Skip to main content Skip to page footer

Auf einen Chatverlauf zu … digitaler Souveränität

| Interview

In dieser Reihe unterhalten wir uns regelmäßig mit ChatGPT zu Themen aus dem compass-Kosmos. Die Antworten von ChatGPT bilden dabei das allgemein im Netz verfügbare Wissen ab und geben so einen guten Einblick – allerdings einen, der auch mit Vorsicht zu genießen ist. Daher wird jedes Interview zum Schluss mit einer Frage an einen Experten von Flying Circus abgerundet, der das Thema noch einmal aus seiner Sicht beleuchtet und möglicherweise richtigstellt. In dieser Ausgabe sprechen wir über digitale Souveränität und die Frage, wie abhängig möchte ich als Unternehmen sein – und wenn ja, von wem.


In wenigen Sätzen: Was dürfen wir uns unter digitaler Souveränität vorstellen?

Unter digitaler Souveränität versteht man die Fähigkeit einer Organisation oder eines Landes, selbstbestimmt und unabhängig über ihre digitalen Angelegenheiten zu entscheiden und ihre digitale Infrastruktur und Datenhoheit sicherzustellen. Dazu gehört auch die Fähigkeit, Technologien nach eigenen Standards und Anforderungen zu entwickeln und einzusetzen, sowie die Kontrolle über die eigenen Daten und den Schutz der Privatsphäre der Bürgerinnen und Bürger.


Deutschland gilt als eher vorsichtig, wenn es um Daten geht. Und auch die EU arbeitet an klaren Vorgaben. Gibt es in der Bewertung von digitaler Souveränität also auch nationale Unterschiede?

Deutschland und andere Länder in Europa haben im Allgemeinen eine ausgeprägte Sensibilität für Datenschutz- und Datensicherheitsfragen, was sich auch auf die Bewertung von digitaler Souveränität auswirken kann. Hier werden in der Regel höhere Standards und strengere Vorgaben erwartet und umgesetzt. In den letzten Jahren wurden beispielsweise die General Data Protection Regulation (GDPR) oder die European Cloud Initiative, die darauf abzielt, eine wettbewerbsfähige und sichere Cloud-Infrastruktur auf europäischer Ebene zu etablieren, auf den Weg gebracht.

Insgesamt ist die Bedeutung von digitaler Souveränität weltweit anerkannt und wird in zunehmendem Maße von Regierungen, Unternehmen und Gesellschaften als wesentlich erachtet, um eine sichere und unabhängige Nutzung von digitalen Technologien und Dienstleistungen zu gewährleisten.


Warum ist eine unabhängige Nutzung gerade im DevOps-Bereich so wichtig?

Eine starke Abhängigkeit von externen Dienstleistern oder Technologien kann die Kontrolle über die eigene digitale Infrastruktur und die damit verbundenen Daten beeinträchtigen. DevOps-Praktiken ermöglichen es Organisationen, schnell und effizient Änderungen an ihrer digitalen Infrastruktur vorzunehmen und auf sich ändernde Anforderungen zu reagieren. Wenn jedoch die verwendeten Technologien oder Tools von Drittanbietern kontrolliert werden, kann dies zu Abhängigkeiten und Einschränkungen führen, die die Agilität und Flexibilität der Organisation beeinträchtigen. Um diese Risiken zu minimieren, sollten Organisationen in der Lage sein, ihre eigene Infrastruktur unabhängig zu betreiben und zu kontrollieren.


Eine eigene DevOps-Infrastruktur aufzubauen, ist jedoch nicht ganz kostengünstig. Lohnt sich das nur für größere Unternehmen?

Es stimmt, dass der Aufbau einer eigenen DevOps-Infrastruktur mit Kosten verbunden sein kann. Allerdings ist die Investition in eine eigene Infrastruktur auch für kleinere Organisationen sinnvoll, da sie dadurch die volle Kontrolle über ihre digitale Infrastruktur und Daten behalten. Eine selbstbetriebene Infrastruktur kann auch langfristig Kosten sparen, da sie es ermöglicht, auf individuelle Anforderungen und Bedürfnisse einzugehen und die Infrastruktur entsprechend anzupassen.


Sie empfehlen also auch Mittelständlern eine eigene, unabhängige DevOps-Infrastruktur. Gibt es dabei weitere Punkte, an denen ein Mittelständler Kosten einsparen könnte, etwa das gezielte Auslagern von Teilbereichen.

Es gibt verschieden Optionen, um Kosten zu sparen. Eine Möglichkeit besteht darin, bestimmte Aspekte der Infrastruktur auszulagern und sie von erfahrenen Drittanbietern betreiben zu lassen, wenn diese den Anforderungen der Organisation entsprechen. Beispielsweise kann die Verwaltung von Datenbanken oder die Implementierung von bestimmten Sicherheitsmaßnahmen an einen spezialisierten Drittanbieter ausgelagert werden, um die Belastung der eigenen IT-Mitarbeiter zu reduzieren und gleichzeitig die Sicherheit der Infrastruktur zu erhöhen.

Eine weitere Möglichkeit ist die Nutzung von Cloud-basierten DevOps-Tools und -Services, die auch für kleinere Organisationen erschwinglich sind und schnell einsatzbereit sind.


Worauf sollte ich als Mittelständler achten, wenn ich meinen DevOps-Bereich auslagern möchte? Sicherlich nicht nur auf die Kosten.

Wenn Sie als Mittelständler Ihren DevOps-Bereich auslagern, sollten Sie sicherstellen, dass der Drittanbieter Ihre digitale Souveränität respektiert und entsprechende Maßnahmen ergreift, um diese zu gewährleisten. Hierzu können vertragliche Regelungen und verbindliche Service-Level-Agreements (SLAs) vereinbart werden, die die Einhaltung bestimmter Standards und Anforderungen garantieren.

Es ist wichtig, bei der Auswahl des Drittanbieters nicht nur auf die Kosten zu achten, sondern auch auf dessen Expertise, Erfahrung und Reputation. Es ist empfehlenswert, sich über Referenzen und Erfahrungen anderer Kunden zu informieren und eine Due-Diligence-Prüfung durchzuführen, um sicherzustellen, dass der Anbieter die erforderlichen Sicherheits- und Compliance-Standards erfüllt.

Automatisierte DevOps-Tools können in der Tat Sicherheitsrisiken bergen, wenn sie nicht angemessen konfiguriert oder verwendet werden. Daher sollten Sie bei der Auswahl von Tools darauf achten, dass diese robuste Sicherheitsfunktionen und -maßnahmen bieten, wie beispielsweise Verschlüsselung, Authentifizierung und Autorisierung. Auch die Verwendung von Open-Source-Tools erfordert besondere Sorgfalt und Überwachung, um mögliche Schwachstellen oder Sicherheitsrisiken zu minimieren.

Insgesamt ist es wichtig, dass Sie bei der Auswahl eines Drittanbieters oder von DevOps-Tools eine ganzheitliche Perspektive einnehmen und alle relevanten Faktoren berücksichtigen, um eine optimale Balance zwischen Kosten, Effektivität und Sicherheit zu finden.

Alle relevanten Faktoren berücksichtigen ist ein gutes Stichwort für unseren Experten von Flying Circus: Christian Theune. Hat ChatGPT alle relevanten Faktoren zu digitaler Souveränität berücksichtigt?

Christian Theune: Wie immer liefert ChatGPT eine zunächst in sich schlüssige Antwort und regt zum Nachdenken an. Da ich nicht weiß, wie ChatGPT zu dieser Auflistung kommt, habe ich mich gefragt: Was könnte da vielleicht fehlen?

Meine Analyse der digitalen Souveränität entwickelte ich anhand des Begriffs der Handlungsfähigkeit. Dazu gibt es den Ansatzpunkt des „ethischen Imperativs“: Handle stets so, dass die Anzahl der Wahlmöglichkeiten größer wird!
Für mich folgt daraus – konkreter als von ChatGPT gefordert – der Einsatz freier Software und die Bildung von Kompetenzen: kompetent sein in der Hinsicht, was ich kaufe, was ich selbst entwickele und mit wem ich Partnerschaften eingehe.

Das größte Risiko hierbei liegt darin, durch falsche Make-or-Buy-Entscheidungen in meinen zukünftigen Entscheidungen eingeschränkt zu werden: Muss ich alles selbst machen? Mache ich mich gnadenlos abhängig?

In Deutschland und Europa lernen wir gerade, wo wir uns gnadenlos abhängig gemacht haben und wo wir eigentlich selbst mehr hätten machen müssen – oder anders ausgedrückt: Wo wir bestimmte Kompetenzen eben trotz unserer gesellschaftlichen Eigenschaft, „systemkritisch“ zu sein, trotzdem unkontrolliert den Märkten preisgegeben haben: von der Chip-Fertigung, zu Solarzellen und der Produktion von Arzneimitteln.

Ich persönlich sehe den viel gelobten Datenschutz in Deutschland inzwischen sehr zwiegespalten. Die Durchsetzungsfähigkeit der Vorgaben ist häufig unklar und die Datenkrakenmentalität ohne Rücksicht auf Verluste hält hier auch auf Staatsebene Einzug. Neben Monstern wie der Chat-Kontrolle mehren sich Schildbürger-Projekte wie die Zentralisierung der Patientendaten aller GKV ohne vorliegendes IT-Sicherheitskonzept.

Gerade die Formulierung „Daten sind das Rohöl des 21. Jahrhunderts.“ lässt mich erschaudern. Haben wir also nichts aus den Umweltschäden des 20. Jahrhunderts gelernt und wollen entsprechende Schäden im digitalen Ökosystem provozieren?

Die im privaten Umfeld immer mehr um sich greifende Methode des „Everything as a Subscription“ ist im DevOps-Umfeld auch spürbar. Auf der einen Seite wachsen die größten Anbieter in einem Ökosystem unter freizügiger Nutzung quelloffener Software, verschließen sich dann aber gerade diesem Ökosystem und nutzen es, um Kunden möglichst abhängig zu machen und die Erfinder auszubooten. Sind die Tools und Services gut gemacht? Keine Frage.

Aber anstatt gemeinsam an Infrastruktur und Technologien zu arbeiten – was wir in Europa eigentlich besser können als in anderen Umgebungen – versuchen wir der Winner-takes-it-all-Mentalität aus den Staaten und dem Vereinigten Königreich nachzueifern. Außerdem dominieren die stark von Venture Capital gestützten „Unicorn-Status“-Neueinsteiger die fachliche Diskussion. Der Einsatz neuester Produkte läuft dem Verständnis der technischen Grundlagen weiter davon.

Ich denke, gerade beim Aufbau eigener Infrastrukturen gibt es noch viel Potenzial, diesen kostengünstiger und flexibler umzusetzen und dabei die klassischen Werte freier Software zum Tragen zu bringen. Hier würde ich mir auch noch mehr Engagement von Seiten der Hardware-Hersteller wünschen.

Bei der Frage nach ausgelagerten Diensten zeigt sich in ChatGPTs Antwort der Status quo eindeutig.

Beim Flying Circus haben wir uns seit vielen Jahren damit auseinandergesetzt, wie man den Betrieb von individuellen, komplexen Anwendungen verbessert, und kommen zu einem anderen Schluss. Anstelle wie bisher zu arbeiten und punktuell externe Dienste oder Dienstleister einzusetzen, glauben wir, dass man bessere, persönliche, übergreifende Kooperation braucht, um in komplexen Situationen das relevante und diverse Wissen von allen Beteiligten aktivieren zu können. Das bedeutet häufig, dass man Aspekte eines Systems eben immer genauer verstehen muss – und dazu müssen Menschen auf Augenhöhe kooperieren und alle Bestandteile gemeinsam genau unter die Lupe nehmen können, ohne dabei auf Mittelsmänner angewiesen zu sein.

Bei der Auswahl von Tools und Dienstleistern kaut ChatGPT dann auch vorhersagbar eine kurzsichtige Perspektive wieder: Zertifizierung und SLAs, Risikovermeidung vor dem Erzielen guter Wirksamkeit.

Ich plädiere nicht für ein willkürliches Vorgehen. Und wir selbst haben sehr gute Erfahrungen mit Zertifizierungen wie der ISO/IEC 27001 gemacht – aber gerade weil wir uns explizit zum Ziel gesetzt haben, diese inhaltlich auszugestalten und uns nicht einer bürokratischen Perspektive unterzuordnen.

Die nahe Zukunft wird von immer komplexeren Herausforderungen geprägt sein, von schnelleren und dynamischeren Wechseln – dabei die richtigen Schritte zu gehen, lässt sich nicht allein durch das Vermeiden der falschen Schritte bewerkstelligen. Wir sollten uns mehr auf Ansätze konzentrieren, die die gemeinsame, wechselseitige Kreativität fördern, anstatt einseitige Konsumentenbeziehungen einzugehen.
 

Zurück
KI generiertes Bild das zwei berührende Hände zeigt
Christian Theune, CEO beim Flying Circus, aber kein absoluter Souverän beim Unternehmen; er glaubt fest an Kooperation auf Augenhöhe – sowohl innerhalb als auch außerhalb des Unternehmens.