Cloud-Plattform von SAP und Arvato veranlasst Kritik

Aktuell wollen SAP und Arvato Systems ein gemeinsames Unternehmen gründen, um eine Cloud-Plattform für die deutsche Verwaltung aufzubauen. Der genaue Go-Live hängt nach Angabe von SAP von der endgültigen Abnahme durch die zuständigen Behörden ab. Das Unternehmen plant eine Infrastruktur von Hyperscaler-Qualität aufzubauen und zu betreiben, um dem öffentlichen Sektor Cloud-Services anzubieten und deren Einsatz zu beschleunigen. Es soll in den nächsten Jahren mehrere hundert Mitarbeiter vor allem in den Bereichen Technik, Betrieb und Support beschäftigen.

»Diese Partnerschaft ist ein Meilenstein für cloudbasierte Innovation in und für Deutschland. Gemeinsam stellen wir die neuesten cloudbasierten Technologien bereit und erfüllen gleichzeitig selbst die strengsten Anforderungen an Datensouveränität«, so Christian Klein, Vorstandssprecher der SAP SE. Durch diese Zusammenarbeit könnten Bundesregierung und Behörden das Potenzial von Cloud-Lösungen vollumfänglich nutzen.

Cloud-Plattform baut auf Microsoft Azure auf

Der neue Rechtsträger will die Digitalkompetenzen von SAP und Arvato Systems anwenden und sich auf die verbreitete »Microsoft Azure« Cloud-Plattform im Rahmen der Microsoft-Technologielizenz stützen. Zudem wird das neue Unternehmen alleiniger Eigentümer der Plattform sein und eine Cloud-Infrastruktur für Microsoft-Produkte unabhängig von der bestehenden Microsoft-Infrastruktur betreiben. Neben »Microsoft 365« und anderen Kollaborationswerkzeugen wird SAP über die Infrastruktur eine umfangreiche Suite von eigenen Cloud-Lösungen bereitstellen. Ebenso sollen zugelassene Drittanbieter ihre Applikationen auf der Plattform anbieten können. Sowohl Datenverarbeitung und Datenhaltung als auch der Betrieb sämtlicher Services erfolgen in Deutschland. Somit blieben alle Kundendaten des öffentlichen Sektors hierzulande. Das neue Angebot werde laut SAP und Arvato gemäß den Vorgaben deutscher Gesetzgebung technisch, operativ und rechtlich souverän sein. Geplant ist, dass der technische Betrieb durch Arvato Systems übernommen wird.

Matthias Moeller, CEO der Arvato Systems Group und CIO von Bertelsmann, freut sich über die gemeinsamen Pläne mit SAP: »Bei Arvato Systems unterstützen wir seit Jahren große Infrastrukturprojekte, auch in der öffentlichen Verwaltung, und verstehen deren besondere Anforderungen. Die geplante Partnerschaft bietet die besten Ergebnisse aus verschiedenen Perspektiven.« So gehe es um Nutzung fortschrittlichster Technologie unter Wahrung deutscher Souveränitätsinteressen, um so die Digitalisierung sowohl für Bürgerinnen und Bürger als auch für die Menschen in der Verwaltung voranzutreiben.

Kritik wegen Zweifel an Souveränität

Kritik – gerade an der von SAP und Arvato betonten Souveränität der Plattform – kommt von Holger Dyroff, COO und Managing Director von ownCloud. Owncloud entwickelt und integriert Open-Source-Software für die digitale Zusammenarbeit und sieht sich eben durch digitale Souveränität, Sicherheit und Datenschutz als Alternative zu öffentlichen Cloud-Anbietern.

Dyroff kritisiert recht ausführlich: »Die Cloud soll auf Microsoft Azure aufbauen, gleichzeitig aber betonen sie in ihrem kurzen Ankündigungstext ganze neun Mal die Unabhängigkeit von Microsoft und die Souveränität ihres Angebots. Damit sensibilisieren sie erfreulicherweise für die berechtigten Sicherheitsbedenken gegen US-Cloudanbieter und bestätigen sie damit ungewollt, gleichzeitig aber werden sie dem selbst formulierten Anspruch nicht gerecht.

Durch die Nutzung von Microsoft Azure und die zwangsläufig damit verbundene Abhängigkeit von Closed Source bleiben Datensouveränität und Individualisierbarkeit auf der Strecke. Es wird vielmehr das alte proprietäre Spiel von Intransparenz und Vendor-Lock-in weitergeführt, mit allen damit verbundenen Gefahren, wie beispielsweise Problemen bei der Datenmigration oder mangelnder Investitionssicherheit. Digitale Souveränität ist ohne offenen Quellcode gar nicht möglich. Ohne Open Source gibt es weder Transparenz noch Kontrollmöglichkeiten. Solange der Code nicht einsehbar ist, ist er für Behörden, sicherheitssensible Anwendungen oder KRITIS-Infrastrukturen schlicht inakzeptabel. Das bedeutet: Beruht die gesamte geplante Cloud-Plattform nicht auf Open-Source-Technologie, verbietet sich die Beschreibung als »souverän« und »sicher«. Doch dazu sagen beide Partner nichts.

Eine souveräne Cloud-Plattform für sensible Behördendaten kann es also mit Microsoft-Technologie de facto gar nicht geben – und ist ein Widerspruch in sich, so sehr SAP und Arvato »technische, operative und rechtliche« Souveränität, Sicherheit und die »vollständige Trennung von den globalen Rechenzentren« in den Vordergrund rücken. DSGVO-Konformität allein bedeutet eben noch lange nicht echte Datensouveränität. Und die ist nicht nur für Behörden unverzichtbare Voraussetzung für die Cloud-Nutzung. Immer wieder wird von sogenannten Experten kolportiert, der Aufbau einer nationalen Open-Source-basierten Cloud dürfte Jahre in Anspruch nehmen. Das ist Unsinn. Natürlich ist die (deutsche) Open-Source-Wirtschaft in der Lage, Angebote in wenigen Wochen und nicht in Jahren zu entwickeln, wie es bei proprietären Lösungen meist der Fall ist. Staatliche Organisationen ihrerseits sollten in der Lage sein, solche Angebote schnell anzunehmen.«

Alternative Cloud-Angebote für öffentlichen Sektor

Ein konkretes Open-Source-Angebot, das Dyroff skizziert, ist allerdings noch nicht in Aussicht. Dagegen gibt es zumindest von T-Systems und Google eine weitere Alternative zu SAP und Arvato. Beide Unternehmen verkündeten im Rahmen der Digitalisierungsinitiative »Digital X« im September vergangenen Jahres eine souveräne Cloud für Deutschland aufzubauen, die sich an deutsche Unternehmen, den öffentlichen Sektor und das Gesundheitswesen richtet. Das gemeinsame Angebot soll ab Mitte des Jahres zur Verfügung stehen und sukzessive ausgebaut werden. Zudem adressiert der deutsche Internet Service Provider Ionos Cloud-Technologien für Behörden und öffentliche Einrichtungen. Laut dem Anbieter, der sich auch stark in der europäischen Cloud-Initiative Gaia-X engagiert, basiert die »IONOS Public Cloud« auf Open-Source-Technologien und erfüllt damit eine wichtige Bedingung des BSI-Kriterienkatalogs.