Softwarebeschaffung ist auch eine Frage digitaler Souveränität. Im Interview erklärt die Leitung der Stabsstelle Softwarebeschaffung des RRZE, wie dieser Anspruch Entscheidungen beeinflusst – und warum Hochschulen ihre Kräfte bündeln sollten. Teil zwei der Interviewreihe zur digitalen Souveränität.
Zahlreiche Anbieter setzen vermehrt auf Cloud-Angebote. Was ist dagegen einzuwenden, dass man seine Daten immer und überall verfügbar hat?
Kathrin Böhm: Der User hat es natürlich sehr bequem, wenn er auf jedem Gerät, auf jedem Betriebssystem, zu jeder Zeit und an jedem Ort etwas nachschauen kann, wenn er eine Idee hat, eine Notiz machen kann. Ja, dagegen ist erstmal nichts einzuwenden. Das ist genau das, was den User gut arbeiten lässt, und wo er sich wohlfühlt. Aber für diesen Komfort gibt der User seine Daten her und vielfach auch sensitive Arbeitsinhalte.
Wozu braucht der Anbieter meine Daten und Inhalte?
Die großen kommerziellen Player bieten ja erstmal eine richtig gute Leistung für eine Aufgabe, die ich bearbeiten will, oder ein Problem, das ich lösen will. Das ist richtig gute Software, die komfortabel und intuitiv gebaut ist, mit der man ganz viele tolle Sachen machen kann. Es sind zeitgemäße Hilfsmittel. Nun sind diese Hilfsmittel in der Entwicklung und im Betrieb jedoch ziemlich teuer, so dass die Lösungen im Hintergrund effektiv gebaut sind: kostensparend, energiesparend, vernetzt, restriktiv.
Und wenn man den knallharten Marktwettbewerb anschaut, will der Anbieter einer solch erfolgreichen Lösung die totale Kontrolle haben. Er will Geld für seine Leistung haben – und er will seine Position stärken. Das läuft dann auf die persönlichen Daten hinaus, die man hergeben muss, damit der Anbieter die volle Kontrolle hat. Wenn kein Geld mehr kommt, dann will er auch auf eine echte Person zugreifen können, um seine Forderungen zu stellen. Genauso, wenn jemand die Software für kriminelle Handlungen nutzt, dann will der Anbieter eben auch einen echten Zugriff haben. Deswegen wird da sehr tief in die persönlichen Daten eingegriffen, um genau diesen Zugriff zu haben. Vertragsabwicklung und Sicherheit sind absolut legitime Zwecke. Dagegen ist es absolut nicht gewünscht, dass der Cloudanbieter die Arbeitsinhalte einsieht, in irgendeiner Form verwertet oder länger aufbewahrt, als der User möchte.
Was spricht denn von unserer Seite gegen die Nutzung solcher Cloud-Services?
Wir als öffentliche Forschungs- und Lehreinrichtung mit sensiblen Daten und Arbeitsergebnissen sind natürlich nicht so erfreut darüber, dass wir keine Kontrolle über deren Verwendung haben. Wir sind bestrebt, unsere Beschäftigten und die Studierenden davor zu schützen, dass mit ihren Daten und Inhalten irgendein Missbrauch geschieht. Das Risiko besteht bei extern gehosteten Cloud-Services. Cloudanbieter beobachten sehr detailliert das Umfeld und das Verhalten der User bei der App-Nutzung. Sie leiten daraus wertvolle Informationen für Kapazitätsplanung, Produktentwicklung und Finanzierung ab. Besonders kostenlose Online-Clouddienste finanzieren sich über Werbung und Datenverwertung. Auch Online-KI-Dienste werden häufig mit Nutzungs- und Inhaltsdaten trainiert. Um es ganz direkt auszudrücken: Es ist nur möglich, persönliche, Geschäfts- und Dienstgeheimnisse ohne Zweifel zu wahren, wenn sie den Rechner oder das eigene Rechenzentrum nicht verlassen.
Hinzu kommt ein weiterer Fakt. Früher hatten Softwareanbieter nur Kontakt mit den Personen und Daten im Beschaffungsverfahren. Jetzt sind es die sehr detaillierten Daten von tausenden Mitgliedern der Universität, die kommerziell bei diversen Softwareanbietern in der ganzen Welt verwertet werden.
Wie könnt ihr das also mit eurer Arbeit verhindern?
Für uns ist es wichtig, gründlich zu prüfen, ob die Anbieterfirmen vertrauenswürdig sind. Dabei schauen wir uns nicht nur die technischen Funktionen der Software an, sondern auch, wo die Daten gespeichert werden, welche Zugriffsrechte der Anbieter hat und wie transparent er über Verarbeitung und Nutzung informiert. Gerade bei Cloudlösungen spielt außerdem eine Rolle, in welchem rechtlichen Umfeld der Anbieter agiert und welche Sicherheits- und Datenschutzstandards eingehalten werden.
Die Welt der IT wird an vielen Punkten von großen Playern bespielt, also großen Firmen, die enorme Macht haben und an denen kaum jemand vorbeikommt. Doch eine Abhängigkeit von einigen wenigen Firmen birgt Gefahren. Leicht können Nutzende zum Beispiel in eine Cloud gezwungen werden. Was erst einmal verlockend klingt, weil die Daten immer und überall verfügbar sind, stellt sich bei genauerem Hinschauen als problematisch heraus. Denn meistens liegen die persönlichen Daten plötzlich in den USA oder in anderen Ländern, und es gelten Gesetze, die der normale Nutzer nicht kennt, die aber große Auswirkungen haben können.
Digitale Souveränität wird daher für Institutionen und Individuen immer wichtiger: Dabei geht es darum, die eigenen Daten selbstständig, selbstbestimmt und sicher kontrollieren zu können. Zugleich trägt digitale Unabhängigkeit zu einer resilienten Infrastruktur bei, denn wer nicht von einem großen Player abhängig ist, ist bei einem Ausfall weiterhin arbeitsfähig. Digitale Souveränität ist damit ein Beitrag zu einer sicheren, vertrauensvollen und verfügbaren IT. Gleichzeitig trägt sie auch zu einem wettbewerbsfähigen Markt bei, weil alternative Lösungen zum Beispiel aus dem Bereich der Open-Source-Lösungen gefördert werden.
Jetzt sprechen wir ja über digitale Souveränität. Wie kann denn aus deiner Sicht die Auswahl einer Software einen Beitrag zur digitalen Souveränität leisten?
Also jetzt muss man erst nochmal schauen, was ich überhaupt mache in meiner Stabsstelle für Softwarebeschaffung am RRZE. Ich beschaffe nämlich überhaupt nichts, was mit digitaler Souveränität zu tun hat, sondern kostenpflichtige, kommerzielle Software. Also, das ist aktuell mein Job, und dafür wird auch eine ganze Menge Geld ausgegeben – in Millionenhöhe bei unserer großen Universität. Das muss man wissen.
Warum wird so viel kommerzielle Software eingekauft?
Jetzt kommt der Twist dazu, dass wir uns an einer Universität befinden, an einer Forschungs- und Lehreinrichtung mit speziellen Anforderungen. Wenn etwa eine Forschungsgruppe an der Technischen Fakultät mit einem Industriepartner wie Siemens zusammenarbeitet, liegt es nahe, auch deren spezialisierte Simulationssoftware einzusetzen. Dann laufen die Forschungsthemen entlang dieser Hilfsmittel. Es ist auch völlig normal und okay, wenn an einer Forschungseinrichtung kommerzielle Software Teil der Forschung ist. Dennoch sollten wir nicht nur beschaffen, was unmittelbar nachgefragt wird. Wir sollten auch dafür sensibilisieren, nach Open Source zu schauen. Wobei mir bei hochspezialisierten Simulationen noch kein Open-Source-Produkt untergekommen ist. Trotzdem sollte jeder bei der Softwareauswahl als Paragraf eins sozusagen immer vor Augen haben: Gibt es Open-Source-Software, freie Software, mit der ich das Problem auch lösen kann, ohne zu kommerziellen Produkten zu greifen?
Jetzt hat diese erwähnte Forschungsgruppe aber diese Möglichkeit nicht…
Es besteht bei diesen kommerziellen Produkten immer eine unerwünschte Abhängigkeit: Da gibt es öfter mal Schwierigkeiten, auch schon bei Versionswechseln. Forschungsaufgaben werden mit einer bestimmten Version simuliert oder ein Forschungssetup wird in bestimmter Weise aufgebaut. Dann ist das Forschungsprojekt zu Ende, es wird archiviert und in drei Jahren sagt die Forschungsgruppe vielleicht: „Hey, hier können wir doch anknüpfen“, und sie ziehen das alte Setup wieder raus. Darauf sagt der Hersteller: „Tja, haben wir nicht mehr, können wir nicht mehr supporten. Mit den Daten könnt ihr in dieser Form nichts mehr anfangen.“ Oder der Hersteller ist in einem anderen Unternehmen aufgegangen, hat seinen Sitz in einem Embargo-Land oder ist ganz vom Markt verschwunden. Das ist auch eine Abhängigkeit, man nennt das Vendor-Lock-in, die bei kommerzieller Software vorkommt, weil der Hersteller keine Möglichkeiten mehr anbietet, etwas Historisches in die Zukunft herüberzuziehen. Während ich bei Software in eigener Verantwortung meine Historie selbst speichere und die Migration eigenständig steuern kann, unterliege ich bei externer Software den vorgegebenen Schnittstellen und Migrationspfaden des Anbieters.
Du hast vorhin schon erklärt, dass ihr im Bereich Forschung und Lehre zwar für Open-Source-Produkte sensibilisiert, aber dennoch oft nicht auf kommerzielle Software verzichten könnt. Wie sieht es in anderen Bereichen aus?
Auch die Studierenden sollten aufgeklärt werden, dass sie nicht jede App und jeden Dienst sorglos verwenden sollten. Wir haben vollen Zugriff auf die Verwaltung, wo wir den Weg der digitalen Souveränität sehr wohl bewusst einschlagen sollten.
In der Verwaltung, und dazu gehört auch unser RRZE, ist die Microsoft-Nutzung eine der größten technologischen Abhängigkeiten wegen der großen Nutzerzahlen. Dort haben wir den Zugriff und können uns gegen die Vertragsverlängerung entscheiden. Um es zu erklären: Wir müssen immer die wirtschaftlichste Variante in der Beschaffung suchen. Und wenn man bei Open Source ansetzt, kommt man zumindest langfristig auf geringere Kosten. Digitale Souveränität hat ihren Preis – oft einen ziemlich hohen. Insbesondere in der Umstellungsphase kosten der Aufbau von souveränen Cloud-Technologien, die Erweiterung von Speichern und die Förderung von Open-Source-Initiativen richtig viel.
Kathrin Böhm leitet seit fünf Jahren die Stabsstelle Softwarebeschaffung am RRZE. Hierbei ist sie zusammen mit ihrem Team zuständig für die Beratung der Einrichtungen zur Auswahl kommerzieller Software, deren Beschaffung und Bereitstellung für Forschung, Lehre und Verwaltung.
Wird es nicht einige Diskussionen geben, wenn die gewohnte Software nicht mehr zur Verfügung steht?
Ja, da gibt es viele Diskussionen. Aber es gibt in der Beschaffung von den Haushalt- und Vergaberichtlinien her einen objektiven Workflow und Prüfschritte. Die muss man durchgehen und da kommt ein Ergebnis in Euro raus. Die wirtschaftlichste Variante wird dann beschafft. Und da zählen auch Risiken mit hinein, also zum Beispiel Abhängigkeiten.
Es könnte also auch sein, dass mit dem Auslaufen eines Rahmenvertrags eine Software auf Open-Source-Lösung umgestellt wird und die Leute das dann vorgesetzt bekommen?
Vorgesetzt… Die Universitätsleitung kann bestimmen, welche Arbeitsmittel in der Verwaltung eingesetzt werden, ja. Aber gerade in der Verwaltung müssen die Entscheider jeden User mitnehmen. Man will ja nicht, dass die Arbeit von einem Tag auf den anderen zusammenbricht und keiner mehr was machen kann. Erst müssen die Leitungen abgeholt und dort Überzeugungsarbeit geleistet werden. Und dann müssen bis zum letzten User anforderungsentsprechende Schulungen und Hilfestellungen angeboten werden.
Können wir das mal am Beispiel Adobe Acrobat Pro durchspielen? Das ist Software zum Lesen und Bearbeiten von PDF-Dateien, für die wir einen Rahmenvertrag haben.
Wir haben ein halbes Jahr vor Ablauf des Rahmenvertrags begonnen, Produkte zu vergleichen, sowohl kommerzielle als auch Open-Source-Produkte. Dieser Markt ist riesig. Und es dauert richtig lange, bis man da erstmal den Überblick über die Angebotsvielfalt hat. Dazu haben wir zusammen mit Monica Hinrichs-Mayer vom CIO-Office und mit einigen Power-Usern Anforderungen definiert und viele Produkte geprüft. Die Krux ist, dass wir eigentlich an den Ressourcen für die Marktbeobachtung gescheitert sind, die wir für einen ausgiebigen Test brauchen, der dann auch Argumente für einen Wechsel auf ein bestimmtes Produkt liefern würde. Das ist sehr, sehr aufwendig. Für digitale Souveränität braucht man Ressourcen, um die Vorteile, Nachteile, Leistungsfähigkeiten und so weiter darlegen zu können. Wir haben irgendwann „Stopp“ gesagt. Wir hatten um die 20, 25 Produkte, die in die engere Wahl kamen. Ich weiß gar nicht, wie viele Acrobat-Alternativen es gibt. Viele lösen nur Teilanforderungen. Dann müsste man eventuell zwei, drei Produkte nebeneinander laufen lassen, um dasselbe Ergebnis zu haben. Das ist das eine. Andere sind eingeschränkt auf Betriebssysteme, etwa nur macOS oder Windows. Das sind so die groben Kategorien, die wir hatten. Da ist viel rausgefallen, weil wir nur ein Produkt für macOS und Windows haben wollten. Und dann sind wir, was den Komfort betrifft, bei Acrobat geblieben und auch, weil wir die Möglichkeit haben, die Cloud-Verarbeitung abzuschalten, sodass die Anwendung rein lokal läuft. Damit haben wir ein hohes Gut, den Datenschutz, umsetzen können. Acrobat ist als die wirtschaftlichste Variante herausgekommen. Du kannst dir nicht vorstellen, was ich für Preise für die kommerziellen Alternativen bekommen habe Wir haben momentan 6.500 Mitarbeiter. Acrobat läuft bei einem Drittel auf einem Mac. Da hätten wir das Dreifache allein für die Ausstattung einer Acrobat-Alternative für macOS bezahlt. Also unvorstellbar. Aus der Sicht war es wirklich eine ganz objektive Aussortierung von Produkten, die entweder preislich oder eben von den Anforderungen her rausgefallen sind. Wir sind bei Acrobat gelandet. Die Abhängigkeit von dem großen Player Adobe konnten wir auf das Produkt reduzieren. Weil wir, wie gesagt, die Cloud-Abhängigkeit abgeschaltet haben. Das ist zwar mit Komfortverlust für unsere User verbunden, aber trotzdem komfortabler als manch andere Lösung, die wir betrachtet haben. Adobe ist außerdem ein Vertragspartner, der mit den deutschen Hochschulen direkt verhandelt und unsere speziellen Bedürfnisse teilweise auch berücksichtigt.
Du hattest gesagt, euch fehlen Ressourcen zur Marktbeobachtung…
Vor allem die Marktbeobachtung ist in der Softwarebranche wichtig, weil derzeit auf allen Gebieten Produkte wie Pilze aus dem Boden schießen und zwar ganzjährig, nicht nur im Herbst wie die Pilze. Es ist ja nicht unsere Hauptaufgabe, den Markt der freien Software zu beobachten. Wir haben noch viele andere Beschaffungs- und Bereitstellungsaufgaben, mit denen wir gut ausgelastet sind. Aber dafür gibt es eine Lösung. Die hat Marcel auch schon angesprochen (in Teil 1 der Interviewreihe; Anm. d. Red.). Es ist am besten, wenn sich alle Hochschulen zusammentun, wie eben beim Digitalverbund Bayern, und eine Plattform mit Marktbeobachtungen, mit konkret getesteten Alternativen und Softwareerfahrungen befüllen. Wenn wir uns eine solche Plattform schaffen würden, wo wir alle reinschauen und alle mitmachen könnten, dann hätten wir, gerade was die Verwaltung betrifft, einen riesigen Fundus, aus dem wir schöpfen könnten.
Führt mich zum Schluss zur Frage, was würdest du dir für die Zukunft bezogen auf die digitale Souveränität in deinem Softwarebereich wünschen?
Den Vendor-Lock-in, also die tiefgreifenden Abhängigkeiten bei zentralen und sehr teuren Produkten, vermeiden; das ist ein großer Wunsch. Wir bekommen im Rechenzentrum als Erste mit, wenn Hersteller was abdrehen, und dann müssen wir es den Usern sagen und bestenfalls sofort eine Lösung parat haben. Die fragen nämlich: „Wie soll ich denn jetzt arbeiten?“ Das ist eine ganz große Bedrohung und deshalb wünsche ich mir weniger Abhängigkeit und einen Katalog mit Alternativen zur Hand. Was ich mir auch wünschen würde, ist verpflichtende Transparenz seitens der Hersteller in Sachen Datenverarbeitung und Überwachungstechniken, so dass wir als Hochschule mit großer IT-Infrastruktur weniger Compliance-Risiken haben.
Was man sich immer wünscht als Softwarebeschaffer: Ich habe Anforderungen und es gibt genau das passende Produkt dafür, das leg ich in meinen Warenkorb, bezahle und alle sind glücklich. Aber das gibt es nicht. Das wäre die Idealvorstellung. Man muss immer irgendwo schrauben und nachbessern oder sich noch was extra beschaffen.
Aber ich schaue mit meinen Wünschen nicht nur auf den Markt, sondern auch ins eigene Haus. Als Stabsstelle Softwarebeschaffung wünsche ich mir eine durchgängige Strategie für digitale Souveränität an der FAU. Momentan können wir nämlich nur Einzelfälle steuern, indem wir den Lehrstühlen Alternativen für kommerzielle Produkte vorschlagen. Das Rechenzentrum als Ganzes könnte auch viel mehr tun, wenn eine Strategie und Finanzmittel dafür da wären. Das sind die Träume von Softwarebeschaffern.
Dann wünsche ich, dass die Träume in Erfüllung gehen. Vielen Dank für das Gespräch!
Das Thema digitale Unabhängigkeit oder besser bekannt als digitale Souveränität hat in letzter Zeit einen deutlichen Bedeutungsschub erlebt. In dieser Interviewreihe zeigt das RRZE, warum es für ein Universitätsrechenzentrum weit mehr ist als ein vorübergehender Trend und wie das Thema zu einer resilienten IT beiträgt. Alle weiteren Teile:
Teil 1 – Marcel Ritter
Das Gespräch führte Corinna Russow