Standpunkt : Warum Digitale Souveränität nur mit Open Source funktioniert

Der Begriff der „Digitalen Souveränität“ ist in Berlin bei Verbänden und Politik angekommen. Jetzt wird um die Deutungshoheit gerungen. Der Politik ist heute bewusst, wie stark wir in Deutschland und Europa von Hardware, Software und Services abhängig sind, die nicht hierzulande gebaut wurden und über die wir keine echte Kontrolle haben.

Das gilt für Privatpersonen in gleichem Umfang wie für Unternehmen, Bildungseinrichtungen und öffentliche Verwaltung. Solange die Rechner, auf denen die sensiblen, persönlichen Daten und die Geschäftsgeheimnisse gespeichert wurden, unter „unserem Schreibtisch“ standen, glaubten wir noch, dass wir die Kontrolle hätten. Das hat sich in den letzten zehn Jahren geändert.

Jetzt arbeiten und speichern wir in der Cloud – die ja bekanntermaßen nichts anderes ist als Prozessoren und Festplatten anderer Leute in deren Rechenzentren. Dadurch wird uns sehr anschaulich vor Augen geführt, dass wir selbst nicht mehr die Kontrolle haben. Wir müssen darauf vertrauen, dass das Unternehmen, dessen Hard- und Software wir verwenden, keinen „Schindluder“ mit unseren Daten treibt.

Womit wir bei der entscheidenden Frage angelangt sind: Welche Handlungsmöglichkeiten haben wir, wenn wir mit einem Cloud-Provider nicht mehr zufrieden sind oder wenn wir ihm nicht mehr vertrauen können? Damit es kein böses Erwachen gibt, sind bei der Auswahl der Cloud-Anwendungen die folgenden vier Regeln zu beachten:

1. Ein Cloud-Service muss bei unterschiedlichen Anbietern erhältlich sein

Konkurrenz belebt das Geschäft. Nur wenn der Cloud-Service auch von verschiedenen Dienstleistern angeboten wird, können Anwender sicher sein, dass Kostenvorteile auch an die Kunden weitergegeben werden. Solange Anwender jederzeit zu einem anderen Anbieter wechseln können, wird ein Dienstleister nicht nachlassen, Innovationen möglichst als Erster anzubieten.

2. Es muss möglich sein, mit den eigenen Daten zu einem anderen Dienstleister umzuziehen

Ist ein Anwender mit Preis, Qualität oder Service eines Dienstleisters nicht mehr zufrieden, so muss er mit seinen Inhalten zu einem anderen Dienstleister umziehen können. Und zwar ohne, dass der Umzug besonders schwierig, zeitintensiv oder gar mit erheblichen Zusatzkosten verbunden ist. Entsprechend sollten Anwender vor der Entscheidung für einen Cloud-Service auch nachfragen, in welchem Format die Inhalte gespeichert werden. Liegen die Inhalte in einem offenen Format vor? Oder nutzt der Cloud-Dienst ein Spezialformat, aus dem es kein Entrinnen gibt?

3. Ein Cloud-Service muss auch als Software verfügbar sein

Dies ist eine Mindestforderung für einen vertrauenswürdigen Online-Dienst. Denn nur wenn ein Service auch auf einer Software basiert, die öffentlich verfügbar ist, hat der Anwender die Möglichkeit, den Service auch selbst auf eigener Hardware zu betreiben. Dies ist beispielsweise relevant für Unternehmen, die sensible Informationen nicht länger einem externen Dienstleister anvertrauen möchten. Oder ein Unternehmen wünscht eine individuelle Anpassung für eine Applikation, die es bei keinem Service-Provider gibt. Auch hierfür kann der Umzug ins eigene Rechenzentrum die richtige Lösung sein.

4. Vertrauenswürdige Cloud-Services lassen sich nur mit quelloffener Software realisieren

Langfristige Sicherheit und Herstellerunabhängigkeit für die Anwender bietet nur der Einsatz von quelloffener Software, da hier der menschenlesbare Quellcode eines Software-Programms öffentlich zugänglich ist. Denn nur wenn unabhängige Experten den Quellcode (Source Code) einer Software einsehen und überprüfen können, kann ausgeschlossen werden, dass vom Anbieter der Software Hintertüren (Backdoors) eingebaut oder Malware in die Software eingeschleust wurde. Nur quelloffene Software liefert die notwendige Transparenz, um „blindes Vertrauen“ zu ersetzen!

Idealerweise steht die Software eines Anbieters überdies unter einer Open-Source- oder Creative-Commons-Lizenz. Dies stellt sicher, dass die Software zugänglich und nutzbar bleibt, selbst wenn das Unternehmen, das die Software entwickelt hat, nicht mehr existiert.

Cloud-Services sind eine Wachstumschance für Deutschland

Die Vertrauenskrise der US-amerikanischen Internet-Dienste bietet der heimischen Internet- und Softwareindustrie enorme Chancen – welche Politik und Verwaltung durch ihr Einkaufsverhalten entsprechend unterstützen können.

Denn die öffentliche Verwaltung, der Bildungs- und Gesundheitsbereich in Deutschland haben eine enorme Bedeutung bei der Etablierung und Durchsetzung von Standards in der IT-Technologie. Ihr Einkaufsvolumen ist ein ideales Instrument zur gezielten Förderung bei gleichzeitiger Erhaltung des Wettbewerbs.

Bis heute setzt die öffentliche Verwaltung in Deutschland quelloffene Software nur punktuell ein. Nachdem andere europäische Länder wie Großbritannien, Frankreich, Italien, Spanien und Schweden quelloffener Software bei der Auftragsvergabe bereits seit längerem den Vorzug geben, gibt es auch hierzulande erste, entsprechende Willensbekundungen auf Länderebene; beispielsweise aus Schleswig-Holstein, Thüringen und Brandenburg.

Gleiches gilt auch für die Vergabe von Aufträgen der öffentlichen Hand zum Bezug von Cloud-Services. Hier gilt es das Ausschreibungsrecht dergestalt zu ändern, dass bei Ausschreibungen verpflichtend vorgeschrieben ist, dass die Software eines Cloud-Dienstes samt Quellcode zugänglich sein muss und dass die Informationen in offenen Standardformaten gespeichert werden. Nur so behält die öffentliche Hand langfristig die Autonomie über die Daten ihrer Bürger.

Rafael Laguna ist CEO und Mitgründer der Open-Xchange AG, ein Open-Source-Unternehmen mit Standorten in Deutschland, Europa, den USA und Japan. Die Bundesregierung berief ihn im Juli 2019 zum Gründungsdirektor der Agentur für Sprunginnovationen.