvato Systems für deutsche Behörden auf Azure Basis?


Der deutsche Business Software Hersteller SAP und die Bertelsmann-Tochter Arvato Systems verkündeten unlängst Pläne über eine „souveräne“ Cloud Plattform, die speziell für deutsche Behörden und Ministerien konzipiert ist. Darin sollen Daten über Bürger und somit sensible personenbezogene Daten gespeichert werden.

Die Plattform dieser Cloud ist Microsoft Azure, wenn auch gleich beide Partner sich bemühen Bedenken hinsichtlich des Datenschutzes in Cloud Diensten von US Unternehmen zu zerstreuen, dass man Unabhängig von Microsoft sei.

Wie souverän können proprietäre Dienste eigentlich sein?

Handelt es sich hier nicht um ein Oxymoron, wenn einerseits Souveränität suggeriert wird und sich dies zeitgleich auf proprietären Diensten von US-Unternehmen abspielt? DSGVO Kompatibilität mag ein schlagendes Argument sein, doch fernab dieser juristischen Spitzfindigkeit handelt es sich bei nicht quelloffener Software niemals um eine souveräne Lösung, sondern um ein Konstrukt der Abhängigkeit von einem Anbieter. Souveränität heißt Unabhängigkeit und somit die vollständige Kontrolle zu haben. Diese erlangt ein Kunde im Cloudumfeld von Azure und Co jedoch zu keinem Zeitpunkt, denn man kauft nicht die Software, sondern mietet den Dienst auf Zeit. Plattform as a Service (PaaS) oder Software as a Service (SaaS) drückt es ja ganz passend auf. Es wird lediglich eine Dienstleistung gemietet.

Mehr zum Thema: Cloud Computing: Die wichtigsten Begriffe erklärt

Wie eine souveräne Lösung aussähe

Die Lösung besteht aus zwei Komponenten, wenn wir einen einfachen Überblick zugrunde legen. Ein Plattform Layer und ein Applikations Layer. Im angepriesenen Modell wird die Plattform in form von Azure von Microsoft realisiert und die Applikation von SAP und Arvato. Nun wäre Souveränität damit ausgedrückt, dass die Plattform quelloffen ist und nicht nur als managed Cloud, sondern vielleicht auch als On-Premise Lösung, also zum selbst hosten erhältlich ist. Doch sicher wäre On-Premise nicht kriegsentscheidend. Die Transparenz läge in der Cloud Infrastrukturlösung, also welche Software oder Plattform eingesetzt wird. Die Souveränität erlangt der Kunde nur dann, wenn er die Kontrolle hat oder haben könnte, wenn er dies wünscht. Das geht ausschließlich mit quelloffener Software, sogenannte Open Source Software.

Alles andere ist Augenwischerei und suggeriert bestenfalls Souveränität, wie es die Marketingabteilung gerne umdeutet. Doch jenseits der Plattform darf auch die Frage nach der Souveränität der Applikationssoftware gestellt werden. SAP ist nicht bekannt dafür, seine Software und somit seine Geschäftsgrundlage quelloffen zu betreiben. Es handelt sich auch hier um closed Source Software. Doch da SAP sich für seine Software und Dienste entsprechend entlohnen lässt, darf angenommen werden, dass man Kunde und nicht selbst das Produkt ist. Sagen kann man das aber nicht felsenfest. Das könnte man nur, indem der Quellcode auditiert und analysiert wird. Und auch das ist immer nur eine Momentaufnahme.

Fakt ist, im Geschäftskundenumfeld ist SAP nicht wegdenkbar. Das ist auch nicht Gegenstand dieses Berichts. Doch was die Cloud-Infrastruktur angeht, so gäbe es durchaus alternative Lösungen zu Microsoft Azure. Es gibt deutsche Unternehmen, die hier entsprechend quelloffene Lösungen für genau diese sensible Zielgruppe anbieten. An der Stelle sei an Unternehmen wie Nextcloud, Open-Xchange oder Univention verwiesen, die mit Ihrer Sovereign Productivity Suite (SPS) hier genau gegensteuern möchten. Das Thema hatte ich bereits in meiner MFTP Folge 5 behandelt.

Es gibt also vielleicht passendere Alternativen. Schade, dass SAP und Arvato hier nicht selbst auf diese Lösung kamen. Doch vielleicht findet dieser Artikel noch seinen Weg zu den passenden Verantwortlichen? Bleibt zu hoffen. Souveränität erlangen wir in Europa nicht dann, wenn wir uns in die Abhängigkeit der globalen Spieler begeben und hoffen, dass schon alles gut wird. Souveränität erlangen wir nur dann, wenn wir aufstehen und etwas dafür tun. Es wird nicht geschenkt, sondern muss sich erarbeitet werden.


2 Kommentare

Deine E-Mail-Adresse wird nicht veröffentlicht.

  1. “Souveränität heißt Unabhängigkeit und somit die vollständige Kontrolle zu haben.”
    Das ist nicht, wie die öffentliche Verwaltung (z.B. Vitako, Fitko, BMI) Digitale Souveränität definieren, das ist bloß deine Meinung.
    Was SAP angeht: der vollständige Quellcode ist bei jedem ABAP-Stack dabei und per ABAP Workbench zugänglich. Da merkt man direkt, wenn jemand was erzählt, der noch nie vor einem SAP-System saß … “souverän” im Sinne eines Experten wirkst du nicht gerade, Meister.

  2. Sebbi,

    ein wirklcih sehr hilfreicher Beitrag. Es ist schön, dass Du die SE80 kennst und weißt, dass man darüber Programmquellcode auf komfortable Weise einsehen kann. Doch was ist mit SAP-Kernel, Java, BO usw? Wie weit kommst Du da mit der SE80? Bitte weiterdenken als nur bis zum Tellerrand.

    Nur weil die Wirtschaft Souveränität umdeutet, heißt das nicht, das ich falsch liege. Wenn ich keine Kontrolle habe, bin ich nicht souverän. So ist das. Wahrheitsfülle ist leider immer pleonastisch.