Das Thema digitale Unabhängigkeit oder besser bekannt als digitale Souveränität hat in letzter Zeit einen deutlichen Bedeutungsschub erlebt. In dieser Interviewreihe zeigt das RRZE, warum es für ein Universitätsrechenzentrum weit mehr ist als ein vorübergehender Trend und wie das Thema zu einer resilienten IT beiträgt.
In Teil eins verrät Marcel Ritter, Technischer Direktor des RRZE, wie seiner Meinung nach digitale Souveränität gelingen könnte und warum den Nutzenden dabei eine wichtige Rolle zufällt.
Marcel, das Stichwort digitale Souveränität geistert seit Wochen immer wieder durch die Medien. Ist es denn überhaupt möglich, komplett unabhängig von den großen Playern zu sein?
Marcel Ritter: Gute Frage. Ich glaube, es ist wie bei vielen Sachen: Es gibt kein Schwarz-Weiß. Wenn man komplett digital souverän sein wollte, dann ist das nicht unmöglich, aber zumindest sehr, sehr teuer. Letztendlich zieht sich die digitale Souveränität durch den kompletten IT-Stack: von der Hardware (Server, Desktop-Rechner, Laptops, aber natürlich auch Netzwerk-Equipment) über das Betriebssystem und andere Software-Komponenten bis hin zur Nutzung von Cloud-Diensten.
Ein Großteil der Software-Produkte, die wir täglich nutzen, stammt primär aus den USA. Bei der Hardware sieht es ähnlich aus, nur dass hier der asiatische Raum ebenfalls eine sehr große Rolle spielt. Bleiben wir kurz beim Thema Hardware: Wenn man da komplett unabhängig sein wollte, dann müsste man bis zum kleinsten Bauteil Dinge selbst in die Hand nehmen. Das geht natürlich weit über die Möglichkeiten einzelner Rechenzentren hinaus; aber auf Europa-Ebene wäre das durchaus ein erstrebenswertes (und ich glaube auch erreichbares) Ziel. Den Aufbau einer Infrastruktur zu fördern, die es Europa ermöglicht, ohne Importe von außen (wieder) eigene Rechner zu bauen.
Spielen wir mal das Worst-Case-Szenario durch: Was könnte schlimmstenfalls passieren, wenn wir nicht an unserer Unabhängigkeit arbeiten?
Wenn wir in Deutschland, Europa gar nicht an der digitalen Souveränität arbeiten, dann führt der Weg vermutlich konsequent Richtung Cloud. Das heißt, wir kaufen und produzieren weiterhin Endgeräte aus aller Welt, stellen die auf unseren Schreibtisch, stecken ein paar Kabel in die Netzwerkdose, da geht es dann weiterhin über Netzwerk-Hardware aus China und den USA in „die Cloud“, in der wir die Software-Lösungen der Hyperscaler (große Cloud-Service-Anbieter, Anm. d. Red.) aus Übersee nutzen. Für einen Großteil dieser Komponenten gibt es aktuell weder gleichwertigen, souveränen Ersatz noch einen definierten Weg „zurück in die Freiheit“. Und welche Gefahren sich hinter dieser Abhängigkeit verbergen, haben die letzten Jahre gezeigt: teils enorme Preissteigerungen bei Software-Angeboten, weltweite Ausfälle auch bei Hyperscaler-Diensten und selbst in demokratischen Staaten ist mittlerweile politische Einflussnahme durch Ausnutzung der eigenen Marktmacht spürbar.
Was also ist der Mittelweg zwischen kompletter Souveränität und totaler Abhängigkeit?
Man muss eigentlich an jeder Stellschraube drehen, um die Abhängigkeit zumindest zurückzufahren. Ich glaube nicht, dass wir mit den vorhandenen Mitteln an einer Universität 100 Prozent erreichen können. Aber letztendlich geht es ja darum, auch unter widrigen Umständen die Handlungsfähigkeit aufrechtzuerhalten.
Die Welt der IT wird an vielen Punkten von großen Playern bespielt, also großen Firmen, die enorme Macht haben und an denen kaum jemand vorbeikommt. Doch eine Abhängigkeit von einigen wenigen Firmen birgt Gefahren. Leicht können Nutzende zum Beispiel in eine Cloud gezwungen werden. Was erst einmal verlockend klingt, weil die Daten immer und überall verfügbar sind, stellt sich bei genauerem Hinschauen als problematisch heraus. Denn meistens liegen die persönlichen Daten plötzlich in den USA oder in anderen Ländern, und es gelten Gesetze, die der normale Nutzer nicht kennt, die aber große Auswirkungen haben können.
Digitale Souveränität wird daher für Institutionen und Individuen immer wichtiger: Dabei geht es darum, die eigenen Daten selbstständig, selbstbestimmt und sicher kontrollieren zu können. Zugleich trägt digitale Unabhängigkeit zu einer resilienten Infrastruktur bei, denn wer nicht von einem großen Player abhängig ist, ist bei einem Ausfall weiterhin arbeitsfähig. Digitale Souveränität ist damit ein Beitrag zu einer sicheren, vertrauensvollen und verfügbaren IT. Gleichzeitig trägt sie auch zu einem wettbewerbsfähigen Markt bei, weil alternative Lösungen zum Beispiel aus dem Bereich der Open-Source-Lösungen gefördert werden.
Was ist deiner Meinung nach eine gute Strategie, um digital souverän zu werden? Wo muss man anpacken?
Wir brauchen ein generelles Umdenken. Das RRZE hatte ja IT-technisch schon immer ein stabiles Standbein in der UNIX-Welt – auch an Stellen, an denen viele andere Universitäten schon sehr früh auf den Microsoft-Zug aufgesprungen sind. Das zeigt sich auch daran, wie unsere IT-Services aufgestellt sind. Der Großteil unserer Systeme, die wir selbst entwickelt haben, basiert ganz bewusst nicht auf Microsoft. Unser ganzes Identity Management besteht aus Open-Source-Komponenten – vom Betriebssystem Linux bis zum kompletten Software-Stack. Da sind wir relativ unabhängig von allem außen herum. Ich klammere jetzt mal die Hardware aus. Aber selbst da könnte man unseren Software-Stack mit moderatem Aufwand auf eine andere Hardware-Plattform umziehen, ohne tausend Sachen umstellen zu müssen. Vielleicht hätten wir ein paar Prozent weniger Leistung, aber es wäre machbar. Primär durch den Verwaltungsbereich getriggert, haben aber auch wir mehr und mehr Windows-lastige Services im Portfolio. Und diese Anforderungen kommen indirekt über die Anwendungen: Niemand betreibt einen Windows-Server, weil er gerne Windows-Server hätte, sondern es gibt irgendeine Anwendung, die Windows als Basis voraussetzt. Im Verwaltungsbereich sind viele Anwendungen genau darauf ausgelegt – und als IT-Dienstleister muss man eben die notwendigen Abhängigkeiten auch betreiben. Daher ist meine Empfehlung: Bei der Auswahl entsprechender Systeme den Aspekt digitale Souveränität mitdenken und– wenn möglich – auf Lösungen mit geringen oder akzeptablen Abhängigkeiten setzen.
Wie denn zum Beispiel?
Angenommen, ich brauche ein neues Finanztool und muss das eh irgendwo neu einkaufen, dann kann ich mich natürlich auf dem Markt umschauen und das Erstbeste nehmen, das schön aussieht. Oder, was ja auch auf europäischer Ebene und auch langsam in Deutschland aufkommt: Man setzt wirklich auf „Public Money, Public Code“ (öffentliche Gelder, öffentlicher Code). Soll heißen: Wenn Gelder aus dem öffentlichen Sektor in irgendeine Softwareentwicklung fließen, dann sollte auch der Code (also letztlich das erstellte Programm) der Allgemeinheit zur Verfügung stehen.
Hast du ein Beispiel, wie so etwas aussehen könnte?
Ich nehme mal ein Beispiel aus einem anderen Bereich der öffentlichen Verwaltung: Ich habe mal gelesen, dass es in Deutschland ca. 600 verschiedene Software-Systeme für die Kfz-Zulassung gab. Kompletter Wahnsinn. Bis zu 600-mal wurden Systeme für den gleichen Zweck entwickelt. 600-mal hat irgendeine Kommune oder ein Landratsamt irgendjemandem Geld für eine Software bezahlt… Dann hat man 600 unterschiedliche Software-Lösungen für ein Problem. Und jede davon verhält sich natürlich anders. Das heißt, wenn ich irgendwann mal zu einer zentralen Lösung oder zu einer zentralen Datenhaltung kommen will, dann entwickeln womöglich wieder 600 Firmen für 600 Softwareprodukte 600 Adapter, um die irgendwo in einer standardisierten Form zu sammeln. Das ist Irrsinn. Cleverer wäre es zu sagen, der Bund schmeißt Geld in einen Topf, die Software wird einmal implementiert, jeder kann es nutzen, jedes Landratsamt, jede Behörde. Durch gezielte Kanalisierung von Finanzmitteln könnte man hier politisch gegensteuern (und vielleicht hat man es in der Zwischenzeit auch getan). Mit so einer Lösung braucht es dann eben nur eine Anbindung an eine zentrale Lösung.
Wenn ich das jetzt richtig verstehe, ist dein Appell mehr Nutzung von Open-Source-Produkten, sprich frei verfügbarer Softwarecodes?
Das wäre aus meiner Sicht ein guter Punkt: Quelloffener Code mit einer freien Lizenz erlaubt nicht nur die Überprüfung der eingesetzten Software, sondern eben auch darauf aufbauende Lösungen für andere Bereiche. Aber eigentlich muss man noch einen Schritt weiter gehen: Bisher nutzen auch wir als Rechenzentrum zugegebenermaßen sehr viel Open Source, ohne uns aber angemessen finanziell an deren Weiterentwicklung zu beteiligen. Im Rechenzentrumsumfeld versuchen wir unseren Beitrag eher dadurch zu leisten, dass wir Fehler beheben oder selbst entwickelte Erweiterungen an die Community zurückgeben. Auch das ist ein wichtiger Beitrag, um dieses Open-Source-Ökosystem am Leben zu halten, aber das reicht an vielen Stellen nicht. Da muss ein Umdenken her! Nur weil das freie Software ist, heißt es nicht, dass es kostenlos ist. Und eigentlich kann das auch nicht sein. Irgendjemand steckt Energie in die Entwicklung dieser Software und der muss auch von irgendetwas leben. Egal, ob es jetzt eine Firma oder ein Privatmensch ist. Um dieses Ökosystem zu fördern, muss man auch finanziell umdenken. Es ist keine Selbstverständlichkeit, dass jemand ein Produkt kostenlos zur Verfügung stellt, auch wenn diese Erwartungshaltung oft mit dem Begriff Open Source in Verbindung gebracht wird. In der klassischen Software-Ecke haben wir ja auch den Zustand, dass ich mein Microsoft Office kaufe (beziehungsweise in der heutigen Zeit miete), um dieses Tool nutzen zu können. Dadurch refinanzieren die Firmen ihre Entwicklungen und ihren Support. Und eigentlich müssen wir da auch bei freier Software hin, eben um dieses Ökosystem „Open Source“ am Leben zu halten und zu stärken, damit auf dieser Basis digitale Souveränität aufgebaut werden kann.
Wie fördert das RRZE aktuell schon die digitale Unabhängigkeit bei FAU, UTN und den anderen Hochschulen, die es betreut?
Wir sind eines der großen Rechenzentren in Bayern und haben eine gewisse Mannschaftsstärke. Dem entgegen steht der stetig wachsende Wildwuchs an IT-Lösungen, der gerade kleinere Hochschulen – mit entsprechend kleineren IT-Teams – schnell an ihre Grenzen bringt. Ein verlockender Weg führt dann in die Cloud, die mit dem Versprechen lockt, mehr Services mit weniger Personal bereitstellen zu können. Und zu einem gewissen Grad stimmt das sicherlich auch: Wenn ich in jeder Universität, in jeder Hochschule das Know-how vorhalten muss, um zum Beispiel eine Lernmanagement-Plattform zu betreiben, frisst das überall Ressourcen. Bei den Kleineren gibt es keine Redundanz, keine Urlaubs-, keine Krankheitsvertretung. Und wenn man das irgendwie konsolidiert und an zentraler Stelle anbieten kann, dann hat man da vielleicht zwei, drei Leute, die sich darum kümmern. Vertretung ist gewährleistet und man kann das Angebot im Zweifelsfall auf weitere Hochschulen ausweiten, die es mitnutzen können. Aber auch das wird nicht zum Nulltarif gehen. Die Zeit, dass jede Hochschule und jede Universität den kompletten Zoo an IT-Lösungen selbst betreibt, ist vorbei. Die Anforderungen explodieren in alle Richtungen, aber die Ressourcen sind endlich. Der Digitalverbund Bayern ist ja auch der Versuch einer bayerischen Solidargemeinschaft von Hochschulen, um Themenschwerpunkte zu bilden, die dann nicht nur für sich, sondern idealerweise für alle interessierten Einrichtungen zur Verfügung gestellt werden. Da haben wir die ersten Schritte gemacht, aber da ist noch Luft nach oben. Wir brauchen entsprechende Rahmenbedingungen dafür. Die Politik kann und sollte hier unterstützen, indem sie Einrichtungen, die bereit sind, solche Dienstleistungen auch für andere zu erbringen, entsprechend finanziell und personell ausstattet. Als Regionales Rechenzentrum sehen wir uns in der Verantwortung, die Partnerhochschulen in Bayern bestmöglich zu unterstützen.
Wir haben jetzt viel über die Entwickler- bzw. Rechenzentrums-Perspektive gesprochen. Die Nutzenden sitzen ja ganz oft an Rechnern mit den Betriebssystemen von Microsoft oder Apple. Das sind die großen Player. Hat schon mal jemand probiert, die Systeme auf Linux umzustellen?
Es wurde schon probiert. Eines der bekanntesten Projekte hier bei uns in Bayern war LiMux. Die Stadt München hat vor Jahren mal versucht, ihre Umgebung von Windows auf Linux umzukrempeln. Das ist dann nach der nächsten Wahl wieder zurückgerollt worden. Ich würde auch behaupten, das ist eins der großen Probleme: Eine konsequente Umstellung ist nicht innerhalb einer Legislaturperiode zu realisieren. Ich habe das in Vorbereitung auf das Interview nochmal nachgelesen und war erstaunt, dass es schon damals tatsächlich Teil der Strategie war, alle Fachanwendungen auf webbasierte Lösungen umzustellen, um die Abhängigkeit der Anwendungen vom Betriebssystem aufzubrechen. Also die hatten das tatsächlich schon auf dem Schirm.
Sprich, die ideale Strategie stellt nicht einfach die Arbeitsplatzrechner auf Linux um und damit ist die Sache getan?
Ich glaube, die Erfahrung hat gezeigt, dass die Umstellung eines Microsoft-Desktops auf Linux oder auch von einem MS Office Richtung LibreOffice nicht die Lösung des Problems ist.
Wie wäre dann die ideale Strategie?
Ideal ist ein großes Wort, aber meine Strategie/Idee ist folgende: Den IT-Nutzenden sind Ideologien meist egal – die IT ist für sie Mittel zum Zweck, um anfallende Aufgaben zu erledigen. In der Arbeitswelt ist daher die Frage: Was brauchen die Leute zum Arbeiten? Was ist deren Job? Welche Systeme brauchen sie, um ihren Job (möglichst gut und entspannt) zu erledigen? Wir haben heute noch sehr viele Prozesse, die darauf basieren, Excel- oder Word-Dateien hin- und herzuschicken. Oder wenn man ein bisschen moderner unterwegs ist, dann bearbeitet man diese Dokumente gleich in der Microsoft Cloud und erspart sich das Verschicken per Mail – aber man arbeitet immer noch mit der gleichen proprietären Software. Das Beispiel spiegelt wohl auch die Verschiebung, die in den letzten 15 Jahren stattgefunden hat, ganz gut wider: Früher hat man das Problem gerne am Desktop festgemacht. Der Desktop ist aber in Zeiten von Web- und Cloud-Anwendungen mehr und mehr austauschbar. Seine ursprüngliche Rolle übernimmt heute oft der Web-Browser.
Lass uns das doch mal weiterspinnen und einen potenziellen Arbeitsplatz in der Verwaltung anschauen.
Wenn der Mitarbeiter als Arbeitsmittel eine webbasierte Anwendung hätte, in der alle für ihn relevanten Daten und Informationen zusammenfließen und die er über seinen Browser bedienen kann, dann wäre das darunterliegende Betriebssystem egal. Aber das setzt voraus, dass man die Workflows und Arbeitsprozesse und deren Einsatzgebiet von vornherein mitdenkt und deren digitale Umsetzbarkeit auch gegeben ist.
Und das ist dann die ultimative Lösung?
Eine Umstellung auf web- und/oder cloud-basierte Dienste liefert damit zwar die Möglichkeit, sich vom Desktop zu lösen, gleichzeitig kann sie aber auch neue Abhängigkeiten schaffen: Dienste, die vom lokalen Desktop zum Beispiel in die Microsoft Cloud umziehen, sind mindestens genauso weit weg von digitaler Souveränität. Auch hier gilt es also, das Gesamtbild und seine Konsequenzen im Auge zu behalten. Und selbst wenn man nicht umhinkommt, die Angebote der ganz großen Anbieter zu nutzen, sollte man sich immer vorher Gedanken darüber machen, ob/wie im Notfall ein Anbieterwechsel möglich wäre („Exit-Strategie“).
Du hast vorhin gesagt, den Nutzenden sind Ideologien meist egal, sicher nicht egal wird denen aber sein, ob die Bedienung des Rechners ganz anders abläuft…
Bei IT-Projekten ist meist die Gruppe der Nutzenden die bei weitem größte Gruppe der vom Umstellungsprozess Betroffenen (auch wenn man das als IT-ler gerne verdrängt). Entsprechend wichtig ist es, diese Gruppe einzubeziehen und sicherzustellen, dass auch diese ein gemeinschaftliches Ziel (und idealerweise auch Verbesserungen für ihren Arbeitsalltag) vor Augen haben, denn dann funktionieren Umstellungen erfahrungsgemäß am besten. Nehmen wir das Beispiel von vorhin: Im Rahmen dieser Umstellung gibt es eine total gute Software für die Kfz-Zulassung, die läuft super, die ist schnell, die ist intuitiv bedienbar. Das ist, glaube ich, schon was, was bei den Menschen hängen bleibt. Wenn sie merken, mein Leben ist jetzt besser, einfacher, schöner, dann hat das eine positive Konnotation, dann ziehen die Leute mit. Aber das ist ein Riesenaufwand. Den kann man gar nicht überschätzen: Man muss auf sehr, sehr vielen Ebenen für Akzeptanz sorgen, Leute mitnehmen, schulen, Support anbieten. Wenn sich Menschen allein gelassen fühlen, dann kommt ganz schnell wieder der Ruf nach der „guten alten Zeit“ auf.
Marcel Ritter ist seit 2022 der Technische Direktor des RRZE. Zuvor war er Leiter der Abteilung Zentrale Systeme am RRZE, welche auch für das Betriebssystem Linux zuständig ist. Linux war jedoch nicht nur ein Teil seiner Abteilung, sondern das Betriebssystem, mit dem Ritter maßgeblich arbeitet(e). Heute trifft er täglich Entscheidungen über Projekte, die die Digitale Souveränität am RRZE und allen von ihm versorgten Universitäten und Hochschulen betreffen.
Große Arbeit, die da auf die Rechenzentren zukommt.
Das stimmt, aber das Rechenzentrum kann in vielen Fällen vermutlich nur einen kleinen Teil zum Erfolg beitragen: Unsere Aufgabe besteht darin, technische Probleme möglichst gering zu halten und – im Fall von Eigenentwicklungen – Benutzer-Oberflächen möglichst intuitiv und benutzerfreundlich zu gestalten. Aber die menschlichen Probleme und die Notwendigkeit zum Umdenken, zu sagen, „wir stellen nicht aus Jux und Tollerei um“ und „wir machen dieses Thema digitale Souveränität nicht, weil es gerade hip ist, sondern weil wir dafür sorgen müssen, dass wir in Bayern, Deutschland, Europa autarker aufgestellt sind und uns nicht in eine harte Abhängigkeit begeben, die uns in irgendeiner Krisensituation einfach das Genick bricht“ – das ist der größere Aufwand und erfordert eine große gemeinsame Anstrengung.
Was empfiehlst du den RRZE-Kunden für alle kommenden IT-Entscheidungen in Bezug auf digitale Souveränität?
Ich fände es gut, wenn wir bei jeder IT-Entscheidung eine kleine mentale Checkliste durchgehen würden. Die muss nicht lang oder kompliziert sein, einfach drei bis vier Fragen, die man sich bei der Einführung von jedem IT-System stellen sollte. Zum Beispiel: Welche Abhängigkeiten und Risiken gehen damit einher? Wo werden meine Daten liegen? Wie sicher sind sie dort? Bekomme ich sie von dort wieder zurück? Was passiert, wenn mein Anbieter zahlungsunfähig/verkauft wird?
Vielen Dank für deinen Einblick!
Das Gespräch führte Corinna Russow