Der deutsche Business Software Hersteller SAP und die Bertelsmann-Tochter Arvato Systems verkündeten unlängst Pläne über eine „souveräne“ Cloud Plattform, die speziell für deutsche Behörden und Ministerien konzipiert ist. Darin sollen Daten über Bürger und somit sensible personenbezogene Daten gespeichert werden.
Die Plattform dieser Cloud ist Microsoft Azure, wenn auch gleich beide Partner sich bemühen Bedenken hinsichtlich des Datenschutzes in Cloud Diensten von US Unternehmen zu zerstreuen, dass man Unabhängig von Microsoft sei.
Wie souverän können proprietäre Dienste eigentlich sein?
Handelt es sich hier nicht um ein Oxymoron, wenn einerseits Souveränität suggeriert wird und sich dies zeitgleich auf proprietären Diensten von US-Unternehmen abspielt? DSGVO Kompatibilität mag ein schlagendes Argument sein, doch fernab dieser juristischen Spitzfindigkeit handelt es sich bei nicht quelloffener Software niemals um eine souveräne Lösung, sondern um ein Konstrukt der Abhängigkeit von einem Anbieter. Souveränität heißt Unabhängigkeit und somit die vollständige Kontrolle zu haben. Diese erlangt ein Kunde im Cloudumfeld von Azure und Co jedoch zu keinem Zeitpunkt, denn man kauft nicht die Software, sondern mietet den Dienst auf Zeit. Plattform as a Service (PaaS) oder Software as a Service (SaaS) drückt es ja ganz passend auf. Es wird lediglich eine Dienstleistung gemietet.
Mehr zum Thema: Cloud Computing: Die wichtigsten Begriffe erklärt
Wie eine souveräne Lösung aussähe
Die Lösung besteht aus zwei Komponenten, wenn wir einen einfachen Überblick zugrunde legen. Ein Plattform Layer und ein Applikations Layer. Im angepriesenen Modell wird die Plattform in form von Azure von Microsoft realisiert und die Applikation von SAP und Arvato. Nun wäre Souveränität damit ausgedrückt, dass die Plattform quelloffen ist und nicht nur als managed Cloud, sondern vielleicht auch als On-Premise Lösung, also zum selbst hosten erhältlich ist. Doch sicher wäre On-Premise nicht kriegsentscheidend. Die Transparenz läge in der Cloud Infrastrukturlösung, also welche Software oder Plattform eingesetzt wird. Die Souveränität erlangt der Kunde nur dann, wenn er die Kontrolle hat oder haben könnte, wenn er dies wünscht. Das geht ausschließlich mit quelloffener Software, sogenannte Open Source Software.
Alles andere ist Augenwischerei und suggeriert bestenfalls Souveränität, wie es die Marketingabteilung gerne umdeutet. Doch jenseits der Plattform darf auch die Frage nach der Souveränität der Applikationssoftware gestellt werden. SAP ist nicht bekannt dafür, seine Software und somit seine Geschäftsgrundlage quelloffen zu betreiben. Es handelt sich auch hier um closed Source Software. Doch da SAP sich für seine Software und Dienste entsprechend entlohnen lässt, darf angenommen werden, dass man Kunde und nicht selbst das Produkt ist. Sagen kann man das aber nicht felsenfest. Das könnte man nur, indem der Quellcode auditiert und analysiert wird. Und auch das ist immer nur eine Momentaufnahme.
Fakt ist, im Geschäftskundenumfeld ist SAP nicht wegdenkbar. Das ist auch nicht Gegenstand dieses Berichts. Doch was die Cloud-Infrastruktur angeht, so gäbe es durchaus alternative Lösungen zu Microsoft Azure. Es gibt deutsche Unternehmen, die hier entsprechend quelloffene Lösungen für genau diese sensible Zielgruppe anbieten. An der Stelle sei an Unternehmen wie Nextcloud, Open-Xchange oder Univention verwiesen, die mit Ihrer Sovereign Productivity Suite (SPS) hier genau gegensteuern möchten. Das Thema hatte ich bereits in meiner MFTP Folge 5 behandelt.
Es gibt also vielleicht passendere Alternativen. Schade, dass SAP und Arvato hier nicht selbst auf diese Lösung kamen. Doch vielleicht findet dieser Artikel noch seinen Weg zu den passenden Verantwortlichen? Bleibt zu hoffen. Souveränität erlangen wir in Europa nicht dann, wenn wir uns in die Abhängigkeit der globalen Spieler begeben und hoffen, dass schon alles gut wird. Souveränität erlangen wir nur dann, wenn wir aufstehen und etwas dafür tun. Es wird nicht geschenkt, sondern muss sich erarbeitet werden.
2 Comments