Niemand braucht einen Hyperscaler!
Dr. Hans Joachim Popp zählt zu den profiliertesten Stimmen Deutschlands, wenn es um Digitale Souveränität geht. Als langjähriger CIO des Deutschen Zentrums für Luft- und Raumfahrt (DLR) und Berater der Bundeswehr in kritischen IT-Fragen bringt er sowohl technologische Expertise als auch strategische Weitsicht mit. Er setzt sich für eine selbstbestimmte, sichere und zukunftsfähige digitale Infrastruktur in Europa ein.
Wir sprachen mit ihm über Digitale Souveränität und wie Europa unabhängiger von den amerikanischen Hyperscalern werden kann.
Informatik Aktuell: Herr Dr. Popp, Sie haben bereits vor vier Jahren gesagt: "Digitale Souveränität: Wir brauchen sie! Jetzt und ernsthaft!" Nach dem Regierungswechsel in den USA wäre es vermutlich gut, man hätte auf Sie gehört. Wo stehen wir aktuell?
Dr. Hans-Joachim Popp: Natürlich würde ich mir wünschen, meine Vorhersagen wären nicht in so drastischer Form eingetreten. Auf der anderen Seite wird jetzt zum ersten Mal "durchgezählt", was wir so alles in unseren Schatzkammern haben. Und das ist eine ganze Menge. Im Moment sind wir natürlich absolut vulnerabel!
IA: Welche Risiken gibt es? Was kann schlimmstenfalls passieren?
Dr. Popp: Nun, es gibt deutsche Großunternehmen, die sogar ihr Unternehmensverzeichnis komplett an einen der Hyperscaler übertragen haben. Dort ist das Abschalten des ganzen Unternehmens, einschließlich der selbstgeschriebenen Anwendungen, durch einen einzigen Knopfdruck möglich, das geht in beliebiger Granularität, also punktuell oder in Regionen. Auch das Abschalten aller privaten Windows-Computer ist ohne Verzögerung möglich. Was das für unsere Gesellschaft bedeuten würde, kann sich jeder ausmalen. Es hätte die Wirkung eines Blackouts beim Strom, vielleicht noch schlimmer, da wir keine Gegenmaßnahmen ergreifen könnten. Notstromaggregate, Holzöfen, Wärmestuben: Fehlanzeige.
Auch wenn das sicher ein weniger wahrscheinliches Szenario ist, so sind natürlich alle Grade der politischen Erpressung sehr gut denkbar, in der jetzigen Lage eigentlich sogar erwartbar. Aber auch ohne dies können Suchanfragen subtil umgelenkt, bestimmte Nachrichten in ihrer Reichweite begrenzt werden. Die uns abverlangten Lizenzkosten schießen durch die Decke und unser Staatshaushalt bekommt davon so gut wie nichts ab. Insgesamt eine miserable Bilanz, die wir uns selbst eingebrockt haben.
IA: Die Tatsache, dass viele IT-Systeme auf US-amerikanischen Hyperscalern laufen, ist den meisten Menschen außerhalb der IT sicher nicht bewusst. Weiß das C-Level-Management in den Großunternehmen, auf wie dünnem Eis man sich da bewegt?
Dr. Popp: Tja, das ist ein ganz heikler Punkt. Da gibt es schon eine merkwürdige Vogel-Strauß-Politik. In der Annahme, es sei ja "unmöglich", anders zu handeln, lassen sich die Manager darauf ein. Ich habe mehrmals gehört: "Die Leitung ist das Risiko bewusst eingegangen." Rein organisationsrechtlich ist das aber illegal, denn Risiken dieser Größenordnung darf man nicht in Kauf nehmen, ohne aktiv Gegenmaßnahmen zu ergreifen. Es liegt nicht in der Entscheidungshoheit des Topmanagements, solche Bedrohungen einfach hinzunehmen.
Das Verhalten ist insofern kurios, da man bei den Lieferanten für eigene Produktkomponenten oder beim Kundenportfolio eine monopolistische Struktur meidet wie der Teufel das Weihwasser. Jeder Einkäufer fliegt sofort raus, wenn er nicht mehrere Materialquellen am Leben erhält. Nur in der IT reiten wir uns immer weiter in die Abhängigkeit hinein und tun so, als gäbe es keine Alternativen.
IA: Sie sagen, zu großer Respekt vor den Marktführern sei unangebracht. Wie sieht denn eine andere Lösung aus? Was müssen wir hier in Europa tun? Und was sollten IT-Verantwortliche jetzt konkret angehen?
Dr. Popp: Zunächst einmal brauchen wir alle ein anderes Mindset. Das Narrativ, es sei alles super kompliziert und teuer und wir hätten in Europa ja rein gar nichts anzubieten, wird jetzt endlich hinterfragt und siehe da: Wir haben trotz des bislang ja sehr mäßigen Rückenwinds der Politik und minimalem Ressourceneinsatz und bei noch recht begrenzten Anwenderzahlen ein beachtliches Portfolio an stabilen und durchaus funktionalen Software-Modulen für alle Anwendungsbereiche zur Verfügung. Sowohl proprietäre Software von europäischen Mittelständlern wie auch quelloffene Software stehen in vielen Varianten zur Verfügung. Und damit können wir loslegen.
Wir haben ja noch nicht einmal ernsthaft angefangen!
IA: Können wir es überhaupt schaffen, unsere Abhängigkeit nachhaltig zu verringern?
Dr. Popp: Auf diese Frage freue ich mich jedes Mal, denn sie zeigt, wie gut es den Marketingspezialisten über die vielen Jahre gelungen ist, die Software-Infrastruktur als etwas zwangsläufig Großes und Komplexes hinzustellen, das sowohl unsere finanziellen Möglichkeiten als auch unsere handwerklichen Fähigkeiten bei weitem übersteigt. Die Nachricht hat immer gelautet: Versuch es gar nicht erst! Und das haben wir befolgt. Jetzt sehen die Ersten, dass es gar nicht so schwer ist, sich auf eigene Füße zu stellen. Es macht sogar Spaß! Wir haben ja noch nicht einmal ernsthaft angefangen!
IA: Haben Sie ein Beispiel dafür, wo dieser Unterschied deutlich wird?
Dr. Popp: Am plakativsten ist das seit Corona allgegenwärtige Video-Konferenzsystem. Die großen Anbieter haben Millionen Nutzer und wenn man sich den Entwicklungsaufwand ansieht, dann ist das in Wahrheit überschaubar. Eine Eigenentwicklung auf Open-Source-Basis lohnt sich schon für ein paar hundert Nutzer. VTC ist das Werkzeug mit dem besten Verhältnis von Aufwand zu Nutzen. Schon um unsere Betriebs- und Dienstgeheimnisse zu wahren, müssen wir diese Technologie ganz dringend selbst beherrschen! Inzwischen tun das mehrere hundert Einrichtungen, ohne die etablierten Tools auch nur einen Moment zu vermissen.
IA: Aber können wir das mit den vorhandenen Rechenzentrums-Kapazitäten überhaupt bewältigen?
Dr. Popp: Absolut! Inzwischen wissen wir: Niemand braucht einen Hyperscaler. Mittelständische RZ-Kapazitäten gibt es reichlich. Ein per Gesetz der DSGVO verpflichteter Provider nimmt einem viele Compliance-Sorgen ab. Betriebliche Arbeitsdaten haben in der Regel überschaubare Volumina. Gerade die öffentliche Verwaltung hat ja keine Riesenmengen an Daten. Im Gegenteil: Die Register passen gut auf vorhandene Systeme. Auch Skalierbarkeit wird viel weniger gebraucht, als man im ersten Augenblick denken mag. Weltweit verteilte Unternehmen können auch in Übersee genauso von deutschen Rechenzentrumsbetreibern versorgt werden, wie dies US-Unternehmen mit deutschen Kunden machen.
Wir haben jetzt die Chance, alles neu zu denken und wir können auch Innovationsschritte machen, die ein monopolistischer Anbieter in der Vergangenheit eben nicht gehen musste.
IA: Sie haben schon vor Jahren eine Professionalisierung von Open Source vorgeschlagen. Was meinen Sie damit?
Dr. Popp: In der Open-Source-Community steckt ein Schatz an Wissen und Engagement, der unvorstellbar groß ist. Bisher ist es uns nicht gelungen, dies ganz bewusst zum Wohle der Unternehmen und des ganzen Gemeinwesens zu nutzen. Open Source ist millionenfach im Einsatz, aber meistens "unter der Haube" und deshalb bisweilen gefährlich unbeachtet. Völlig unverbindlich und ohne jede Haftung aufgebaute und mit Liebe, aber ohne Finanzen gepflegte Software-Module gewinnen in der Infrastruktur einen großen Stellenwert. Das ist zu risikoreich, um es einfach laufen zu lassen.
Ich sehe außerdem immer noch Verständigungsschwierigkeiten zwischen den Open-Source-Entwicklern, den Prozessgestaltern in der Industrie und den unbedarften Endanwendern. Diese drei Gruppen müssen enger zusammenkommen und einander besser verstehen lernen. Open-Source-Lösungen müssen zu echten Produkten werden, die mit minimalem Fachpersonal betrieben, mit kontinuierlichen Updates versorgt und in ihrem Systemverhalten im Betrieb lückenlos überwacht werden können. Fehlermeldungen wie "Something went wrong!" müssen der Vergangenheit angehören. Damit würden wir dann auch gegenüber den etablierten Produkten einen Innovationsschritt machen. Es ist ja nicht so, dass es da keine offenen Wünsche gäbe.
Ein weiteres dringendes Anliegen der Software-Betreiber ist der lückenlose Herkunftsnachweis für alle verwendeten Programmteile. Das Zentrum für Digitale Souveränität hat mit der Open-Code-Plattform den Weg dorthin vorgezeichnet. Eine Kommune muss sich darauf verlassen können, dass eine dort abgelegte Anwendung ein definiertes Sicherheitsniveau hat. Erst dann werden wir die Effizienzvorteile auch dauerhaft nutzen können.
Digitale Souveränität auf den diesjährigen IT-Tagen
Spannende Vorträge zum Thema Digitale Souveränität erwarten Euch auch auf den IT-Tagen, der Jahreskonferenz von Informatik Aktuell. Die IT-Konferenz findet jedes Jahr im Dezember in Frankfurt statt – dieses Jahr vom 08.-11.12.
IA: Sie erwähnten gerade das Zentrum für Digitale Souveränität. Kann so eine Initiative überhaupt nennenswerte Wirkung entfalten?
Dr. Popp: Die Frage stellt sich nicht! Das ZenDis hat mit den bislang sehr beschränkten Möglichkeiten schon Unglaubliches bewirkt. Es ist absolut ärgerlich, dass die Finanzierung so schleppend erweitert, ja sogar von Einzelnen immer wieder in Frage gestellt wird. Das meine ich mit neuem Mindset: Es muss allen klar sein, dass wir jetzt ganz schnell und mit voller Kraft handeln müssen. Sonst wird es wirklich kritisch.
IA: Um einen Vendor Lock-in zu verhindern, ist Austauschbarkeit von Komponenten ein wichtiger Punkt. Dazu sind Standards und Normen erforderlich. Wie sieht da die aktuelle Entwicklung aus?
Dr. Popp: Die Entwicklung und Durchsetzung von Standards wurde in den letzten Jahren leider sehr vernachlässigt. Bislang haben wir fast nur proprietäre Standards. Die vorhandenen ISO-Normen werden von den dominanten Anbietern kaum beachtet. Oftmals fehlt auch der Detailgrad, der eine tatsächliche Kompatibilität sicherstellen würde. So sind die offenen Dokumentenformate leider nicht pixelgenau definiert, sodass Layouts in verschiedenen Systemen nicht wirklich gleich aussehen. Das muss geändert werden. Dazu muss Europa viel mehr in die Teilnahme an den Normungsgremien investieren und dort größeren Einfluss nehmen.
Stattdessen haben wir in der Vergangenheit gerade im Verwaltungsbereich oftmals "Kompatibilität mit MS Outlook" ausgeschrieben. Das hat natürlich den Abhängigkeiten auch unserer mittelständischen Software-Anbieter von Microsoft Tür und Tor geöffnet.
Zukünftige Standards, von denen wir gern auch ganz eigenständig welche definieren sollten, müssen einen Schwerpunkt auf Kompatibilität zwischen verschiedenen Entwicklungsstufen setzen. So wie ich heute ein 20 Jahre altes USB-Gerät immer noch an einem modernen Computer zum Laufen bringe, so muss Versionskompatibilität ein zentrales Ziel sein. Das kostet "Hirnschmalz", aber es spart im Betrieb hinterher erhebliche Ressourcen und beim Anwender Nerven. Volkswirtschaftlich rechnet sich das in jedem Fall.
Wir haben jetzt die Chance, die Systeme grundlegend zu verbessern.
IA: Gaia-X wurde vor einigen Jahren als Projekt in Richtung digitaler Souveränität gestartet. Einige sehen es als gescheitert. Was ist hier passiert?
Dr. Popp: Gaia-X war von der Grundidee die Wiederbelebung der sehr erfolgreichen Airbus-Idee. Nun muss man sich ja nur einmal vorstellen, Franz-Josef Strauß hätte damals Boeing eingeladen, in diesem neuen Konsortium mitzuarbeiten, um seine Dominanz auf dem Weltmarkt zu beenden. Bei dem Gedanken muss jeder lachen, bei Gaia-X haben wir genau das getan. Zudem hat man sich sehr umfangreiche, dafür aber wenig präzise Ziele gesetzt. Das hat es sicher nicht leichter gemacht. Ich denke, aus Gaia-X können noch Erkenntnisse herauskommen, aber sicher kein Beitrag zur digitalen Souveränität Europas.
IA: Was ist Ihre Vision? Wo sehen Sie uns in fünf oder in zehn Jahren?
Dr. Popp: Oh, wo soll ich da anfangen? Ich hoffe, wir sind jetzt als Informatik-Community und als ganze Gesellschaft hinreichend aufgeschreckt, um unsere Situation neu zu bewerten und in Aktion zu treten. Ich habe in den letzten Monaten in Open-Source-Entwicklerteams ganz tolle Erlebnisse gehabt. Wir haben mit überschaubaren Ressourcen Sachen gebaut, die besser waren als alles andere davor.
Wir haben jetzt die Chance, die Systeme grundlegend zu verbessern. Wenn wir es schaffen, die Lines of Code pro User deutlich herunterzubringen, d. h. mehr Anwender pro Applikation zu haben, können wir uns ein Neudesign vieler Funktionen locker leisten. In zehn Jahren haben wir hoffentlich vielfach georedundante RZ-Systeme, die unaufgeregt in kleinen Einheiten zwischen den Wohn- und Industrieanlagen stehen, all ihre Abwärme zum Heizen anbieten und die FLOPS insgesamt gezielter einsetzen. On-Prem-Betrieb wird in neuer professionalisierter Form eine Renaissance erleben. Gerechnet wird dort, wo die Ergebnisse gebraucht werden – weniger Last auf den eigentlich zu vulnerablen Netzen.
Und die Standardisierung wird dann auf dem OSI Level 7 vorangetrieben, d. h. es ist nicht mehr nur der Stecker passend, sondern die ganze Datenstruktur ist genormt. Wenn die ERP-Systeme für alle Datenklasse einem Standard folgen, so wie heute bei der elektronischen Rechnung, dann kann man auch dort die Marke wechseln, ohne zusammenzubrechen. Das muss so leicht sein, wie die Fotos von einer Festplatte auf die andere zu bringen. Dann wird es insgesamt wieder mehr Wettbewerb geben, so wie wir das vor über 100 Jahren im Maschinenbau erlebt haben.
IA: Herr Dr. Popp, vielen Dank für das Gespräch!
