Hervorgehoben

Das ist Gold wert

Auch der Netzbereich ist von Cloud-Bestrebungen nicht ausgenommen. Helmut Wünsch, Leiter der Abteilung Kommunikationssysteme, erklärt im Gespräch, warum das für ihn keine Option ist und welche Kooperationen besonders nützlich sind. Teil vier der Interviewreihe über digitale Souveränität.

Ein Mann mit Glatze und Mehrtagebart trägt ein schwarzes Polo-Shirt und steht in einem Serverraum. Rechts und Linksv on ihm stehen Server in einem Rack, diese sind schwarz und grau und haben Knöpfe und Leuchten. Foto: Giulia Iannicelli
Helmut Wünsch nutzt für das Netz des RRZE am liebsten eigene Leerrohre und eigene Glasfasern (Foto: Giulia Iannicelli)

Die wenigsten werden wissen, was alles zum Netz gehört. Lass uns deshalb zum Einstieg erst einmal klären: Welche Bereiche gibt es denn üblicherweise im Netz?

Helmut Wünsch: Da müssen wir jetzt natürlich sagen: Was verstehen wir alles unter dem Netz? Die Netzwerkinfrastruktur. Sie besteht aus sogenannten passiven Anteilen: Das sind die Trassen, die Bauabschnitte, die Leitungen, die Kabel, Glasfaserkabel, etc. Dann besteht es aus aktiven Anteilen: Das sind die Router, die Switches, die Accesspoints, also die ganze Technik, die in irgendeiner Form Strom verbraucht. Und dann besteht es im weiteren Sinne noch aus den sogenannten Hintergrunddiensten. Das sind dann die Serverdienste, die das Netz letztendlich erst benutzbar machen: Sowas wie Management, DHCP-Service, IP-Service, VPN-Service, IP-Adress-Verwaltung, Dokumentation etc. Sprich: Es gibt passives Netz, aktives Netz und die Hintergrunddienste. Man merkt schon, das ist ein weites Feld.

Lass uns doch mal beim passiven Netz einsteigen.

Da muss man bei der ganzen Netzplanung, Netzkonzeption anfangen. Wie baut man das auf? Plant man das selbst? Wo laufen potenziell überhaupt Kabel beziehungsweise Leerrohre? Es fängt wirklich ganz, ganz, ganz unten an, beim Trassennetz, den Baggerarbeiten. Man kann das komplett an einen Planungsdienstleister übergeben oder man kann versuchen, möglichst viel selbst zu planen. Unser Ansatz ist, dass wir möglichst viel selbst in die Hand nehmen. Und da ist letztendlich die Frage, wie es mit dem eigenen Personal ausschaut: Wie sind die ausgebildet? Da brauchst du zum Teil auch Bauingenieure. Im universitären Tiefbau ist üblicherweise das Bauamt beteiligt, das dann mit externen Planungsbüros zusammenarbeitet, und das wird in engem Dialog mit uns umgesetzt. Das ist die beste Herangehensweise. Wenn man dann ein Trassennetz hat, geht es wirklich los. Idealerweise legt man eigene Glasfasern rein, also eigene Kabel, sogenannte Dark Fiber, das heißt Glasfasern, die man selbst beleuchten muss. Man kann diese Glasfasern eventuell auch anmieten, oder man greift auf angemietete sogenannte Festverbindungen – früher auch „Standleitungen“ genannt – zurück.

Ist es ideal, eine Mischung aus angemieteten und eigenen Glasfasertrassen zu haben?

Das Schönste ist natürlich immer, wenn man das eigene Trassennetz mit Leerrohren hat. Dann kann man da beliebig viele Glasfasern selbst einblasen lassen, wo man möchte. Damit ist man komplett skalierbar, geradezu in unbegrenzter Möglichkeit. Das haben wir in vielen Erlanger Stadtbereichen oder hier am Süd-Campus. Wenn man nach Nürnberg schaut, wird es schwieriger. Dort haben wir wenig zusammenhängende Flächen von der Universität, wo man wirklich von einem Campus sprechen kann. Innerhalb der Gebäudeareale der Langen Gasse zum Beispiel gibt es durchaus Leerrohrsysteme, aber zwischen den Campusgebieten in Nürnberg wird es schwierig.

Da habt ihr dann angemietete Leitungen?

Da hat man entweder die Möglichkeit, auf einen Provider wie zum Beispiel Telekom, M-net, oder Vodafone zuzugehen und nach sogenannten Standortvernetzungsprodukten wie Ethernet-Standleitungen zu fragen: Dann verbindet der Provider die beiden Standorte intern über sein Netz, und uns verkauft er eine Art virtuelle Leitung mit einer bestimmten Bandbreite, meist zu stattlichen monatlichen Kosten. Oder man sagt, wir wollen da Glasfasern haben. Da ist dann die Frage: Gibt es Anbieter, die uns auch wirklich Glasfasern vermieten oder verkaufen? Das ist das Schwierige, weil Provider Geld verdienen wollen. Das heißt, die wollen Dienstleistungen auf ihren Glasfasern verkaufen, eben virtuelle Datennetzverbindungen. Echte Glasfaserkabelverbindungen werden die uns sehr ungern direkt vermieten oder gar verkaufen. Da gibt es nur sehr wenige, die das heute noch machen. Wenn man aber Anbieter findet, sind die laufenden Mietkosten im Vergleich zu entsprechenden Standleitungen oder Vernetzungsprodukten meist deutlich günstiger, da man ja nur eine „passive“ Infrastruktur (in der Regel basierend auf einem Meterpreis) bezahlt und nicht die sonstigen umgelegten Betriebskosten eines Providers wie Strom, Personal, Technik etc. Glücklicherweise haben wir im Bereich Nürnberg seit vielen Jahren einige sehr gute und strategisch langfristig angelegte Kooperationen mit regionalen und kommunalen Partnern. Mit denen können wir zusammen auch dort ein Glasfasernetz im Eigenbetrieb unterhalten. Das bedeutet für uns maximale Flexibilität im Betrieb. Die FAU spart Geld im Bereich der Betriebs- und Mietnebenkosten; im Hinblick auf die digitale Souveränität ist das für uns Gold wert.

Inwiefern?

Wir können so maximal souverän agieren: Wir können normalerweise jeden einmal per Dark Fiber erschlossenen Standort künftig fast mit beliebig schneller Zugangstechnik ausstatten. Dadurch können wir jeden der zentral angebotenen IT-Dienste der FAU zuverlässig dort anbieten und haben die volle Kontrolle darüber, inklusive voller Verschlüsselung, wenn wir so wollen. Da guckt uns keiner so leicht rein, es bietet maximale Sicherheit und maximale Geschwindigkeit. Und das ist gut für die Souveränität der einzelnen dezentralen Institute: Ist ein Standort erst einmal per Dark Fiber erschlossen, wird dieser Standort auch in Zukunft mit sehr hoher Wahrscheinlichkeit von seiner geographischen Lage her nicht von der technischen Entwicklung abgehängt werden. Daher versuchen wir von vornherein so viele Standorte der FAU wie möglich, sei es im geisteswissenschaftlichen oder im technischen Bereich, per Glasfaser zu erschließen. Diese Einrichtungen können dann (abgesehen eventuell von Einmal-Invests) grundsätzlich an der digitalen Entwicklung voll teilhaben.

Wie steht es denn mit der digitalen Souveränität bei der Hardware, also den Switches, Routern und Accesspoints? Die Hardware kommt ja meist nicht aus Deutschland…

Wir haben hier ein sehr großes Datennetz mit sehr vielen Accesspoints, die zusammenspielen. Im professionellen Umfeld, in diesem „Enterprise-Umfeld“, ist man heutzutage immer noch an die großen Hersteller gebunden. Die klassischen Open-Source-Ansätze, die es zum Beispiel im Server-Bereich mit Linux gibt, haben wir in dem Sinne im Campus-Netzwerk-Bereich leider so noch nicht. Es gibt Ansätze, sogenannte White-Label-Hardware. Das ist eine Art generischer Switch ohne Logo, den man dann selbst mit einem Betriebssystem bestücken kann und der gewisse Funktionalitäten abbilden könnte. Aber der Aufwand wäre extrem hoch und der Funktionsumfang dieser White-Label-Hardware ist bei weitem noch nicht das, was wir bräuchten. Wir betreiben zwischen den wichtigsten Knoten im Backbone ja ein High-Speed-Datennetz wir müssen zum Beispiel für HPC, für NHR Bandbreiten mit zum Teil 100 Gigabit, 400 Gigabit oder sogar mehr bereitstellen. Auf der anderen Seite brauchen wir in Bürogebäuden Netzwerkkomponenten, die eine sehr hohe Anzahl von Netzwerkports auf kleinstem Raum, bei möglichst wenig Stromverbrauch, anbieten. Das können in der Praxis zum Teil wirklich nur die großen amerikanischen und chinesischen Hersteller. Wobei zumindest Europa hier tatsächlich in bestimmten Bereichen zwischenzeitlich etwas Land gut gemacht hat: Der DFN zum Beispiel hat sein Weitverkehrsnetz X-WiN in weiten Teilen von einem amerikanischen auf einen europäischen Hersteller umgestellt – wohlgemerkt nicht nur aus politischen, sondern auch aus Gründen der besseren Technik. Das betrifft aber letztlich nur eine Produktsparte sehr großer Weitverkehrs-Router, die wir im regionalen Campus-Netz so nicht einsetzen.

Das heißt, da besteht zwangsläufig eine Abhängigkeit?

Ja, in diesem Nischenbereich „Enterprise Netzwerktechnik“ haben wir zwangsläufig, was die Hersteller und die Hardware angehen, noch eine gewisse Abhängigkeit.

Du sagst „noch“. Du siehst also die Möglichkeit, dass sich das in Zukunft hin zu einer Open-Source-Lösung entwickeln kann?

Durchaus, ja. Einige Komponenten lassen sich heute schon exzellent auf Basis von Linux und Standard-Hardware betreiben. Was aber die gerade genannte Abhängigkeit von Herstellern für „Enterprise Netzwerktechnik“ angeht, versuchen wir, auf der politischen Ebene im Rahmen der Gremienarbeit möglichst unabhängig zu bleiben: Im Verbund mit den bayerischen Kollegen achten wir darauf, dass wir Rahmenverträge mit möglichst breitem Hersteller-Portfolio haben. Es gibt in Zukunft eine neue Art von Rahmenvertrag, bei dem man gezielt aus mehreren Herstellern auswählen kann. Klassisch gesehen war das ja immer so: Irgendeine Universität hat einen Rahmenvertrag ausgeschrieben, zum Beispiel für Cisco, HP oder Juniper, und alle anderen haben sich daran gehängt und gesagt: „Ja, prima, es gibt wieder einen Nachfolge-Rahmenvertrag für meinen Lieblingshersteller, alles bleibt gleich, dann müssen wir nichts anderes nehmen“.

Und im Endeffekt hatten alle die gleichen Probleme…

Genau, dann war das zum Beispiel in Cisco-Hand oder in Aruba-Hand. In den letzten Jahren wurden manche Hersteller stellenweise aber richtig unverschämt und haben mit neuen Lizenzierungsmodellen angefangen. Früher hat das meist „nur“ den Support tangiert. Aber inzwischen geht es ja so weit, dass die sagen, rein für die Aufrechterhaltung des Betriebs muss man das Ding mit saftigen laufenden Kosten lizenzieren. Zum Beispiel hat ein großer Hersteller von WLAN-Hardware, die wir ebenfalls einsetzen, die Vorstellung, dass in Zukunft das komplette zentrale Management der Geräte bei denen in der Cloud läuft. Da haben wir zusammen mit dem LRZ (Leibniz Rechenzentrum) ganz klar gesagt: „Never ever! Das machen wir nicht!“ Wenn es sein muss, schmeißen wir diesen Hersteller hochkant raus. Dadurch, dass das eine abgestimmte bayerische Aussage war, scheint aber jetzt tatsächlich dieser Großhersteller schon etwas zurückzurudern. Verlieren will der nämlich die Hochschulen auch nicht unbedingt. Andererseits haben aber auch viele kleine Hochschulen bereits gesagt: „Wir knicken ein, weil wir kein Personal haben, es umzustellen“. Dann musst du halt in die Cloud und dafür zahlen.

Warum ist es aber kompliziert oder nicht gut, bei diesen Herstellern in die Cloud zu gehen?

Also das ist erstmal eine ganz klare Philosophie-Frage. No way! Das geht einfach nicht. Wir betreiben eine elementare technische Infrastruktur, zum Beispiel der FAU, die absolut vertrauenswürdig sein muss. Sie muss schon aus Gründen der IT-Sicherheit vollständig in unserer Hand sein, aber auch aus Gründen der Wirtschaftlichkeit.. Weil das Erste, was immer passiert, das sehen wir bei Microsoft, das sehen wir bei Zoom: Es wird mit günstigen Verträgen geködert und dann wird die Preisschraube angezogen.

Wenn ihr im Netzbereich Clouds nutzen würdet – hätten die Hersteller auch eventuell Zugriff auf unsere Daten hier oder auf das Datennetz?

Jetzt kommt der dritte Aspekt – und jetzt wird es juristisch-theoretisch: Könnten mich die Cloud-Anbieter theoretisch belauschen? Die Hersteller würden natürlich sagen: „Nein, auf gar keinen Fall. Das ist alles voll verschlüsselt.“ Aber wie es technisch umgesetzt ist, also ob es dann auch wirklich Ende zu Ende verschlüsselt ist, ohne praktische Manipulationsmöglichkeit – das kannst du ja oft nur schwer nachvollziehen. Du müsstest Einblicke in irgendeine Funktionsweise bzw. den Quellcode von diesem Produkt haben, und das werden wir als normale Kunden nicht bekommen. Wir hätten auch nicht die Kapazitäten, dies zu überprüfen. Daher fahren wir bei proprietären Herstellern und Technikern immer mit einer ordentlichen Prise gesunden Misstrauens.

Die Welt der IT wird an vielen Punkten von großen Playern bespielt, also großen Firmen, die enorme Macht haben und an denen kaum jemand vorbeikommt. Doch eine Abhängigkeit von einigen wenigen Firmen birgt Gefahren. Leicht können Nutzende zum Beispiel in eine Cloud gezwungen werden. Was erst einmal verlockend klingt, weil die Daten immer und überall verfügbar sind, stellt sich bei genauerem Hinschauen als problematisch heraus. Denn meistens liegen die persönlichen Daten plötzlich in den USA oder in anderen Ländern, und es gelten Gesetze, die der normale Nutzer nicht kennt, die aber große Auswirkungen haben können.

Digitale Souveränität wird daher für Institutionen und Individuen immer wichtiger: Dabei geht es darum, die eigenen Daten selbstständig, selbstbestimmt und sicher kontrollieren zu können. Zugleich trägt digitale Unabhängigkeit zu einer resilienten Infrastruktur bei, denn wer nicht von einem großen Player abhängig ist, ist bei einem Ausfall weiterhin arbeitsfähig. Digitale Souveränität ist damit ein Beitrag zu einer sicheren, vertrauensvollen und verfügbaren IT. Gleichzeitig trägt sie auch zu einem wettbewerbsfähigen Markt bei, weil alternative Lösungen zum Beispiel aus dem Bereich der Open-Source-Lösungen gefördert werden.

Weil sie den Einblick nicht geben, wie es bei Open-Source-Produkten der Fall wäre?

Den geben sie selten. Die geben bestenfalls formale juristische Zusicherungen, auch gegenüber europäischem Recht, und das ist so ein bisschen ein Dilemma: Da steht zum Beispiel drin: „Wir sorgen durch ausreichende Verschlüsselung dafür, dass wir nichts mitlesen können.“ Techniker und Ingenieure schlagen die Hände überm Kopf zusammen, weil da ja faktisch nichts Belastbares drinsteht. Den meisten deutschen, europäischen Juristen oder Hochschulen aber reicht so eine lapidare Zusicherung. Die ist technisch keinen Cent wert, aber sie reicht den Juristen: Denn wenn was sein sollte, kann man sich ja auf das Recht berufen und Schadensersatz fordern oder Strafzahlungen einleiten. Aber natürlich ist es technisch keineswegs ausgeschlossen, dass bei den großen Cloud-Diensten die ganzen US-amerikanischen oder chinesischen Geheimdienste Zugriff haben. Das sagen die auch stellenweise ganz offen, aber es ist den meisten Leuten faktisch egal. Aber diese Möglichkeit ist, ich sag mal, auch nur ein theoretisches Spiel. Sind wir mal ehrlich: Eine Universität hat im Vergleich zu einer privaten Forschungseinrichtung, die möglicherweise auch von Kooperationen mit der Industrie und Rüstungsindustrie lebt, abseits von personenbezogenen Daten, die natürlich extrem schützenswert sind, jetzt nicht so die großen Betriebsgeheimnisse, für die sich Geheimdienste interessieren. Deswegen ist die Diskussion, ob die großen Geheimdienste dieser Welt theoretisch reingucken könnten, für eine Universität – im Gegensatz zu einer industrienahen Forschungseinrichtung – eventuell gar nicht so entscheidend. Was du als Universität willst, ist, primär im Namen der Wissenschaft und Grundlagenforschung unabhängig zu bleiben! Und hier ist das Risiko, dass sich zum Großteil über den alltäglichen Betrieb eine finanzielle und technologische Abhängigkeit von gewissen Herstellern bildet, definitiv gegeben, weil die ganz bewusst nicht mit offenen technischen Standards arbeiten. Die wollen dich in ihre proprietäre Welt reinzwängen: „lock in“, und am besten gar nicht mehr rauslassen, beziehungsweise wenn dann nur zu horrendem Aufwand und Kosten. Genau das ist der Punkt.

Was wären denn Folgen?

Also für uns als Rechenzentrum: Wenn wir zum Beispiel mit unseren WLAN-Accesspoints in die Cloud gehen würden – inzwischen sind es campusweit knapp 3.000 Accesspoints – dann hätte der Hersteller praktisch ein „golden ticket“ gewonnen, weil er eine in der Regel zuverlässig zahlende öffentliche Einrichtung über die nächsten Jahre wie ein neues Ölfeld ausbeuten kann. Der Punkt ist ja die betriebliche Personalsituation in den Hochschulen: unterbesetzt und schlecht bezahlt. Können die meisten Hochschulen sich spontan aus ihrer Abhängigkeit befreien, wenn die Vertragsbedingungen immer schlechter werden? Können sie „mal eben“ auf eine andere Lösung migrieren? Werden sie nicht schaffen. Zumindest nicht in endlicher Zeit und/oder ohne horrend lange Downtimes. Aber noch schlimmer: Finde mal das Personal dazu, denn das eigene Know-how wird nach Jahren in der Cloud massiv geschrumpft oder eingeengt sein. Wenn du immer nur die Herstellerlösung einsetzt, nichts anders mehr auf dem Horizont hast, verblödest du. Das eigene Personal wird richtiggehend verblöden. Und deshalb sagen wir von Anfang an: „Vergiss es! Wir wollen das selbst machen. Wir wollen die Kontrolle behalten. Wir wollen uns weiterbilden.“ Digitale Souveränität lebt von der Weiterbildung und der Kompetenz – speziell des eigenen Personals vor Ort.
Also Fazit: Ja, theoretisch gesehen, halte ich es durchaus für ein mögliches Szenario, dass da der Hersteller oder die Geheimdienste mitlesen. Aber soll das das schlagende Argument sein? Nein, da gibt es weitaus mehr Argumente für mehr Eigenleistung. Sei es die eigene Weiterentwicklung der Kompetenz, sei es die preisliche Unabhängigkeit, sei es die Unabhängigkeit der Wissenschaft.

Inwiefern könnte das denn die Wissenschaft abhängig machen?

Die Abhängigkeit manches Wissenschaftsbetriebs von der Industrie, von den Herstellern, ist unheilig. Im amerikanischen Raum ist dieses Sponsoring von wissenschaftlichen Einrichtungen ja gang und gäbe. Aber ich sehe es auch hierzulande zum Beispiel bei den vielen kleinen, aber auch größeren Einrichtungen, die sich eng an Cloud-Dienste wie Microsoft, Google oder Amazon binden. Nicht meine Welt. Ich möchte das nicht, weil es einfach den gelebten Grundsätzen einer unabhängigen Wissenschaft widerspricht.
Ein Beispiel: Ein großes deutsches Telekommunikationsunternehmen baut in München mitten in der Landeshauptstadt ein großes Rechenzentrum und bietet KI-Forschungsinfrastruktur als Komplettdienstleistung. Lädt dann zur Eröffnung VIPs aus Wirtschaft und Politik ein und rührt die Werbetrommel, dass sie mit ihrer Marktmacht doch der ideale Partner für die Wissenschaft im internationalen Umfeld wären, und das alles viel billiger könnten als die etablierten Uni-Rechenzentren. Bei der Politik und Finanzentscheidern wird man damit erst einmal auf offene Ohren stoßen: Und wenn man dann diesen Weg einschlägt, mal ganz ehrlich: Würdest du im weiteren wissenschaftlichen Prozess da noch irgendwas publizieren, wo zum Beispiel rauskäme, dass die gegenwärtig eingesetzte Technik oder Strategie oder Prozesse, die man in großen Teilen „gesponsert“ bekommt, gar nicht so effizient oder gar nicht so toll für die Umwelt und Gesellschaft sind, wie einem diese Hersteller eingeredet haben? Oder dass man möglicherweise mit anderer Hardware und anderen algorithmischen Ansätzen wesentlich bessere Ergebnisse erzielen könnte? Nur mal angenommen, es gibt da jetzt Prototypen von einem ganz neuen Hersteller für neue, hochenergieeffiziente KI-Hardware, die man neutral unter wissenschaftlichen Aspekten auf Performance oder Skalierbarkeit testen wollte: Kann oder darf man das überhaupt noch, wenn dann der eigene Laden zu über 50 Prozent von den etablierten Herstellern finanziert wird oder man im Extremfall gar nicht mehr ein eigenes Labor oder Rechenzentrum unterhält und man dann in Gefahr gerät, potenziell als Nestbeschmutzer zu zählen, wenn man „fremde“ Techniken evaluiert?
Sprich: Ist man als drittmittelabhängiger Wissenschaftler in so einem Umfeld noch so weit unabhängig, um zu sagen: Das ist ein wissenschaftlich wertvolles Projekt, das wollen wir einwerben, da wollen wir dran forschen? Ich wage es nicht zu beurteilen, aber ich traue mich zu sagen: Mit einem eigenen wissenschaftlichen Rechenzentrum und souveränem Personal und Infrastruktur im Hintergrund wird das in jedem Fall klappen!

Es macht also auf vielen Ebenen abhängig, nicht nur auf der technischen…

Ja, und um wieder aufs Kernthema zu kommen: Ich will für das Netz keine zwingende permanente Betriebsabhängigkeit von irgendeiner Firma haben. Es darf auch gar nicht erst der Hauch des Anscheins entstehen, dass externe Firmen unser Netz oder unsere Entscheidungen von außen beeinflussen können – ja, im Extremfall sogar über das Lizenzierungsargument die Betriebserlaubnis zurücknehmen, sprich: unsere Technik abdrehen können. Für viele Firmen mag diese Betriebs-Lizenzierung völlig normal sein, aber für die Universität, wo die laufenden Mittel immer begrenzt sind und regelmäßig das meiste über Einmal-Invests abgewickelt wird, ist es absolut relevant, dass wir zu einem Zeitpunkt für relativ viel Geld investieren können – und dann muss die Sache eben zuverlässig funktionieren, bis das nächste Projekt ansteht.

Wie behaltet ihr den Überblick über eure verschiedenen Bezugsquellen?

Es sind ja jetzt nicht so viele, und die Kollegen aus der Technik schimpfen natürlich immer – das sei ihnen auch zugestanden – wenn man einen anderen Hersteller nimmt: Dann muss man wieder umlernen, dann funktionieren manche Prozesse nicht mehr und wir müssen unser Management anpassen. Deswegen ist da naturgemäß auch immer ein gewisses „Gegengewicht“ da. Man rennt nicht sofort jeder neuen Entwicklung hinterher, weil es ja beträchtlichen Aufwand für Prozessanpassungen, für Entwicklung, für Schulungen etc. bedeutet. Aber man muss eine gewisse Grundagilität bewahren und dadurch – Achtung Eigenwerbung – zeichnen wir uns aus: Außer dem LRZ im Süden und uns als RRZE im Norden, gibt es kaum ein wissenschaftliches Rechenzentrum, das diese flexible Infrastruktur und diese Dynamik im Personal hat. Wir haben eine super agile Truppe, weil wir eine Vision der digitalen Unabhängigkeit haben. Wir wollen uns nicht erpressen lassen. Notfalls sind wir bereit, andere Wege zu gehen. Auch wenn das dann heißt, andere Produkte oder Ansätze zu fahren.

Helmut Wünsch ist Leiter der Abteilung Kommunikationssysteme am RRZE. Dazu gehört die Arbeitsgruppe Netzinfrastruktur & -dienste. Sie kümmern sich um das „zentrale Nervensystem“, das Netz, sind also verantwortlich dafür, dass alle vom RRZE versorgten Einrichtungen ein tragfähiges, resilientes und sicheres Netz nutzen können. Eine weitere Arbeitsgruppe, die Postmaster, ist für das zentrale E-Mail-Nachrichtensystem sowie Groupware-Aktivitäten verantwortlich. Gebündelt in der Forschungsgruppe Netz finden alle Forschungsaktivitäten rund um das Netz, wie beispielsweise die Forschung zu quantenbasierter Verschlüsselungstechnik, statt. Die multimedialen Dienste wie Vorlesungsaufzeichnungen und das Videoportal fau.tv. sind über das Multimediazentrum MMZ ebenfalls in der Abteilung angesiedelt.

Wie geht ihr dann vor? Arbeitet sich eine Person ein und weist dann die anderen ein?

So viele Leute haben wir ja aufgrund der angespannten Personalsituation nicht. Aber angenommen, wir müssten jetzt zum Beispiel auf einen neuen Hersteller für Router oder Firewalls umschwenken: Dann müssen wir uns im Team anschauen, was unsere zwingenden Anforderungen sind, worauf wir gegebenenfalls verzichten beziehungsweise was wir eventuell anders abbilden können. Aber wir würden in jedem Fall in engem Kontakt mit dem LRZ stehen, weil diese ein ähnliches Setup haben wie wir und wir idealerweise unsere Strategie abstimmen. Dann muss man sehen, welcher Hersteller überhaupt noch die Funktionalitäten für uns anbieten kann. Und dann wird es schon relativ eng. Am Schluss bleiben eventuell drei, vier Hersteller und die muss man dann unbedingt mit einer praktischen Teststellung auf Herz und Nieren prüfen. Man muss sich unsere vorhandenen Management-System-Prozesse angucken, ob wir das abbilden können. Und dann ist es letztendlich so, und das ist jetzt auch das Wichtige, dass man immer digital souverän bleibt. Die Lösung muss zu 100 Prozent ein On-Premises-System bleiben, das grundsätzlich immer betriebsbereit bleibt. Klar kann es im Extremfall möglicherweise keinen Support mehr vom Hersteller geben. Das ist dann sehr, sehr tragisch, aber damit könnten wir im Extremfall leben, Hauptsache, das System bleibt online.
Und wenn man dann einen neuen Hersteller evaluiert hat, kann man Bereiche abschnittsweise auf den neuen Hersteller umziehen. Und ja, das ist personell aufwendig, weil dann immer ein Doppel- oder gar Mehrfachsystembetrieb herrscht. Aber letztlich ist es das wert.

Lass uns noch auf die von dir erwähnten Hintergrunddienste schauen. Wie steht es da um die digitale Souveränität?

Das sind die Dienste, die auf den Servern laufen. Da sind wir tatsächlich relativ weit, auch dank unserer eigenen Netzentwickler. Da ist alles mehr oder weniger schon auf Linux-Technik basierend, also Open Source. Da haben wir einen sehr, sehr, sehr hohen Grad an digitaler Souveränität. Das finde ich cool.

Und sind das alles Eigenentwicklungen?

Es ist zumindest fast alles Open Source: eduVPN ist ein europäisches Open-Source-Entwicklungsprojekt von GÉANT; unsere zentrale Verwaltung für das verteilte Firewall-System ist eine Open-Source-Eigenentwicklung. Sämtliche Server für die Authentifizierung am Netzwerk (sog. Radius-Server) basieren auf Open Source. Das zentrale System für den sicheren Zugriff von Intranet-Adressen auf das öffentliche Internet (sog. NAT-Gateway) ist Open Source. Für das Netzwerkmanagement-System hatten wir früher auch etwas Zugekauftes, inzwischen ist es ein Toolkit von Eigenentwicklungen auf Linux–Basis. Das alles hat auch den schönen Vorteil, dass man diese Systeme aufgrund ihrer offenen Schnittstellen wunderbar kapseln und geographisch verteilen kann, für mehr Resilienz. Das heißt, ein Teil der Technik läuft in Erlangen, einer in Nürnberg, und die werden über bewährte standardisierte Techniken synchronisiert. Kleiner Ausblick: Wenn der RZ-Neubau in Erlangen steht, bekommen wir vom DFN auch einen eigenen Internet-Uplink in Nürnberg. Sollte Erlangen womöglich vor die Hunde gehen, abbrennen, was Gott verhüten möge, dann würde das Netz im engeren Sinne mit all seinen Hintergrunddiensten zumindest noch in Nürnberg funktionieren. Das hat durchaus einen ernsten Hintergrund. Das ist zum Beispiel wichtig für die UTN, weil die natürlich daran interessiert ist, dass die elementare Infrastruktur weiterfunktioniert, auch wenn Erlangen brennt. Das würde dann tatsächlich funktionieren. Sonstige IT-Dienste, die bis dato im abgebrannten RZ betrieben wurden, wären dann zwar erst einmal aus, könnten aber am LRZ in Garching in absehbarer Zeit dank der schon heute dafür ausgelegten Netz-Infrastruktur und des Gegenseitigkeits-Prinzips zwischen RRZE und LRZ zeitnah wieder online genommen werden.
Das ist ein unmittelbarer Effekt der digitalen Souveränität, wir behalten letztlich immer die Kontrolle über die Technik. Ich bin ein absoluter Fan davon. Kostet aber unterm Strich immer Personal, Aufwand. Aber: Umsonst ist letztendlich nichts, du zahlst es immer.

Stell dir vor, der Präsident der FAU käme zu dir und sagt: Helmut, du hast drei Wünsche fürs Netz frei. Welche würdest du wählen?

Personal. Sachmittel. Und vor allem: Anerkennung.
Ernsthaft: Ich habe eine super Truppe, ich schätze und liebe die. Wir brauchen Personal beziehungsweise Planstellen, um die grandiosen Leute, die wir selbst aus- und weiterbilden, zu halten. Wir brauchen Sachmittel, um das Netz im Kern stets instand und souverän zu halten. Siehe Deutsche Bahn: 40 Jahre wurde die heruntergewirtschaftet, jetzt wird die gleiche Zeit und noch viel mehr Geld nötig sein, um das wieder zu reparieren. Wir haben im Netzbereich vor ein paar Jahren glücklicherweise den Kollaps noch erfolgreich abwenden können und das Netz gerade auch in Hinblick und im Kontext von Mitteln eines künftigen Nordbayerischen Hochleistungsrechenzentrums erfolgreich betriebsbereit halten können. Und dann natürlich die Sache mit der Anerkennung: Das Netz läuft immer im Hintergrund. Das ist wie das zentrale Nervensystem des Menschen: Wenn es funktioniert, merkst du es nicht. Aber wenn es nicht funktioniert, dann bist du bildlich gesprochen vollgelähmt und realisierst, dass plötzlich gar nichts mehr funktioniert. Du musst praktisch gar nicht mehr zur Arbeit kommen, weil du dich nicht nur nicht mehr am PC einloggen kannst, sondern oft gar nicht erst ins Gebäude kommst, weil zum Beispiel die Schließanlage offline ist. Darum habe ich jetzt ein bisschen scherzhaft gesagt: Wir brauchen Anerkennung. Das ist dann aber auch mein Job, ich muss trommeln. Und nicht nur deswegen sind wir im Bereich Netz vielschichtig unterwegs, zum Beispiel auch in der Drittmittelforschung. Das ist dann gerade auf der höheren VIP-Ebene immer etwas sichtbarer als die reine Betriebs-Infrastruktur. „Das Netz“ funktioniert für die Allgemeinheit einfach nur, das kommt quasi aus der Steckdose. Aber was die Kolleginnen und Kollegen da wirklich im Hintergrund leisten und jeden Tag machen, das empfinde ich als großartig und das macht mich stolz!

Vielen Dank für diesen Einblick! 

 

Das Thema digitale Unabhängigkeit oder besser bekannt als digitale Souveränität hat in letzter Zeit einen deutlichen Bedeutungsschub erlebt. In dieser Interviewreihe zeigt das RRZE, warum es für ein Universitätsrechenzentrum weit mehr ist als ein vorübergehender Trend und wie das Thema zu einer resilienten IT beiträgt. Alle weiteren Teile:
Teil 1 – Marcel Ritter
Teil 2 – Kathrin Böhm
Teil 3 – Peter Reiß

 


Das Gespräch führte Corinna Russow