4 months ago

Delos-Cloud: Mit Microsoft in die digitale Abhängigkeit



Die öffentliche Verwaltung soll in die „digital-souveräne“ Cloud. Bundes-CIO Markus Richter hat sich hier für die Delos-Cloud entschieden. Die baut jedoch auf Microsoft Azure und Microsoft 365 auf und sei daher alles andere als eine gute Lösung, sagen Kritiker:innen.

ein Tresor mit vielen Aktenordnern in Wolkenform, davor ein Paragraphen-Zeichen mit angehängtem SchlüsselDie Cloud von Delos schützt unter Umständen nicht vor dem Zugriff der US-Behörden. (Symbolbild) – DALL-E (Generiere eine Wolke aus Akten mit einer Tresortür); Montage: netzpolitik.org

Digitale Souveränität ist ein erklärtes Ziel der Ampel-Regierung. Dahinter steht die Idee, dass die Bundes-IT unabhängig von anderen Ländern und Herstellern sein soll – sei es bei der Digitalisierung im Gesundheitswesen oder in der öffentlichen Verwaltung. Allerdings ist nirgendwo definiert, was „digital souverän“ genau bedeutet.

Für Bundes-CIO Markus Richter erfüllt offenbar die Cloud-Lösung der Delos Cloud GmbH die Voraussetzungen für digitale Souveränität. Im vergangenen Oktober setzte der Beauftragte der Bundesregierung für Informationstechnik gemeinsam mit Delos ein Memorandum of Understanding (MoU) auf. Delos soll demnach eine zentrale Rolle bei der Verwaltungscloudstrategie des Bundes einnehmen.

Damit will der Bund auch sicherstellen, dass die Bundesbehörden die Bürosoftware von Microsoft in Zukunft weiternutzen können. Das Produkt will das US-Unternehmen ab dem Jahr 2029 nicht mehr als lokale Installation, sondern nur noch über die Cloud anbieten.

An der Übereinkunft gibt es deutliche Kritik, weil Delos seine Cloudplattform auf Microsoft Azure und Microsoft 365 aufbaut. Dessen ungeachtet will Richter auch die Bundesländer davon überzeugen, die Delos-Cloud des Bundes mitzunutzen und entsprechende Verträge mit dem Unternehmen zu schließen. Allerdings haben die Länder auf einer Sondersitzung des IT-Planungsrats am gestrigen Donnerstag dem Ansinnen Richters offenbar nicht zugestimmt.

Eine gewichtige Rolle dürfte dabei gespielt haben, dass die Delos-Cloud aus Sicht vieler weder souverän noch offen ist. Außerdem bestehen Zweifel, dass Microsoft in Sachen Datenschutz und IT-Sicherheit ein guter Partner ist. Und obendrein entwickelt der Bund selbst Open-Source-Alternativen. Diesen Projekten fällt er nun in den Rücken.

Die Großen unter sich

Da hilft es wenig, dass Richter die Cloud-Lösung von Delos als Übergangslösung bezeichnet – solange, bis „leistungsfähige Alternativprodukte“ zur Verfügung stehen. Welche Alternativen das sein sollen, ist derzeit allerdings offen.

An der „Übergangslösung“ sind zwar mehrere deutsche Unternehmen involviert. So ist Delos ein Tochterunternehmen von SAP und arbeitet eng mit dem IT-Dienstleister SoftwareOne zusammen. An der Konzeption der souveränen Cloud ist außerdem der Dienstleister Arvato beteiligt, der zum Bertelsmann-Konzern gehört.

Keines dieser Unternehmen verfügt jedoch über eine eigene Cloud-Infrastruktur. Stattdessen sind auch deutsche Unternehmen meist auf die Rechenzentren der US-Konzerne angewiesen. Auf dem hiesigen Markt konkurriert Microsoft Sovereign Cloud (MSSC) mit den jeweiligen Cloud-Lösungen von Amazon Web Services (AWS) und Google. Selbst T-Systems Sovereign Cloud ist „powered by Google Cloud“.

Delos-Co-Chefs, Georges Welz, räumte in einem Heise-Interview ebenfalls ein, dass die Delos-Cloud digitale Souveränität nur mit Ablaufdatum bietet. Sie könne, etwa bei einem Handelskonflikt mit den USA, nur einige Monate unabhängig von Microsoft betrieben werden. In dieser Zeitspanne könnten Behörden dann aber immerhin ihre Daten auf eine andere Plattform überführen, so Welz.

Die Gefahr unbekannter Hintertüren

Seine souveräne Cloud-Lösung hat Microsoft als Third-Party-Private-Cloud (TPPC) konzipiert und „beabsichtigt nach eigenem Bekunden mit Delos einen Exklusivertrag über den späteren Betrieb der bereitgestellten TPPC abzuschließen“, heißt es im MoU.

Diese „exklusive“ Nähe ist datenschutzrechtlich bedenklich. Denn Microsofts Cloud-Services stehen seit Monaten wegen massiver Sicherheitsvorfälle in der Kritik. Und auch die Datenschutzkonferenz der Länder (DSK) bezweifelt, dass Microsoft 365 datenschutzkonform betrieben werden kann.

Die Open Source Business Alliance (OSBA) warnt ebenfalls davor, Microsoft allzu sehr zu vertrauen. Der Quellcode von Microsofts Software sei nicht offen und lasse sich nicht unabhängig prüfen, um etwa Hintertüren in den Programmen auszuschließen. Es bestehe das Risiko, „dass ein Zugriff auf die persönlichen Daten der deutschen Bürger:innen und andere schützenswerte Daten der Verwaltung möglich ist“, heißt in einem offenen Brief des Interessenverbands.

Tatsächlich verpflichtet der US-amerikanische Clarifying Lawful Overseas Use of Data Act (Cloud Act) Anbieter, die der US-amerikanischen Gerichtsbarkeit unterliegen, auf staatliche Anordnung hin Daten und Informationen offenzulegen. Der Cloud Act greift dabei auch, wenn diese außerhalb der Vereinigten Staaten gespeichert werden. Zu diesem Schluss kommt auch der Wissenschaftliche Dienst des Deutschen Bundestages.

Im Widerspruch zur eigenen Strategie

Möglicherweise dient der Status „Übergangslösung“ aber dazu, die Widersprüche der Regierungspolitik nicht noch offensichtlicher werden zu lassen. Denn die Ampel verfolgt laut ihrem Koalitionsvertrag eine eigene Multicloud-Strategie, um einen durchmischten Markt für Cloud-Anbieter zu schaffen.

So hat die Föderale IT-Kooperation (FITKO) die Deutsche Verwaltungscloud (PDF) entwickelt. Das Portal sollen unterschiedliche Anbieter von Cloud-Lösungen als Marktplatz nutzen. Verwaltungen von Bund, Ländern und Kommunen sollen zwischen ihnen frei wählen und deren Angebote ohne Hürden wechseln können.

Außerdem plant die Bundesregierung eine Open-Source-Cloud. Sie könnte innerhalb des Sovereign Cloud Stack (SCS) Gestalt annehmen. Im Stack haben sich Anbieter von standardisierter souveräner Cloud- und Container-Infrastruktur zusammengeschlossen, um eine „vollständig offene, föderierte und kompatible Plattform“ voranzubringen.

Darüber hinaus hat das Bundesinnenministerium selbst das Zentrum für digitale Souveränität (ZenDis) ins Leben gerufen. Es soll offenen Code und einen „souveränen Arbeitsplatz“ in die Verwaltung bringen. openDesk bündelt dazu verschiedene Open-Source-Anwendungen. Das erklärte Ziel: Behörden sollen der Abhängigkeit von Microsoft entkommen. Den Vorsitz im ZenDis-Aufsichtsrat hat übrigens Bundes-CIO Markus Richter inne.


Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Gesamten Artikel lesen

© Varient 2024. All rights are reserved