Sovereign Cloud Stack

Sovereign Cloud Stack (SCS) ist eine offene, föderierbare und modulare Cloud- und Containerplattform auf Basis von Open-Source-Software.

SCS: Wir arbeiten weiter an Gaia-X für digitale Souveränität

Dr. Manuela Urban, Felix Kronlage-Dammers, Jonas Schäfer, Kurt Garloff 25. November 2021

(Von Dr. Manuela Urban, Felix Kronlage-Dammers, Jonas Schäfer, Kurt Garloff)

Kontext

Am 18. und 19. November 2021 fand der zweite Gaia-X Summit statt. Dort wurden Konzepte aufgezeigt, mit denen es Gaia-X ermöglicht, regelbasierte föderierte Datenökosysteme entstehen zu lassen, die eine gut funktionierende, vertrauenswürdige Basis für datenbasierte Innovation darstellen.

Der Summit wurde ein wenig überschattet vom sichtbaren Ausstieg von Scaleway aus Gaia-X. Scaleway äußerte sich enttäuscht über den langsamen Fortschritt und ist der Ansicht, dass die breite Einbindung der Hyperscaler ein Grund dafür ist. Laut Scaleway bestünde die Gefahr, dass die die Hyperscaler das Projekt in die falsche Richtung drängen und am Ende wenig für die digitale Souveränität erreicht wird.

Dies wurde vereinzelt in der Presse aufgegriffen und als Beleg für den schon länger gehegten Verdacht angesehen, dass Gaia-X als aus der Politik angestoßene Initiative, als Veranstaltung der Großkonzerne, als von den Hyperscalern durchsetzte Initiative, als ein Gericht mit zuvielen Köchen zum Scheitern verurteilt sei.

Wir glauben als SCS Projekt weiterhin an die Ziele von Gaia-X. Während es sicherlich gerechtfertigte Kritik gibt, haben wir keinen Grund, Gaia-X nicht weiterhin als wichtige und nützlich Initiative zu betrachten.

Zusammenarbeit OSB Alliance und Gaia-X

Die Open Source Business Alliance (OSB Alliance, OSBA) ist seit Sommer 2021 Gaia-X Mitglied, hat aber bereits seit Anfang 2020 über persönliches Engagement und über OSBA Mitglieder wie PlusServer den Gründungsprozess des Gaia-X Projekts begleitet.

Die OSB Alliance koordiniert mit dem Projekt Sovereign Cloud Stack (SCS) ein signifikantes Projekt, welches mit Mitteln des BMWi gefördert wird und Technologie liefert, die es Infrastrukturbetreibern sehr viel einfacher macht, Gaia-X konforme, souveräne Infrastruktur bereitzustellen. Als solches ist sie mit ihrer Community und ihren Mitarbeitern an einigen Gaia-X Arbeitsgruppen beteiligt und gestaltet die Arbeit z.B. in der Provider Arbeitsgruppe mit. Hier ist auch das SCS Projekt als offenes Arbeitspaket verankert.

Erwartungen und Gaia-X Realität

Die Erwartungen an Gaia-X sind hoch und sehr unterschiedlich. Teilweise unrealistisch hoch, wozu sicher auch Äußerungen wie “Moonshot” beigetragen haben. Vielfach wurden Ziele in Gaia-X hineinprojiziert, die gar nicht der Realität entsprechen, wie z.B. die Hoffnung, dass durch einen staatlichen Eingriff mit Hilfe von Gaia-X ein europäischer Hyperscaler erschaffen würde, welcher den bedenklichen Einfluß der amerikanischen Plattformen zurückdränge.

Der Ansatz von Gaia-X ist ein anderer: Es sollen verifizierbare Standards geschaffen werden, mit deren Hilfe Transparenz hergestellt wird, die es erlaubt, dass Dienste von verschiedenen Anbietern automatisiert kombiniert werden. Die Nachvollziehbarkeit soll nicht nur technische Kompatibilität sichern und entsprechende Schnittstellen charakterisieren, sondern insbesondere auch Aspekte wie Kontrolle, Sicherheit und Datenschutz beinhalten. Dies ermöglicht somit Nutzern eine bewusste Entscheidung, welche Kombination von Angeboten ihren Anforderungen entspricht. Die Transparenz über die Einhaltung europäischer Datenschutzbestimmungen erlaubt somit auch gesetzeskonformen Einsatz. Die Nachvollziehbarkeit wird über zertifizierbare und überprüfbare Selbstbeschreibungen gewährleistet, welche vom Föderierer in einem Katalog vorgehalten werden. Selbstbeschreibungen werden in der entsprechenden Gaia-X Arbeitsgruppen definiert, vom Diensteanbieter ausgefüllt und ggf. von Zertifizierern (Conformance Assessment Bodies) überprüft und bestätigt. Eine Open Source Implementierung eines verteilten Katalogs entsteht u.a. im Gaia-X Federation Services (GXFS) Projekt – ein weiteres vom BMWi gefördertes Projekt zur Stärkung von Gaia-X.

Der Weg zu diesen Standards ist kein einfacher. Viele Mitwirkende müssen sich einigen, damit die Qualität stimmt und auch die Akzeptanz gegeben ist. Das mag manchmal frustrierend sein, liegt aber in der Natur der Sache. Ein dominantes Unternehmen mit einer integrierten Architektur kann schneller voranschreiten als ein Ökosystem, in dem sich auf verschiedenen Ebenen mehrere Akteure auf gemeinsame, interoperable Schnittstellen einigen müssen. Mit einem Top-Down Vorgehen trifft man schneller Entscheidungen als mit breiter Beteiligung. Besser sind sie dadurch nicht – langfristig ist der mühsame Weg der leistungsfähigere. Wichtig ist, dass bei den Entscheidungen die Fachkompetenz aus der praktischen Umsetzung auch einbezogen wird und die Prozesse transparent ablaufen. Kommunikation ist in schnell gewachsenen Strukturen wie Gaia-X nicht immer einfach, aber es geht voran.

Gaia-X ist nicht nur Theorie

Alle Theorie bleibt Theorie, wenn sie niemand in die Praxis umsetzt. Tatsächlich wird in den Arbeitsgruppen und Komitees der Gaia-X Organisation viel über Konzepte und Standards diskutiert und es wird bislang noch wenig Umsetzung sichtbar. Nach unserer Erfahrung entstehen gute, praktikable und breit akzeptierte Standards vor allem im engen Austausch und einem iterativen Prozess zwischen den Beteiligten in Theorie und Praxis. Damit entsteht dann auch ganz nebenbei eine Sichtbarkeit und eine Auseinandersetzung mit den Zielen von Gaia-X. Für die benötigten offenen Standards müssen dann auch vollständig offene Referenzimplementierungen geschaffen werden.

Doch die Realität in Gaia-X ist besser als sie zunächst aussieht. Es gibt einige Gruppen, die an der Umsetzung von Gaia-X Konzepten arbeiten. Es gibt die großen vom BMWi geförderten Projekte wie z.B. GXFS: Dort soll aufgrund detaillierter Spezifikationen Code zu den Themen Compliance, Data Sovereignty Services, Identity & Trust, Federated Catalogue und dem Portal entwickelt werden. Das Sovereign Cloud Stack Projekt (SCS, https://scs.community/) hat bereits im September 2021 eine Release 1 veröffentlicht und kommt schon produktiv bei Cloudanbietern zum Einsatz. SCS wird von einer offenen Community in einem offenen Prozess als vollständig freie Software entwickelt. Auch GXFS steht unter einer OSS Lizenz.

Daneben gibt es ein französisches Projekt zur Ergänzung der Federation Services, Förderprojekte aus dem BMWi Förderwettbewerb, den Eclipse Data Connector, die Arbeit in Catena-X und zahlreiche Initiativen von Unternehmen und Gruppierungen rund um Gaia-X. Viele davon arbeiten im Arbeitspaket “Minimal Viable Gaia” zusammen und nehmen am zweiten Gaia-X Hackathon am 2.+3. Dezember teil – da wird dann tatsächlich Technologie entwickelt und getestet.

Beim Gaia-X Hackathon #2 erwartet dich unter anderem ein eigener Track zur geführten Installation von SCS auf echter Hardware.

Leider wurde all das auf dem Gaia-X Summit wenig sichtbar – die Vorstellung der Highlights aus dem Hackathon dort hat leider wegen der Terminabfolge nicht gepasst.

Labels jenseits von Datenschutz

Auf dem Gaia-X Summit wurde das Konzept der sogenannten Labels vorgestellt. Das sind die Zertifikate, mit denen Dienste und Anbieter ihre Konformität mit Gaia-X Standards ausweisen. Dahinter liegen Kriterien und dazugehörige Prüfkataloge, die entsprechend (idealerweise automatisiert) nachzuweisen sind. Auf die Details wird genau zu schauen sein – natürlich würden die Ziele einer hohen Transparenz und digitalen Souveräntiät durch wachsweiche Kriterienkataloge nicht nur verfehlt sondern gar konterkariert.

Sinnvollerweise gibt es verschiedene Stufen der Konformität. Dadurch werden auch Angebote einbezogen und transparent gemacht, die keine hohen Standards im Bereich Datenschutz erfüllen. Interoperabilität und Transparenz darüber sind ja dennoch ein Mehrwert – nicht für alle IT Dienste und Daten sind hohe Ansprüche an Datenschutz und Souveränität notwendig. Auf dieser Stufe können auch amerikanische Hyperscaler einen wertvollen Beitrag leisten.

Die drei in Gaia-X skizzierten Stufen basic, substantial, high lehnen sich an die entsprechenden Stufen der ENISA im European Cybersecurity Scheme for Cloud Services an. Bei der höchsten Stufe wäre ein Zugriff von außerhalb Europas mit hoher Sicherheit ausgeschlossen – dies ist nur mit Plattformen zu gewährleisten, die im Betrieb vollständig unter der Kontrolle europäischer Unternehmen stehen.

Damit wird der Bereich Datenschutz durch Gaia-X Labels gut abgebildet und sinnvollerweise mit bewährten Standards in diesem Bereich verknüpft.

Digitale Souveränität geht jedoch weit über Datenschutz hinaus.

Für Innovations- und Gestaltungsmöglichkeit der digitalen Plattformen bedarf es der Möglichkeit, Nutzern auch Kontrolle über die Technologie und ihrer Implementierung zu geben. Dies ist mit proprietären Technologiestacks kaum darstellbar; dies kann nur mit einem vollständiger Offenheit erreicht werden. Genau daran arbeiten wir im Sovereign Cloud Stack Projekt und sehen in der Kombination mit weiteren freien Technologien aus dem Gaia-X Umfeld (und zukünftig dem angestrebten IPCEI-CIS) wie GXFS auch eine attraktive Kombination für Unternehmen, die für den Eigenbedarf oder für Dritte föderierbare, interoperable und vollständig souveräne Dienste anbieten möchten.

Dieser wichtige Aspekt der digitalen Souveränität ist in der Beschreibung der Gaia-X Labels bislang leider nicht berücksichtigt – wir erwarten, dass hier eine Weiterentwicklung stattfinden wird und wirken darauf auch im Rahmen unserer Mitarbeit an den Gaia-X Arbeitsgruppen und offenen Arbeitspaketen hin.

Gaia-X ist eine große Aufgabe und ein Gemeinschaftswerk. Das braucht die Unterstützung vieler und langen Atem. Aber genau darin wird es seine Stärke entfalten.