Zuerst erschienen in der public Ausgabe 01-2022
von Markus Ehm
Verheißungsvoll als europäische Antwort auf große Cloudanbieter gestartet, scheint die europäische Initiative Gaia-X zu schwächeln. Einige Medien sprechen von Flop oder gar von Rohrkrepierer. Gibt es zu Gaia-X eine objektive Sichtweise? Wohin steuert das Projekt? Und: Welchen Nutzen können wir in jedem Fall aus Gaia-X ziehen?
Zunächst fällt auf, dass Gaia-X in Auflistungen von EU-Digitalprojekten1 nicht enthalten ist. Eine Suche liefert mit dem Aktionsplan „DIGITAL Europe Work Programme“ mehrere Cloudprojekte wie „European Common Data Infrastructure and Services“. Gaia-X ist nicht darunter. Weist das bereits auf ein grundlegendes Problem hin?
Beim Digitalgipfel 2019 in Dortmund wurde Gaia-X als gemeinsam von Deutschland und Frankreich initiiertes Entwicklungsprojekt vom damaligen Bundeswirtschaftsminister Altmaier einer breiten Öffentlichkeit vorgestellt. Eine „souveräne und offene, europäische Dateninfrastruktur“2 sollte aus verschiedenen Gründen ein Alternativangebot zu nordamerikanischen Hyperscalern darstellen. Die Gründe damals haben nichts an Relevanz verloren: „Digitale Souveränität“ sollte der derzeitigen Abhängigkeit von großen Cloudanbietern entgegengesetzt werden, „Interoperabilität“ die Zusammenarbeit europäischer Firmen stärken, um gemeinsam am Weltmarkt einer globalen Konkurrenz die Stirn bieten zu können. Eine DSGVO-konforme Dateninfrastruktur war das gemeinsame, erklärte Ziel – dezentral, föderal und souverän. Gaia-X soll mehr sein als nur ein europäischer Cloudanbieter.
Seitdem haben sich über 300 Organisationen dem Projekt angeschlossen. In der Liste sind Forschungseinrichtungen wie das Deutsche Forschungszentrum für Künstliche Intelligenz (DFKI), IT-Dienstleister der öffentlichen Verwaltung wie Dataport und mittelgroße private Cloudfirmen wie Ionos oder Plusserver zu finden. msg ist ebenfalls Mitglied und arbeitet aktiv in Gaia-X-Projekten wie dem Ökosystem für effizienten Austausch von Informationen in der Automobilindustrie „Catena-X“ oder beim Aufbau des Gaia-X-Hubs Österreich mit. Ihnen allen traut man zu, den vorgegebenen Rahmen nicht nur zu befolgen, sondern aktiv mitzugestalten.
Bereits 2020 wurde ein Architekturdokument veröffentlicht und bis September 2021 zweimal überarbeitet. Es sieht ein „System of Systems“ vor, das ein „Infrastruktur-Ökosystem“ mit einem „Daten-Ökosystem“ über Gaia-X Federation Services (GXFS) verbindet. Die GXFS kümmern sich um Identifizierung und Autorisierung aller Teilnehmenden, um Datenaustausch, Compliance und Katalogisierung der Inhalte. Wichtig für das Verständnis ist, dass Teilnehmende an Gaia-X nicht nur die Nutzenden sind, sondern auch teilnehmende Netzwerk- und Cloudprovider sowie teilnehmende Datendienste, die sowohl Daten als auch Datenverarbeitung bereitstellen sollen.
Abbildung 1: 2021 Gaia-X European Association for Data and Cloud AISBL
Die Gaia-X-Architektur: System of Systems in X-Förmiger Struktur
1. Infrastruktur-Fundament – Standardbasierte Knoten (physikalische Rechner oder virtuelle Container), Software-Ressourcen und Verbindungsdienste. Unterschiedliche Typen adressieren unterschiedliche Aufgaben wie Datenspeicherung, -berechnung oder -austausch. Zielstellung: Portabilität, Interoperabilität und Interkonnektivität.
2. GAIA-X Federation Services (GXFS) – Regelwerk in Form von Querschnittsdiensten für das regelkonforme Zusammenspiel aller Teilnehmenden (Anbietende und vermittelnde Behörden und Unternehmen; Anwenderinnen und Anwender) und Ressourcen (Knoten, Software, Speicher). Basierend auf Identifikation mittels Vertrauensstellungen, Souveränität mittels Autorisierung und Zugriffsberechtigungen sowie Katalogisierung und Verfügbarmachung der Inhalte. Das Portal im Zentrum bildet den Zugangspunkt zu Gaia-X-Diensten und bietet je nach Konfiguration eine oder mehrere Benutzerschnittstellen und Funktionen an. Theoretisch können viele Portale unterschiedlicher Anbieter Zugänge zu identischen Diensten eines Daten-Ökosystems, der GXFS und/oder eines Infrastruktur-Ökosystems bereitstellen.
3. Data Spaces – Interoperable, domänenbezogene Dienste zur direkten Nutzung von Daten, Berechnungen und Berechnungsergebnissen.
4. Advanced Smart Services – Domänenbezogene oder domänenübergreifende Anwendungen und Anwendungsbereiche mit Innovationspotenzial wie Künstliche Intelligenz und Sensor- Dienste.
Alles Theorie? Keineswegs: Im Rahmen erster Prototypen und angefeuert durch zwei Hackathons entstand bis November 2021 das Minimal Viable Gaia-X (MVG), das in einem Testportal3 läuft. Testnutzende können sich über den Open Source Identity Provider self.id eine digitale Identität erstellen und sich mit dieser Vertrauensstellung dezentral beim Gaia-X Test Network anmelden. Darin steht eine Oberfläche zur Verfügung, die es zulässt, eigene Dienste und Berechnungsvorschriften zu beschreiben und als Smart Contracts ausgewählten Nutzenden sowie Gruppen bereitzustellen.
Ins Leben gerufen hat das MVG die Firma Delta Dao, die sich nach eigenem Bekunden einer „neuen Datenökonomie basierend auf europäischen Werten“ verschrieben hat. Sie möchte ihr auf der Blockchain-Technologie basierendes Ocean-Protokoll – die Basis des Prototyps – europäischen Firmen, Forschungseinrichtungen und NGOs verfügbar machen.
Nutzende können am Beispiel des Minimal Viable Gaia-X die Technologie und deren Einsatzmotivation und somit die Grundphilosophie von Gaia-X erfahren: Dezentralität! Gaia-X wird nicht ein Portal sein und auch nicht eine Cloud. Es wird viele Portale und Clouds und noch mehr Datenräume geben, die durch ein Netzwerk aus Vertrauensstellungen standardisiert Daten austauschen. Die Möglichkeit einer Bezahlung für Daten, Dienste und Datenräume durch Endnutzerinnen und Endnutzer ist immer gegeben. Diensteanbieter, Cloudprovider und Portale sollen sich das Geld nach festen Regeln teilen. Und auch die Teilnahme am dezentralen Netzwerk wird festen Regeln unterworfen sein, die über die Federation Services auch technisch sichergestellt werden sollen.
Ähnlich ambitioniert wie Delta Dao gehen kleine Cloudanbieter wie Plusserver ins Rennen, die Gaia-X-konforme Clouddienste bereitstellen. Oder der Firmenzusammenschluss Open Source Business Alliance, die den sogenannten Sovereign Cloud Stack (SCS) als Projekt vorantreiben. SCS hat sich zur Aufgabe gemacht, Technologien für das Infrastruktur-Ökosystem, also für Container, Netzwerke, Knoten und Storage, festzulegen und Dienste zu implementieren, die diese Bausteine erst bespielbar machen. Gefördert wird der SCS durch das Bundesministerium für Wirtschaft und Klimaschutz (BMWK). Hinter der Open Source Business Alliance stehen mehrere Firmen, die als „Gestalter“ Gaia-X und dessen Ziele voranbringen wollen. Aber nicht alle Gaia-X-Mitglieder scheinen eine solche Agenda als Zielbild zu haben.
Es sticht nämlich ins Auge, dass unter gut 320 Gaia-X-Mitgliedern (Stand Februar 2022) auch Konzerne sind, zu denen man eigentlich eine Alternative sein wollte: Microsoft, Google, Amazon und Alibaba Cloud. Sind hier trojanische Pferde unterwegs? Dass die Cloud-Hosting-Firmen Hosteur und Scaleway – letztere immerhin Gründungsmitglied – ihre Gaia-X-Mitgliedschaften aus diesem Grund aufgekündigt haben, kann zumindest angenommen werden. Laut Pressemitteilung von Hosteur war das Motiv für den Austritt „eine moralische Entscheidung“ gegen den „Betrug an unseren Kunden“4. Deutlich wird an dieser Stelle, dass sich die Mitglieder nicht einig sind, ob es von Vorteil ist, wenn internationale Firmen mit im Boot sind. Diese müssten sich zwar den Regularien von Gaia-X unterwerfen, das Projekt wurde aber zur Schaffung von europäischen Alternativen zu internationalen Angeboten ins Leben gerufen. Ist das also ein Verrat an der ursprünglichen Idee?
Was bei näherer Betrachtung der Digitalisierung auf dem europäischen Kontinent auch auffällt, sind die vielen Projekte, die mit ähnlicher Zielsetzung, aber dem Wunsch nach der Durchsetzung der jeweils eigenen Lösung die europäische Dateninfrastruktur umkrempeln wollen. Ocean-Protokoll und Sovereign Cloud Stack bekommen mit der IDSA, der International Data Spaces Association, Nachbarn – oder auch Konkurrenten. Die IDSA hat immerhin 120 eigene Mitglieder, die teilweise auch in der Gaia-X-Mitgliederliste auftauchen. Doppelt hält besser. Die IDSA selbst existiert bereits seit 2016, war also zuerst da und ist Gründungsmitglied von Gaia-X. Sie betrachtet Gaia-X lediglich als Infrastruktur-Basis für die eigenen Dienste, zusammengehalten durch die Federated Services, also den mittleren Teil des X aus dem Architekturbild. Für Datenaustausch und Datenräume sieht sich die IDSA selbst als maßgebliche Blaupause. Fraunhofer entwickelt dafür den IDS Connector, der laut Prof. Boris Otto, geschäftsführender Institutsleiter von Fraunhofer ISST, die standardbasierende Referenzarchitektur für Datensouveränität darstellen soll.5
Immerhin scheint die Zusammenarbeit zwischen Gaia-X und IDSA nun offiziell geregelt zu sein. Seit September 2021 gibt es die Data Spaces Business Alliance, die die Aktivitäten zwischen Gaia-X und IDSA koordiniert.6
Das Ocean-Protokoll hat Ähnliches im Sinn wie die IDSA, fokussiert aber viel stärker auf die Monetarisierung von Daten. Compute-to-data heißt dort das Stichwort. Auf Basis von Blockchain- Technologien und der eigenen Kryptowährung OCEAN sollen so Datenanbieter und -konsumenten zusammenkommen.7 Bezogen auf die Umsetzung der Federation Services hat die Firma BigchainDB Ende Januar dieses Jahres für drei Lose den Zuschlag vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) bekommen. BigchainDB ist Mitbegründer des Ocean-Protokolls, das bei der Umsetzung der Federation Services zum Einsatz kommen soll.8 Der offizielle Startschuss für die Umsetzung fiel am 3. März 2022. Die Fertigstellung soll bis „Mitte 2022“ erfolgen.9
Schwierigster Baustein der Federation Services – oder zumindest der am schwierigsten zu verstehende – ist „Digitale Indentitäten“, der die Self-Sovereign Identities (SSI) zum Ziel hat: Zentrale oder dezentrale Identifikation und Autorisierung ist nämlich die grundlegende Frage. Die eIDAS-Verordnung der EU10 regelt zwar seit 2014 die elektronische Identifizierung und die dafür notwendigen Vertrauensdienste, äußert sich aber nicht zu selbstbestimmten Identitäten, da sie in Dokumentversionen vor 2020 von einem zentralen Ansatz ausgeht. Der dezentrale Ansatz scheint aber für Daten-Ökosysteme der zielführende zu sein: Ein sogenanntes digitales Wallet soll das Vertrauen an einer Stelle bestätigt bekommen, um an vielen weiteren Stellen weiterehende Identitätsinformationen zu erhalten. Verified Credentials lautet die Zauberformel. Das auf diese Weise angefüllte SSI-Wallet fungiert dann als dezentrale Identifikationsmöglichkeit, um für eine reale Person, für ein System oder für eine Maschine Zugänge zu den benötigten Diensten zu autorisieren.
Laut Jon Shamah, Chairman beim Thinktank EEMA in Brüssel, lassen viele Einzellösungen für Self Sovereign Identities „die umfassende, übergreifende Vision vermissen“, was sich an den folgenden unterschiedlichen Ansätzen zeigt:
EEMA arbeitet mit Fraunhofer FOKUS und weiteren Firmen zusammen am GLASS-Projekt11, das auf Distributed-Ledger-Basis, also Block-Chain-Technologie, ein Single Sign-on Wallet-as-a- Service (WaaS) bereitstellen soll. Auf diese Weise soll es zum Beispiel möglich sein, sich in einem europäischen Land zu identifizieren, um in einem anderen Land zu arbeiten, zu studieren, und dort Dienste von Gesundheitsbehörden oder Steuerämtern zu nutzen.
Auch das BMWK geht in diese Richtung: So unterstützt ein Konsortium aus ecsec, Spherity und den msg security advisors das BMWK bei der Umsetzung der Gaia-X Notarization.api. Sie wird ein wichtiger, für Gaia-X-Ökosysteme verwendbarer Baustein sein: zur Verwaltung der eigenen, dezentralen Identität und der Beglaubigung seiner Stammdaten als Verifiable Credentials. Ebenso hat die Europäische Union die Bedeutung selbstbestimmter Identitäten erkannt und zusätzlich zu eIDAS das EBSIProgramm gestartet, die European Blockchain Services Infrastructure. Und seit Juni 2021 geht auch eIDAS auf den dezentralen Ansatz ein und beschreibt das EU Digital Identity Wallet (DIW).12
Der oben beschriebene Sovereign Cloud Stack adressiert zusätzlich zu Infrastrukturthemen ebenfalls das „Herzstück“ von Gaia-X, die für Identitäten zuständigen Federation Services13 unter dem Label „Node Wide Identity Access Management“, allerdings mit den „herkömmlichen“ Technologien wie OpenID Connect, SAML und Keycloak. Blockchain-Technologien und dezentrale Ansätze sucht man dabei vergeblich.
Gerät bei so viel anscheinend konkurrierenden und vielleicht gegensätzlichen Strömungen die Gaia-X-Idee als solche ins Hintertreffen? Blickt man jedenfalls auf die Gaia-X Community und dort beworbene eigene Projekte, wird die Luft etwas dünn: Nur wenige „reine “ Gaia-X-Projekte sind hier zu finden. Nennenswert sind ein Projekt zur effizienten Paketzustellung mit KI14 und das Projekt MARISPACE-X, das die Digitalisierung von Meeresgebieten mit Munitionsaltlasten vorantreibt.15 Und natürlich Catena-X, das einen „Daten- und Informationsaustausch in der automobilen Datenökonomie“ realisieren will.16 Nur wenige Beispiele können hier genannt werden, die allerdings das Potenzial der zugrunde liegenden Technologien aufzeigen.
Es darf spekuliert werden, ob das fehlende, gemeinsame europäische Commitment schuld ist am unscharfen Fokus bei Gaia-X oder fehlende Anwendungsfälle. Oder ob einfach zu viele Strömungen für datensouveräne Cloudinfrastrukturen existieren, die sich gegenseitig das Wasser abgraben. Zudem geraten die bislang vom Bund geförderten Gaia-X-Projekte ins Straucheln, da die für 2022 geplanten 117 Millionen Euro Fördergeld wegen der aktuellen Krisen anderweitig eingesetzt werden.17 Aller Probleme zum Trotz darf als gesichert gelten, dass fünf zugrunde liegende Ideen und Technologien, die für Gaia-X entwickelt oder in Gaia-X konkret zur Anwendung gebracht wurden, weiterleben werden:
- Confidential Computing: Neue Technologie, die Daten und Code durch Verwendung innerhalb von hardwarebasierten und sicheren Enklaven, sogenannten Trusted Execution Environments (TEEs), schützt.18
- Self Sovereign Identities (SSI) mit Decentralized Identifiers (DID): Relativ neu und von der W3C-Standards-Organisation 2019 keinesfalls allein für Gaia-X konzipiert19, erfahren das Dezentralität schaffende Basismodell der „Verifiable Credentials“, also der digital verifizierbaren Berechtigungsnachweise, und die daraus hervorgehende DIDs Anwendung in Datenökosystemen. Digitale Identitäten für Anwendende manifestieren sich in Form digitaler Wallets und ermöglichen damit den Austausch mit anderen Gaia-X-Participants, also mit Anwendenden, Diensten und Datenräumen des Ökosystems. Dabei ist Datensparsamkeit eingebaut – die digitale Identität gibt nur so viel preis, wie unbedingt nötig ist, und die sichere Weitergabe erfolgt geschützt vor jeglicher Manipulation auf Basis der Distributed-Ledger-Technologie (DLT).
- Digitale Geschäftsmodelle: Autorisierte Daten- und Dienstebereitstellung und -nutzung mit autorisiertem Zugriff auf Basis von Standards schaffen neue digitale Geschäftsmodelle – skalierbar, monetarisierbar, reguliert nach europäischem Recht und abseits von Insellösungen. Gaia-X hat hier wichtige Arbeit geleistet und mindestens die Basis gelegt.
- Smart Contracts: Sie setzen Datenbeschreibungen (Federated Catalogue) und Berechnungsvorschriften auf Basis von DLT um und ermöglichen so den offenen, transparenten und fälschungssicheren Datenaustausch (Sovereign Data Exchange).
- Data Spaces: Daten und Datenräume sind Schlüsselkonzepte von Gaia-X, eingebracht durch die oben erwähnte IDSA. Data Spaces umfassen spezifische Domänen, sind aber nicht an physikalischen Speicherplatz gebunden, sondern an Beziehungen und Regeln der Teilnehmenden, also Bereitstellende, Nutzende und Intermediäre.
Solche Probleme und Schwierigkeiten zu lösen, sollte Anspruch und Antrieb sein für eine europäische Daten- und Dienste-Infrastruktur für private Unternehmen, Forschungseinrichtungen und die öffentliche Verwaltung.
Ob die Lösung den Namen Gaia-X trägt, ist nicht so wichtig. Politik, Unternehmen und Behörden sind aufgefordert, die zugrunde liegenden Ideen und Initiativen, im Projekt Gaia-X oder anderen Unternehmungen, zusammenzuführen, zu nutzen und voranzutreiben, um damit das dezentrale, souveräne und vertrauenswürdige Daten-Ökosystem zu schaffen, das wir in diesen komplizierten Zeiten benötigen.
1 https://digital-strategy.ec.europa.eu/en/activities/work-programmes-digital, https://digital-strategy.ec.europa.eu/en/activities/digital-programme, https://digital-strategy.ec.europa.eu/en/policies/europes-digital-decade (abgerufen am 06.04.2022).
2 https://www.bmwi.de/Redaktion/DE/Pressemitteilungen/2019/20191029-pressemitteilung-zur-deutsch-franzoesischen-zusammenarbeit-fuer-eine%20sicherevertrauenswuerdige- dateninfrastruktur.html (abgerufen am 06.04.2022).
3 https://portal.minimal-gaia-x.eu/ (abgerufen am 06.04.2022).
4 https://incyber.fr/en/after-scaleway-hosteur-also-leaves-gaia-x/ (abgerufen am 06.04.2022).
5 https://internationaldataspaces.org/we/gaia-x/ (abgerufen am 06.04.2022).
6 https://www.bdva.eu/node/1860 (abgerufen am 06.04.2022).
7 https://blog.oceanprotocol.com/compute-to-data-is-now-available-in-ocean-market-58868be52ef7 (abgerufen am 06.04.2022).
8 https://oceanprotocol.com/press/2022-01-31-ocean-protocol-gaia-x (abgerufen am 06.04.2022).
9 https://gaia-x.eu/news/gaia-x-federation-services-implementation-phase-launched (abgerufen am 06.04.2022).
10 https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32014R0910 (abgerufen am 06.04.2022).
11 https://www.glass-h2020.eu/ (abgerufen am 06.04.2022).
12 https://edps.europa.eu/press-publications/publications/podcasts/eu-digital-identity-wallet-episode-1-overview_en (abgerufen am 06.04.2022).
13 https://scs.community/de/about/ (abgerufen am 06.04.2022).
14 https://www.dfki.de/web/news/projekt-gaia-x-4-roms-gestartet-effiziente-paketzustellung-in-staedten-mithilfe-von-ki (abgerufen am 06.04.2022).
15 https://www.uni-kiel.de/de/detailansicht/news/183-marispace-x (abgerufen am 06.04.2022).
16 https://catena-x.net/de/ (abgerufen am 06.04.2022).
17 https://www.wiwo.de/politik/deutschland/fehlende-foerdergelder-aus-fuer-gaia-x-projekte/28197718.html (abgerufen am 06.04.2022).
18 https://www.security-insider.de/confidential-computing-soll-eine-neue-sichere-cloud-aera-einlaeuten-a-1010505/ (abgerufen am 06.04.2022).
19 https://www.w3.org/TR/did-core/ (abgerufen am 06.04.2022). 20 Stephan Handel: Daten mit Haken und Ösen; Süddeutsche Zeitung vom 18.02.2022.
20 Stephan Handel: Daten mit Haken und Ösen; Süddeutsche Zeitung vom 18.02.2022.
