"Der Code muss anpassbar sein"

Wie mithilfe von Open-Source-Software echte digitale Souveränität und damit Unabhängigkeit von Hyperscalern erreicht werden kann, erläutert Peter Ganten, Gründer und CEO der Univention GmbH, im Interview.

IT-Director: Herr Ganten, wie hoch schätzen Sie die Gefahr von digitaler Abhängigkeit in deutschen beziehungsweise europäischen Organisationen ein – und wodurch wird diese Gefahr aktuell befeuert?

Peter Ganten: Massive digitale Abhängigkeiten gibt es schon lange, insbesondere zu den so genannten Hyperscalern wie Microsoft, Amazon Web Services und Google, aber auch zu anderen nicht europäischen Unternehmen wie Atlassian, Apple oder Oracle. Heute können viele Verwaltungen und Unternehmen ihre Leistungen nicht aufrecht halten, wenn sie die Software und Cloud-Dienste dieser Anbieter nicht mehr benutzen können. Es ist nicht übertrieben zu sagen, dass ein Ausfall den Zusammenbruch der gesamten Infrastruktur zur Folge hätte. Einen Vorgeschmack darauf konnten wir im Juli 2024 sehen, als ein Software-Fehler zum Ausfall vieler mit Microsoft-Windows betriebener Computer führte und Flughäfen, Banken oder Kliniken ihre Dienste einstellen mussten. Eine der noch am wenigsten dramatischen Gefahren ist das daraus resultierende ständige Potenzial massiver Preiserhöhungen. Es ist noch kein halbes Jahr her, dass eine fast 1.000-prozentige Steigerung der Lizenzgebühren bei VMware nach Übernahme durch Broadcom für Kunden insbesondere im Mittelstand wirtschaftlich ruinöse Auswirkungen hatte. Und auch im Bereich der öffentlichen Verwaltung sehen wir kontinuierlich stark steigende Kosten für Lizenzen und Cloud-Dienste, ohne dass in einem angemessenen Verhältnis dazu Mehrwerte geschaffen werden. Schlimmer ist, dass sich die Software dieser Anbieter nicht unabhängig überprüfen lässt, und es sich so unmöglich sagen lässt, ob damit gespeicherte Daten wirklich sicher sind. Das bedeutet, dass letztlich nicht kontrolliert werden kann, wer auf Nutzerdaten, Geschäftsgeheimnisse oder vertrauliche Informationen von außen zugreifen kann. Hier droht die Gefahr von Industriespionage und des Abfließens von Informationen an fremde Geheimdienste. Zusätzlich fehlt die Möglichkeit, die mit solchen Lösungen betriebenen Prozesse oder darauf basierende Produkte selbst innovativ zu gestalten und weiterzuentwickeln. Der Quellcode zu diesen Lösungen steht nicht zur Verfügung und falls doch, verbieten es Lizenzen, ihn an die eigenen Bedürfnisse anzupassen. Da heute jedoch praktisch alle Prozesse und Produkte digitale Komponenten haben, bedeutet das, dass Unternehmen, die auf geschlossene Lösungen setzen, ihre eigene Gestaltungsfähigkeit und damit auch ihre Wettbewerbsfähigkeit verlieren. Die Folge ist ein langsames Ausbluten der europäischen Wirtschaft und ein Umlenken der Wertschöpfung in die Taschen der zuvor genannten Unternehmen. All diese Gefahren haben sich durch die geopolitische Situation massiv verschärft. Niemand kann sich mehr sicher sein, dass er bestimmte IT-Anwendungen, insbesondere wenn sie in der Cloud betrieben werden, morgen überhaupt noch benutzen kann. Funktioniert die Google-Websuche morgen noch? Darf ich Daten morgen noch in amerikanischen Clouds speichern oder habe ich vielleicht noch nicht einmal mehr Zugriff auf meine eigenen Daten? Sind meine Kundendaten in der Cloud ausreichend geschützt? Bereits zur Zeit der ersten Trump-Administration haben wir gesehen, dass die USA ganzen Volkswirtschaften den Zugriff auf Cloud-Services amerikanischer Anbieter sperren können, wenn das vermeintlich der Durchsetzung politischer Interessen dient.

Inwieweit suchen europäische Organisationen bereits nach Lösungen, um ihre digitale Souveränität zu stärken?

Viele staatliche Organisationen, aber auch viele Unternehmen suchen heute intensiv nach digitalen Lösungen, die ihnen Kontroll- und Gestaltungsfähigkeit und damit mehr digitale Souveränität bringen. Das betrifft insbesondere hoheitliche Bereiche, sicherheitsrelevante Bereiche wie Militär und Rüstung, kritische Infrastrukturen wie Energieversorger oder das Gesundheitswesen, aber zunehmend auch große Industrieunternehmen. Dazu bauen diese Organisationen oft auch eigenen Open Source Program Offices (OSPOs) auf. Ein prominentestes Beispiel ist das vom Bund aufgebaute Zentrum für digitale Souveränität, kurz Zendis, das als OSPO für die öffentliche Hand wirkt. Dessen Ziel ist es, die gemeinschaftliche Entwicklung von Open-Source-Software zu ermöglichen und Alternativen zu proprietären Lösungen zu entwickeln und zu erproben. Mit dem Weboffice-Arbeitsplatz Opendesk beispielsweise wurde eine wegweisende Alternative zu den proprietären Office- und Kooperationslösungen von Microsoft oder Google bereitgestellt. Bereits eine vierstellige Zahl von Behörden hat Interesse an dessen Nutzung angemeldet. Beides, die Bereitstellung offener Alternativen und die Ermöglichung von Kooperation, führt nicht nur zu mehr Innovation, sondern dauerhaft auch zu Kostenersparnissen und vor allem einer schnelleren und nachhaltigeren Digitalisierung. Aber auch die Industrie ist aufgewacht und beschäftigt sich mit dem Thema. Das merken wir daran, dass seit dem Amtsantritt von Trump Kundenanfragen nach Open-Source-Idendity-and-Access-Management-Systemen (IAM) um rund 30 Prozent zugenommen haben.

Warum reicht eine souveräne Cloud-Infrastruktur allein häufig nicht aus?

Die Frage ist ja, was das überhaupt sein soll. Oft werden mit dem Begriff "souveräne Clouds" Angebote beworben, die nur in wenigen Bereichen mehr Kontrolle bieten. Mit Delos etwa werden die Office-Anwendungen von Microsoft aus einer Cloud bereitgestellt, die von einem europäischen Unternehmen betrieben wird und unter europäische Rechtsprechung fällt. Auswärtige Regierungen können diese Unternehmen deswegen nicht anweisen, bestimmte Daten auszuhändigen oder den Betrieb einzustellen. Dabei wird aber etwas wesentliches übersehen: Der in dieser Cloud betriebene Code muss täglich mit teils hunderten von Updates versehen werden. Diese kommen weiterhin von einem amerikanischen Unternehmen und können jederzeit Hintertüren oder Kill-Switches einführen. Die vermeintliche Sicherheit ist trügerisch, denn Möglichkeiten für den Datenzugriff und zur Erpressung bestehen weiterhin. Und auch die eigentliche Problematik, aus der Abhängigkeit von einem einzigen Anbieter mit den damit verbundenen Kosten- und Innovationsrisiken zu entkommen, wird dadurch überhaupt nicht berührt. Echte digitale Souveränität hingegen wird erreicht, wenn der gesamte Software-Stack offen ist und notfalls auch von Dritten gewartet und weiterentwickelt werden kann – so wie das bei Open-Source-Software grundsätzlich der Fall ist. Nur dann können im Notfall auch so genannte Forks einer Lösung erstellt und selbst betrieben werden.

Welche Rolle spielt an dieser Stelle ein souveränes Identitäts- und Zugriffsmanagement für die Eigenständigkeit von Organisationen?

Organisationen setzen unterschiedliche Anwendungen unterschiedlicher Hersteller ein und wollen in der Regel auch zukünftig am Markt zwischen verschiedenen Lösungen die für sie am besten geeigneten auswählen können. Gleichzeitig müssen sie sicherstellen, dass alle Mitglieder der Organisation auf diese unterschiedlichen Anwendungen einfach, aber gleichzeitig auch sicher zugreifen können. Auch müssen verschiedene Zugriffsrechte definiert und durchgesetzt werden. Administratoren haben naturgemäß andere Rechte als Sachbearbeiter. Und Mitarbeiter aus der Buchhaltung benötigen oft ganz andere IT-Dienste oder Ressourcen als die aus dem Vertrieb. Mit einem IAM-System können an zentraler Stelle einfach und schnell komplexe Sicherheits- und Rechtestrukturen für alle Anwendungen umgesetzt werden und Personen für die Anwendungen freigeschaltet werden, die sie benötigen. Das erhöht die Sicherheit im Unternehmen, da Mitarbeiter beispielsweise nicht aus Versehen Daten löschen oder Schadsoftware ins Unternehmen bringen können. Gleichzeitig erhöht sich der Komfort für Nutzer und die Aufwände im Bereich der Administration werden reduziert. Im Umkehrschluss bedeutet das aber auch: Wer das IAM-System in einer Organisation kontrolliert, kann auch kontrollieren, wer welche Anwendungen in einer Organisation nutzt. Wenn es sich um ein geschlossenes, proprietäres System handelt, das in der Cloud läuft, kann nicht überprüft werden, ob es Hintertüren gibt oder etwa Passwörter abgegriffen werden können. Nutzt eine Organisation Produkte wie Okta oder Microsoft Entra, ist auch im Rahmen des seit 2018 bestehenden Cloud Acts der staatliche Zugriff von Seiten der USA nicht auszuschließen. Genauso können Kostenerhöhungen nicht ausgeschlossen werden und es ist durchaus möglich, dass die Integration bestimmter IT-Anwendungen nur deswegen nicht möglich ist, weil dies nicht im Interesse von Okta oder Microsoft liegt. Ein offenes IAM-System hingegen lässt sich überprüfen. Es kann notfalls auch unabhängig vom ursprünglichen Hersteller gepflegt und weiterentwickelt werden und es lässt sich unter der eigenen Kontrolle und nach eigener Präferenz im eigenen Rechenzentrum oder in der Cloud betreiben. Es garantiert Organisationen also dauerhaft die Kontrolle über die eingesetzten Systeme.

Auf welche Faktoren sollten Organisationen bei der Auswahl eines souveränen IAM achten?

Souveränität über die eigene IT gibt es nur, wenn Kontroll- und Gestaltungsfähigkeit gewährleistet sind. Das bedeutet, der Quellcode des IAM sollte vollständig vorliegen. Der Code muss außerdem anpassbar sein und er muss unter einer Lizenz stehen, die es erlaubt, dass auch diese angepasste Form genutzt werden darf. Für die meisten Organisationen sind Pflege und Weiterentwicklung auf eigene Faust jedoch unwirtschaftlich und nicht zu empfehlen, denn dafür sind erhebliche Erfahrungen und Kenntnisse mit der betreffenden Software notwendig. Es sollte deswegen einen Hersteller geben, der – wie der Lizenzgeber bei proprietärer Software – die Verantwortung für Funktionsfähigkeit, Sicherheit, Weiterentwicklung, Support, Service Level Agreements (SLAs) und so weiter übernimmt. Außerdem müssen alle relevanten Standards unterstützt werden und, wo möglich, sollten verbreitete Standardkomponenten eingesetzt werden, da dies das Risiko von Inkompatibilitäten senkt. Schließlich müssen die Benutzerschnittstellen modern und attraktiv sein und vor allem auch Administratoren die Möglichkeit bieten, je nach Anforderungen ihrer Organisation schnell, effizient und komfortabel neue Dienste an das IAM anzubinden. All dies bieten Open-Source-Lösungen im Gegensatz zu proprietären, geschlossenen Lösungen im höchsten Maße. Daher kann ich Unternehmen nur nachdrücklich empfehlen, sich unbedingt auch Open-Source-Lösungen anzuschauen, wenn sie auf der Suche nach einem IAM sind.