Delos-CloudMit Microsoft in die digitale Abhängigkeit

Die öffentliche Verwaltung soll in die „digital-souveräne“ Cloud. Bundes-CIO Markus Richter hat sich hier für die Delos-Cloud entschieden. Die baut jedoch auf Microsoft Azure und Microsoft 365 auf und sei daher alles andere als eine gute Lösung, sagen Kritiker:innen.

ein Tresor mit vielen Aktenordnern in Wolkenform, davor ein Paragraphen-Zeichen mit angehängtem Schlüssel
Die Cloud von Delos schützt unter Umständen nicht vor dem Zugriff der US-Behörden. (Symbolbild) – DALL-E (Generiere eine Wolke aus Akten mit einer Tresortür); Montage: netzpolitik.org

Digitale Souveränität ist ein erklärtes Ziel der Ampel-Regierung. Dahinter steht die Idee, dass die Bundes-IT unabhängig von anderen Ländern und Herstellern sein soll – sei es bei der Digitalisierung im Gesundheitswesen oder in der öffentlichen Verwaltung. Allerdings ist nirgendwo definiert, was „digital souverän“ genau bedeutet.

Für Bundes-CIO Markus Richter erfüllt offenbar die Cloud-Lösung der Delos Cloud GmbH die Voraussetzungen für digitale Souveränität. Im vergangenen Oktober setzte der Beauftragte der Bundesregierung für Informationstechnik gemeinsam mit Delos ein Memorandum of Understanding (MoU) auf. Delos soll demnach eine zentrale Rolle bei der Verwaltungscloudstrategie des Bundes einnehmen.

Damit will der Bund auch sicherstellen, dass die Bundesbehörden die Bürosoftware von Microsoft in Zukunft weiternutzen können. Das Produkt will das US-Unternehmen ab dem Jahr 2029 nicht mehr als lokale Installation, sondern nur noch über die Cloud anbieten.

An der Übereinkunft gibt es deutliche Kritik, weil Delos seine Cloudplattform auf Microsoft Azure und Microsoft 365 aufbaut. Dessen ungeachtet will Richter auch die Bundesländer davon überzeugen, die Delos-Cloud des Bundes mitzunutzen und entsprechende Verträge mit dem Unternehmen zu schließen. Allerdings haben die Länder auf einer Sondersitzung des IT-Planungsrats am gestrigen Donnerstag dem Ansinnen Richters offenbar nicht zugestimmt.

Eine gewichtige Rolle dürfte dabei gespielt haben, dass die Delos-Cloud aus Sicht vieler weder souverän noch offen ist. Außerdem bestehen Zweifel, dass Microsoft in Sachen Datenschutz und IT-Sicherheit ein guter Partner ist. Und obendrein entwickelt der Bund selbst Open-Source-Alternativen. Diesen Projekten fällt er nun in den Rücken.

Die Großen unter sich

Da hilft es wenig, dass Richter die Cloud-Lösung von Delos als Übergangslösung bezeichnet – solange, bis „leistungsfähige Alternativprodukte“ zur Verfügung stehen. Welche Alternativen das sein sollen, ist derzeit allerdings offen.

An der „Übergangslösung“ sind zwar mehrere deutsche Unternehmen involviert. So ist Delos ein Tochterunternehmen von SAP und arbeitet eng mit dem IT-Dienstleister SoftwareOne zusammen. An der Konzeption der souveränen Cloud ist außerdem der Dienstleister Arvato beteiligt, der zum Bertelsmann-Konzern gehört.

Keines dieser Unternehmen verfügt jedoch über eine eigene Cloud-Infrastruktur. Stattdessen sind auch deutsche Unternehmen meist auf die Rechenzentren der US-Konzerne angewiesen. Auf dem hiesigen Markt konkurriert Microsoft Sovereign Cloud (MSSC) mit den jeweiligen Cloud-Lösungen von Amazon Web Services (AWS) und Google. Selbst T-Systems Sovereign Cloud ist „powered by Google Cloud“.

Delos-Co-Chefs, Georges Welz, räumte in einem Heise-Interview ebenfalls ein, dass die Delos-Cloud digitale Souveränität nur mit Ablaufdatum bietet. Sie könne, etwa bei einem Handelskonflikt mit den USA, nur einige Monate unabhängig von Microsoft betrieben werden. In dieser Zeitspanne könnten Behörden dann aber immerhin ihre Daten auf eine andere Plattform überführen, so Welz.

Die Gefahr unbekannter Hintertüren

Seine souveräne Cloud-Lösung hat Microsoft als Third-Party-Private-Cloud (TPPC) konzipiert und „beabsichtigt nach eigenem Bekunden mit Delos einen Exklusivertrag über den späteren Betrieb der bereitgestellten TPPC abzuschließen“, heißt es im MoU.

Diese „exklusive“ Nähe ist datenschutzrechtlich bedenklich. Denn Microsofts Cloud-Services stehen seit Monaten wegen massiver Sicherheitsvorfälle in der Kritik. Und auch die Datenschutzkonferenz der Länder (DSK) bezweifelt, dass Microsoft 365 datenschutzkonform betrieben werden kann.

Die Open Source Business Alliance (OSBA) warnt ebenfalls davor, Microsoft allzu sehr zu vertrauen. Der Quellcode von Microsofts Software sei nicht offen und lasse sich nicht unabhängig prüfen, um etwa Hintertüren in den Programmen auszuschließen. Es bestehe das Risiko, „dass ein Zugriff auf die persönlichen Daten der deutschen Bürger:innen und andere schützenswerte Daten der Verwaltung möglich ist“, heißt in einem offenen Brief des Interessenverbands.

Tatsächlich verpflichtet der US-amerikanische Clarifying Lawful Overseas Use of Data Act (Cloud Act) Anbieter, die der US-amerikanischen Gerichtsbarkeit unterliegen, auf staatliche Anordnung hin Daten und Informationen offenzulegen. Der Cloud Act greift dabei auch, wenn diese außerhalb der Vereinigten Staaten gespeichert werden. Zu diesem Schluss kommt auch der Wissenschaftliche Dienst des Deutschen Bundestages.

Im Widerspruch zur eigenen Strategie

Möglicherweise dient der Status „Übergangslösung“ aber dazu, die Widersprüche der Regierungspolitik nicht noch offensichtlicher werden zu lassen. Denn die Ampel verfolgt laut ihrem Koalitionsvertrag eine eigene Multicloud-Strategie, um einen durchmischten Markt für Cloud-Anbieter zu schaffen.

So hat die Föderale IT-Kooperation (FITKO) die Deutsche Verwaltungscloud (PDF) entwickelt. Das Portal sollen unterschiedliche Anbieter von Cloud-Lösungen als Marktplatz nutzen. Verwaltungen von Bund, Ländern und Kommunen sollen zwischen ihnen frei wählen und deren Angebote ohne Hürden wechseln können.

Außerdem plant die Bundesregierung eine Open-Source-Cloud. Sie könnte innerhalb des Sovereign Cloud Stack (SCS) Gestalt annehmen. Im Stack haben sich Anbieter von standardisierter souveräner Cloud- und Container-Infrastruktur zusammengeschlossen, um eine „vollständig offene, föderierte und kompatible Plattform“ voranzubringen.

Darüber hinaus hat das Bundesinnenministerium selbst das Zentrum für digitale Souveränität (ZenDis) ins Leben gerufen. Es soll offenen Code und einen „souveränen Arbeitsplatz“ in die Verwaltung bringen. openDesk bündelt dazu verschiedene Open-Source-Anwendungen. Das erklärte Ziel: Behörden sollen der Abhängigkeit von Microsoft entkommen. Den Vorsitz im ZenDis-Aufsichtsrat hat übrigens Bundes-CIO Markus Richter inne.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. Wenn man die Kompetenz hätte, das ganze mit einer sauberen Architektur, offenen Standards für Datenformate und Schnittstellen, und klaren Migrationsplänen zu bauen, wäre so eine Übergangslösung sogar sinnvoll: man kann das nicht so schnell komplett kickstarten, wie man etwas einigermaßen funktionierendes braucht. Ist ja nicht so, dass es keine Leute gäbe, die sowas können und sogar wollten.

    Nur hat man diese Kompetenz in Politik und Verwaltung absehbar nicht. Man hat zZt nicht mal die Kompetenz, mit dem eigenen Kompetenzmangel umzugehen. Und mE zT nicht mal die Absicht des Kompetenzerwerbs, stört nur beim eingeübten Kungeln mit „der Wirtschaft“.

    1. Das bedingt sich gegenseitig: Korruption durch den unproportionalen, intransparenten Einfluss privater Hyperscaler (aber auch anderer Privatunternehmen auf Länder- u kommunaler Ebene) führt unmittelbar zu einer völligen Unfähigkeit der Politik, in hoheitlichem Interesse, und im Interesse der Einwohnenden (digital funktionaler Staat, Sicherstellung v. Datenschutz u Unabhängigkeit) zu agieren und entsprechende Ressourcen aufzubauen. Besonders herb bei der Ampel ist das deshalb, weil der KoaV viel Hoffnung machte dass sich daran etwas bessert. Warum das nicht klappt, hat einen einfachen Grund: Ohne ein politisches Bewusstsein und Haltung gegen diese Korruption, die Resultat kapitalistischer Wirtschaftsordnung ist, versinkt man hoffnungslos in ebendieser.

  2. Danke für die Recherche!

    > Damit will der Bund auch sicherstellen, dass die Bundesbehörden die Bürosoftware von Microsoft in Zukunft weiternutzen können. Das Produkt will das US-Unternehmen ab dem Jahr 2029 nicht mehr als lokale Installation, sondern nur noch über die Cloud anbieten.

    Habe ich richtig verstanden, dass der ausschlaggebende Grund für die Entscheidung hin zu Microsofts Cloud ist, dass die Bundesverwaltung von Microsoft-Office abhängig ist? Soll die Bundes-Cloud auch für etwas anderes als Word/Excel verwendet werden? Hat man denn zumindest überlegt, ob man zur Not das Cloud-Microsoft-Office nutzen könnte, aber Microsoft ansonsten weitestgehend meidet?

    Ist es garantiert, dass Microsoft in Zukunft überhaupt noch sein „Word“/“Excel“-Dateiformat zum Download anbietet? Zumindest erlaubt die Verlagerung in die Cloud, dass Microsoft sein proprietäres Dateiformat schneller und intransparenter ändern kann, da Microsoft die Office-Software dann voll unter Kontrolle hätte und nicht mehr warten müsste, bis die Mehrheit der Nutzer ihr Word/Excel neu gekauft und aktualisiert haben. Das dürfte die Kompatibilität mit anderer Bürosoftware noch weiter erschweren und den Lock-in-Effekt verstärken.

    Aber ok. Heute lieber noch so weiter zu machen wie bisher als sei nichts gewesen, anstatt etwas Risiko einzugehen und nachhaltig in die Zukunft zu investieren, rettet sicherlich die ein oder andere Beamtenkarriere.

    1. Die MS Cloud ist für Politiker die perfekte Lösung: sie müssen nichts für sie relevantes ändern, sie müssen nichts verstehen, sie haben die Unterstützung eines Konzerns in jeder Hinsicht, öffentliches Geld ist ja nicht ihr Geld, Dysfunktion ist für sie kein Problem, und es gibt keinen Ärger mit den USA.

  3. Hahaha lustig.

    Es gibt freie, quelloffene Büroprogramme wie Libre Office, welche 100% weniger kosten und dafür 100% mehr Funktion bieten. Und es gibt freie Cloud-Dienste.

    Die Behörden dürfen ruhig ausgelacht werden. Statt Geld, Datentraffic und Ressourcen zu sparen, wird all das lieber verbraten. Ein nicht kostendeckender Treuebonus für die Nutzung von MS Office als Gegenleistung für unsere persönlichen Daten gibt es obendrauf.

    1. @Pranee
      Also 100% weniger Kosten kann ich ja noch nachvollziehen, aber 100% mehr Funktion sehe ich bei libre office gegenüber Microsoft office nicht. Könnten Sie dies bitte etwas weiter ausführen?

  4. wenn wir annähernd die gleiche Kompetenzen besäßen die notwendigen Infrastrukturen bereitzustellen wie sie zu kritisieren hätten wir dieses Aufregerthema nicht. In der EU gibt es keine vergleichbare Infrastruktur und auch keinen konkurrenzfähigen Dienste. Diejenigen, die sich bewusst und nach sorgfältiger Prüfung für Azure, GCP oder AWS entscheiden sind nicht per se doof. Wer den immer kleiner werdenden Cloud markt in Europa beobachtet wird schnell feststellen, dass es immer weniger Alternativen zu US Konzernen gibt. Für viele use cases sind aws oder GCP aber ohnehin alternativlos. Das ist alles andere als gut, aber so sieht die Realität eben aus. Die EU versucht seit Jahrzehnten diese Marktmacht zu brechen. Aber mehr die DSGVO und selbstschadender Protektionismus ist bisher nicht herumgekommen.

    1. > die notwendigen Infrastrukturen bereitzustellen

      Das klingt unterkomplex, weil verschwiegen wird, dass die Energie dafür erzeugt werden muss und es ein Kühl-Problem gibt. Neben der Standort-Frage gibt es auch noch ein Anbindungsproblem. Zudem braucht es Investoren, die das – freilich gewinnbringend – finanzieren.

      Darüber hinaus fragen sich Menschen, ob energiefressende Rechenzentren für KI mehr gesellschaftlichen Schaden anrichten, als Nutzen.

    2. „wenn wir annähernd die gleiche Kompetenzen besäßen die notwendigen Infrastrukturen bereitzustellen wie sie zu kritisieren hätten wir dieses Aufregerthema nicht.“

      Es gibt in der EU natürlich Leute, die das können. Die arbeiten halt zZt bei Google, Amazon, booking.com oder ähnlichem. Müsste man halt wollen, aber das hiesse auch verantworten und sich bei Lobbyisten unbeliebt machen. Beides ist schlecht, unzufriedene Bürger dagegen erfahrungsgemäß kein Problem.

      Sieht ja zB bei Schule, nicht nur digital, genauso aus.

  5. There is no cloud, it’s just other people’s computers!
    => Computer kann man kaufen – also wo ist das Problem?

    Bzgl. notwendiger Lizenzen muss man die Lizenzgeber dazu zwingen diese zum entsprechenden Preis (günstiger als die Lizenzgeber-eigenen Cloud-Dienste) und im passenden Rahmen (On-Prem oder via Service-Provider) zur Verfügung zu stellen.

    Das sollte für die EU kein Problem sein.
    Oder kann/will die EU das (auch) nicht?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.