Shownotes & Links
- Bitkom Studie
- Artikel: Digitale Souveränität Definitionsversuch (Gerrit Beine)
- INNOQ Technology Briefing zu digitaler Souveränität
- EU Data Act
- Microsofts E-Mail Sperre für den ICC
Transkript
Dieses Transkript wurde automatisiert erstellt und nicht manuell überprüft. Es kann daher Fehler enthalten. Maßgeblich ist immer das im Mitschnitt gesprochene Wort.
Anja Kammer: Hallo und herzlich willkommen zum INNOQ Podcast. Mein Name ist Anja Kammer und heute habe ich mir zu Gast eingeladen, den Gil Breth. Hallo Gil Breth.
Gil Breth: Hallo Anja, vielen Dank für die Einladung.
Anja Kammer: Sehr gerne. Wir wollen heute über digitale Souveränität sprechen. Erzähl mal, warum bin ich da auf dich zugekommen? Weshalb bist du denn der Experte für digitale Souveränität?
Gil Breth: Ja, wie bin ich zu dem Thema gekommen, beziehungsweise das Thema zu mir? Ich glaube, das liegt ein bisschen in meiner Vita begründet. Ich habe in den letzten 15 Jahren in der IT mich immer mit vielen verschiedensten Themen befassen dürfen. Und die Herausforderung dabei ist immer, wir haben gerade in der IT immer ein Grundrauschen. Wir haben viele Themen, die uns beschäftigen, beschäftigen sollten. Und digitale Souveränität war oder ist genauso ein Thema dieses Jahr gewesen. Ich würde sogar sagen, es ist unter den IT-Themen dieses Jahr bestimmt unter den Top 3, Top 5 irgendwo anzusiedeln. Und gerade am Anfang des Jahres war das, ja, ist das jetzt wichtig oder nicht? Hat das Relevanz und wenn ja, warum? Und so bin ich zu dem Thema gekommen und habe dann, ich glaube im Februar oder März, auch kurz einen Blogbeitrag darüber geschrieben, warum ich es für relevant halte.
Anja Kammer: Ja, wunderbar. Mir ist auch aufgefallen, dass durch den Artikel, den du geschrieben hast und generell die Gespräche mit dir, ist mir aufgefallen, ich hatte eine komplett andere Definition von digitaler Souveränität, zumindest eine sehr eingeschränkte, und ich hatte einen sehr eingeschränkten Blick darauf. Kannst du einmal bitte erzählen, was eigentlich digitale Souveränität bedeutet und was es beinhaltet?
Gil Breth: Ja, da geht’s dir nicht anders, als dass mir Anfang des Jahres erging. Das war die erste Frage, die ich mir eigentlich gestellt habe: Worüber reden wir hier eigentlich? Was heißt denn digitale Souveränität? Wenn man mal ehrlich ist, befasst uns das schon seit vielen Jahren, mal vielleicht unter der Vendor-Login-Diskussion oder der Diskussion, ob ich in die Cloud gehe oder on Prem bleibe. Es hat jetzt noch mal eine andere Dimension bekommen und ich glaube, das hat den ein oder anderen oder die ein oder andere auch ein bisschen überrascht, dieses geopolitische Thema. Und das war die erste Fragestellung: Wenn wir über digitale Souveränität reden, worüber reden wir eigentlich im Kern? Und du hast es schon gesagt, da gibt’s verschiedenste Perspektiven. Das ist mir auch noch mal bewusst geworden im Sommer, als wir unser Technology Briefing über digitale Souveränität geschrieben haben, wie viele Perspektiven man eigentlich auf das Thema haben kann. Und ein Beitrag von unserem gemeinsamen geschätzten Kollegen Gerrit Bein, das ist mir dabei im Gedächtnis geblieben, und zwar dem Versuch einer Definition. Mir ist es am Anfang so ergangen, dass ich erstmal über das Thema Souveränität aus einer staatlichen, politischen Sicht nachgedacht habe. Was heißt Souveränität als Staat eigentlich oder auch vielleicht als Gesellschaft und danach als Unternehmen? Und Gerrit hat das ganz schön zusammengefasst: Wenn wir das auf das Unternehmen übertragen, dann müssen wir über das Thema der Handlungsfähigkeit sprechen. Bin ich technologisch so souverän aufgestellt, dass ich handlungsfähig bleibe, z. B. bei Krisen oder vielleicht auch bei Zerwürfnissen mit wichtigen Technologiepartnern oder dem Wegfall einer wichtigen Kerntechnologie? Und verfüge ich dann über die Fähigkeiten, handlungsfähig zu bleiben oder zumindest sie sicherzustellen, indem ich einen Ersatz habe oder mir selber weiterhelfen kann? Ich glaube, das trifft es am besten. Also wenn wir über digitale Souveränität bei Unternehmen sprechen, dann über das Thema der Handlungsfähigkeit.
Anja Kammer: Dann stelle ich mir die Frage, was behindert mich denn in meiner Handlungsfähigkeit? Weshalb möchte ich denn souveräner werden? Wo sind denn die Hindernisse?
Gil Breth: Ja, das ist vergleichbar mit der Versicherung. Du bist froh, wenn du sie hast, und das merkst du immer dann, wenn du sie brauchst. Das heißt, die meiste Zeit ist es wahrscheinlich alles ruhig und du hast kein Problem. Problematisch wird’s dann, wenn etwas wegfällt, von dem du es nicht gesehen, nicht gehört hast, es aber die ganze Zeit da war. Ich mache das auch gerne mal konkreter. Stell dir vor, du hast einen wichtigen Service in deinem Betrieb und jetzt gibt es ein mittlerweile, muss man ja sagen, nicht mehr unrealistisches Szenario: Der wird eingestellt oder der wird erstmal ausgeschaltet oder Ähnliches. Und dann merkst du erst: Okay, ich kann meinen Service, mein Produkt, meine Dienstleistung gar nicht mehr anbieten, weil mir da etwas wegfällt. Das sind natürlich immer Risikobetrachtungen, Risikoszenarien. Das ist auch wichtig, das ist auch sehr, glaube ich, risikogeleitet die Diskussion. Aber da werden wir vielleicht heute auch noch drüber sprechen, da stecken auch Chancen drin.
Anja Kammer: Ich glaube, das, was ich jetzt wissen möchte, ist: Lass uns mal konkreter werden. Aus welchen Gründen wollen dann Unternehmen digital souverän sein? Es gibt mit Sicherheit unterschiedliche Gründe, weshalb das so ist.
Gil Breth: Ja. Ich würde es am besten über die Relevanz herleiten. Warum ist das überhaupt dieses Jahr so relevant geworden? Die Gründe kennen die meisten Unternehmen schon aus den unzähligen Diskussionen, ich habe es eben schon gesagt, über das Thema Vendor Login, über das Thema Cloud-Strategien und Vergleichbares. Warum ist das dieses Jahr so relevant geworden? Ich glaube, das ist richtig aufs Tableau gekommen mit dem Ergebnis der Wahl in Amerika. Wir hatten auf einmal geopolitische Herausforderungen, es kam das Thema der Zölle auf, es wurde über Handelsdefizite gesprochen und das ist etwas, was wir, glaube ich, vorher bei dem Thema digitale Services nicht wirklich im Fokus hatten. Warum? Die Zolldiskussion, dass es vielleicht eine Zollerhebung auf digitale Services geben könnte, das ist vergleichbar auch mit einer unerwarteten Preiserhöhung, aber es kam auf einmal nicht aus einem wirtschaftlichen Interesse heraus, sondern aus einem geopolitischen Interesse heraus. Und die Maßnahmen oder eine der Maßnahmen der EU darauf zu reagieren, war die Idee auch Zölle auf digitale Services. Das Problem, das man dadurch aufgedeckt hat, ist – und da gibt’s eine spannende Studie auch des Bitkom zu –: Wir importieren ungefähr über 90, ich glaube fast 94 % digitaler Services aus dem Ausland, insbesondere aus Amerika. Das heißt, wir haben eine sehr hohe Abhängigkeit. Wenn da jetzt Zölle auf einmal ins Spiel kommen, dann hat das schon eine bestimmte oder eine starke Auswirkung auf mein Geschäftsmodell oder überhaupt auf die Überlebensfähigkeit meines Unternehmens, weil es auf einmal sehr schnell sehr teuer werden kann und ich nicht so schnell eine Alternative habe.
Anja Kammer: Also das ist einer der Gründe, warum wir für mehr digitale Souveränität streben. Wir wollen uns davor schützen vor erhöhten Lizenzkosten, vor erhöhten Servicekosten, beispielsweise Betriebskosten, AWS, Google und so weiter.
Gil Breth: Nee, das haben wir auch schon vorher gehabt, das Thema, dass diese Kosten ansteigen können. Das tun sie auch. Also wir hören zwar, wenn du guckst, es gibt auch Studien drüber, dass die Kosten weitestgehend gleich bleiben. Was aber passiert, ist, dass wir immer mehr Angebote im Rahmen dieser Services haben und so eine inflationsbereinigte Darstellung zeigt dann eigentlich: Es wird schon teurer, weil wir immer mehr Angebote kriegen, aber das nutzen wir nicht unbedingt. Deswegen, Kosten schon, aber ich nehme auch gern da noch mal ein anderes Beispiel.
Anja Kammer: Ja.
Gil Breth: Nehmen wir – ich weiß nicht, ob du das mitbekommen hast – den Internationalen Gerichtshof. Dort hat man einem der obersten Ankläger von Netanyahu den Zugang zu seiner digitalen Kommunikation weggenommen. Warum ist das auf einmal so relevant? Er hat sich halt kritisch positioniert gegen einen Freund der Vereinigten Staaten. Und das Ergebnis davon war, dass man mit dieser Begründung ihm den Zugang verwehrt hat und gesagt hat: Du hast jetzt keinen Zugriff mehr auf deine E-Mails. Wozu hat das geführt? Klagen konnten nicht mehr eingereicht werden. Wichtige Protokolle, also die gesamte Kommunikation, war weg.
Anja Kammer: Ja.
Gil Breth: Aus einem politisch motivierten Grund. Jetzt darf man sich natürlich die Frage stellen: Habe ich mich oder vielleicht der Admin meiner IT auch schon mal irgendwo politisch positioniert, kritisch, und laufe ich jetzt Gefahr, dadurch vielleicht auch Zugang zu verlieren? Man kann sich ja ausmalen, was das bedeuten kann. Ich will ja kein Schreckensszenario aufzeichnen, aber es ist Fakt, es ist genauso passiert.
Anja Kammer: Ja.
Gil Breth: Und der E-Mail-Provider an der Stelle, der Hersteller, der diesen Zugang verwehrt hat, hat auch gesagt: Da ist geltendes US-amerikanisches Recht und das mussten wir jetzt umsetzen, obwohl das in Europa stattgefunden hat. Und das ist, glaube ich, eine neue Dimension. Dass ich keinen Zugang mehr habe, weil ich meine Lizenzkosten nicht bezahle, das ist ein Thema.
Anja Kammer: Ja.
Gil Breth: Aber aus politischen Gründen, das ist neu.
Anja Kammer: Ja, oder politisch-wirtschaftlich: Die deutsche Autoindustrie darf nicht mehr in Amerika ihre Services hosten oder Ähnliches, damit die amerikanische gestärkt wird und die europäische oder die deutsche Industrie kaputtgemacht wird.
Gil Breth: Genau.
Anja Kammer: Sowas kann passieren. Ist es realistisch? Wir haben es gerade an deinem Beispiel gesehen. Es gibt mindestens einen Fall.
Gil Breth: Die Wahrscheinlichkeit ist nicht mehr null, dass das passieren kann. Ob das realistisch ist, es kommt drauf an, weil wir eine Unsicherheit haben. Und Unsicherheit ist etwas, was Unternehmen tendenziell nicht mögen, Privatpersonen sicherlich auch nicht. Aber es ist eine neue Ebene der Unsicherheit. Wir können uns nicht mehr darauf verlassen, was bis gestern absolut verlässlich war. Und ich glaube, das spiegelt sich auch in keinem Service Level Agreement der Welt wider: geopolitische Verwerfungen, die zu Ausfällen von Diensten führen können. Das ist einfach neu.
Anja Kammer: Ja, davon habe ich auch noch nicht gehört. Was ich für Gründe im Kopf hatte, wenn ich über digitale Souveränität nachdachte, waren eher Dinge wie Cloud-Computing-Kosten, Lizenzkosten, verweigerte Lizenzen oder auch mögliche Ausfälle, die nichts mit Politik oder Kosten zu tun haben. Wir hatten neulich erst, vor ein paar Tagen oder Wochen – je nachdem, wann dieser Podcast hier rauskommt – einen großen AWS-Ausfall. Das passiert alle paar Jahre, und dann kommt wieder dieses Thema auf: Wir können uns nicht darauf verlassen, dass AWS und die großen anderen Cloud-Anbieter wirklich so zuverlässig sind, wie wir uns das wünschen, und wir sollten das alles selbst in die Hand nehmen. Einmal nicht darüber geredet, ob man das selbst ohne die großen Hyperscaler überhaupt schafft, verfügbarer zu sein als diese, aber dann kommt diese Angst auf, und man denkt sich: Okay, man möchte den Betrieb vielleicht doch selbst machen und sich vor diesen externen Abhängigkeiten schützen. Das hatte ich eher im Kopf. Oder auch Dinge wie Datensicherheit oder Datenschutz. Mit der DSGVO ist es ja eigentlich so, dass die US-amerikanischen Cloud-Anbieter DSGVO-konform sind, aber ich glaube, das ist eher politischer Wille und nicht die Realität. Gerade mit der Trump-Administration ist dieses Recht, dass unsere Daten auch in den USA geschützt werden, deutlich geschwächt worden. Ich glaube behaupten zu können, dass es faktisch nicht so ist. Unsere Daten sind einfach nicht in den USA geschützt. Allein schon mit dem US Cloud Act – du hast ja schon davon gehört, ne? – können US-amerikanische Strafverfolgungsbehörden bei US-Cloud-Anbietern oder irgendwelchen Services Daten über europäische Firmen abgreifen. Das Problem daran ist, dass das einfach passieren kann. Das größte Problem daran ist, dass die Unternehmen, deren Daten geleakt wurden, nicht einmal darüber informiert werden dürfen. Natürlich sagen die Cloud- und Service-Anbieter: „Doch, wenn das passiert, dann werden wir Sie umfassend informieren und wir werden dagegen klagen.“ Ja, das sagen sie, aber passiert das wirklich, wenn sie durch die Strafverfolgungsbehörden unter Druck gesetzt werden? Man kann sich nicht darauf verlassen, weil es dort geltendes Recht ist und US-amerikanische Anbieter sich diesem Recht beugen müssen.
Gil Breth: Ja, dazu möchte ich gern zwei Dinge sagen. Das eine ist: Wir haben eine ganz klare Aussage eines großen US-amerikanischen Konzerns – ich weiß gar nicht mehr, bei welcher Anhörung es war – wo ganz klar gesagt wurde: „Wir können das nicht verhindern. Wenn unsere Regierung in unserem Heimatland das von uns einfordert, werden wir dem auch Folge leisten.“ Das ist eine ganz klare Aussage und steht im Kontrast zu deiner Aussage, dass man verspricht, dass das nicht möglich ist oder dass man das verhindert. Es gibt eben solche klaren Aussagen. Ich überlasse diese juristische Bewertung den juristischen Experten. Jedes Unternehmen muss das für sich selbst bewerten, und das bringt mich eigentlich zum eigentlichen Punkt. Ich habe gerade gesagt, das muss jedes Unternehmen für sich bewerten. Als Unternehmen muss ich mir doch bewusst sein, wo die kritischen Stellen bei mir im Unternehmen sind und wie weit ich bereit bin, die Kontrolle und Handlungsfähigkeit ein Stück weit aus der Hand zu geben? Wir schauen bei dieser Diskussion sehr oft auf das Thema des Betriebs. Wenn man es aber genauer betrachtet, haben wir in all unseren Prozessen, in unserer – ich nenne es mal – digitalen Lieferkette oder unserem Produktionsprozess, wenn wir Software produzieren, mehrere kritische Stellen. Dort müssen wir genau hinschauen, verstehen, wie abhängig wir davon sind, und die Entscheidung, das aus der Hand zu geben, bewusst treffen. Wenn ich zum Beispiel einen SaaS-Service einkaufe, erkaufe ich mir den Zugang zu einer Lösung. Das kann im Umkehrschluss aber bedeuten, dass ich die Expertise für diese Lösung oder das, was dahinter steckt, nicht mehr im Hause habe. Das heißt, wenn dieser Zugang mir dann aus welchen Gründen auch immer verwehrt wird, bin ich kritisch getroffen. Ich wage die These aufzustellen, dass nicht viele Unternehmen im Blick haben, wo sie kritische Dinge ausgelagert haben und wie sie damit umgehen, wenn der Zugang nicht mehr da ist. Ich will gar kein Schreckensszenario aufbauen. Ich verweise nochmals auf die Bitkom-Studie, die ich eben angesprochen habe. Ich habe ja gesagt, über 90 % dieser Dienste werden importiert. Zugleich sagen aber fast, ich glaube, über zwei Drittel der Unternehmen in der gleichen Studie: „Wenn diese digitalen Dienste nicht mehr verfügbar sind, bin ich maximal 12 Monate überlebensfähig.“
Anja Kammer: Mhm.
Gil Breth: Jedes größere Unternehmen sollte sich jetzt die Frage stellen: Wenn ein größeres Projekt, eine Umstellung oder ein wichtiger Service wegfällt, schaffe ich es dann, in unter 12 Monaten eine Alternative hochzuziehen? Bin ich dafür aufgestellt? Meine Erfahrung in größeren Unternehmen ist, dass sie deutlich mehr Vorlaufzeit brauchen, und das erzeugt natürlich wieder Stress in der Organisation. Dann kommt man nicht in dieses Resilienzfahrwasser, das man eigentlich haben möchte.
Anja Kammer: Ja, auch das passt zu dem, was du gesagt hast. Mir ist noch der typische Vendor Lock-in eingefallen. Ich würde das auch darunter fallen lassen. Der Vendor Lock-in bedeutet im Grunde die Beschreibung einer Angst: Wenn der Vendor, also der Dienstleister oder Service-Anbieter, Dinge abstellt, dann haben wir spätestens nach 12 Monaten oder, wie du gesagt hast, nach dieser Studie, ein Problem. Oder wir können nicht schnell wechseln, wenn wir aus irgendeinem anderen Grund ein Problem haben, wenn die Kosten zu hoch sind oder wenn Services eingestellt werden, die wir eigentlich gerne verwenden. Auch das Einstellen von Services ist in der Historie oftmals passiert, und es gab einen großen Aufschrei. Dagegen tun kann man im Grunde nichts, und um ganz ehrlich zu sein, jedes Unternehmen möchte irgendwann Legacy-Software abschalten. Das ist auch ganz normal. Entweder, glaube ich, man lebt damit, dass man sehr viel Abhängigkeit hat, aber dafür muss man dieses Know-how nicht mehr im Unternehmen haben. Du hast es gerade so beschrieben: Man will vielleicht das Know-how im Unternehmen haben, aber vielleicht gibt es auch Szenarien, wo man das Know-how im Unternehmen nicht unbedingt braucht und es gerne abgeben möchte – Betriebs-Know-how oder Know-how, wie verteilte Datenbanken funktionieren oder Ähnliches. Das ist eher sehr generisch, was man gerne abgeben kann. Was wollte ich eigentlich sagen? Vendor Lock-in ist eine Angst, die nicht immer für alle Unternehmen begründet ist. Es gibt Unternehmen, die keine Angst vor Vendor Lock-in haben, weil sie davon profitieren, gegen ein bisschen Geld sehr wenig Know-how selbst im Unternehmen haben zu müssen.
Gil Breth: Ja, gehe ich mit. Auch da gibt es wieder zwei Angriffspunkte. Ich gehe erstmal auf das Vendor-Lock-in-Thema ein. Ja, es gibt sicherlich Bereiche, in denen ich nicht die Möglichkeit habe, das Know-how in dieser Qualität in meinem Unternehmen aufzubauen. Oder ich bekomme vielleicht auch aufgrund meiner geografischen Lage nicht die Expertinnen, die ich benötige, um das zu machen. Da bin ich darauf angewiesen. Dann muss ich aber mindestens sicherstellen, dass ich eine gewisse Wechselfähigkeit habe und nicht eine ständige Abhängigkeit eines Anbieters auf Gedeih und Verderb. Wenn der natürlich so besonders, so speziell ist, dass kein anderer Anbieter am Markt das liefern kann, okay. Aber dann muss ich dennoch über Alternativszenarien nachdenken und mindestens einen Plan B in der Schublade haben. Das gebietet ja allein schon der gesunde Menschenverstand.
Anja Kammer: Okay, du bist also der Meinung, jedes Unternehmen sollte wechselfähig sein, wenn es um die eigenen Systeme geht.
Gil Breth: Ja, absolut. Punkt. Zweitens: Ich finde es so schön, ich glaube, ich habe es eben schon zwei- oder dreimal gesagt, da ist wieder die „German Angst“, diese Angst vor dem Vendor Lock-in. Ich habe vorhin gesagt, wir haben uns am Anfang des Jahres erstmal damit auseinandergesetzt: Ist dieses Thema wirklich wichtig? Muss ich das im Grundrauschen hervorheben und betrachten? Wir haben uns dazu entschlossen, im Markt mit Partnern und Kunden in den Dialog zu treten. Wir sind nicht in den Sendemodus gegangen und haben digitale Souveränität erstmal definiert und versucht auszugestalten, sondern wir wollten erstmal verstehen: Ist dieses Thema präsent und wie wird es im Markt wahrgenommen? Eine Sache, die ich für mich daraus mitgenommen habe, war: Das Thema wurde aus gewissen Risiken heraus initiiert, also wieder aus einer Risikobetrachtung. Da würde ich sagen: typisch deutsch oder typisch europäisch.
Anja Kammer: Europäisch würde ich sagen, weil es ja auch eigentlich gesetzlich so geregelt ist, dass man das tun sollte. Absolut.
Gil Breth: Genau, aber was ich viel besser fand – zumindest in den Gesprächen, die ich mit Management- und Führungsebenen führen durfte – war, Chancen zu sehen. Das hat mich sehr positiv gestimmt. Was meine ich damit? Natürlich ist es nichts Neues, das habe ich eben schon gesagt: diese Abhängigkeit und die Sorge davor, was passiert, wenn diese Abhängigkeit sich zum Nachteil für mich dreht. Die Chance, die viele kommuniziert haben, ist: Wir haben jetzt die Möglichkeit, auch innerhalb unserer Branche oder innerhalb eines gewissen Standards oder einer Technologie uns miteinander zusammenzutun, und das fördert wieder Innovation, etwas aufzubauen. Das heißt, nur weil hier ein Anbieter am Markt ist, der etwas hat, heißt das nicht, dass wir nicht etwas Adäquates oder vielleicht sogar Besseres mit anderen gemeinsam aufbauen können. Da schwingt ja schon auch mit, zu überlegen: Vielleicht muss ich mein Geschäftsmodell auch noch einmal überdenken und sagen: „Moment, wer sagt denn eigentlich, dass ich nicht selbst bestimmte Dienste anbieten kann?“ Ja, dafür muss ich sie bauen. Ja, da muss ich erstmal wieder investieren. Alles fein, alles gut, aber kurzfristige Lösungen werden wir da nicht haben; das ist jetzt ein langfristiges Thema. Das hat mich positiv gestimmt. Das habe ich wirklich aus mehreren Gesprächen mehrfach mitgenommen: zu überlegen, okay, da werfen wir jetzt nicht die Flinte ins Korn, sondern wir überlegen – und das ist das Schöne eigentlich – und da können wir auch gleich noch mal gerne drüber sprechen. Da geht es um offene Standards, um Open-Source-Themen, um die Bereitstellung eigener Dienste, was wir auch in der Vergangenheit schon gesehen haben, wo Unternehmen gesagt haben: „Ich habe da etwas aufgebaut, ich habe das so weit qualitativ aufgewertet und professionalisiert, dass ich es anderen anbiete.“ Das hat mich echt positiv gestimmt, dass man da jetzt nicht nur ein Risiko drin sieht.
Anja Kammer: Dann lass uns doch gleich in die Maßnahmen hineingehen. Aus der Angst oder der Notwendigkeit heraus, digital souverän sein zu wollen: Was sind die Maßnahmen, um diese Souveränität zu erreichen? Du meintest gerade, sich für offene Standards zu engagieren, um Interoperabilität zu gewährleisten, wahrscheinlich damit ich wechselfähig bin und nicht auf eine bestimmte Plattform angewiesen bin. Und du meintest, selbst Dinge aufzubauen. Da frage ich mich: Können sich das nur Konzerne und Großunternehmen leisten?
Gil Breth: Das glaube ich nicht. Ich würde gerne das Thema Open Source und Gemeinschaft aufgreifen, weil das etwas ist – und ich glaube, das ist für Europa schon fast besonders. Das gibt es so in anderen Teilen der Welt nicht. Was meine ich damit? Ich nehme das Thema der Gemeinschaft. Wir haben gerade hier in Deutschland so etwas Spannendes wie zum Beispiel eine Einkaufsgemeinschaft oder Genossenschaften, wo viele, die eigentlich, wie man so schön sagt, Marktbegleiter sind, sich aber zusammentun, etwas Gemeinsames schaffen. Wir kennen das eigentlich aus der Softwareentwicklung auch als Communities oder Open-Source-Communities. Ich glaube, dahin kann man Gedanken lenken, um zu überlegen: Wie können wir uns gemeinsam aufstellen? Ja, wir sind Marktbegleiter, aber wenn wir ehrlich sind, haben wir auch vergleichbare Problemstellungen, die wir zusammen lösen können, und da können wir etwas gestalten. Wenn man sich jetzt einmal anschaut, in Europa insbesondere, wie groß auch unser Beitrag zu manchen Open-Source-Projekten ist oder auch zu manchen offenen Standards: Das ist etwas, das ich manchmal gerne als die stillen Riesen bezeichne; das sieht man manchmal nicht. Wir sehen immer das fertige Produkt, den fertigen Dienst, die fertige Erfahrung, die man uns anbietet. Die bauen aber oft auf diesen Dingen auf, die wir hier teilweise in Europa auch mitgestaltet und mit aufgebaut haben. Die sind nur nicht so publik, so bekannt. Bei Expertinnen sicherlich schon. Ich glaube, da liegt unsere Stärke. Das muss man etwas mehr forcieren und den Schulterschluss mit anderen suchen. Deswegen: weniger Risiko, mehr Chance an der Stelle.
Anja Kammer: Jetzt, wo wir über Open Source und Community reden: Es gibt ja dieses OpenStack-Projekt, welches dazu genutzt wird, um Cloud Services anzubieten. Das kann man selbst für seine eigene On-Premises-Cloud nutzen, dann ist man digital souverän, wenn man es schafft, ein eigenes Rechenzentrum zu haben. Ich habe jetzt auch gesehen, die Telekom Cloud zum Beispiel basiert auf OpenStack. Das ist auch ein Open-Source-Produkt, und damit haben, glaube ich, auch andere Cloud-Anbieter in der EU ihre eigene Cloud aufgebaut. Das ist doch eigentlich ein Beispiel für das, was du gerade gesagt hast, oder?
Gil Breth: Genau, das ist das richtige Beispiel, weil es thematisch sehr gut passt. Und das hat auch wieder zwei, sage ich mal, Community-Dimensionen. Die eine ist: Ja, da kann ich mitgestalten. Das ist das, was ich eben bei Unternehmen meinte: die Möglichkeit zu nutzen, sich da einzubringen. Und da ist die Unternehmensgröße irrelevant, sondern eher das, was ich davon benötige. Damit bin ich der beste Anforderungssteller, die beste Anforderungsstellerin an so eine Plattform und kann mich da einbringen, gerade bei so einem Open-Source-Projekt. Das andere ist aber natürlich, dass es auch eine gewisse Interoperabilität zwischen Cloud-Providern gibt, und da haben wir ja auch ein paar in Deutschland und in Europa. Und das bringt mich zu diesem zweiten Gemeinschaftsthema. Wir sehen das im Moment, dass dort viele Partnerschaften gesucht und geschlossen werden, weil die natürlich für sich auch jetzt eine Chance im Rahmen dieser digitalen Souveränitätsdiskussion erkannt haben, und das ist etwas, was ich jetzt auch sehr positiv wahrnehme. Da geht man wirklich aus Sicht der Cloud-Provider in den Markt hinein, sucht Partner, versucht herauszufinden, was ihr benötigt, in welcher Qualität, in welcher Ausprägung. Und ich nehme da auch eine gewisse Experimentierfreudigkeit wahr. Jetzt müssen wir aber auf der Nachfrageseite natürlich auch sagen: Bitte, geht jetzt nicht hin und habt die Erwartungshaltung, das Gleiche wie bei, sage ich mal, vielleicht US-amerikanischen Anbietern vorzufinden, weil das sofort zu einer Ernüchterung führen wird. Nutzt eher das Momentum und schaut: Die haben nämlich auch teilweise wirklich bei bestimmten Dingen nachgezogen. Sind die mittlerweile genauso gut aufgestellt in einer Qualität und Güte, wie ich es benötige? Dann habe ich eine Alternative, und jetzt kommen wir in den Bereich der Wechselfähigkeit. Das vergessen wir oft: Wir kaufen natürlich auch gerade bei den großen immer viel ein und stellen uns oft erst danach die Frage, ob wir das eigentlich alles brauchen. Das kann man jetzt mal genauer bewerten.
Anja Kammer: Ich glaube, wenn man es zur Verfügung hat, nutzt man es auch, das ist das Problem. Man braucht es nicht.
Gil Breth: Das ist aber auch immer so ein, nenne ich mal, Trick der Cloud-Provider oder generell der SaaS-Anbieter. Es gibt ja nicht umsonst diese wunderbaren Rollen der Key Accounter oder der Success Manager. Das sind gute und richtige Rollen, die mir helfen, erfolgreich mit so einem Service zu sein. Die haben aber auch einen anderen Auftrag: Sie haben den Auftrag sicherzustellen, dass ich mich da wohlfühle, dass ich viel nutze. Und das ist das, was ich vorhin ganz am Anfang meinte, mit diesem inflationsbereinigten Preis. Ich kriege dann immer viel angeboten, und davon wird wahrscheinlich auch ein Teil genutzt. Aber rechtfertigt das dann auch den entsprechenden Preis? Nutze ich das in dieser Güte und Größenordnung? Plus: Oft sind bestimmte Angebote proprietär. Das heißt, das nutze ich, das nimmt mir vielleicht auch ein gewisses Thema ab. Es mindert aber auch meine – und da sind wir wieder beim Thema Wechselfähigkeit –, weil andere nicht interoperabel dazu sind. Das wird übrigens mit dem neuen Data Act, der jetzt im September in Kraft getreten ist, spannend, was nämlich diese Wechselfähigkeit angeht. Da bin ich selber gespannt. Das wird die Praxis erst noch zeigen müssen. Kann ich dann einfach auch zwischen zwei Cloud-Providern, wenn ich etwas Proprietäres nutze, einfach so wechseln? Aber das kann man jetzt noch nicht beantworten, wie das ausgehen wird, aber das wird sicherlich noch mal sehr, sehr spannend.
Anja Kammer: Magst du kurz anreißen, was dort alles enthalten ist, also welche Rechte wir als Cloud-Nutzende bekommen?
Gil Breth: Ja, ich glaube, alle Rechte aufzuzählen, das würde ein bisschen zu weit gehen, aber ich glaube, die zwei spannendsten Dinge sind, dass die Kosten gedeckelt sein sollen oder sind, was das angeht. Also, wenn ich wechseln möchte und der Wechsel so teuer ist, dass er schon wieder unattraktiv ist, das soll dadurch aufgebrochen werden. Das halte ich absolut für spannend, wie sich das nachher darstellen wird. Und das andere ist – und das finde ich so einen tollen, nenne ich mal, juristischen Begriff –: die funktionale Äquivalenz. Also, ich wechsle von dem einen Anbieter zu dem anderen Anbieter und muss ein funktional äquivalentes Angebot oder Ergebnis erwarten. Da bin ich sehr gespannt, was das genau bedeutet im Hinblick auf Verfügbarkeit, Performance. Aber das meine ich damit: Das wird die Praxis erst noch zeigen müssen. Aber das sind sicherlich zwei Punkte, und ich denke auch, gerade rückblickend, etwas, was die EU – und das muss man an der Stelle klar sagen – auch irgendwo mit einem gewissen Sinn und Verstand dahinter eingeführt hat, weil man diese Abhängigkeit natürlich auch schon vorher gesehen hat, dass man nicht mehr so einfach diese Wechselfähigkeit hat.
Anja Kammer: Gibt es sonst noch Maßnahmen für mehr digitale Souveränität? Wir haben jetzt viel über Cloud-Provider gesprochen, über Interoperabilität – ist immer ein schlimmes Wort. Gibt es noch andere Maßnahmen für andere Gründe der digitalen Souveränität?
Gil Breth: Ich komme noch mal auf diesen einen Punkt zurück. Das würde ich gerne noch mal herausstellen. Was wir schon in der, sage ich mal, öffentlichen Diskussion beobachten konnten, also den Markt beobachtet haben, ist: Es wird immer sehr viel über Betrieb gesprochen. Wir haben ja jetzt selber die letzten Minuten viel über Cloud und Provider gesprochen. Das ist zu fokussiert, zu eindimensional. Wir müssen noch mal wirklich auf dieses Thema der Lieferkette schauen. Mit Lieferkette meine ich im digitalen Kontext meinen gesamten Produktionsprozess als Unternehmen. Wenn ich etwas produziere oder wie ich da aufgestellt bin. Meine ganz einfache Maßnahme ist wirklich, mal zu schauen: Was sind die Kernbereiche? Ich ziehe da gerne auch immer zum Thema Domain Driven Design einen Vergleich. Schaffe ich es, einzuordnen: Was ist bei mir Core? Was ist wirklich Kern? Was brauche ich zum Überleben? Und ich sage es mal ganz hart: Wenn ich mein Unternehmen morgen noch mal neu aufbauen müsste oder wenn ich morgen ein Startup gründen würde, was ist der Kern? Was benötige ich wirklich, um das, was ich anbiete, auf den Markt zu bringen? Was ist Supporting? Also, was unterstützt es? Was ist das Drumherum? Wo es auch wichtig ist, aber was eben nicht Kern ist – das ist die Abgrenzung. Und was ist Generic? Also, was kann ich sehr einfach auswechseln, wo ich sage: Okay, morgen nehmen wir das andere. Es tut auch ein bisschen weh, auch irgendwo ein Change, aber das klappt. Ich glaube, das ist diese ganz grobe Einteilung, aber das hilft schon mal. Und dann zu schauen, wenn ich diese Core-Bereiche identifiziert habe, zu gucken: Wo habe ich kritische Bereiche und wie wechselfähig bin ich da? Und wie kann ich diese Wechselfähigkeit jetzt herbeiführen? Die Hauptherausforderung, die ich da eigentlich eher sehe, ist: Wo ist das im Unternehmen aufgehängt? Und du hast eben zwei wunderschöne Punkte angesprochen: IT-Sicherheit und Datenschutz. Das sind für mich klassische Must-Themen. Das muss ich machen. Da gibt es eine rechtliche Verpflichtung, Regulatorik, da sind große Strafen mit verbunden, wenn ich das nicht richtig mache oder da etwas schiefläuft. Es ist ein Must-Thema. Digitale Souveränität ist, obwohl es aus meiner Sicht zumindest eigentlich noch eine Etage drüber ist, sogar noch wichtiger, ein Kann-Thema. Ich kann das machen, ich muss das nicht machen.
Anja Kammer: Das stimmt.
Gil Breth: Ich stelle aber fest, dass ich es hätte machen müssen, wenn es leider oft zu spät ist. Der Ausfall von AWS, ich glaube letzte oder vorletzte Woche, nehme ich als Demo dafür, wenn es mal richtig scheppert irgendwo. Das sollte dann immer eine gute Erinnerung sein. Was meine ich aber mit diesem Kann-Thema? Einer der Mythen, den ich oft entlarvt habe, ist, wenn man mit bestimmten Unternehmen spricht: „Digitale Souveränität, das ist ein IT-Thema, das macht der Maschinenraum.“ Ganz klare Ansage: Nein. Das gehört in den Bereich der Geschäftsführung, das gehört auf die Vorstandsebene. Warum? Ich muss doch wissen, wo ich, hart gesagt, angreifbar oder empfindlich bin. Ich habe doch die Verpflichtung sicherzustellen, dass das reibungslos läuft oder, wenn ein Risiko dieser Größenordnung auf mich zukommt, den Betrieb irgendwie sicherzustellen. Deswegen gehört es genau dahin. Jetzt kommt’s aber: Es gibt ganz viele Querschnittsthemen. Natürlich muss ich gucken, dass ich technisch wechselfähig bin. Ich muss aber auch juristisch gucken, ob meine Verträge bestimmte Dinge hergeben. Ja, ich muss aber auch – und das finde ich auch ein ganz schönes Beispiel – im HR-Bereich, bei der Einstellung meiner wichtigsten Ressource, meiner Leute im Unternehmen, sicherstellen, dass ich das richtige Know-how im Unternehmen habe und auch perspektivisch habe. Und du merkst, da es sich querschnittlich durchzieht, gehört es eben auf diese Ebene der Geschäftsführung beziehungsweise der Vorstände und Entscheidungsebene.
Anja Kammer: Ja. Ich glaube auch nicht, dass das nur ein Thema für Unternehmen ist, die digitale Produkte anbieten, sondern eigentlich für jedes Unternehmen, weil jedes Unternehmen einen Mail-Service hat, jedes Unternehmen einen Geschäftsprozess im Hintergrund hat, der auf irgendeine Art Software basiert. Das heißt, jedes Unternehmen muss sich überlegen: Sind wir abhängig von etwas, wovon wir nicht abhängig sein wollen? Können wir den Betrieb noch aufrechterhalten, wenn unser Mail-Service ausgefallen ist oder Ähnliches?
Gil Breth: Ja. Ich glaube, dass ich gerade eben von dieser digitalen Lieferkette oder Softwareproduktion gesprochen habe, das liegt wahrscheinlich ein bisschen in der Natur der Sache, wenn man bei INNOQ arbeitet. Ich mache gar nicht mehr die Differenzierung zwischen digitalen und nicht-digitalen Unternehmen. Jedes Unternehmen ist digital. Es ist nur manchmal leider auffällig, schon fast mit einem Schmunzeln bemerkenswert, mit welcher Leichtigkeit manches deutsche Unternehmen digitale Dinge macht und vielleicht in der Abwesenheit von besserem Wissen. Sie sind alle digital, auch wenn manche vielleicht sagen: „Sind wir nicht“ oder „Das müssen wir irgendwie so machen“. Wir haben 2025: Jedes Unternehmen ist digital. Das heißt, ich muss mich damit beschäftigen, ich muss es auf dem Schirm haben. Es ist auch immer diese Trade-off-Diskussion. Was meine ich mit Trade-off-Diskussion? Ich muss wissen, was meine Alternativen sind und wie ich damit umgehe, wenn etwas wegfällt. Ich habe es am Anfang schon mal gesagt: Diese geopolitische Diskussion hat das Thema einfach nur noch mal hochgespült, also sehr stark. Es ist aber etwas, was ich eigentlich schon immer hätte auf dem Schirm haben müssen und perspektivisch auf dem Schirm haben muss. Ich würde gerne auch noch mal den Schwenk zum Thema Cloud machen, das ist nämlich ein anderer Mythos gewesen. Man könnte ja jetzt meinen, digitale Souveränität heißt nicht mehr Cloud.
Anja Kammer: Ja.
Gil Breth: Nein. Das ist es auch nicht, sondern nehmen wir mal ein Unternehmen, das sich keine IT in dieser Größenordnung leisten kann, aber trotzdem innovativ und handlungsfähig bleiben muss und vielleicht auf Cloud-Dienste oder Vergleichbares angewiesen ist. Dann muss ich das machen, dann muss ich aber sicher sein, dass diese Abhängigkeit – und jetzt ist es entscheidend – gemanagt wird. Ich muss mir der Abhängigkeit bewusst sein, ich muss sie bewusst eingehen und ich muss wissen, wie ich damit umgehe, wenn sie sich zum Nachteil für mich darstellt. Das kann passieren, nicht nur kostentechnisch. Ja.
Anja Kammer: Genau. Beispielsweise, was passiert, wenn der Cloud-Anbieter, den ich nutze, mir doch zu teuer geworden ist, ausfällt oder Ähnliches? Dann sollte ich in einer gewissen Zeit, die ich vorher bemessen habe, die Möglichkeit haben, meine Services wieder zum Laufen zu bringen. Und ob das mit interner IT ist, mit einem anderen Anbieter oder mit einem Hosting-Anbieter.
Gil Breth: Ja. Genau. Die Zahl muss ich kennen oder zumindest eine Annahme darüber treffen und sicherstellen, wie ich unter dieser Zeit bleiben kann.
Anja Kammer: Du hast ja mit einigen Leuten aus der Wirtschaft gesprochen. Gibt es denn schon Unternehmen, die erfolgreich digital souverän geworden sind, in dem Maße, wie sie es sich gewünscht haben?
Gil Breth: Kurze Antwort: Ja. Lange Antwort: Ich darf es namentlich natürlich nicht erwähnen. Ich möchte ihr Erfolgsrezept so formulieren: Die Unternehmen, die digital souverän sind, sind das nicht erst seit diesem Jahr. Sie sind das, weil sie schon vorher erkannt haben, dass sie Abhängigkeiten haben, die sie entsprechend managen müssen. Und was ist das Erfolgsrezept? Dass sie permanent im Blick haben, was für sie wirklich wichtig und kritisch ist. Das sind Unternehmen – ich habe es eben schon mal gesagt –, die im Hiring-Prozess darauf achten, dass sie das wirklich für sich kritische Wissen im Haus haben. Wir haben das in der Vergangenheit auch erlebt: Ich habe, überspitzt formuliert, meine ganzen Systemadministratorinnen rausgeschmissen, nur um mir nachher DevOps-Leute wieder einzukaufen, die dann zwei, drei Fortbildungen und Zertifikate später genau diese Rolle hatten. Diese Unternehmen haben diesen Zyklus nicht gemacht. Sie wussten: „Okay, wir müssen die weiterbilden, ausbilden, dahin geht die Reise“, aber sie haben das verstanden. Der Hiring-Prozess ist für mich etwas ganz Wesentliches. Das andere ist, dass sie darin nicht ein Risiko, sondern eine Chance und Innovation sehen. Zum Beispiel indem sie – ich nehme noch mal ein Software produzierendes Unternehmen – hingehen und sagen: „Hier ist etwas ganz elementar Wichtiges, das möchten wir nicht von jemandem einkaufen.“ Also entwickeln wir das selber. Wir wissen auch, andere benötigen es und machen daraus ein Open-Source-Projekt. Allein schon dies in Erwägung zu ziehen oder anderen anzubieten – dieser Gedanke freier Software – das ist, glaube ich, auch ein Erfolgsrezept. Oder das Mitarbeiten an offenen Standards, die Interoperabilität sicherstellen. Das sind solche Erfolgsrezepte. Ja.
Anja Kammer: Gut. Vielen Dank, dass ich mit dir über dieses Thema sprechen durfte. Ich finde, es war sehr wichtig, dass wir dieses Hype-Thema einmal eingeordnet haben. Vielen Dank dafür.
Gil Breth: Ja, gerne doch.
Anja Kammer: Ciao.
Gil Breth: Ciao.
