Abhängigkeit als Geschäftsmodell: Matthias Stürmer im Interview

Die kritischen Stimmen und Bedenken rund um den scheinbar alternativlosen Einsatz von Big-Tech-Technologie in der Schweiz und ganz Europa bekommen eine immer grössere Bühne. In Folge gewinnen auch verschiedene Initiativen rund um den Einsatz von Open-Source-Alternativen an Bedeutung. Matthias Stürmer ist Professor und Leiter des Instituts Public Sector Transformation an der Berner Fachhochschule. Wir haben mit dem Big-Tech-Kritiker und Beschaffungsspezialisten gesprochen, um die Kritik an Microsoft & Co. einzuordnen und mögliche Wege aus dem Big Tech Lock-in aufzuzeigen.

"Swiss IT Magazine": Herr Stürmer, wir sprechen heute über Abhängigkeiten, offene Fragen, Sorgen und vieles mehr rund um Microsoft. Die offensichtlichste Frage zu Beginn: Nutzen Sie – abgesehen von Interviews wie diesem via Microsoft Teams – noch Microsoft-Produkte?
Matthias Stürmer: Ich bin zu 100 Prozent im Lock-in von Microsoft. Und für mich ist das natürlich ganz besonders bitter. Sowohl bei meinem Sohn, der auf Linux arbeitet, als auch in Gesprächen und an Anlässen – ich mache mich damit zum Gespött von allen! (lacht)

Aber Sie haben Erfahrung mit Open-Source-Produkten?
Ja, während meiner Doktorarbeit an der ETH und während meiner Tätigkeit bei Liip habe ich komplett auf Linux gearbeitet. Dann bin ich aber zu EY gekommen – von da an war es vorbei. Bei der Uni Bern hatte ich zu wenig Energie, alles selber einzurichten und heute, in der Berner Fachhochschule (BFH), bin ich komplett im Microsoft-Universum.


Da kommt man nur schwer raus. Und damit geht es Ihnen wohl gleich wie vielen anderen – inklusive uns.
Wenn man alles selbst machen muss oder sogar noch gegen die interne IT ankämpfen muss, ist man chancenlos. Und man muss sich deshalb auch nicht schlecht fühlen. Aber wenn die BFH nun etwa eine gewartete und offiziell unterstützte OpenDesk-Plattform anbieten würde, wäre ich der Erste, der wechseln würde.

In der Diskussion rund um die Abhängigkeit von Microsoft gibt es zwei prominente Themenblöcke – einer älter, einer etwas jünger. Der erste ist der Cloud Act und damit die Sorge, dass die USA auf unsere Microsoft-Daten zugreifen könnten. Der zweite ist die Gefahr, dass Services aufgrund einer Anordnung der US-Regierung abgeschaltet werden – Stichwort Karim Khan vom Internationalen Strafgerichtshof (IStGH). Welcher bereitet Ihnen für die Schweiz mehr Sorgen?
Diese Bewertung, ob der Datenschutz oder die Datenverfügbarkeit respektive Resilienz wichtiger ist, fällt mir schwer. Wichtig anzumerken ist aber, dass es noch eine dritte Baustelle gibt: Der Vendor-Lock-in und damit die finanzielle Abhängigkeit. Wir pumpen Milliarden in die USA – das verursacht einen volkswirtschaftlichen Verlust auf Schweizer Seite. Das ist einfach schade ums Geld, um die Arbeitsplätze, um die Wertschöpfung. Ich kann aber gut verstehen, dass für IT-Verantwortliche von Schweizer Behörden und Unternehmen die Themen Datenschutz und Datenverfügbarkeit wichtiger sind. Das Geld für proprietäre Software war ja auch in den letzten 20 Jahre kaum ein Thema, da schaltet die Wirtschaft auf 'Augen zu und durch' statt Risiken auf sich zu nehmen.

Wäre aber nicht ganz gerade der zweite Fall, der des möglichen Daten- oder Service-Verlusts, besonders einschneidend für Unternehmen? Wenn ein Geheimdienst tatsächlich auf Unternehmensdaten zugreifen sollte, ist vorerst nichts verloren – unter Umständen bemerken das die Betroffenen nicht einmal. Wenn aber der Service oder die Daten plötzlich weg sind, bricht das Geschäft potenziell zusammen.
Das ist natürlich richtig – ganz besonders, wenn man beispielsweise von einem Spital spricht, wo dann sogar Menschenleben gefährdet wären. Dazu noch ein Punkt, der mir erst vor Kurzem im Rahmen eines Projektes mit Anwaltskanzleien bewusst wurde: Anwälte, wie auch Mediziner, haben das Berufsgeheimnis. Das heisst, dass die Anwältinnen und Anwälte im Kontext eines Zugriffs durch einen Geheimdienst ihre Karriere aufs Spiel setzen. Datenschutzverletzungen in Unternehmen sind lösbar, man kann mit Risikokalkulationen arbeiten. Am Berufsgeheimnis gibt es aber nichts zu rütteln.


Mit welcher Folge in der Praxis?
Sie verzichten bewusst auf den Komfort und die Usability von Cloud-Diensten und stellen sich eigene Server in den Keller. Gerade für diese Bereiche mit Berufsgeheimnis könnte man mit guten Open-Source-Lösungen viel erreichen.

Sie haben das Thema Risikokalkulation eben schon angesprochen. Sowohl Unternehmen als auch Behörden haben in den letzten Jahren auf Basis von Wahrscheinlichkeitsrechnungen den Einsatz von Microsoft-Produkten gerechtfertigt. Ist das unter den heutigen Umständen – mit einer laut Bundesrat 'gewissen Unberechenbarkeit' in der US-Politik – noch zeitgemäss?
Einem KMU würde ich nach wie vor dazu raten, weiter mit Azure & Co. zu arbeiten – es gibt in vielen Fällen wohl grössere Geschäftsrisiken als die Gefahr, dass ein Geheimdienst auf Onedrive zugreift. Nehmen wir aber etwa die Armee, die mit den USA Verhandlungen zu Kampfflugzeugen führt: Hier ist der Einsatz solcher Software natürlich ein komplettes No-Go. Denn hier ist das entscheidende Risiko, dass der Zugriff technologisch gesehen möglich ist, wenn man ins Visier gerät. Und ich denke auch, dass neue Mittel wie KI die Situation verändert haben.

Wie?
Es ist heute deutlich einfacher, mit KI in Datenströmen die Nadel im Heuhaufen zu finden als vor zehn Jahren. Wenn somit die Bundesverwaltung oder das Schweizer Parlament den ganzen Email-Verkehr über Microsoft-Server abwickelt, können entscheidende Mitteilungen durch KI einfach rausgefiltert werden. Und Organisationen wie die NSA sind mit Sicherheit unter den ersten, die diese Mittel zu solchen Zwecken einsetzt. Für mich ist das ein Gedanke, an den man sich noch etwas gewöhnen muss.

Microsoft, aber auch Oracle und andere Hyperscaler, haben jüngst grosse Charme-Offensiven auf dem europäischen Markt gestartet. Unterstützer reden von echter europäischer Souveränität, Kritiker von Sovereignity-Washing. Einer der wichtigsten Punkte: Auch wenn die US-Regierung für einen Account den Zugriff oder eine Abschaltung fordern würde, gäbe es eigens von Big Tech lancierte Massnahmen, um das dann zu verhindern. Was halten Sie von diesem Versprechen?
Microsoft und Oracle haben Milliardenaufträge für den US-Staat. Am Ende des Tages haben diese Verträge sicher Priorität bei den US-Firmen. Man sieht das ja nur schon am Verhalten der Big-Tech-Chefs gegenüber Trump. Das ist verständlich, ich würde schliesslich auch hoffen, dass die Swisscom dem Schweizer Staat gegenüber loyaler ist als ausländischen Kunden gegenüber. Wenn es hart auf hart kommt – und das wäre der Moment, in dem solche Tools unbedingt funktionieren müssten –wird es eben genau nicht funktionieren.


Die angeblichen Souveränitäts-Massnahmen sind also nur ein PR-Feigenblatt?
Ja, absolut. Nun, als US-Techfirma würde ich es nicht anders machen und würde mir irgendwas aus den Fingern saugen. Natürlich kann man sich nun darüber lustig machen, dass es tatsächlich Menschen gibt, die sowas den US-Firmen dann auch glauben. Aber nochmal zur Sperrung des Kontos von Karim Khan vom IStGH: Ich habe mich damals gewundert, warum Microsoft die Sperrung nicht öffentlich dementiert hat. Inzwischen habe ich in Gesprächen erfahren, dass Microsoft Entscheidungsträger eingeladen hat und vor diesen die Kontosperrung dementiert und erklärt hat, das Gericht selbst habe Khan wegen Ethikverstössen gesperrt. Es steht Aussage gegen Aussage, aber ich habe mit Leuten aus der Verwaltung gesprochen, die es für plausibler halten, dass Microsoft gar nicht auf Geheiss der US-Regierung gehandelt habe. Ich sehe darin ein klassisches Beispiel der Selbstbestätigungstheorie.

Was schliessen Sie daraus?
Dass es nicht darauf ankommt, was ich glaube, sondern was die Verantwortlichen bei den Verwaltungen glauben. Und die wollen selbstverständlich gerne Microsoft glauben. Denn man ist abhängig und will sein 20 Jahre lang entstandenes Weltbild nicht über den Haufen werfen müssen. Und die Dienstleister leben ja ebenfalls von dieser Abhängigkeit – mir hat jüngst ein Microsoft-Partner ohne Umschweife gesagt: 'Die Abhängigkeit ist unser Geschäftsmodell.' Das ist, wie wenn die Zigarettenindustrie behauptet, dass die Kunden ihre Produkte lieben. Nein – sie sind schlicht abhängig!

Vor ein paar Monaten haben Sie auf Social Media uns Tech-Journalisten kritisiert, weil wir zu viel über alle diese Probleme und zu wenig über die Lösungen schreiben. Einverstanden – lassen Sie uns über Lösungen sprechen.
Sehr gerne!

Wo sollte man bei der Suche nach Alternativen für die Big-Tech-Produkte starten? Gibt es eine Anlaufstelle für Unternehmen, die sich diese Frage stellen?
Es gibt verschiedene Plattformen, auf denen man sich informieren kann (siehe Box unten am Artikel). Die grösste Plattform ist alternativeto.net, wo man konkret nach Alternativen für ein bestimmtes Software-Produkt suchen kann. Dort tauchen dann aber auch proprietäre Produkte wie Google Workspace auf.

Und für den Open-Source-Bereich?
Der Open-Source-Förderverband CH Open und die BFH haben gemeinsam das Open Source Directory neu aufgebaut und vor Kurzem unter ossdirectory.com aufgeschaltet. Das Problem bei Open Source ist ja oft, dass man zwar das Produkt – beispielsweise LibreOffice – kennt und das privat funktioniert, aber das reicht nicht für den Business-Kontext. Hier braucht man einen Dienstleister mit Garantien, SLAs und so weiter. Dies löst Open Source Directory als viersprachiges Dienstleisterverzeichnis, in dem man Firmen mit Know-how und Services zum gesuchten Open-Source-Produkt findet.

Das scheint ein sinnvolles Mittel zu sein, um die Open-Source-Sparte etwas mehr ins Rampenlicht zu rücken.
Genau. Open Source fehlt eine umfassende Marketing- und Sales-Abteilung. Big Tech investiert enorm viel in diese Bereiche, während viele Open-Source-Projekte im Prinzip mit Minus-Werbung arbeiten. Da vergeben dann Nerds eigenartige Namen für eigentlich fantastische Open-Source-Produkte. Auf dem Open Source Directory gibt es daher auch Success Stories, um sichtbar zu machen, wo die jeweiligen Open-Source-Produkte im Einsatz stehen. Alle Firmen und Behörden sind eingeladen, ihre Nutzung auf dem OSS Directory selber zu dokumentieren, denn alle können selber Beiträge erstellen.


Die mangelhafte Sichtbarkeit ist in der Tat ein Problem. Eine halbwegs bekannte Success Story in der Schweiz ist das Bundesgericht, das seit vielen Jahren auf eine Open-Source-Strategie setzt. Haben Sie da Einblicke?
Das Bundesgericht ist in der Schweiz tatsächlich ein bisschen das 'Gallische Dorf unter den Römern'. Der Vorgänger des heutigen IT-Leiters Daniel Brunner hat vor mehr als 20 Jahren entschieden, dass man auf das ISO-zertifizierte ODF-Format statt Microsofts proprietäre Dateiformate setzt, um Urteile und andere Dokumente zu speichern. Diese Strategie verfolgt das Bundesgericht trotz aller Widerstände bis heute.

Und läuft das gut? Das wäre ja eigentlich eine gute Vorbildrolle, der Fall bekommt aber nicht viel Publicity.
Das Bundesgericht ist wegen der Gewaltentrennung weitgehend unabhängig vom restlichen Staatsapparat. Über die Jahre ist damit dort ein starkes IT-Team entstanden, welches die Open-Source-Lösungen auch sehr selbständig betreibt. Das ist aufwändig, aber ja – das funktioniert seit rund 20 Jahren gut. Dennoch: Büro-Software ist ja nur die Spitze des Eisbergs.

…aber für Unternehmen wohl eine der grösseren Baustellen in Sachen Abhängigkeit. Bei Entwicklungs-Tools oder im Server-Bereich ist Open Source bekannterweise sehr verbreitet, da ist die Abhängigkeit auch kleiner.
Sehr wichtig, man muss bezüglich Abhängigkeit unterscheiden: Es gibt einerseits die Abhängigkeit von einem Software-Produkt. Das ist der Fall, wenn Nutzer effizient mit dem Programm arbeiten und verständlicherweise nicht gerne auf komplett neue Oberflächen wechseln wollen. Auch gibt es eine technische Abhängigkeit, wenn die Informatikabteilung oder eine externe Firma Schnittstellen mit dem Software-Produkt integriert und so Daten über APIs ausgetauscht werden können. Diese Produkt-Abhängigkeit liegt in der Natur der Sache und macht sogar sehr viel Sinn, denn nur so wird IT effizient und kostengünstig eingesetzt.

Und wo beginnt das Problem?
Problematisch ist bloss die Herstellerabhängigkeit bei proprietärer Software. Wenn Sie beispielsweise mal ein proprietäres ERP-System eingeführt haben, kommen Sie da fast nicht mehr weg, weil Sie sind diesem Produkt und gleichzeitig auch dem Hersteller auf Gedeih und Verderb ausgesetzt. Das liegt daran, dass nur der Besitzer des geistigen Eigentums, des Software-Codes, Lizenzen verkaufen kann, alle anderen müssen sich danach richten. Hier kommt der entscheidende Unterschied zum Open-Source-Modell: Auch bei Open-Source-Software rutscht man in die erstgenannte Produkt-Abhängigkeit hinein – aber man ist eben nicht vom einen Hersteller abhängig, sondern kann jederzeit den Anbieter von Dienstleistungen für die Open-Source-Lösung wechseln – vorausgesetzt es gibt einen Markt von verschiedenen Service Providers.

Erst einmal müsste man aber von Microsoft & Co. weg wechseln. Und wie wir bereits festgestellt haben, ist das aus verschiedenen Gründen eine Mammutaufgabe. Gibt es in Ihren Augen Incentives, die helfen würden? Oder brauchen Success Stories wie das Bundesgericht einfach eine grössere Bühne?
Es ist derzeit deutlich spürbar, wie das Thema ganz von alleine an Bedeutung gewinnt. Bis heute waren es ein paar Leute wie eben Daniel Brunner vom Bundesgericht, die das aus eigenem Idealismus vorangetrieben haben. Unterdessen kommt aber Bewegung in die Sache. Die Stadt Zürich etwa evaluiert aktuell, wie man aus dem goldenen Käfig von Microsoft rauskommen könnte und schaut sich die Open-Source-Bürosuite OpenDesk (Anm.d.Red.: siehe Box) genauer an. Auch bei Schulen steigt der Druck – nicht zuletzt, weil viele Eltern nicht wollen, dass die Daten ihrer Kinder in US-Clouds landen.

Und wie schafft die Wirtschaft den Absprung aus der Abhängigkeit, was raten Sie Unternehmern?
Viele KMU haben sich mit den Lösungen der Grossen arrangiert und so schnell können und werden die verständlicherweise auch nicht wechseln. Beim Staat mit seiner natürlichen Monopolrolle ist das aufgrund geopolitischer Überlegungen und Datenschutzanforderungen anders. Hier bestimmt die Politik, welche Strategie genommen wird – bei den über 20 Vorstössen zu digitaler Souveränität ist der politische Wille seit vielen Jahren glasklar präsent. Ausserdem ist der Skaleneffekt bei Bund und Kantonen sehr gross. Hierfür läuft aktuell ein Proof of Concept für OpenDesk beim Bund, 2026 sollte eine erste Testumgebung stehen.


Der Staat muss also eine Vorbildrolle einnehmen.
Es geht weniger um ein Vorbild, digitale Souveränität ist eine unabdingbare Notwendigkeit für den Staat. Wenn wir uns wegen den Kampfflugzeugen oder Zöllen nun mit den USA anlegen, brauchen wir im schlimmsten Fall eine Alternative.

Es ist also vielmehr eine Frage der nationalen Sicherheit, die Wirtschaft folgt danach?
Ja, aber auch hier gibt es Bewegung. Aktuell erarbeiten wir einen Innosuisse-Antrag, um die Gründung einer Schweizer Version des deutschen ZenDiS, des Zentrums für digitale Souveräntität, anzustossen. Der Bedarf ist durchaus da, einzelne Sektoren wie die Spitäler oder Banken zeigen hier grosses Interesse. Der Umstieg passiert wohl nicht heute oder morgen. Aber fürs Übermorgen haben wir jetzt die richtigen Karten in der Hand – jetzt müssen wir nur noch mutig genug sein und loslegen.