“Das Brett ist megadick

– aber Europa hat erkannt, dass dieser Weg gegangen werden muss”

Digitale Souveränität in Deutschland

Digitale Souveränität ist in den letzten Monaten und Jahren zu einem der wichtigsten Ziele in der Europäischen Digitalisierungsstrategie geworden, spätestens mit dem Aufkündigen des Cloud Actes zeigte Europa, dass wir es ernst meinen. Deutschland spielt bei diesen Themen nicht nur auf der politischen Ebene eine tragende Rolle, Initiativen wie Gaia-X, EUCLIDIA oder der Souvereign Cloud Stack werden maßgeblich von der deutschen Regierung und in Deutschland ansässigen Firmen unterstützt. Aber was ist digitale Souveränität? Wie ist der aktuelle Stand? Wohin wird und muss die Reise gehen? Darüber habe ich mit Dr. Christian Knebel, Gründer und Geschäftsführer der publicplan GmbH, und Karsten Samaschke, Gründer und Geschäftsführer der Cloudical Deutschland GmbH, gesprochen.

Hallo, herzlich willkommen! Eure beiden Firmen bewegen sich im Cloud- und Digital-Umfeld und unterstützen Kunden und auch den Staat Deutschland, digital souveräner zu werden. Aber bitte erzählt zunächst selbst, wer Ihr seid und was publicplan und Cloudical machen.

Christian: Ja, vielen Dank. Ich bin Christian Knebel, Geschäftsführer der publiclan aus Düsseldorf und Berlin. Wir sind um die 140 Mitarbeiter und wir digitalisieren die Verwaltung mit zukunftsfähigen open-source Lösungen.

Karsten: Ich bin Karsten Samaschke, Gründer und einer der Geschäftsführer von Cloudical, wir bewegen uns im Bereich open-source im cloud-nativen Umfeld, wir bieten eine eigene Kubernetes-Distribution und Managed Services um Kubernetes für den privaten und öffentlichen Sektor an.

In Deutschland passiert digital inzwischen eine ganze Menge, wie ist der Stand der Dinge, was wird diskutiert?

Christian: Über digitale Souveränität wird viel gesprochen, für mich bedeutet es die Fähigkeit, eigenständig IT-Dienste zu erzeugen und zu konsumieren, ohne in Abhängigkeiten zu geraten. Bei Anhängigkeiten redet man immer gern über die multi-nationalen Cloud-Anbieter, die in den USA oder China ganz groß sind und auch in Europa massiv genutzt werden. Man spricht bei Abhängigkeiten aber auch über proprietäre Software, die, wenn sie einmal gekauft und in einem Unternehmen oder einer Behörde eingeführt wurde, zu einem Lockin-Effekt führt. Wenn dieser Weg gegangen wurde, hat man kaum eine Chance, aus dieser Software-Umgebung wieder auszusteigen. Weil man sich daran gewöhnt hat, weil die Schnittstellen alle eingesetzt werden und weil der Aufwand immens wäre, wieder zu wechseln. Und Souveränität ist genau das Gegenteil: Wie schaffe ich es, ohne diese Abhängigkeiten zu erzeugen, trotzdem moderne und zeitgemäße IT-Lösungen zu nutzen?

Karsten: Da kann ich Christian nur zustimmen. Für mich ist ganz wesentlich, dass wir imstande sein müssen, unsere eigene IT zu verstehen, zu betreiben und auch zu schreiben, es fängt also bei der Software an und geht über den Betrieb. Der Kern ist aber die Fähigkeit dazu. Ein großes Problem, das wir häufig sehen, ist, dass einfach outgesourct wird in bspw. Richtung multi-nationaler Anbieter und damit Wissen verloren geht. Die Fähigkeit und die Möglichkeit, imstande zu sein, selbständig und unabhängig IT anzubieten, zu betreiben und zu nutzen, sind super relevant. Da sehe ich die große Gefahr, dass das verloren geht.

Christian: Vielleicht noch ergänzend: Nicht nur, dass man die eigenen Fähigkeiten, IT zu beherrschen, verliert, in dem Kontext werden auch oft die Themen Datenschutz und Sicherheit bemüht. Bezüglich Sicherheit bin ich allerdings vorsichtig. Letztendlich wird bezugnehmend auf Hacker-Angriffe eine Drohkulisse aufgebaut: wenn ich meine IT in die US-amerikanische Cloud verlagere, bin ich leichter angreifbar. Das wird politisch gern bemüht. Das Thema Datenschutz ist auch emotional, aber dafür gibt es rechtliche Grundlagen. Im Kontext der EU-GDPR/DSGVO ist es so, je nachdem wie streng diese ausgelegt wird, dass man durchaus ein Problem hat, wenn man die multi-nationalen Clouds nutzt, weil am Ende des Tages niemand garantieren kann, dass es keinen Datenabfluss in Hoheitsgebiete außerhalb der EU gibt. Der Vorteil von Cloud, dass Daten überall gespeichert werden können und man so Failover vermeiden kann, ist eben auch der Nachteil, dass die Daten die EU verlassen können. Das ist eine noch ungelöste Herausforderung.

Karsten: Für mich wichtige Bausteine sind an dieser Stelle noch Software und open-source. Open-source zahlt ganz stark auf das Thema digitale Souveränität ein. Mit open-source Software hat man die Möglichkeit, sich anbieterunabhängig aufzustellen und imstande zu sein zu verstehen, was passiert, zu auditieren und anzupassen. Diese Freiheit und Möglichkeiten zu haben, sind für mich wesentlich. Deswegen ist es auch so begrüßenswert, dass es z.B. im öffentlichen Bereich, bei der öffentlichen Hand große Initiativen rund um open-source gibt. Da geht es um die Grundfähigkeit einer Organisation oder eines Staates, sich wirklich selbständig behaupten zu können. All die genannten Punkte sind für digitale Souveränität relevant und für mich ist es wichtig, dass das Thema von Ende zu Ende gedacht und gelebt wird.

Wie ist denn der aktuelle Status in Deutschland? Was kommt von der Politik? Gibt es schon Lösungen oder Angebote hinsichtlich digitaler Souveränität? Können wir in Deutschland schon digital souverän sein?

Christian: Ich glaube, da muss man die verschiedenen Ebenen unterscheiden. Ich fange mal unten bei den Netzen und Hardware an. Da wird z.B. im Bereich Mobilfunk diskutiert, ob wir chinesische Chips verwenden dürfen. Auch bei Netzwerken kommt man nicht um die Infrastruktur von CISCO und Co herum, genau wie bei Prozessoren und allem anderen hat Europa einfach keine Anbieter. Die politische Diskussion ist, ob wir das aufholen und Netzwerke bauen können – Open-RAN ist da das Stichwort. Weil man erkannt hat, dass, wenn nichts mehr geliefert wird aus  Übersee, wir keinen Mobilfunk mehr betreiben, keine Server mehr bauen können.

Die nächste Ebene bilden die Betriebssysteme und serverorientierten Anwendungen, die man braucht, um überhaupt Cloud-Technologie zu betreiben. Dafür ist open-source eine Alternative zu allen proprietären Lösungen, weil in diesem Bereich Linux und Co schon l ngst dominieren.
Die n chste Ebene sind die Anwendungen. Hier muss man auch wieder reinzoomen. Da gibt es zum einen die Dinge, die wir alle täglich benutzen wie Betriebssysteme und Office-Anwendungen, ohne die kein Computer arbeiten kann. Da gibt es inzwischen Alternativen, aber die zwei Großen, Microsoft und Apple, dominieren den Markt, weil diese Betriebssysteme in der Regel bei handelsüblichen PCs vorinstalliert sind. Wenn man eine Alternative nutzen möchte, muss man die Extrameile gehen, sich z.B. Linux runterladen und installieren, sich um die Tool-Kette kümmern wie Libre-Office und Co. Wenn es in Richtung Government geht, haben wir in diesem Umfeld, in dem es schon so schwierig ist, sich digital souverän aufzustellen, noch die Herausforderung der Spezialanwendungen. Da ist es tats chlich deutlich schwieriger und durchwachsener. Im Government-Bereich in Deutschland finden sich immer mehr open-source Spezialanwendungen. Es gibt Verwaltungen, die in die Richtung gucken, die vielleicht eigene digitale Projekte gestartet haben im Bereich der Fachverfahren oder Online-Portale, die sich mit open-source ausstatten möchten und sich demzufolge digital souverän aufstellen. Und es werden immer mehr. Und das ist genau der Punkt, an dem wir aktiv sind. Wir glauben, dass da in Summe die größten Abhängigkeiten bestehen, durch die Vielzahl der Anwendungen und die Vielzahl der Anwender ist das ein riesiger Moloch, weil sich viele eben doch auf die gängigen Betriebssysteme oder Anwendungen stürzen.

Karsten: Ergänzend dazu: Generell haben wir tatsächlich im Umfeld von IT-Betrieb und Cloud-Betrieb eine fast schon angenehme Situation erreicht, selbst bei Anbietern wie Microsoft laufen mehr als die Hälfte der virtuellen Maschinen inzwischen auf Linux. Das geht so weit, dass Hersteller wie Microsoft eine eigene Linux-Distribution haben, die sie zwar nicht aktiv verkaufen, aber als Basis für ganz viele Sachen nutzen. Das ist schön, das ist aber auch nur die Spitze eines Eisberges.

Wenn man sich viele open-source Angebote ansieht, stellt man fest, dass es sich eigentlich eher um open-core handelt. Das heißt, ich habe Einblick in einen Teil des Quellcodes, oftmals sogar den relevanten Teil des Quellcodes, aber ich bin nicht imstande, den Code zu modifizieren und anzupassen. Auch wenn das normalerweise nicht zum Alltagsgeschäft gehört, aber die Möglichkeit zu haben, das zu tun, ist ein wesentlicher Aspekt, denn ich bin nicht in der Lage, mich unabhängig von einem Hersteller per se aufzustellen. Open-source wird gerne als Feigenblatt genommen: Wir haben doch hier ein Linux, es ist doch alles gut, was möchtest Du? Die eigentliche Kunst besteht tatsächlich in dem, was Christian schon angedeutet hat, das Ganze Ende zu Ende zu denken und zu leben, die Extrameile zu gehen. Und diesbezüglich muss man leider sagen, dass es einem die open-source Projekte nicht wirklich einfach machen, weil man da ein Königreichdenken antrifft: Ich bin open-source Projekt A, ich bin mit mir selber gut integriert und ich bin imstande, ausgerollt zu werden, aber mit anderen zusammen eher nicht so sehr. Das stellt die Anwender vor große Herausforderungen. Aber ich glaube fest daran, dass die Fähigkeit und der Wille, diese Herausforderungen zu überwinden, grundsätzlich da sind und da sein sollten, denn es lohnt sich, diesen Weg zu gehen, man ist nicht mehr abhängig von bestimmten Anbietern, die aus rein kommerziellen oder politisch getriebenen Interessen heraus Dinge tut. Man kann selbst entscheiden, ob man Updates geht, ob man bestimmte Entwicklungen mitmacht oder nicht, man stellt sich also ganz anders auf. Das bedeutet aber auch, dass man imstande sein muss, diesen komplexen Bereich auch zu verstehen, zu betreiben, vielleicht sogar ein Stückchen weit mit weiterzuentwickeln, man muss zumindest entsprechende Leute kennen, die das können, um diese Unabhängigkeit zu erreichen.

Es gibt in Europa den politischen Aspekt, es gibt aber auch einen starken wirtschaftlichen Aspekt, der für open-source und Unabhängigkeit spricht, also dass ich mich nicht auf bestimmte wirtschaftliche Interessen anderer einlassen muss. Und das sind so Dinge, die am Ende des Tages sogar dazu führen können, dass ich mit open-source, obwohl ich initial und scheinbar mehr Arbeit habe, die Sachen miteinander zu integrieren, Geld sparen kann. Weil ich unabhängiger werde von dem, was ein großer Anbieter in seiner grenzenlosen Weisheit für mich entscheidet. Leider wird zu häufig von jetzt auf gleich gedacht und keine langfristige Strategie umgesetzt. Da setzen wir an, diese Themen immer weiter zu treiben, darüber zu reden, sodass open-source und digital souverän Standard werden.

Christian, Du hast E-Government angesprochen und gesagt, dass publicplan dafür open-source und digital souver ne Angebote bereitstellt. Was genau macht Ihr und bietet Ihr an?

Christian: In der IT heutzutage, auch im public sector, gibt es eigentlich kein Problem, was nicht irgendwer auf der Welt schon irgendwo gelöst hat. Bspw.: Ich will eine Internetseite oder ein Portal haben, ich will Online-Formulare anbieten, damit Bürger oder Unternehmen Ihre Anfragen oder Daten eintragen können, die zur Verwaltung transferiert werden sollen. Unsere erste Frage ist deswegen immer: Was gibt es für diesen Fall schon? Und ist das open-source? Das ist schon eine unserer Leistungen, die wir unseren Kunden anbieten, wir prüfen, was es für einen speziellen Anwendungsfall schon gibt, analysieren und testen das entsprechend. Open-source Projekte sind nicht immer toll dokumentiert, die sind von Version zu Version oft sehr unterschiedlich und entwickeln sich sehr schnell. Deshalb testen wir die infrage kommenden Projekte, ob sie die Anforderungen unserer Kunden erfüllen können. Z.B. möchte ein großes Bundesland sein komplettes Content-Management-System von einer proprietären Lösung auf open-source umstellen, und es wird gefragt, welche Möglichkeiten es gibt. Dann suchen wir die möglichen Projekte oder open-source Produkte raus, analysieren sie und testen diese in Bezug auf die Anforderungen unserer Kunden. Und finden so heraus, was eine gute Alternative wäre.

Als zweiter Schritt folgt dann, wenn Kunden sich entschieden haben, dass wir uns auf die gewählten Lösungen spezialisieren und sie für den Kunden veredeln. Für den Staat z.B. bedeutet das, dass wir besondere Anforderungen bezüglich der Sicherheit umsetzen oder Barrierefreiheit garantieren oder Schnittstellen einbauen. Das führt z.B. dazu, dass wir uns Drupal als Content-Management-System schnappen und als Landes-CMS in Nordrhein Westphalen betreuen. Da ist das Landesdesign drauf, alle notwendigen Schnittstellen für das Land NRW, da sind auch landesspezifische Funktionen eingebaut z.B. die Verbindung mit dem Kartendienst, der in Nordrhein Westphalen genutzt wird. Das alles haben wir entwickelt, betreuen und bundlen wir und nennen es Maintainership. So entsteht ein Bündel von Modulen, Konfigurationen, Designs und Co. Und Maintainership heißt, dass wir dieses Bündel permanent am Laufen halten, alle Updates aus der open-source Community einspielen und weitere Spezifikationen und individuellen Anpassungen für den Kunden vornehmen. Unsere maintainte Software wird dann auch in anderen Projekten eingesetzt, natürlich mit spezifischen Anpassungen.

All unsere Entwicklungen stellen wir auch open-source zur Verfügung, sodass man nicht immer über uns gehen muss. Unser maintaintes Bundle von Drupal nennen wir im übrigen deGov (Abb. 1), und das können auch andere Firmen nehmen und damit Portale für das Land NRW bauen. Das bedeutet für den Kunden Unabhängigkeit von uns, wenn wir bspw. keine Ressourcen haben oder der Kunde uns nicht mag, dann kann er andere Anbieter nutzen. Für uns sind digitale Souveränität und open-source so wichtig, dass wir das so unterstützen. Das ist unser Spektrum, und das kann man für den Staat und den Public-Sektor, unser Spezialgebiet, in alle möglichen Richtungen durchdenken wie Formularsysteme, Portale, Chatbots und Chatsysteme und Messenger. Das geht aber auch bis hin zum Backend, wo dann die berühmten Fachverfahren zum Zuge kommen, wofür wir auch prüfen, was es da open-source gibt, wie wir das, was sonst ein Fachverfahren proprietär macht, in open-source abbilden können? Die Spezialisierung auf den Public-Sektor ist für uns ausschlaggebend, weil dort spezifische Anforderungen existieren, die man in der Industrie oft nicht so findet wie Barrierefreiheit und Zugänglichkeit als eine der wichtigsten, oft haben wir spezielle Anforderungen an die Informationssicherheit in den Tools, weil der Staat oft das Ziel von Hackerangriffen ist. Da muss man nochmal ein Schippchen drauflegen. Ein weiterer wichtiger Punkt sind die erwähnten Schnittstellen, es gibt viele proprietäre Systeme im Staat, die auch nur der Staat nutzt wie Register, das Einwohnermelderegister, die Punkte in Flensburg, all diese Systeme haben Schnittstellen, und die in bestimmen Kontexten anzubinden an die Tools, ist eine unserer speziellen Dienstleistungen. Insofern sind wir quasi der Enterprise-Anbieter für den Government-Sektor im Bereich open-source.

Karsten: Spannenderweise ist das nicht weit weg vom dem, was wir bei Cloudical machen. Man muss auch sagen, dass es keinen Unterschied zwischen Software und Plattform in diesem Sinne gibt. Natürlich sind es unterschiedliche Aspekte, die man betrachtet, aber was wir eben auch tun ist, wir nehmen ein open-source Produkt, in unserem Fall Kubernetes, und bringen dort weitere open-source Produkte rein, wir integrieren sie, wir schaffen die Schnittstellen zwischen diesen Produkten, wir schaffen eine Managementbarkeit oder Wartbarkeit der ganzen Geschichte und pflegen das. Und das ist, glaube ich, ein wesentlicher Aspekt, der auch stark dazu beträgt, eine Akzeptanz solcher Lösungen zu schaffen. Dass es nämlich ein Geschäftsmodell gibt und dass es einen Business-Case gibt, der nicht darauf basiert, dass ich proprietäre Dinge zusammenzaubere, andere ausschließe, sondern eher andersherum gehe und das nehme, was andere gemacht haben, es verfeinere und es dann wieder zur Verfügung stelle. Aber eben nicht im Sinne einer Abgrenzung, bei der publicplan ist es immer noch Drupal mit zusätzlichen Modulen, mit Anpassungen, aber es ist Drupal. Genauso ist es bei uns immer noch Kubernetes mit zusätzlichen Modulen, mit Anpassungen und Tools, aber es ist Kubernetes. Wir sind standardkonform bezogen darauf, was diese Plattformen, diese Software, diese Produkte mitbringen. Was wir tun ist, wir maintainen es, wir warten es, wir sorgen dafür, dass man damit arbeiten kann. Und das ist eben auch etwas, das verhindert, dass man in den beschriebenen Anbieterlock reingeht. Außerdem bieten es den echten Mehrwert, den man nur bekommt, wenn man echte open-source Produkte nutzt und diese sinnvoll zusammenführt. Das kann nicht jeder leisten, denn da stecken viel Erfahrung, viel Arbeit und viel Wissen drin. Aber wir stellen unseren Kunden dieses Wissen zur Verfügung, ohne sie dabei einzusperren. Da verkörpern wir das Mindset, das übergreifend wirkt, gilt und notwendig ist.

In Deutschland wird noch sehr viel auf nicht-europäische Infrastruktur zurückgegriffen. Was ist notwendig, damit der deutsche öffentliche Bereich tatsächlich digital souverän wird? Was gibt es da schon? Und wie spielen publicplan und Cloudical da rein?

Christian: Da muss ich eine Sache zunächst erklären. In der öffentlichen Verwaltung werden traditionell eigene, lokale IT-Dienstleister und eigene Rechenzentren verwendet. Das heißt, Verwaltung hat historisch gesehen die Tendenz, sich von dem, was wir heute Cloud nennen, abzukoppeln und ihr eigenes Ding zu machen. Jetzt denkt man aber mal 20 Jahre weiter und stellt fest, dass diese Herangehensweise mit den Servern im Keller durchaus auch Schwächen hat, denn solche abgekoppelten Systeme sind angreifbar, wie auch jüngste Beispiel zeigen, z.B. waren die Universitätskliniken in Düsseldorf für Tage lahmgelegt. Die immer komplexer werdenden IT-Infrastrukturen überfordern häufig auch die relativ kleinen IT-Teams, die nicht immer in der Lage sind, Angriffe abzuwehren oder die Sicherheit immer auf dem aktuellen Stand zu halten. Auch weitere Aspekte spielen eine Rolle, wenn der Strom ausfällt, bspw. Deswegen nutzt man ja Cloud, um ausfallsicher zu sein. Gleichzeit wird Cloud auch grundsätzlich unterstellt, dass sie sicherer ist, als wenn ich meinen eigenen Zoo betreue, weil gerade die großen Cloud-Anbieter einen riesigen Park an Mitarbeitern haben, die sich ausschließlich um Sicherheit kümmern und dafür sorgen, dass dort relativ gesehen weniger Angriffsvektoren existieren als im eigenen Rechenzentrum. Ich glaube, dass Failover-Szenarien und Sicherheitsszenarien erst dazu führen, dass sich die öffentliche Verwaltung überlegt, ob sie nicht besser in eine Cloud geht und die Vorteile dort nutzt. Dort zeigt sich dann auch der Aspekt der Skalierung. Die vor Ort befindlichen Rechenzentren sind nicht in der Lage, einfach und schnell zu wachsen und den Anforderungen an Datenmengen und Rechenleistung zu entsprechen. Da kann es schnell mal sechs Monate dauern, neue Software verwenden zu können, weil erst einmal neue Server gekauft und eingebaut werden müssen. Bei Cloud-Anbietern ist es meist relativ einfach, über eine Weboberfläche Ressourcen dazuzubuchen. Viele Trends führen zu Cloud, langsam auch in der öffentlichen Verwaltung. Hier kommen aber wieder die Anforderungen der digitalen Souveränität ins Spiel wie: Bei nicht-europäischen Anbietern kann nicht der EU-Datenschutz gewährleistet werden und man bindet sich eben an nur den einen Anbieter und ist abgängig von dessen Preisgestaltung und Angebot. Was den Trend, Verwaltung in Cloud zu verlagern, schwierig macht, weswegen sie ihren Weg noch nicht gefunden haben.

Meine Interpretation von dem, was wir mit der Cloudical anschieben und treiben, ist, dass wir die Vorteile von Cloud nutzbar machen wollen, aber gleichzeitig nicht in die Abhängigkeit führen. Indem wir Kubernetes im eigenen oder georedundanten Rechenzentrum einführen und in der eigenen Hoheit des Kunden etwas aufbauen, was alle Vorteile von Cloud bietet, und dabei aber vollständig in der Kontrolle des Kunden bleibt, es bleibt immer transparent, wer was wo macht. Abomodelle und Abhängigkeiten werden vermieden. Mir ist klar, dass das Brett megadick ist, aber Europa hat, glaube ich, auch erkannt, dass dieser Weg gegangen werden muss, weil man eben sonst tatsächlich Milliarden ins nicht-europäische Ausland zahlt für Leistungen, die am Ende nicht uns nützen, sondern nur den dortigen Unternehmen.

Karsten: Grundsätzlich ist es so, wie Christian das geschildert hat, dass man mit modernen, cloud-nativen Plattformen die Herausforderungen auch wirklich adressieren kann, auch im eigenen Rechenzentrum, auch wenn es sein muss im Keller, und wenn es gar nicht anders geht unterm Schreibtisch. Es gibt so die Möglichkeit, dass man das Beste beider Welten miteinander kombiniert. Die große Herausforderung ist erstens das Wissen darum und zweitens, wirklich sicherzustellen, dass ich nicht auch bei solchen Software-Lösungen wieder am Ende des Tages in einer Anbieterabhängigkeit drin bin. Da drehen wir den Spieß um, indem wir auf die Standard-open-source-Projekte setzen, indem wir auf den Vanilla-Rahmen setzen (um den Begriff mal zu benutzen, in der IT wird mit „Vanilla“ das Standard-Produkt eines Projektes oder einer Community benannt) und diese Projekte auch möglichst unverändert zur Verfügung stellen, sorgen wir dafür, dass man die Vorteile der neuen Umfelder nutzen kann, ohne sich an einen Anbieter oder eine Umgebung zu binden. Im Sinne von, ich kann jederzeit die Hardware wechseln und meine Applikationen in anderen Umgebungen nutzen, denn das, worauf ich setze, und das, womit ich arbeite, ist standardkonform und ist genauso aufgesetzt, wie es von den zugrundeliegenden Projekten gedacht und gewollt ist. Mit diesem Ansatz bleibe ich unabhängig. Das zahlt direkt wieder auf Souveränität ein, aber bringt häufig auch Kostenersparnis und Flexibilität. Das ist das Faszinierende, wenn man sich einmal die Mühe gemacht hat, in dieses Umfeld hineinzudenken, das Wissen und die Fähigkeiten dafür aufzubauen, dann kann man dort tatsächlich auch bestehen und das extrem dicke Brett, das Christian angesprochen hat, auch wirklich bohren. Dann ist es am Ende des Tages eine Frage dessen, dass man die Verantwortlichen sensibilisiert, dass man dafür sorgt, dass sie am Bedarf orientierte Lösungen wählen und sich nicht einwickeln lassen von Marketingversprechen. Wir bieten eine flexible, sichere, datensouveräne, Ende zu Ende open-source Cloud-Lösung an, die auch im eigenen Rechenzentrum betrieben werden kann. An dieser Stelle haben wir auch die Schnittstelle zwischen publicplan und Cloudical.

Christian: In eine Untiefe möchte ich noch hinabsteigen. Die Tatsache, dass die Rechenzentren erkannt haben, dass sie früher oder später abgehangen sein werden, wenn sie nicht Cloud-Technologie einsetzen, ist schon bekannt. Ich teile die Rechenzentren einmal in drei Gruppen: Zum einen die, die Microsoft verwenden und mit Azure versuchen, im eigenen Betrieb cloudiger zu werden, dann gibt es die, die auf Red Hat setzen und deren Enterprise-Linux und OpenShift nutzen, und als letztes gibt es die Rechenzentren, die SUSE-Produkte wie Rancher verwenden. Beides Kubernetes-Distibutionen. Für uns ist das insofern relevant, dass es für unsere Anwendungen einen Unterschied macht, ob sie in einer Microsoft-, Red Hat- oder SUSE-Umgebung installiert, konfiguriert und zum Laufen gebracht werden soll. Und das sind durchaus Einzelprojekte, die nicht nach zwei, drei Tagen erledigt sind, unsere komplexen Anwendungskonstrukte in die jeweiligen Cloud-Stacks zu bringen. Das war bisher nicht unsere Kernkompetenz, dies übernimmt ab jetzt Cloudical. Es macht uns aber wahnsinnig als Softwareanbieter, dass, wenn wir unsere Anwendungen an eine Umgebung angepasst haben, nichts von diesen Anpassungen für eine andere Umgebung verwenden können, wir müssen noch einmal bei Null anfangen.

Der Grund ist, obwohl alle drei Anbieter eine Kubernetes-Plattform anbieten, dass deren Kubernetes eben nicht standardkonform ist, sondern herstellerspezifische Anpassungen vorgenommen wurden. Was dazu führt, dass eine Anwendung, die in dem einem läuft, obwohl auch Kubernetes die Basis ist, in der anderen Umgebung in der Regel eben nicht läuft. Wir nehmen die jeweiligen Anpassungen für unsere Kunden natürlich gerne vor, da spricht aus der reinen Businesssicht nichts dagegen, aber wenn wir die Brille des Steuerzahlers und der öffentlichen Verwaltung aufsetzen, dann ist es sehr ärgerlich, wenn man eigentlich auf ein Standard-open-source-Projekt setzt, wie Kubernetes, aber durch den Anbieter, den man für das Betriebssystem nutzt, doch wieder in die Falle der Anbieterbindung gelockt wird. Aus unserer Sicht muss man dafür sorgen, dass man Kubernentes möglichst so einsetzt, dass man auf der Standardversion bleibt und auch die Anpassungen standardkonform vornimmt. Nur dann kann es von Rechenzentrum A zu Rechenzentrum B einfach transportiert werden. Das macht die Arbeit für uns auch einfacher, weil wir unsere Anpassungen an Vanilla-Kubernetes orientieren. So bleiben unsere Anwendungen auch vollständig open-source und können von jedem eingesetzt werden. Der Kunde braucht uns also nicht wirklich, um sie in Betrieb zu nehmen. Und am Ende ist es natürlich auch steuermittelsparend, da wir die Anpassungen nicht jedes Mal wieder neu machen müssen. Das ist für mich der Vorteil des Vanilla-Ansatzes und wo auch die Differenz zu Red Hat, SUSE und Co zu suchen ist.

Karsten: Dem kann ich nur zustimmen. Das Phänomen ist kein neues, das hatten wir früher auch mit Java EE, auch dort gab es Anbieterspezifika, die dafür sorgen, dass man nie wieder von der jeweiligen Plattform wegkam. Deswegen ist es so wichtig, auf dem Standard zu bleiben. Diese Erkenntnis haben wir aus vielen Projekten gewonnen. Das ist auch genau der Grund, warum wir als Cloudical einen eigenen Kubernetes-Stack entwickeln, der das Standard-Kubernetes plus verschiedene integrierte Vanilla-open-source-Projekte vereint, und nicht Kubernetes so umbaut, dass es nur noch in einer spezifischen, proprietären Umgebung läuft. Das ist für uns ein wesentlicher Punkt, sobald man auf dem Standard bleibt, ist man imstande Anbieter A mit Anbieter B auszutauschen, Rechenzentrum A gegen Rechenzentrum B zu wechseln, Cloud A gegen Cloud B. Es geht nicht darum, dass man das machen muss, sondern um die Fähigkeit, es tun zu können. Und je weiter und tiefer man in diesen Untiefen versunken ist, die der Vendor-Lockin bringt, desto schwieriger und kostenintensiver wird das. Bis hin, dass kein Wechsel mehr möglich ist. Und wenn dieser Anbieter irgendwann entscheidet, ein Produkt z.B. nicht mehr oder anders anzubieten, dann hat der Kunde ein gewaltiges Problem. Das Zauberwort für mich an dieser Stelle ist Nachhaltigkeit. Nachhaltig mit Steuergeldern, mit Ressourcen und mit Wissen umgehen, das funktioniert nur richtig, wenn man nah am Standard bleibt.

Die Politik hat diese Probleme inzwischen ja auch verstanden, sodass digitale Souveränität, aber auch open-source und Technik-know-how in Deutschland gefordert wird. Das heißt, grundsätzlich habt Ihr große Unterstützung von ganz oben, allerdings höre ich bei Euch raus, dass der Weg dahin noch steinig und lang wird. Was sind denn Eure nächsten Schritte auf diesem Weg?

Christian: Für mich ist für den Bereich der Verwaltungsdigitalisierung und der OZG-Umsetzung naheliegend, dafür zu sorgen, insbesondere in den Segmenten, wo sich noch nicht Player über die letzten 30, 40 Jahre etabliert haben, anzugreifen und dort mit open-source zu beweisen, dass es funktioniert, dass es sogar besser funktioniert, dass die genannten Vorteile auch wirklich greifen. Aus dieser Position, die mittlerweile gar nicht mehr so klein ist, wollen wir gucken, ob wir vielleicht bestehende Bastionen schrittweise angehen. Schrittweise wird uns das zum Ziel führen, die Verwaltung vollständig open-source-basiert laufen zu lassen in zehn Jahren, ich bin mal optimistisch.

Karsten: Unsere Grundzielrichtung ist eine ähnliche, für uns ist es wichtig, unsere Kubernetes-Distribution auf den verschiedenen öffentlichen Cloud-Plattformen anzubieten, aber auch die kleineren oder privaten Plattformen nicht außen vor zu lassen. Und dort dann, weil wir wissen, dass es unendlich komplex ist, da überhaupt einzusteigen, unseren Kunden Angebote zu machen und die Möglichkeit zu geben, Ihre Workloads und Applikationen und ihre Infrastrukturen an uns auszulagern im Rahmen von Managed Services, der sie nicht einsperrt, sondern sie mit Leistungen überzeugt, und damit ganz klarzumachen, dass die Vanilla-Lösung, der Standard, gut ist, dass man damit wunderbar arbeiten kann. Von dort aus weitergehend wir sich alles weitere ergeben, das Cloud-Umfeld steckt immer noch in seinen Kinderschuhen, auch wenn die großen Cloud-Anbieter einen riesigen Markt abzudecken scheinen, glaube ich nicht daran, dass das so bleiben wird. Ich glaube an ein sehr diverseres Ökosystem, dass es eine Vielzahl von Anbietern und Initiativen gibt wie Gaia-X bspw., die versuchen möchte, Standards zu definieren und Ideen zusammenzuführen. Das sind Dinge, die wir unterstützen, wo wir uns engagieren, wo es für uns wichtig ist, die Vorteile einer Standardplattform mit einem hochgradig diversen und sich verändernden Ökosystem immer wieder neu zusammenzubringen. Das dann eben auch in verschiedene Bereiche zu bringen, sei es privat, sei es öffentlich, sei es irgendetwas dazwischen. Und ich glaube, dass wir dort wirklich einen großen Weg vor uns haben, aber dass es sich lohnt, diese Mühen auf sich zu nehmen, denn wir brauche Alternativen zu den großen Anbietern, wir brauchen Unabhängigkeit, wir brauchen im Großen wie im Kleinen die Souveränität, die digitale, technische, infrastrukturelle und auf Wissen basierende Souveränität. Das ist es, wofür wir täglich immer wieder aufstehen.

Vielen Dank für die Ein- und Ausblicke

Das Interview führte Friederike Zelke

publicplan.de
cloudical.de