Mit dem Deutschland-Stack samt Zertifizierung zur digitalen Souveränität

Der Traum von der digitalen Souveränität Deutschlands und Europas befindet sich in einer kritischen Phase: dem Übergang von der politischen Programmatik zur technischen Realisierung. Auf dem Sovereign Cloud Stack (SCS) Summit in Berlin wurde am Donnerstag deutlich, dass auf beiden Seiten viel passiert – wenn auch nicht mit gleichem Tempo. Die Bundespolitik versucht in teils langwierigen Abstimmungsprozessen, ein allumfassendes Ökosystem namens Deutschland-Stack (D-Stack) zu definieren.

Derweil schafft die Open-Source-Wirtschaft technische Tatsachen. Die Ankündigung der ersten Interoperabilitäts-Zertifizierungen für Container-Umgebungen markiert dabei einen Wendepunkt: Weg von theoretischen Architekturskizzen, hin zu einem marktreifen Gegenentwurf zur Abhängigkeit von Tech-Monopolen.

Ratschläge „wie im heise-Forum”

Die Diskrepanz zwischen Anspruch und Verwaltungspraxis verdeutlichte bei der Veranstaltung Matthias Burgfried aus der Abteilung D-Stack im Bundesministerium für Digitales und Staatsmodernisierung (BMDS). Er räumte ein, dass das Projekt vor einer großen Aufgabe stehe: Der Deutschland-Stack sei ein Rahmen mit Zielvision, Ökosystem, Standards, Portfolio und Technik. Dabei handle es sich um „ganz viele Buzzwords“, die mit Leben gefüllt werden müssten.

Der Kern des D-Stacks setzt laut Burgfried auf „API-First“ und europäische Anschlussfähigkeit. Einzelne Stack-Elemente wie KI, Cloud und Basiskomponenten sollen also auf „offenen, gut dokumentierten Schnittstellen“ gründen. Doch das föderale IT-Projekt steht unter Druck. Zwei Konsultationsverfahren mündeten in eine Welle von rund 960 Seiten kritischer Eingaben und über 800 ungelösten Problemen in den Entwicklungs-Repositories.

Den in der Community weit verbreiteten Eindruck, dass damit nichts passiere, bestätigte Burgfried grundsätzlich. Er und sein Team hätten die vielen, teils „ähnlich wie im heise-Forum“ wirkenden Beiträge per KI ausgewertet. Nun sei die Herausforderung, aus den umfangreichen Konsultationseingaben eine agile, handlungsfähige Architektur zu destillieren. Die Erprobungsphase soll im vierten Quartal starten, die Fertigstellung ist für Ende 2027 avisiert. Ein Zeitplan, der im Lichte bisheriger Verzögerungen ambitioniert ist. Anfang 2027 soll schon ein leicht integrierbarer Teil stehen: die deutsche Umsetzung der EUDI-Wallet.

Industriebreite Standards statt grauer Theorie

Das SCS-Ökosystem, das in den D-Stack integriert werden soll, liefert parallel greifbare Ergebnisse. Die Initiative hat sich nach dem Ende der staatlichen Förderung 2024 emanzipiert. Heute finanzieren über zwanzig Unternehmen das Forum SCS-Standards. Ralph Dehner, Geschäftsführer von B1 Systems, unterstrich dessen Bedeutung: „Wir werden heute für Kubernetes as a Service (KaaS) erste Zertifizierungen verteilen. Da ist Bewegung drin.“ Dabei handle es sich um mehr als ein Gütesiegel; die Zertifizierung garantierte Kunden tatsächliche technische Wechselfähigkeit, die den Vendor-Lock-in der US-Hyperscaler systematisch vermeide.

Dass dieser Weg praktikabel ist, zeigen erste Beispiele. „Beim Thüringer Landesrechenzentrum haben wir eine standardisierte und zertifizierte Cloud am Laufen“, berichtete Dehner. Dazu komme etwa Berlin mit seiner Multi-Cloud-Strategie. Auch München habe zugesichert, dass freie Software wieder eine stärkere Rolle spielen solle. Das zeige, dass offene Stacks bei Sicherheit und Verfügbarkeit ebenbürtig seien.

Die Rolle des BSI

Diese Reife zwingt das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einem pragmatischeren Kurs. Luise Kranich, Leiterin der Abteilung Technologiestrategie, machte deutlich, dass Souveränität nicht mit Isolation gleichzusetzen sei: „Völlige Autarkie und maximaler Einfluss auf die Anbieter ist nicht nur nicht möglich, sondern auch nicht gewünscht.“ Stattdessen fokussiere sich das BSI mit dem neuen Cloud-Kriterienkatalog C3A darauf, Abhängigkeiten kontrollierbar zu gestalten.

Dass das BSI den Entwurf US-Konzernen zur Prüfung vorab vorgelegt hat, verteidigte Kranich als strategischen Härtetest: „Wenn sie sagen: ‚Könnt ihr so machen‘, dann sind wir nicht streng genug.“ Die Hyperscaler müssten „sich schon bedroht“ fühlen und erkennen, es gelte jetzt mehr durchzuführen „als ein Projektchen in einem deutschem Rechenzentrum“.

Sicherheit durch Transparenz

Dass Open Source dabei das entscheidende Werkzeug ist, betonten Akteure aus der Wirtschaft. Joachim Astel, Vorstand beim Provider Noris Network, unterstrich das Prinzip „Code is Law“. Die Transparenz des Quelltextes sei das stärkste Argument für Stabilität: „Open Source wird so durchleuchtet, dass das alte Argument, sie ist so unsicher, ins Gegenteil gedreht wird.“ Schwachstellen, die in proprietären Black-Box-Systemen über Jahre unentdeckt blieben, würden in offenen Systemen durch automatisierte Analysen und Community-Checks schneller identifiziert.

Kai Martius von Secunet Security Networks ergänzte, dass der SCS als technischer Standard die oft abstrakte Souveränitätsdebatte erst in schriftlich kodifizierte Interoperabilität übersetze.

Als größte Herausforderung für ein sicheres Ökosystem gilt weiter der Faktor Mensch. Karin Vosseberg, Informatik-Professorin in Bremerhaven, richtete einen eindringlichen Appell an die Branche. Die zunehmende Automatisierung durch generative KI dürfe nicht dazu führen, dass tiefgreifende Kompetenzen in der Softwareentwicklung verloren gingen. „Wir schieben jetzt schon Defekte vor uns her, die von KI produziert wurden“, warnte Vosseberg vor blindem Vertrauen in automatisierte Code-Generierung. Dass Firmen gleichzeitig Junior-Stellen für fähige Programmierer einsparten, könne desaströs enden.

Der SCS Summit hat deutlich gemacht, dass die Werkzeuge für eine souveräne Cloud bereitstehen und zertifiziert sind. Sie müssen sich jetzt in der Praxis der öffentlichen Verwaltung bewähren. Unerlässlich sind Experten, die in der Lage sind, die Komplexität digitaler Infrastruktur jenseits von Buzzwords und KI-Generatoren zu beherrschen.

(ds)