Digitale Souveränität stärken: Infrastruktur- und Betriebssystemschicht sowie Sovereign Cloud Stack hinzufügen

Wir als ALASCA-FOCIS (Free and Open Cloud Initiative Saxony), ein auf den sächsischen Mittelstand ausgerichtetes Förderprogramm im Open-Source Cloud Bereich, begrüßen den Verstoß der Bundesregierung und des Versuchs der Definition von Technologie sowie Standards zur Erreichung des Ziels der Steigerung der Digitalen Souveränität der Bundesrepublik Deutschland. Insbesondere der klare Fokus auf betriebsfähige und etablierte Open Source Technologien ist positiv hervorzuheben.

Während in der aktuellen Ausgestaltung des Stacks bereits in Teilen auf die Container-Schicht eingegangen wird, fehlt aus unserer Sicht die dafür notwendige darunterliegende Infrastruktur- bzw. Infrastructure-as-a-Service-Schicht. Mit Hilfe dieser Schicht, z.B. bereitgestellt durch Produkte wie OpenStack, können virtuelle Maschinen, virtuelle Netzwerke und beliebige verteilte Speichertypen (Ceph, Swift) bereitgestellt werden. In diesem Kontext notwendige, etablierte und erfolgreich weltweit eingesetzte Open Source Projekte wie Proxmox, OpenBAO (Hasicorp Vault Fork), OpenTofu (Terraform Fork), Grafana, Prometheus, Thanos, Helm, Keycloak, Podman, Harbor, Ansible, Redis und RabbitMQ sollten hinzugefügt werden.

Eine darauf aufbauende und ebenfalls bisher fehlende Schicht, ist die Betriebssystemschicht. Hier sollten unbedingt die hier typischerweise zum Einsatz kommenden Betriebssysteme wie Ubuntu, CentOS, Alpine Linux oder NixOS mit in den Stack aufgenommen werden.

Neben der Bereitstellung von Infrastruktur sollte ebenfalls auf deren Betrieb Rücksicht genommen werden. Insbesondere Day-2 Operations und sichere Kommunikation innerhalb von virtueller Infrastuktur sind hier relevant. Kubernetes-basierte Tools zum Betrieb und Lebenszyklusmanagement von Openstack wie Yaook, Yake als Installations- und Lifecycle-Management-Tool für Gardener und Tarook zum Lifecycle-Management von Kubernetes Clustern auf Bare-Metal oder OpenStack sollten im Stack enthalten sein.

Änderungswunsch: Die Schicht bzw. Gruppe „Infrastruktur“ sollte deshalb um die Kategorie Infrastructure-as-a-Service und Betriebssysteme ergänzt werden. Die in diesem Kontext relevanten oben genannten Technologien sollten ergänzt werden.

Auf die in der Beschreibung der Ausschreibung definierten Leitfragen nach Mechanismen zur flächendeckenden Integration und Distribution sowie zur Entkopplung von Logik, Daten, Diensten und Infrastruktur bietet der Sovereign Cloud Stack eine ausgezeichnete Antwort. Das vom BMBF geförderte Projekt und dessen mittlerweile in Release 9 veröffentlichte Referenzimplementierung wurde entwickelt, um

• eine nahtlose Integration und optimale Performance in verschiedenen Cloud-Umgebungen zu ermöglichen
• den Wechsel zwischen verschiedenen Cloud-Anbietern zu ermöglichen
• standardisierte, zertifizierte, hochverfügbare, sichere Cloud-Infrastruktur auf Container- und Infrastruktur-as-a-Service Ebene anzubieten.

Der Stack wird mittlerweile in Projekten der GIZ weltweit nachgefragt, wird in der Thüringer Verwaltungscloud erfolgreich eingesetzt und hat mit Yaook eine zweite Referenzimplementierung.

Änderungswunsch: Der Sovereign Cloud Stack sollte in der Infrastrukturschicht aufgenommen werden.

Generell möchten wir darauf hinweisen und hinwirken, dass insbesondere auch bei den ausgewählten Projekten darauf geachtet werden sollte, dass sich die Jurisdiktion der Governance (Linux Foundation, Cloud Native Computing Foundation), also Steuerung und Koordination, innerhalb der Europäischen Union befindet. Für Projekte, für die dies nicht der Fall ist, sollte unbedingt darauf geachtet werden, dass

1. deren Lizenzbestimmungen denen der Open Source Definition der Open Source Initiative (OSI) entsprechen und
2. das entsprechende Know-how und Infrastruktur für den Betrieb und die Weiterentwicklung der entsprechenden Technologien, bspw. durch Förderung, Wettbewerbe und Anpassung von Vergaberichtlinien innerhalb Deutschlands und der EU geschaffen werden.

Abschließend plädieren wir bei der Definition des D-Stacks darauf zu achten, keine Dienste aufzunehmen, welche sich zwar „souverän” nennen aber die Datensouveränität der deutschen Verwaltung gefährden. Insbesondere Dienste, die beispielsweise dem Cloud Act oder FISA 702 unterliegen, sollten keine Rolle im D-Stack spielen dürfen, „[e]ine Datenhoheit, wie sie europäische Datenschutzstandards fordern, ist bei der Nutzung US-amerikanischer Lösungen somit nicht gewährleistet.” (Souveränitäts-Washing bei Cloud-Diensten erkennen, ZenDiS)