Für den Betrieb einer Universität braucht es Software, zum Beispiel zur Verwaltung von Studierenden- oder Beschäftigtendaten. Das macht das RRZE seit 20 Jahren mit einer Eigenentwicklung. Im Interview verrät Peter Reiß, warum es herausfordernd ist, so ein System selbst aufzusetzen.
In Teil 1 unserer Interviewreihe hat Marcel Ritter erzählt, dass unser ganzes Identity Management (IdM) auf frei verfügbarem Code basiert. Die Entstehung des IdM liegt noch vor deiner Zeit als Abteilungsleiter von EIV. Sicher könnte man ein IdM auch einkaufen, warum ist das IdM am RRZE aber nahezu komplett digital unabhängig aufgebaut?
Peter Reiß: Die kurze Antwort ist: weil wir es können. Die Entscheidung für eine eigene Implementation des IdM kam eigentlich daher, dass seinerzeit, und das war tatsächlich kurz vor meiner Zeit, die Vorgängerabteilung ein proprietäres System von einem Softwarehersteller hatte, das wie üblich mit großen Versprechungen angekündigt war. In der Praxis hat es aber nicht das gehalten, was man sich erhofft hat und was die Universität gebraucht hat. Das heißt, relativ einfache Dinge sind dann sehr kompliziert geworden. Wir hatten Consultants vor Ort, die die Probleme auch nicht lösen konnten. Die Leute, die bei uns an dem Thema gearbeitet haben, waren sehr gute Programmierer. Irgendwann hatten sie mal angefangen, die komplizierten Teile selbst zu bauen beziehungsweise die Teile, die mit der Standardsoftware nicht funktioniert haben. Und aus diesem Selberbauen wurde dann irgendwann mal ein: „Wir haben jetzt so vieles schon selbst programmiert, wir können eigentlich die gekaufte Software wirklich rauswerfen.“ Das war nochmal ein großer Schritt, auch die restlichen Funktionalitäten abzudecken; und es hat sich lang, lang, lang hingezogen, bis wirklich die letzten Reste weg waren. Aber irgendwann mal war es der Fall.
Als Programmierer, der an der Universität Programmieren gelernt hat, fängt man mit so etwas wie Java an. Java ist frei, war zumindest damals noch richtig frei. Bezüglich Frameworks guckt man sich halt um: Was gibt es denn? Da gab es gut passende Frameworks für diese Bedarfe und die waren Open Source. Also gab es keinen Bedarf zu sagen, wir müssen jetzt unbedingt auf eine kostenpflichtige, proprietäre Software zurückgreifen, weil alles, was zur Programmierung nötig war, frei war.
Welche Teile sind im IdM denn überhaupt noch abhängig?
Wir haben Werkzeuge, die wir verwenden: Die Daten sind in einer MongoDB, also einer NoSQL-Datenbank, und dafür gibt es eigentlich nur eine wirklich gute Software, um die Abfragen zu machen. Dafür bezahlen wir und für die Entwicklungsumgebung, in der wir arbeiten, weil die einfach deutlich besser ist. Aber das sind Werkzeuge; das ist nichts, was wirklich ins IdM reinfließt. Im IdM selber ist tatsächlich nichts kostenpflichtig zugekauft.
In diesem Jahr feiert das IdM 20-jähriges Bestehen. Und es läuft immer noch gut. Ihr gebt den Code ja auch an andere Universitäten und Hochschulen weiter…
Genau, genau. Also der Ansatz hat sich durchaus etabliert. Wir – behaupte ich immer noch – haben das leistungsfähigste IdM, das es deutschlandweit gibt und sind unglaublich mächtig in den Dingen, die wir damit tun können. Außerdem sind wir unglaublich schnell bei Anbindungen, mit Änderungen von Vorgaben und beim Umsetzen von Software, die IdM-nah entwickelt werden muss – Stichwort FAUdir. Das liegt daran, weil das alles eben in diesem ganzen Ökosystem gemacht wird.
Warum genau stärken eigene Entwicklungen die digitale Souveränität besonders?
Das ist jetzt unabhängig davon, ob die Daten in der Cloud gespeichert werden oder lokal: Jede Abhängigkeit vom Hersteller ist eine Abhängigkeit. Man ist dem Hersteller, wenn die Software sehr, sehr tief im täglichen Gebrauch ist und sehr, sehr tief in der Systemlandschaft verankert ist, in gewisser Weise ausgeliefert. Es kann lange gut laufen, klar. Aber irgendwann– das kann man oft auch an der FAU beobachten – wird der Hersteller aufgekauft und der neue Besitzer will noch mehr Geld aus der Firma quetschen. Oder der neue Besitzer hat kein Interesse mehr daran, dieses Produkt weiterzuführen. Es bekommt keine Updates mehr und man wird dazu gezwungen, eine Migration zu machen, auf das angeblich bessere Nachfolgesystem. Das ist dann nicht besser und macht nur Ärger und kostet mehr. All sowas kann man verhindern durch Eigenentwicklungen.
Das ist ja genau das, was ihr mit eurem IdM erlebt habt.
Genau, ja.
Die Welt der IT wird an vielen Punkten von großen Playern bespielt, also großen Firmen, die enorme Macht haben und an denen kaum jemand vorbeikommt. Doch eine Abhängigkeit von einigen wenigen Firmen birgt Gefahren. Leicht können Nutzende zum Beispiel in eine Cloud gezwungen werden. Was erst einmal verlockend klingt, weil die Daten immer und überall verfügbar sind, stellt sich bei genauerem Hinschauen als problematisch heraus. Denn meistens liegen die persönlichen Daten plötzlich in den USA oder in anderen Ländern, und es gelten Gesetze, die der normale Nutzer nicht kennt, die aber große Auswirkungen haben können.
Digitale Souveränität wird daher für Institutionen und Individuen immer wichtiger: Dabei geht es darum, die eigenen Daten selbstständig, selbstbestimmt und sicher kontrollieren zu können. Zugleich trägt digitale Unabhängigkeit zu einer resilienten Infrastruktur bei, denn wer nicht von einem großen Player abhängig ist, ist bei einem Ausfall weiterhin arbeitsfähig. Digitale Souveränität ist damit ein Beitrag zu einer sicheren, vertrauensvollen und verfügbaren IT. Gleichzeitig trägt sie auch zu einem wettbewerbsfähigen Markt bei, weil alternative Lösungen zum Beispiel aus dem Bereich der Open-Source-Lösungen gefördert werden.
Gibt es auch Herausforderungen, die dadurch entstehen, dass ihr Dinge selbst entwickelt und nicht einfach zukauft?
Klar. Sowas in der Größe wie ein IdM zu entwickeln, das ist schon eine Herausforderung. Es ist ein sehr, sehr komplexes Konstrukt, das da gebaut werden muss. Man muss an manchen Stellen die richtigen Entscheidungen treffen. Dazu muss es hoch qualifizierte Programmierer und Systemarchitekten und all sowas geben. Das braucht man, damit man nicht in die falsche Richtung läuft und nach zwei Jahren feststellt: Wir sind in der Sackgasse, wir kommen nicht weiter. Das sind definitiv Herausforderungen, die dadurch entstehen.
Andere eurer Projekte, zum Beispiel FAUdir, basieren auf dem gleichen Software-Stack. Man könnte es als Code-Bibliothek beschreiben. Spart euch das Zeit und Kosten, weil die Marktrecherche und ähnliches wegfallen?
Definitiv. Marktrecherche ist ein sehr, sehr guter Punkt. An der FAU heißt es: „Wir brauchen ein neues Personen- und Einrichtungsverzeichnis (FAUdir). Liebe EIV-Programmierer, könnt ihr das machen?“ Und das ist eine Software, für die würde normalerweise eine Markterkundung gemacht werden. Die wäre wahrscheinlich auch über Beschaffungsgrenzen, sodass eine Ausschreibung nötig gewesen wäre. Das wäre nicht mal unbedingt Rechenzentrumsaufgabe, wobei es ganz ohne dessen Beteiligung auch nicht geht. Aber es wäre ein ziemlich großer formeller Aufwand, so etwas anzuschaffen. Und so hat man die Möglichkeit, das aus dem eigenen Software-Stack aufzubauen. Die enge Verbindung zum IdM ist Gold wert an dieser Stelle! Man kann die Komponenten, die es schon gibt, nehmen und so eine Grundanwendung hochziehen. Das können meine Programmierer in einer halben Stunde wahrscheinlich. Die kann zwar noch nicht viel Inhaltliches, aber sie läuft einfach schon mal und zeigt irgendwas an. Man drückt auf einen Knopf und das Ding ist so halbwegs da.
Jetzt basiert das ursprünglich alles auf einem Open-Source-Code. Ist Open Source nicht auch ein Einfallstor für böswillige Hacker?
Nein. Das ist ganz interessant, weil sich diese Ansicht irgendwie verbreitet hat. Ich habe nie ganz verstanden, warum. Der Vorteil von Open Source ist, dass jeder diesen Code anschauen kann und nach Backdoors, Bugs – jede Software hat Bugs, gar keine Frage, mit Sicherheit auch unsere – und Sicherheitslücken suchen kann. Ganz im Gegensatz zu dieser proprietären Software, die eine Blackbox ist, von der man nur durch Ausprobieren oder durch Insider-Wissen, weil man sich eingeschlichen hat, die Fehler entdeckt. Wenn die dann mal da sind, ist es heftig. Insofern: Nein, auf gar keinen Fall ist das gefährlicher Was man machen müsste – aber das ist bei uns noch nicht ganz so relevant – wenn das IdM jetzt wirklich weltweit weiterentwickelt würde, dann bräuchten wir natürlich schon irgendeine Institution, die alle eingespielte oder zugebrachte Software testet, daraufhin, ob uns jemand was unterschieben will. So groß sind wir aber nicht. Bei uns ist es de facto nach wie vor so, dass Erlangen programmiert und die anderen eher nutzen. Nur ein ganz kleiner Bereich liefert schon Softwareerweiterungen zu oder programmiert mit. Aber ein Einfallstor dadurch, dass es öffentlich ist, nein. Ganz klar, nein.
Ich höre auf jeden Fall ein starkes Plädoyer für Open Source.
Oh ja. Also ich glaube, Open Source in der Entwicklung ist eine Bereicherung für die ganze Welt. Das ist wirklich das Schöne, weil es viele, viele hervorragende Softwares gibt, die halt wirklich mal erstellt wurden von Leuten, die gesagt haben: Ich mache was. Ich finde es cool. Ich bin einfach bereit, das der Welt zu schenken. Was ja als Ansatz total toll ist.
Dr. Peter Reiß ist Leiter der Abteilung Entwicklung, Integration, Verfahren am RRZE. Zusammen mit seinem Team ist er für zahlreiche selbst entwickelte Software verantwortlich. Dazu zählen IdM, FAUdir und docDaten. Sie arbeiten außerdem in einem Projekt an einer bayernweiten Lösung für das Identity Management und betreuen Datenbanken und die FAU-Anwendungen für die Finanzsoftware der FAU.
Es ist ein Dienst an der Gemeinschaft.
Ja, genau, und halt nicht: Oh, ich habe was Tolles entwickelt, ich versuche jetzt, jeden Cent da rauszupressen, damit ich möglichst schnell Millionär werde. Und es gibt definitiv Open-Source-Software, mit der die Entwickler stinkreich geworden wären, aber sich entschieden haben, sie der Welt kostenlos zur Verfügung zu stellen. Allein das ist, glaube ich, ein Riesenplädoyer für Open Source, auch gerade in der Entwicklung. Und ohne diese ganzen Basisbausteine, die eben auch Open Source sind, wäre sowas wie unser IdM auch nicht möglich gewesen. Angefangen von einem Dateisystem über eine eigene Datenbankprogrammierung bis zu einem Web-Framework. So etwas selbst zu programmieren, von unten nach oben, das ist nicht möglich. Das geht nur, indem man auf Software zurückgreift, die halt irgendwann im Laufe der letzten Jahre, Jahrzehnte von anderen Leuten als Open Source bereitgestellt wurde.
Was wäre dir denn zukünftig in Sachen digitaler Souveränität wichtig in der Entwicklung?
Dieses „Sich nicht abhängig machen“. Nicht Daten speichern müssen in einer Cloud und solche Geschichten, die von Firmen kontrolliert werden. Niemand will – ich wollte es noch nie – aber niemand will, glaube ich, jetzt so viele Daten dorthin schieben.
Peter, vielen Dank für das Interview!
Das Thema digitale Unabhängigkeit oder besser bekannt als digitale Souveränität hat in letzter Zeit einen deutlichen Bedeutungsschub erlebt. In dieser Interviewreihe zeigt das RRZE, warum es für ein Universitätsrechenzentrum weit mehr ist als ein vorübergehender Trend und wie das Thema zu einer resilienten IT beiträgt. Alle weiteren Teile:
Teil 1 – Marcel Ritter
Teil 2 – Kathrin Böhm
Das Gespräch führte Corinna Russow