Der Traum von der digitalen Souveränität Deutschlands und Europas befindet sich in einer kritischen Phase: dem Übergang von der politischen Programmatik zur technischen Realisierung. Auf dem Sovereign Cloud Stack (SCS) Summit in Berlin wurde am Donnerstag deutlich, dass auf beiden Seiten viel passiert – wenn auch nicht mit gleichem Tempo. Die Bundespolitik versucht in teils langwierigen Abstimmungsprozessen, ein allumfassendes Ökosystem namens Deutschland-Stack (D-Stack) zu definieren.

Derweil schafft die Open-Source-Wirtschaft technische Tatsachen. Die Ankündigung der ersten Interoperabilitäts-Zertifizierungen für Container-Umgebungen markiert dabei einen Wendepunkt: Weg von theoretischen Architekturskizzen, hin zu einem marktreifen Gegenentwurf zur Abhängigkeit von Tech-Monopolen.

Ratschläge „wie im heise-Forum”

Die Diskrepanz zwischen Anspruch und Verwaltungspraxis verdeutlichte bei der Veranstaltung Matthias Burgfried aus der Abteilung D-Stack im Bundesministerium für Digitales und Staatsmodernisierung (BMDS). Er räumte ein, dass das Projekt vor einer großen Aufgabe stehe: Der Deutschland-Stack sei ein Rahmen mit Zielvision, Ökosystem, Standards, Portfolio und Technik. Dabei handle es sich um „ganz viele Buzzwords“, die mit Leben gefüllt werden müssten.

Der Kern des D-Stacks setzt laut Burgfried auf „API-First“ und europäische Anschlussfähigkeit. Einzelne Stack-Elemente wie KI, Cloud und Basiskomponenten sollen also auf „offenen, gut dokumentierten Schnittstellen“ gründen. Doch das föderale IT-Projekt steht unter Druck. Zwei Konsultationsverfahren mündeten in eine Welle von rund 960 Seiten kritischer Eingaben und über 800 ungelösten Problemen in den Entwicklungs-Repositories.

Den in der Community weit verbreiteten Eindruck, dass damit nichts passiere, bestätigte Burgfried grundsätzlich. Er und sein Team hätten die vielen, teils „ähnlich wie im heise-Forum“ wirkenden Beiträge per KI ausgewertet. Nun sei die Herausforderung, aus den umfangreichen Konsultationseingaben eine agile, handlungsfähige Architektur zu destillieren. Die Erprobungsphase soll im vierten Quartal starten, die Fertigstellung ist für Ende 2027 avisiert. Ein Zeitplan, der im Lichte bisheriger Verzögerungen ambitioniert ist. Anfang 2027 soll schon ein leicht integrierbarer Teil stehen: die deutsche Umsetzung der EUDI-Wallet.

Industriebreite Standards statt grauer Theorie

Das SCS-Ökosystem, das in den D-Stack integriert werden soll, liefert parallel greifbare Ergebnisse. Die Initiative hat sich nach dem Ende der staatlichen Förderung 2024 emanzipiert. Heute finanzieren über zwanzig Unternehmen das Forum SCS-Standards. Ralph Dehner, Geschäftsführer von B1 Systems, unterstrich dessen Bedeutung: „Wir werden heute für Kubernetes as a Service (KaaS) erste Zertifizierungen verteilen. Da ist Bewegung drin.“ Dabei handle es sich um mehr als ein Gütesiegel; die Zertifizierung garantierte Kunden tatsächliche technische Wechselfähigkeit, die den Vendor-Lock-in der US-Hyperscaler systematisch vermeide.

Dass dieser Weg praktikabel ist, zeigen erste Beispiele. „Beim Thüringer Landesrechenzentrum haben wir eine standardisierte und zertifizierte Cloud am Laufen“, berichtete Dehner. Dazu komme etwa Berlin mit seiner Multi-Cloud-Strategie. Auch München habe zugesichert, dass freie Software wieder eine stärkere Rolle spielen solle. Das zeige, dass offene Stacks bei Sicherheit und Verfügbarkeit ebenbürtig seien.

Die Rolle des BSI

Diese Reife zwingt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einem pragmatischeren Kurs. Luise Kranich, Leiterin der Abteilung Technologiestrategie, machte deutlich, dass Souveränität nicht mit Isolation gleichzusetzen sei: „Völlige Autarkie und maximaler Einfluss auf die Anbieter ist nicht nur nicht möglich, sondern auch nicht gewünscht.“ Stattdessen fokussiere sich das BSI mit dem neuen Cloud-Kriterienkatalog C3A darauf, Abhängigkeiten kontrollierbar zu gestalten.

Dass das BSI den Entwurf US-Konzernen zur Prüfung vorab vorgelegt hat, verteidigte Kranich als strategischen Härtetest: „Wenn sie sagen: ‚Könnt ihr so machen‘, dann sind wir nicht streng genug.“ Die Hyperscaler müssten „sich schon bedroht“ fühlen und erkennen, es gelte jetzt mehr durchzuführen „als ein Projektchen in einem deutschem Rechenzentrum“.

Sicherheit durch Transparenz

Dass Open Source dabei das entscheidende Werkzeug ist, betonten Akteure aus der Wirtschaft. Joachim Astel, Vorstand beim Provider Noris Network, unterstrich das Prinzip „Code is Law“. Die Transparenz des Quelltextes sei das stärkste Argument für Stabilität: „Open Source wird so durchleuchtet, dass das alte Argument, sie ist so unsicher, ins Gegenteil gedreht wird.“ Schwachstellen, die in proprietären Black-Box-Systemen über Jahre unentdeckt blieben, würden in offenen Systemen durch automatisierte Analysen und Community-Checks schneller identifiziert.

Kai Martius von Secunet Security Networks ergänzte, dass der SCS als technischer Standard die oft abstrakte Souveränitätsdebatte erst in schriftlich kodifizierte Interoperabilität übersetze.

Als größte Herausforderung für ein sicheres Ökosystem gilt weiter der Faktor Mensch. Karin Vosseberg, Informatik-Professorin in Bremerhaven, richtete einen eindringlichen Appell an die Branche. Die zunehmende Automatisierung durch generative KI dürfe nicht dazu führen, dass tiefgreifende Kompetenzen in der Softwareentwicklung verloren gingen. „Wir schieben jetzt schon Defekte vor uns her, die von KI produziert wurden“, warnte Vosseberg vor blindem Vertrauen in automatisierte Code-Generierung. Dass Firmen gleichzeitig Junior-Stellen für fähige Programmierer einsparten, könne desaströs enden.

Der SCS Summit hat deutlich gemacht, dass die Werkzeuge für eine souveräne Cloud bereitstehen und zertifiziert sind. Sie müssen sich jetzt in der Praxis der öffentlichen Verwaltung bewähren. Unerlässlich sind Experten, die in der Lage sind, die Komplexität digitaler Infrastruktur jenseits von Buzzwords und KI-Generatoren zu beherrschen.

(ds)

Wegen mangelhafter Kooperation bei Kinderschutz muss der Microblogging-Dienst X in Australien doch Strafe zahlen – nach zweieinhalb Jahren Rechtsstreit. 2023 musste X (heute Teil SpaceX‘) einen Fragebogen der Aufsichtsbehörde eSafety Commissioner ausfüllen, tat dies aber mehr schlecht als recht. Manche Antworten fehlten völlig, andere waren unvollständig oder schlicht falsch.

Deswegen verhängte die Behörde eine Strafe in Höhe von 610.000 australischen Dollar, damals rund 370.000 Euro. X wollte nicht bezahlen und beschäftigte lieber Anwälte für ein Gerichtsverfahren. Am Donnerstag (Ortszeit) hat das Bundesgericht Australiens den Fall abgeschlossen: Die Strafe wird auf 650.000 australische Dollar (rund 399.000 Euro) leicht erhöht (Federal Court of Australia, eSafety Commissioner v X Corp, Az. VID1092/2023).

Offenbar hat X einen gerichtlichen Vergleich mit dem eSafety Commissioner geschlossen. Die darin festgehaltenen Fakten und Geständnisse des Unternehmens bleiben jedoch unter Verschluss. Der Gerichtsbeschluss legt nur offen, dass X sich in dem Vergleich dazu verpflichtet hat, weitere 100.000 australische Dollar zu zahlen. Das ist eine pauschale Entschädigung für den Aufwand insgesamt dreier Gerichtsverfahren gegen X; bei zweien trat X als Kläger auf.

Mit der ursprünglichen Befragung wollte die Aufsichtsbehörde im Februar 2023 ermitteln, welche Schritte die großen Tech-Konzerne unternehmen, um die Verbreitung von Darstellungen von Kindesmissbrauch zu unterbinden, Ausbeutung zu verhindern und Livestreams von Missbrauch zu blockieren. Die Antworten wären Ende März 2023 fällig gewesen. Einige Monate zuvor hatte Elon Musk X (damals bekannt als Twitter) übernommen und zunächst die Chefriege, dann aber auch den Großteil der Belegschaft gefeuert.

(ds)

Der Chef versteckt die wichtige Info in einem halben Roman, dutzende Newsletter buhlen um die knappe Aufmerksamkeit und zwischen all dem Spam geht die Bestellbestätigung unter – wann kommt nochmal mein Paket an? E-Mails fühlen sich häufig wie Arbeit an.

GMX will seinen Nutzern helfen: Einer von Deutschlands größten E-Mail-Anbietern führt deshalb generative KI-Funktionen in seinem Postfach ein. Ein Sprachmodell soll beim Schreiben, Lesen und Finden von E-Mails weiterhelfen. Die Technik läuft auf deutschen Servern, was einen hohen Datenschutzstandard gewährleisten soll. Ist das eine Alternative zu Googles KI-Vorherrschaft im Posteingang?

Dieser Artikel erklärt, was die neuen Funktionen können. Anhand konkreter Beispiele zeigen wir, wo die KI-Zusammenfassungen und -Übersetzungen wirklich nützlich sind – und an welchen Stellen man das Beta-Stadium von GMX’ KI-Assistenten noch spürt. Außerdem beschreiben wir, welche Probleme sowohl die kostenlosen als auch kostenpflichtigen Zusatzfunktionen in der aktuellen Beta-Version noch haben.

Das war die Leseprobe unseres heise-Plus-Artikels „GMX bringt KI ins Postfach: Wir haben den Assistenten ausprobiert“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.