Digitale Souveränität

Man könnte die von mir empfohlene unabhängige IT auch als digitale Souveränität bezeichnen. Hier bedanke ich mich herzlich für dieses Stichwort, das einer unserer Kunden in einem Projekt-Meeting verwendet hat. Wenn ich dürfte, würde ich mich hier natürlich beim Stichwortgeber auch namentlich bedanken.

Der Begriff Souveränität wird am häufigsten in der internationalen Politik verwendet. Er bedeutet Unabhängigkeit vom Einfluss anderer Staaten. Interessanterweise hat das Wort auch eine andere Bedeutung, laut Duden Überlegenheit bzw. Sicherheit. Im Fußball wirkt ein Abwehrspieler umso souveräner, also überlegener und sicherer, je häufiger er den Ball vor dem Erreichen der gefährlichen Zone am eigenen Tor abfängt.

Digitale Souveränität bedeutet nichts anderes als Unabhängigkeit einer IT-Umgebung von äußeren Einflüssen. Dafür tun wir einiges:

• Wir bauen georedundante Rechenzentren, um von regionalen Desastern nicht hart getroffen zu werden.
• Mehrere Personen in derselben Organisation arbeiten sich in eine technische Materie ein, damit die Organisation bei Ausfall einer Person noch handlungsfähig bleibt.
• Manche Unternehmen setzen bei ihrer IT-Ausstattung auf Dual-Vendor-Konzepte, die eine Sicherheit vor dem Ausfall einer Bezugsquelle bietet.

Man kann die äußeren Einflüsse noch weiter fassen. Die Pandemie hat uns vor Augen geführt, wie gefährlich die Abhängigkeit von internationalen Lieferketten ist. Deutschland und die EU können das medizinische Personal immer noch nicht mit adäquater Ausrüstung vor der Infektion mit dem neuen Corona-Virus schützen.

Digitale Souveränität kann auch so weit gefasst werden, dass man in der IT von internationalen Lieferketten unabhängig wird oder zumindest unabhängiger als heute.

Ist der Zug bei Cloud nicht längst abgefahren?

Cloud ist in der IT ein Mega-Trend. Die Pandemie hat diesen Trend sogar noch verstärkt, was Kommunikation und Zusammenarbeit unter Nutzung von Clouds betrifft. Ein Blick auf den Markt für Public Clouds zeigt, dass wenige US-amerikanische Anbieter diesen Markt größtenteils beherrschen. Ein geflügeltes Wort lautet, der Zug sei bei Cloud längst abgefahren. Deutschland und die EU haben, so sagt man, in diesem Bereich den Anschluss verpasst.

Das mag sein. Aber man zeige mir bitte außer den USA und China ein einziges Land, auf das die obige Aussage nicht zuträfe. Da die Nutzung von chinesischen Cloud-Plattformen außerhalb Chinas nicht sehr verbreitet ist, ist die ganze Welt, (vielleicht) mit Ausnahme von China, bei Cloud Computing von den USA abhängig.

Erschreckend genug, aber keine neue Situation. Die meisten Menschen und Organisationen nutzen seit Jahrzehnten Microsoft Office. Sind wir von Microsoft abhängig? Bis zu einem bestimmten Grad ja. Wenn Microsoft über Nacht die Lizenzpreise für Office massiv erhöht, haben wir ein Problem. So oder so müssen wir zahlen: entweder mehr Geld an Microsoft oder Geld für die Umstellung auf andere Software.

Microsoft weiß das, und hält die Lizenzpreise für Office im gerade noch erträglichen Bereich. Es gibt zu wenig Anreiz dafür, zu anderer Software zu wechseln. Aber ein Wechsel ist prinzipiell immer möglich geblieben. Es gibt andere Software für Büroanwendungen als die von Microsoft. Die in Microsoft-Office-Formaten erstellten Dokumente können von Drittsoftware geöffnet werden. Microsoft hätte das verhindern können, tat es aber nicht. Ein völliges Verschließen gegenüber der restlichen Welt hätte der Verbreitung der Microsoft-Software geschadet.

Bei Cloud ist es ähnlich. Ja, es gibt mittlerweile eine Abhängigkeit von den großen Cloud-Anbietern, hauptsächlich vom Dreigestirn Amazon, Google und Microsoft. Und wenn die US-amerikanische Regierung über Nacht die Nutzung dieser Clouds außerhalb der USA verbietet, haben wir ein großes Problem.

Ist es denkbar, dass die US-Regierung die Clouds US-amerikanischer Anbieter als Druckmittel in der Außenpolitik nutzt, etwa nach dem Schema der Wirtschaftssanktionen gegen einzelne Staaten? Ja. Wie wahrscheinlich ist es, dass ein solches Szenario auch die EU und Deutschland trifft? Darauf habe ich keine Antwort.
Und nun?

Jede Organisation muss für sich die Frage beantworten, gegen welche Risiken sie sich mit welchem Aufwand absichern will. Es gibt bezüglich Cloud zwei denkbare Extrema:

• Man blendet die aus der internationalen Politik möglicherwiese entstehenden Risiken aus und marschiert in Richtung der Nutzung der großen Cloud-Plattformen.
• Man reduziert die aus der internationalen Politik möglicherwiese entstehenden Risiken, indem man die großen Cloud-Plattformen nur für unwichtige Anwendungen nutzt.

Aber es gibt auch Wege zwischen den beiden Extrema. Ein Beispielszenario wäre wie folgt:

• Man setzt auch bei Cloud Computing auf ein Dual-Vendor-Konzept. Damit ist man zumindest dagegen abgesichert, dass die Nutzbarkeit einer der Cloud-Plattformen endet.
• Man beschränkt sich bei wichtigen Anwendungen auf Funktionen, die in mindestens zwei verschiedenen Cloud-Plattformen verfügbar sind.
• Man setzt pro Cloud nur die Bordmittel der Plattform selbst ein. Die Hintergedanken dabei: Noch gefährlicher als die Abhängigkeit von einem Anbieter ist die Abhängigkeit vom Zusammenspiel von zwei Anbietern. Und was heute in der Cloud nur mit einem Zusatzprodukt eines Drittanbieters möglich ist, kann morgen schon mit den weiter entwickelten Bordmitteln der Cloud selbst verfügbar sein.
• Man entwirft und übt eine Rückzugsstrategie aus der Cloud. Dabei ist insbesondere die Replikation der eigenen Daten über die Cloud-Grenzen hinaus zu üben. Zusätzlich muss man testen, ob man ohne die Cloud mit den Daten etwas anfangen kann.

Dabei gibt es natürlich Unterschiede zwischen SaaS und IaaS. Aber dazu vielleicht später.