Wenn über die Lehren aus den Folgen der jüngsten Krisen gesprochen wird, fällt oft das Stichwort Resilienz. Krieg, Corona, Handelskonflikte und die damit verbundenen Energieversorgungs- und Lieferkettenprobleme sollen damit zumindest einen Teil ihres Schreckens verlieren. Nur was bedeutet das konkret?
Ein Kommentar von Andrea Wörrlein, Geschäftsführerin von VNC in Berlin:
Es ist die Fähigkeit eines Systems, so mit Störungen von außen umzugehen, dass es trotzdem funktionsfähig bleibt. Wir sprechen also von Robustheit. Doch bezogen auf die IT sind wir davon weit entfernt.
Resilienz ist aktuell auf keiner der drei Schichten moderner IT-Services gegeben. Die Abhängigkeiten und Störungspotenziale ziehen sich über sämtliche Ebenen: von der Infrastruktur über die Plattformen bis zu den Applikationen. Weder amerikanische Firewalls, die eingestandenermaßen Hintertüren für den Zugriff von US-Behörden bereithalten, noch Kommunikationsinfrastruktur aus China sind für uns transparent.
Und von einer eigenen IT-Infrastruktur mit einem stabilen und unabhängigen System vernetzter europäischer Rechenzentren sind wir dank Gaia-X immer noch weit entfernt. Auf der Plattform-Ebene befinden wir uns technisch gesehen in der Cloud. Die ist zwar theoretisch redundant, wahlfrei und unendlich skalierbar, die volle Kontrolle darüber, was dort passiert, haben wir aber nicht.
Die Cloud-Provider sind abhängig von den Datenschutzgesetzen und Zugriffsvorgaben ihrer Heimatländer. Nur komplett deutsche oder EU-Clouds sind daher transparent und erlauben Souveränität. Aber sie sind funktional eingeschränkt und werden viel zu selten genutzt. Viele Unternehmen und Behörden rennen so mit offenen Augen in den Rechtsbruch und die Nicht-Resilienz.
Ähnlich ist die Situation auf der Applikations-Ebene: Die Datenschutzkonferenz des Bundes und der Länder hat erst jüngst wieder Microsoft 365 als prinzipiell unsicher und nicht DSGVO-konform abgewatscht. Für Behörden, kritische Infrastrukturen und sicherheitsbewusste Unternehmen also ein klares Signal, davon und von allen prinzipiell ähnlich gestrickten Programmen Abstand zu nehmen.
Die Alternative zu solchen proprietären Closed-Source-Anwendungen sind transparente, unabhängig auditierbare Open-Source-Applikationen. Und die gibt es in großer Vielfalt und hoher Qualität auch aus europäischen Quellen. Immerhin ist Europa der Heimatkontinent von Linux.
Es gibt also genügend Punkte, an denen Maßnahmen zur Steigerung der IT-Resilienz ansetzen können und müssen. Das kann allerdings nur mit neuen Initiativen gelingen, für die mehr Robustheit durch digitale Souveränität auf allen Ebenen absolute Priorität hat.