Christine Knackfuß-Nikolic, neue Chief Sovereignty Officer von T-Systems, spricht im Interview mit CIO-Redakteur Jürgen Hill über die verschiedenen Ausprägungen von digitaler Souveränität, die damit verbundenen Herausforderungen für Unternehmen sowie die Ziele europäischer Initiativen wie Gaia-X und 8ra.
Was wir in der Kundeninteraktion feststellen, ist, dass der Begriff Souveränität aktuell nicht definiert ist. Es gibt ein komplett unterschiedliches Verständnis oder auch Missverständnis. Wir definieren drei unterschiedliche Ausprägungen von Souveränität , denn Souveränität gibt es in Abstufungen, in “Shades of Grey”. Das Basislevel ist die Datensouveränität, also die Speicherung und Verarbeitung der Daten dem Rechtsschutz des Landes unterliegen, in dem das Unternehmen sein Headquarter hat. Damit möchte man sicherstellen, dass keine Regularien verletzt werden, an die Unternehmen sich in diesem Land halten müssen. Ich denke da etwa an die Datenschutz-Grundverordnung. Datensouveränität bedeutet, die Fähigkeit, vollständige Kontrolle über die eigenen Daten auszuüben.
Die zweite Stufe ist die Betriebssouveränität. Dabei geht es um die Frage, ob ich als Unternehmen Transparenz und Kontrolle über kritische Infrastruktur sowie die betrieblichen Prozesse habe und diese aufrechterhalten kann. Das heißt, kann ich die Menschen anleiten, die das System betreiben, und kann ich kontrollieren, wer Zugang zum Data Center hat? Das Ziel ist, die physische Infrastruktur vor Manipulationen zu schützen, Zugangsrechte zu kontrollieren und zu verhindern, dass das System gehackt oder Business-Prozesse unterbrochen werden.
Die dritte Stufe ist die technologische Souveränität. Diese bezieht sich darauf, ob man in der Lage ist, Hardware- und Software bei Bedarf zu fairen Marktkonditionen zu beziehen oder selbst herzustellen.
Dafür gibt es unterschiedliche Gründe. Der Klassiker ist, einen Vendor-Lock-in zu vermeiden, um zu verhindern, dass einem jemand Preise oktroyieren kann. Das zeigt sich häufig im Zusammenspiel zwischen Unternehmen und Hyperscalern, wenn diese die Preise erhöhen. Um das zu vermeiden, sollten Unternehmen sich nicht unbedingt an einen einzelnen Anbieter binden, sondern einen Multi-Vendor-Strategie verfolgen. So lässt sich eine Wettbewerbssituation schaffen.
Unsere Erfahrung zeigt, dass man nicht für jeden Workload dasselbe Souveränitätslevel benötigt. Souveränität geht mit einem höheren Preis einher, weil teurere Ressourcen genutzt werden, höhere Sicherheitsstandards und mehr Zertifizierungen nötig sind. Das alles treibt die Kosten in die Höhe. Zudem büßt man in der Regel Funktionalität und Skalierbarkeit ein. Diese Trade-off-Entscheidung ist die Kernentscheidung für CIOs. Sie müssen für den spezifischen Workload die maximale Funktionalität und Customer Experience zum niedrigstmöglichen Preis mit dem geforderten Souveränitäts- und Sicherheitslevel erreichen.
Ein Anwender sollte vom Anwendungsfall her denken. Denn niemand stellt sich eine Cloud hin, nur um eine Cloud zu haben.
Christine Knackfuß-Nikolic, Chief Sovereignty Officer von T-Systems
Das ist aus meiner Sicht absolut empfehlenswert. Ein Anwender sollte vom Anwendungsfall her denken. Denn niemand stellt sich eine Cloud hin, nur um eine Cloud zu haben. Das wäre, wie wenn ich ein Pferd kaufe, mir aber vorher keine Gedanken mache, welche Reitsportart ich mit dem Pferd ausüben möchte. Auch hier muss ich mir vorher überlegen, was ich mit dem Pferd tun möchte – Dressurreiten, Springen, Westernreiten – und nach diesen Anforderungen das passende Pferd aussuchen. Der ganze Souveränitätshype wird oft von hinten aufgezäumt und der tatsächliche Bedarf wird nicht berücksichtigt.
Ja, genau das tun Sie. Ein Basis-Use-Case findet oft nur auf dem Datensouveränitätslevel statt, wo Betriebs- und technologische Souveränität nicht unbedingt erforderlich sind. Ein solches Beispiel könnte eine Hyperscaler-Cloud sein, die sich aber an Datenrechte wie die DSGVO hält.
Die erste Herausforderung ist die Abnahme, Nutzung entsprechender souveräner Dienste. An dieser Stelle kann der Staat als Ankerkunde helfen. Wenn schon diskutiert wird, ob vertrauliche Daten auf eine Hyperscaler Cloud gelegt werden können, wie soll dann ein Mittelständler mit weniger Skills und Zeit darauf kommen, dass er es tun muss, wenn die Regierung es nicht tut? Der Staat muss eine Vorbildfunktion einnehmen, um die Nutzung solcher Services anzukurbeln.
Die zweite Herausforderung ist, dass ein 100 Prozent souveräner Markt für Infrastrukturprovider wirtschaftlich schwierig ist. Schließlich ist er klein, erfordert aber hohe Investitionen. Das kann sich ändern, wenn die Nachfrage steigt. Durch die aktuelle geopolitische Lage wird die Nachfrage aktuell stärker und es entsteht ein Window of Opportunity. Das dritte Thema, besonders für Deutschland und Europa, ist der Bürokratie- und Silo-Abbau. Wenn Genehmigungsprozesse ewig dauern oder riesigen Aufwand erfordern und die Kräfte nicht gebündelt werden, erreichen wir nicht die nötige Geschwindigkeit.
Mein Gefühl ist aber, dass die Voraussetzungen noch nie so gut waren wie jetzt. Wenn ich zum Beispiel an das Digitalministerium und den Willen zum Bürokratieabbau denke. Jetzt müssen wir es nur noch umsetzen. Die Bereitschaft ist da, und es liegt auch an jedem Einzelnen – sowohl Verbraucher, Wirtschaft als auch Staat – Europa und Deutschland in Bezug auf digitale Souveränität voranzubringen.
Gaia-X und 8ra unterscheiden sich in zwei wesentlichen Dimensionen. 8ra ist eine Cloud- und Edge-Computing-Infrastruktur mit dem Ziel, eine souveräne und interoperable europäische Umgebung für die Datenverarbeitung und -speicherung zu schaffen, die auf offenen Standards basiert. Gaia-X dagegen ist eine Europäische Initiative zur Schaffung einer Dateninfrastruktur. Sie ermöglicht es Unternehmen Daten souverän und sicher auszutauschen. Beide ergänzen sich also. Das 8ra-Projekt stellt die sicheren Knoten zur Verfügung, während Gaia-X die Verbindungen dazwischen bereitstellt.
8ra baut ein Cloud-Edge-Kontinuum auf, ein Netzwerk aus zehntausenden Knoten. Ein Knoten kann eine große Cloud oder auch ein Chip am Endgerät sein. Diese werden über Ländergrenzen hinweg verbunden. Da kommt der Begriff Cloud Roaming ins Spiel, den wir geprägt haben. Wie beim Mobilfunk, wo Sie automatisch ins Netz eines anderen Providers wechseln, wenn Sie die Landesgrenze überqueren, können Sie sich das bei 8ra ähnlich vorstellen. Wenn Sie ein Mittelständler mit Fabriken in mehreren europäischen Ländern sind, können diese automatisch miteinander kommunizieren, weil ein Cloud Roaming Service angeboten wird.
Wenn wir es als Europa jetzt nicht schaffen, den digitalen Aufholprozess zu bewältigen, wird es uns nicht mehr gelingen.
Christine Knackfuß-Nikolic, Chief Sovereignty Officer von T-Systems
Ich glaube, 8ra hat den Vorteil, in einem anderen “Window of Opportunity” geboren zu sein. Für mich gilt ein bisschen “Now or never”. Wenn wir es als Europa jetzt nicht schaffen, den digitalen Aufholprozess zu bewältigen, wird es uns nicht mehr gelingen. Das gibt Rückenwind für diese Programme, auch wenn viele Interessen sortiert werden müssen. Zudem darf das Ganze nicht wieder in Bürokratie untergehen. Der Handlungsdruck ist groß, da uns klar vor Augen geführt wurde, dass wir als Europäer 80 Prozent der Technologie aus dem nicht-europäischen Ausland beziehen und dadurch wahnsinnig abhängig sind. Solche guten Rahmenbedingungen werden wir nie wieder bekommen. Deswegen hat 8ra eine sehr, sehr gute Chance und wird auch Gaia-X noch mal Rückenwind geben.
Das hängt davon ab, was Sie unter einer Alternative verstehen. Was ich an dem 8ra-Ansatz schätze, ist, dass er nicht naiv an die Angelegenheit herangeht. Alle Beteiligten sind sich bewusst, dass wir die Hyperscaler auch brauchen. So ist 8ra ein komplementärer Ansatz, der Alternativen schafft. Er bietet Resilienz und Unabhängigkeit dort, wo sie notwendig sind. Für sehr souveräne Workloads oder wo es auf Datenaustausch ankommt, kann man auf Hyperscaler verzichten, sie jedoch an anderer Stelle weiterhin nutzen.
Als erstes sollten die Anwender ihre Workloads und die benötigten Souveränitäts- und Security-Anforderungen analysieren. Im zweiten Schritt schaut man sich – etwa mit uns – das Marktangebot an, um die beste Infrastruktur für den jeweiligen Workload zu finden. Viele Anwender, die nur eine Multi-Vendor-Strategie mit Hyperscalern verfolgt haben, fragen sich jetzt, ob das wirklich souverän ist, wenn zum Beispiel der Cloud Act greift oder Services abgeschaltet werden. Sie greifen dann zu einer souveräneren europäischen Hyperscaler-Alternative. Es gibt heute schon viele Angebote im Markt, wie etwa unsere T Cloud, aus denen sich eine gute Lösung zusammenstellen lässt, zumal stark an Kompatibilität und Migrationsfähigkeit gearbeitet wird.
