Souveränität – geht das überhaupt?
Was wäre, wenn morgen GitHub nicht mehr erreichbar ist?
Kannst du noch deployen? Updaten? Oder fällt dir erst dann auf, wie viel von „deiner“ Infrastruktur eigentlich woanders liegt?
Digitale Souveränität ist gerade überall Thema. Aber was bedeutet das eigentlich – und ist es überhaupt erreichbar?
Meine These: Souveränität ist kein Zustand, den man erreicht. Es ist eine Fähigkeit, die man aufbaut. Durch Neugier, durch Verstehen, durch Kompetenz.
Aber fangen wir vorne an.
Was heißt Souveränität überhaupt?
Wortdefinition aus dem Duden (veraltete Verwendung ausgenommen):
- höchste Gewalt; Oberhoheit des Staates
- Unabhängigkeit eines Staates (vom Einfluss anderer Staaten)
- das Souveränsein (3); Überlegenheit, Sicherheit
Übertragen wir das auf die IT und unser Unternehmen wollen wir also:
- Unabhängig vom Einfluss anderer Unternehmen sein
- die höchste Gewalt innerhalb unseres Unternehmens haben
- sicher und „überlegen“ sein
Noble Ziele, aber ist das realistisch?
Gleich vorweg – aus meiner Sicht verhält es sich mit digitaler Souveränität (ab jetzt nur noch Souveränität) genau so wie mit der IT-Sicherheit:
- Es gibt keine 100%, nicht die Souveränität oder die Sicherheit
- Man kann sich nur bemühen sie zu steigern, erreicht hat man das Ziel aber nie
- Zu sehr vernachlässigt kann sie einem sehr auf die Füße fallen
International, regional, ganz egal?
Noch mehr Fragen zum Nachdenken. Wir wollen also unabhängig sein. Von wem eigentlich?
- Von den USA?
- Von den bösen Big Tech?
- Vom Ausland? – Ist EU noch OK oder nicht? Was ist mit China oder der Schweiz?
- Von unserem Dienstleister, der ein Dorf weiter seine Firma hat?
Die Ernüchterung
Unabhängigkeit und Überlegenheit also… Kannst DU einen Laptop aus Rohmaterial zusammenbauen? Nein? Ich auch nicht. Mein Lötkolben bekommt das mit den Milliarden Transistoren einfach nicht hin :-(
Ich kann mich aber ganz entspannt zurücklehnen, wenn Cloudflare nicht geht, wenn Crowdstrike alle Windows Server rebootet oder die default AWS Region ausfällt – mein Kram läuft ja „souverän“ bei Hetzner und On-prem.
Ach verdammt…. mein On-prem Internet ist weg, weil der Bagger…. und mein Hetzner Server fällt vielleicht auch mal aus.
OK. Wir sind also immer abhängig: von Infrastruktur, von Herstellern, von unseren Partnern, usw.
Warum dann trotzdem der ganze Aufriss? Wäre es nicht leichter, einfach das zu kaufen was bei Ecosia ganz oben steht – damit suchst du doch im Internet, oder?
Leichter ja, besser nein
Nicht zu denken und nur auszuführen erspart einem sicher das eine oder andere graue Haar, aber ist es das, was wir wollen?
Für mich ist die Antwort ein klares NEIN!
Ich will verstehen, wie die Dinge funktionieren, die mein Unternehmen, meine Projekte, meine Kunden am Laufen halten. Ich will vielleicht selbst die Kontrolle darüber haben, wann ich Updates mache oder… Achtung!… ich kann mich bewusst entscheiden oder damit abfinden, dass ich mich um manche Dinge eben nicht kümmern möchte oder kann. Auch das ist eine valide Entscheidung, man sollte sie allerdings bewusst treffen.
Ich bin gut aufgestellt, oder?
Bei Pragtive ist doch alles souverän:
- Linux auf dem Laptop
- Linux auf allen Servern
- Nextcloud statt andere Office Lösungen, LibreOffice und Thunderbird lokal
- Nicht mal einen einzigen Dienst von „Big Tech“ in der IT-Infrastruktur
- Sogar mit einer selbst-gelöteten Tastatur schreibe ich diesen Artikel
Auf den ersten Blick richtig gut, es gibt aber auch Dinge, da bin ich mal realistisch geblieben:
- Laptop von HP
- Google Account fürs Android Smartphone, ohne macht’s keinen Spaß
- Lexware für Buchhaltung, denn: Um so weniger ich mich auskenne, um so eher nehme ich etwas „Fertiges“
Unter einem meiner LinkedIn Posts zum Thema schrieb Markus Haas sinngemäß: „Digital souverän ist nicht dasselbe wie digital autark“
Das finde ich sehr beruhigend. Denn würden wir alle einen Hype um „digital autark“ machen, würde es richtig schwierig werden.
Alles Open Source, dann ist es doch autark UND souverän?
Leider nicht, und zwar aus mehreren Gründen:
- Wenn jemand auf der anderen Seite des Atlantiks eine neue Great Firewall aufstellt, wird es hier ganz düster: kein Github, keine Docker-Registry, kein us-east-1 – kannst du noch deployen, geschweige denn updaten?
- Wer entwickelt eigentlich die ganzen Open Source Tools weiter, die du so verwendest, wenn der Maintainer nicht mehr will oder die Community der aktiven Entwickler viel kleiner ist, als es auf den ersten Blick wirkt?
- Ein zentrales Tool aus deiner Architektur ist unsicher oder wird nicht mehr weiterentwickelt – kannst du das fortführen oder hast du sowas von vornherein bedacht und kannst es einfach austauschen?
Was machen wir denn jetzt?
Ich will hier keineswegs entmutigen oder den Souveränitätshype klein reden. Es ist nur wie immer viel komplizierter als es AI-Sprüche, Marketing-Buzzwords und vermeintliche Quick-Wins vermuten lassen.
Ich freue mich über jeden, der an seiner digitalen Souveränität arbeitet. So wie ich selbst: Schritt für Schritt, der Weg ist das Ziel.
Aus meiner Sicht hat Souveränität vor allem mit Kompetenz zu tun.
Ausbildung, Neugier, die Fähigkeit Dinge im Notfall – oder auch aus reinem Interesse – selbst zu machen, sollte Kern jeder Souveränitätsbemühung sein. Das Alles hilft auch beim Beurteilen eingekaufter Lösungen und dem Stellen von kritischen Fragen in Produktpräsentationen, falls man etwas mal nicht selbst machen möchte.
Souveränität bedeutet nicht, alles selbst zu bauen. Es bedeutet, die Wahl zu haben – und diese Wahl bewusst treffen zu können.
Ihr habt Feedback, genau die gleichen oder andere Gedanken? Lasst es mich gern auf LinkedIn im zugehörigen Post wissen.
Schönen Start in die Woche!