14.01.2020

GAIA-X: Europas Unabhängigkeitserklärung für die Cloud

Einstieg

Viele europäische Länder betrachten die Abhängigkeit Europas bei digitalen Schlüsseltechnologien wie Cloud Computing äußerst kritisch: Gemeinsam mit Vertretern aus Wirtschaft und Wissenschaft hat das Bundeswirtschaftsministerium die europäische Initiative GAIA-X ins Leben gerufen. GAIA-X soll Cloud-und Edge-Dienste europäischer Anbieter zu einem Ökosystem mit gemeinsamen Regeln, Standards und Technologien vereinen. Willkommen sind auch außereuropäische Anbieter, sofern sie sich diesen Vorgaben anpassen. Das Ziel: Europa, seine Mitgliedsstaaten, Behörden, Unternehmen und Bürger sollen die Souveränität über ihre Daten behalten. Bis Mitte 2020 wollen die Initiatoren eine eigene europäische Organisation gründen. Noch im gleichen Jahr soll es erste technische Lösungen geben.

Leistungsfähige digitale Infrastrukturen sind der Schlüssel zu den Zukunftsfeldern des 21. Jahrhunderts. Künstliche Intelligenz, vernetzte Industrieproduktion, autonomes Fahren, Telemedizin oder digitale Verwaltung erzeugen gewaltige Datenmengen. Um diese Daten auszutauschen und zu verarbeiten braucht es endlose Rechenleistung und Speicherplatz. Die nötige Kapazität liefert die Cloud, also Netzwerke weltweit verteilter Rechenzentren. Im Nahbereich ergänzt so genanntes Edge-Computing, wenn große Datenmengen wie bei Industrie 4.0 vor Ort sehr schnell verarbeitet werden müssen.

Europas Abhängigkeit vom Silicon Valley

Den Weltmarkt für Cloud Computing beherrschen heute fünf Plattformanbieter aus den USA und China. Zusammen erreichten sie 2018 einen Marktanteil von nahezu zwei Dritteln (64 Prozent). Andere Quellen ermitteln sogar einen Marktanteil von über 75 Prozent. Mit gigantischen Budgets für Forschung und Entwicklung und den größten Kapazitäten im Markt bilden diese Hyperscaler heute das Rückgrat für die digitalisierte Weltwirtschaft. Europäische Dienstleister behaupten sich in diesem Markt vor allem als Nischenanbieter.

Somit bestimmt eine Hand voll Konzerne aus den USA und China die Regeln für die digitalen Infrastrukturen in Europa: wie ein Unternehmen auf dem Kontinent Datendienste nutzen oder zu welchen Bedingungen es seinen Anbieter wechseln kann. Jeder der großen Hyperscaler unterliegt der nationalen Gesetzgebung an seinem Stammsitz und kann sich selbstverständlich auch nicht den geopolitischen Interessen seines Heimatlandes entziehen. Was fehlt, sind wirklich international vertrauenswürdige Standards zum Schutz von Daten. So können US-Behörden nach dem CLOUD Act IT-Dienstleister mit Sitz in den USA zwingen, ihnen Zugriff auf Daten zu geben, selbst wenn diese auf Servern außerhalb der USA gespeichert sind.

Wirtschaft fordert digitale Souveränität

Unter dem Eindruck eskalierender Handelskonflikte und des Wettbewerb politischer Systeme bewerten die europäischen Regierungen diese Abhängigkeit als strategischen Nachteil für die Europäische Union.

Das sieht die Mehrheit der deutschen Unternehmen ebenso. 80 Prozent sind überzeugt: In Zukunft hängen Wohlstand und Erfolg unseres Wirtschaftsstandorts davon ab, wie selbstbestimmt wir über leistungsfähige und sichere digitale Infrastrukturen verfügen. 61 Prozent fordern darum von der Bundesregierung ein stärkeres Engagement für die digitale Souveränität. Das ergab eine Umfrage des Meinungsforschungsinstituts YouGov im Auftrag des Verbands der Internetwirtschaft eco unter 500 Führungskräften aus verschiedenen Branchen.

Gemeinsame Wertschöpfung aus Daten braucht Regeln

Was aber bedeutet Datensouveränität? Und wo stößt sie an Grenzen? Zum Beispiel in der vernetzten Industrieproduktion: Damit Industrie 4.0 neue Werte durch Daten schafft, vernetzt sie alle technischen Komponenten und Partner entlang der Wertschöpfungskette.

Ein Hersteller von Produktionsmaschinen will beispielsweise Echtzeit-Betriebsdaten all seiner Maschinen sammeln. Mit einem Lernmodell entwickelt er datenbasierte Mehrwertdienste für die vorausschauende Wartung. Ein lukratives Zusatzgeschäft. Allerdings stehen die Maschinen beim Kunden. Dort fallen auch die Daten an. Der Hersteller sammelt sie und reichert sie auf einer Cloud-Plattform mit Daten aus weiteren Quellen an.

Wem aber gehören diese Daten? Wie bewahrt der Kunde seine Betriebsgeheimnisse? Wer hat in der Cloud Zugriff auf diese Daten? Sind sie vor Wirtschaftsspionage geschützt? Enthalten sie auch personenbezogene Informationen, die besonders schutzwürdig sind? Was, wenn der Cloud-Betreiber bestimmte Funktionen nicht mehr unterstützt? Wie schnell und mit welchem Aufwand lassen sich Daten und Systeme auf eine alternative Plattform verlagern?

Bisher müssen Geschäftspartner in der Industrieproduktion solche Fragen fallweise und durch bilaterale Verträge klären. Für den Hersteller heißt das: mit jedem Kunden aufs Neue! Partner können sich dabei nicht auf etablierte Regeln und Verfahren stützen. Stattdessen müssen sie Systeme, Daten und Interessen in kleinteiliger Projektarbeit vernetzen.

Vor diesen Hindernissen stehen heute digitale Geschäftsmodelle in allen Branchen und Sektoren, etwa in der Telemedizin, ebenso Ansätze für die digitale Verwaltung oder das Auswerten anonymisierter Massendaten zu Forschungszwecken. Aus Unsicherheit beim Datenschutz, bei der Abwehr von Cyberangriffen oder dem Schutz von Geschäftsgeheimnissen zögern noch viele Unternehmen und Organisationen besonders hierzulande, das Potenzial von Cloud- und Edge-Diensten, KI- und Industrie-4.0-Anwendungen auszuschöpfen.

Die drei Ziele von GAIA-X

Dem Wirrwarr an Einzelprojekten, Anbietern, Technologien und Rechtsvorschriften wollen die Initiatoren ein transparentes und rechtssicheres Daten-Ökosystem für Europa entgegenstellen. Vor allem für Unternehmen aus dem Mittelstand soll es künftig einfacher sein, unterschiedliche Services zu kombinieren und Dienstleister nach Bedarf zu wechseln.

Zum hohen Anspruch passt der große Name: Benannt nach der griechischen Erdgöttin Gaia, die als eine der ersten Gottheiten aus dem Chaos entstand, soll GAIA-X eine Ordnung für die datenbasierte Wirtschaft in Europa stiften.

Drei Zielen soll GAIA-X dienen:

Ziel 1: Datensouveränität

Europas Unternehmen und Organisationen müssen immer eine Wahl haben, wo und bei wem sie Daten speichern und verarbeiten und woher sie digitale Dienste beziehen. GAIA-X will Monopole und somit eine einseitige Abhängigkeit Europas von großen außereuropäischen Plattform-Anbietern verhindern. Besonders der Mittelstand soll von Markttransparenz und einem einfachen Zugang zu maßgeschneiderten Angeboten profitieren.

Ziel 2: Datenverfügbarkeit

Wenn Daten zur wichtigsten Ressource werden, brauchen Europas Unternehmen, Behörden, Institutionen und Bürger Garantien: um Daten vertrauensvoll, sicher und transparent auszutauschen. Auch dann, wenn diese Daten durch viele Hände, Systeme und Wertschöpfungsstufen gehen.

Ziel 3: Innovation

GAIA-X soll Innovation in Europa fördern und die datenbasierte Wirtschaft stärken. Die unter GAIA-X versammelten Cloud- und Edge-Dienste unterstützen digitale Geschäftsmodelle aus Europa, die auf dieser Infrastruktur weltweit wettbewerbsfähig wachsen.

Grundzüge einer europäischen Dateninfrastruktur

Aber was genau ist GAIA-X? Nach Aussage der Initiatoren eines definitiv nicht: ein europäischer Hyperscaler. Also eine Konkurrenzplattform zu den Clouds von Amazon (AWS), Microsoft (Azure), Google (Google Cloud), IBM oder Alibaba. Alle Experten sind sich einig: Gegen den technischen Vorsprung, die Finanzkraft und den Marktanteil dieser Hyperscaler kann sich kein europäisches Vorhaben durchsetzen – erst recht kein staatlich initiiertes Projekt mit einem Startbudget von 25 Millionen Euro.

Nach dem Konzeptpapier des Bundeswirtschaftsministeriums wird GAIA-X aus dreierlei bestehen:

  • Regeln,
  • Standards
  • und technischer Infrastruktur.

Damit soll GAIA-X „zentrale und dezentrale Infrastrukturen (insbesondere Cloud- und Edge-Dienste) zu einem homogenen, nutzerfreundlichen System“ vernetzen.

Gemeinsame Standards für Cloud- & Edge-Dienste in der EU

Übersetzt heißt das: GAIA-X wird zu einer Art Register für Cloud- und Edge-Dienste, die sich den gemeinsamen europäischen Regeln und Standards verpflichten. GAIA-X vernetzt die einzelnen Angebote zu einem Ökosystem, in dem Unternehmen und Nutzer passende Services finden, kombinieren und wieder wechseln. Standards, Schnittstellen, Vertragsvorlagen und robuste Verfahren sorgen innerhalb des Ökosystems für Interoperabilität zwischen verschiedenen Angeboten.

Ein solches Öko-System macht beispielsweise Multi-Cloud-Szenarien für Unternehmen beherrschbarer: Durch Kombination verschiedener Cloud-Dienste können Kunden ihren Datenbestand nach dem Sicherheitsbedarf aufteilen. Möglichst wenige, dafür aber besonders sensible Daten verschlüsseln sie vollständig und speichern sie auf Plattformen, die den höchsten GAIA-X-Standards entsprechen und ein Maximum an Datensouveränität garantieren. Will der Kunde dagegen große Datenmengen für das maschinelle Lernen nutzen und sie mit Dritten teilen, lassen sich diese Daten anonymisieren und sogar unverschlüsselt auf den günstigeren Plattformen der Hyperscaler ablegen. GAIA-X soll dazu verlässliche Sourveränitäts-Einstufungen für Dienste liefern und würde somit differenzierte Multi-Cloud- und Multi-Anbieter-Strategien praktikabler und rechtssicherer machen.

Auch im umgekehrten Fall böte GAIA-X Schutz in Sachen Datensouveränität: Besonders der Mittelstand fürchtet bei großen Cloud-Angeboten den so genannten Vendor-Lock-in, wenn also ein Kunde aus technischer Abhängigkeit seinen Dienstleister nicht mehr ohne Weiteres wechseln kann. Die Interoperabilität im GAIA-X-Ökosystem soll derlei Fallen ausschließen.

Anbieter müssen sich zertifizieren lassen

Für die Teilnahme an GAIA-X müssen sich Anbieter von unabhängigen Experten zertifizieren lassen. Die Autoren des Konzepts nennen hierbei vor allem die Aspekte IT-Sicherheit, Service-Levels, Grad der realisierten Datensouveränität und Geschäftsbedingungen. Dazu soll das Ökosystem auf erprobten Auditierungs- und Zertifizierungsverfahren aufsetzen und angemesse Akkreditierungsvorgaben zur Teilnahme am GAIA-X Ökosystem erarbeiten.

Neue Infrastruktur-Komponenten

Automatisch gespeicherter Entwurf 51

Außer Regeln, Standards und Zertifikaten entsteht mit GAIA-X auch ein Stück technischer Infrastruktur: „Jeder bereits am Markt befindliche oder neue Cloud-Dienstanbieter kann durch den Einsatz der GAIA-X-Technologie und deren Referenzarchitektur zu einem Knoten des Netzwerks (GAIA-X-Knoten) werden.“

Das heißt: GAIA-X will Cloud- und Edge-Angebote für Europa nicht nur symbolisch organisieren, sondern tatsächlich auch technisch verbinden. Innerhalb des GAIA-X-Ökosystems müssen Angebote in ihrem Aufbau dazu einer Musterarchitektur folgen. Über diese Architektur ist jedes Angebot als GAIA-X-Knoten technisch erreichbar und identifizierbar. Eine schematische Selbstbeschreibung sorgt für Transparenz und Vergleichbarkeit:

  • wo eine Plattform die Daten des Kunden speichert,
  • wie sie die Daten verarbeitet,
  • welche Technologie sie dazu einsetzt,
  • welche Kapazität sie an Rechenleistung und Speicherplatz bietet
  • und welche Leistungen sie überhaupt bietet.

GAIA-X soll dazu Software-Komponenten bereitstellen wie Identifikations- und Berechtigungsdienste, Schnittstellen und digitale Zertifikate. Die Knoten können dabei sowohl als Public Cloud als auch als Private Cloud oder Edge-Plattform ausgeprägt sein.

Wer sind die Beteiligten?

Zu den Initiatoren gehören die Bundesministerien für Wirtschaft und Energie sowie Bildung und Forschung, dazu Vertreter aus den Sektoren Wirtschaft, Wissenschaft und Verwaltung. 86 Personen führt das Gründungskonzept bereits als Unterstützer und Mitwirkende auf. Die Anbieterseite repräsentieren Technologiekonzerne, Dienstleister aus dem Mittelstand und Initiativen wie die International Data Spaces Association, mit Unterstützung durch Verbände wie Trusted Cloud, EuroCloud Deutschland, eco. Als Vertreter der Anwenderseite beteiligen sich Industrieunternehmen ebenso wie Organisationen aus dem Gesundheitssektor und der Verwaltung. Ende 2019 sind auch konkrete Gespräche zur Zusammenarbeit mit Ministerien, Verbänden und Wirtschaftsvertretern aus Frankreich geführt worden und auch die Europäische Kommission ist eng in die weiteren Planungen eingebunden.

Wie ist der Zeitplan?

Der Eintritt Frankreichs in das Projekt ist der nächste wichtige Meilenstein. Zum Jahresbeginn wollen die Regierungen Deutschlands und Frankreichs gemeinsame Arbeitsgruppen gründen, berichtet der Tagesspiegel.  Zudem besteht großes Interesse weiterer EU-Staaten an der GAIA-X Konzeption. Erste Ergebnisse aus der deutsch-französischen Kooperation werden im Frühjahr erwartet. In dieser Zeit ist zudem die Gründung einer europäischen Gesellschaft geplant. Angedacht ist die Rechtsform einer Europäischen Genossenschaft (SCE). Zum Start soll das Projekt mit 25 Millionen Euro gefördert werden. Die Finanzierung ab 2021 sei noch offen. Erste technische Anwendungen in Form eines Piloten (Proof of Concept) sollen ebenfalls 2020 verfügbar sein. Die Initiatoren hoffen, dass bis Ende kommenden Jahres erste Anwender GAIA-X-Dienste werden nutzen können, meldet die Süddeutsche Zeitung.

Was sind die Kritikpunkte?

Kein Erfolg ohne Amerikaner und Chinesen

Obwohl es die Autoren des Gründungskonzepts explizit ausschließen: Viele Kommentatoren sehen in GAIA-X eine Konkurrenzveranstaltung zu den großen Hyperscalern. Angesichts der technischen Übermacht der großen Monopolplattformen kritisierten die Kommentatoren das Projekt darum als „Cargo-Kult“, „europäische Kopfgeburt“ oder „Staatscloud ohne Innovation“.

Dr. Stefan Ried, Analyst bei Crisp Research erkennt im GAIA-X-Konzept dagegen eine Menge guter Ideen. Doch Erfolgsaussichten hat das Projekt nach Auffassung des IT-Experten nur, wenn das Ministerium aus Fehlern früherer nationaler Cloud-Initiativen lernt und die großen Hyperscaler einbindet.

Das sieht auch Andreas Weiss so, Direktor von EuroCloud Deutschland e.V. und Leiter des Bereichs digitale Geschäftsmodelle beim Internetverband eco: Er versteht GAIA-X als wichtiges Bindeglied im Cloudmarkt zwischen den globalen Public-Cloud-Plattformen und den vielen kleineren, aber spezialisierten Cloud-und Edge-Anbietern in Europa. Das skizzierte GAIA-X-Ökosystem schaffe ein Netzwerk, in dem Kunden ihre Multi-Cloud-Strategie aus einem transparenten und vertrauenswürdigen Angebot zusammenstellen können.

Alle Leistungsebene für Cloud-Dienste müssen berücksichtigt werden

Crisp-Analyst Ried kritisiert noch einen weiteren Punkt: Nach seiner Ansicht beschränkt sich das Konzept des BMWi zu stark auf die Bereitstellung dynamischer Infrastruktur in Form von Speicherplatz und Rechenressourcen aus der Cloud (Infrastructure as a Service, IaaS). Es fehlten aber noch Ansätze für Entwicklungsplattformen (Platform as a Service, PaaS) und besonders für Softwaredienste aus der Cloud (Software as a Service, SaaS), den größten Teilmarkt für Cloud-Services.

Es braucht ein klares Bekenntnis des Bundes zu GAIA-X: als Kunde

Die Entschlossenheit gerade der staatlichen Initiatoren wird entscheidenden Einfluss auf den Erfolg von GAIA-X haben. Da gleich zwei Bundesministerien zu den Gründern von GAIA-X gehören: Wie steht es um die Bundes-Cloud? Werden Bund und Länder ernst machen und ihre Cloud-Ressourcen künftig aus dem GAIA-X-Ökosystem beziehen? Ein solcher Schritt wäre ein klares Signal für die strategische Bedeutung des Projekts und würde in Europa sicher Nachahmer bei anderen Mitgliedsstaaten finden. Das Engagement des Staates als Anwender würde zudem den Weg ebnen für weitere sicherheitskritische Anwendungen in der Medizin und in der Forschung.

Europa ist schon einmal ein Projekt von solcher Tragweite geglückt: Mit der Datenschutzgrundverordnung schuf die Europäische Union den globalen Goldstandard für den Schutz unserer Privatsphäre im Netz. GAIA-X könnte zum Standard werden, der Kooperation und Wertschöpfung rund um die Ressource des 21. Jahrhunderts organisiert: Daten.

Autor: Thomas Sprenger

GAIA-X: Europas Unabhängigkeitserklärung für die Cloud 1
Quelle: BMWi