Gaia-X-konforme Software: eine neue Möglichkeit

In der europäischen Gaia-X-Initiative werden Regeln für sichere und vertrauenswürdige Datenökosysteme erarbeitet. Das „Gaia-X Framework“ fasst diese Regeln zusammen. Dazu gehören vorgegebene funktionale und technische Spezifikationen sowie Software, die man einsetzen muss. Unternehmen und Organisationen, die das Gaia-X Framework organisatorisch und technisch akzeptieren, sollen an Gaia-X-konformen Datenökosystemen teilnehmen können.

Über „Gaia-X Digital Clearing Houses“ (GXDCH) wird die Einhaltung der Regeln seit kurzem technisch sichergestellt und organisatorisch abgewickelt. Eine Einordnung.

Gemeinsame Regeln als Grundlage

Die Gaia-X AISBL ist die in Brüssel ansässige Vereinigung, die den organisatorischen Rahmen für die Entwicklung von Gaia-X bildet. Aktuell (April 2023) sind rund 370 Unternehmen und Organisationen Mitglied der AISBL. Die Mitglieder der Organisation entsenden ihre Mitarbeiterinnen und Mitarbeiter für die Gaia-X Arbeitsgruppen. Die Arbeitsgruppen beschäftigen sich mit unterschiedlichen Themen, z.B. mit den verschiedenen Gaia-X-Projekten (Arbeitsgruppe „Lighthouse Projects“) oder mit der technischen Architektur der Initiative (Arbeitsgruppe „Architecture“).

In den verschiedenen Arbeitsgruppen werden die Regeln und Bedingungen für die Teilnahme an Gaia-X festgelegt. Zwei Dokumente fassen derzeit die wesentlichen Informationen für Interessierte zusammen: Das „Policy Rules and Labelling Document“ beschreibt die Ziele, die man mit Gaia-X erreichen möchte, und anhand welcher Kriterien diese Ziele überprüft werden. Das „Gaia-X Trust Framework” wiederum beschreibt die verpflichtenden technischen Voraussetzungen, die für eine Teilnahme im Gaia-X-Universum erfüllt werden müssen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Francesco Bonfiglio, CEO der Gaia-X AISBL, erklärt den aktuellen Stand der Gaia-X-Initiative

Übergeordnete Ziele und deren Messung

Gaia-X soll die Datenspeicherung und den Datenaustausch basierend auf europäischen Werten ermöglichen. Diese wurden zu Beginn des Großprojekts festgelegt, zu ihnen gehören z.B. Transparenz, Datenschutz, Sicherheit und Portabilität. Das Ziel des „Policy Rules and Labelling Document“ ist es, diese Werte greifbar zu machen und in praktische Kriterien zu übersetzen. Das Dokument definiert den Umgang mit (europäischen) Regulierungen und externen Standards und legt fest, ob diese Gaia-X-konform sind. Außerdem werden im Dokument „Labels“ und deren Kriterien definiert.

Unter „Labels“ versteht man im Gaia-X-Kosmos eine Art freiwilliger Gütesiegel, die zeigen sollen, ob bzw. in welchem Ausmaß eine Anwendung Gaia-X konform ist. Dafür wurden spezifischen Kriterien festgelegt, die für die Einstufung in ein Label eingehalten werden müssen. Dazu zählen vertragliche Kriterien (z.B. zur Verfügbarkeit von Service Level Agreements) und Anforderungen, die sich bei der Verwendung personenbezogener Daten aus der DSGVO ergeben. Auch Anforderungen an die Datensicherheit und die Portabilität von Daten wurden definiert, hier orientiert man sich an anderen europäischen Initiativen wie dem geplanten „Cybersecurity Certification Scheme for Cloud Services (EUCS)“ oder den SWIPO-Anforderungen. Die „europäische Kontrolle“ von Daten wird ebenfalls in Form von Labels festgehalten.

Die Gaia-X Labels sollen eine generelle Orientierungshilfe darstellen. Individuelle Unternehmen und Organisationen können weitere Kriterien und Labels festlegen, die für eine Interaktion mit ihnen bzw. für eine Teilnahme an einem Datenraum gelten. Dadurch werden industriespezifische Labels (z.B. für die Automobilbranche oder im Gesundheitsbereich) möglich.

Technische Startbedingungen für Gaia-X-konforme Anwendungen

Die Zusammenarbeit in einem Datenökosystem benötigt auch Spielregeln, die von allen Teilnehmerinnen und Teilnehmern akzeptiert werden. Unabhängig von den freiwilligen Labels im „Policy Rules and Labelling Document“ definiert das „Trust Framework“ die obligatorischen Mindestanforderungen für die Anbindung von Unternehmen und Anwendungen an Gaia-X. Dazu gehören die Erstellung einheitlicher Selbstbeschreibungen und die Nutzung eines gemeinsamen Registers.

Jede Anwendung, die in Gaia-X-Ökosystemen angeboten werden soll, muss mit Hilfe einer „Gaia-X Self Description“ beschrieben werden. Diese eigenständig verfassten Beschreibungen müssen in irgendeiner Form auf ihre Korrektheit überprüft werden, dafür wird durch die Gaia-X AISBL Software („Gaia-X Compliance Service“) zur Verfügung gestellt. Die Überprüfung und Validierung der Akteure und der getroffenen Aussagen erfolgen dabei mit Hilfe digitaler Identitäten und in Form von „Verifiable Credentials“ (VCs).

Durchgeführte Überprüfungen und verifizierte Aussagen müssen irgendwo ersichtlich und abrufbar sein – dafür gibt es die „Gaia-X Registry“. Dabei handelt es sich um ein Register, das eine Übersicht zu ausgestellten, gültigen und abgelaufenen VCs bietet. Die „Gaia-X Registry“ beinhaltet somit eine verifizierte Liste gültiger und widerrufener Aussagen, z.B. in Verbindung mit den verschiedenen Labels und mit deren Kriterien. Außerdem verweist sie auf weitere Netzwerke, z.B. eigene Datenräume, und deren Serviceangebote („Catalogues“), die wiederum eigenen (strengeren) Kriterien unterliegen können.

Wer Gaia-X-konform arbeiten möchte, muss die zwei Software-Komponenten – Gaia-X Compliance Service und Gaia-X Registry – verpflichtend anwenden.

Clearing Houses als Portale in das Gaia-X-Ökosystem

Über die letzten Jahre wurden in zahlreichen Projekten Anwendungen und Services entwickelt, die Gaia-X konform sein sollen. Internationale Projekte wie Catena-X, das SCSN oder EuProGigant und Unternehmen wie nexyo, Sovity oder Onlim orientieren sich in ihren Aktivitäten am europäischen Großprojekt Gaia-X, agieren aber noch unabhängig voneinander. Wie können Unternehmen und Organisationen nun ihre Anwendungen in Gaia-X einbringen oder Gaia-X-konforme Anwendungen nutzen? Die Antwort auf diese Frage sollen die „Gaia-X Digital Clearing Houses“ liefern.

Die Gaia-X Digital Clearing Houses (GXDCH) sind Anlaufstellen, die den Einstieg in Gaia-X-Datenökosysteme ermöglichen sollen. Die GXDCH sind physische Verarbeitungseinheiten („Computing Nodes“), die von einem Service Provider nach den Gaia-X-Regeln betrieben werden müssen. Die GXDCH müssen die oben erwähnten Software-Komponenten – „Gaia-X Compliance Service“ und „Gaia-X Registry“ – als Services anbieten. Deren korrekte Ausgestaltung und Umsetzung wird durch die Gaia-X AISBL kontrolliert und sichergestellt.

Anbieter sollen über die GXDCH die Möglichkeit erhalten, die Gaia-X-Konformität ihrer Angebote nachzuweisen. Durch die „Gaia-X Registry“ sollen in weiterer Folge auch die Ergebnisse der  Überprüfungen der freiwilligen Labels ersichtlich sein. Über die verpflichtenden Software-Komponenten hinaus können ein GXDCH betreibende Service Provider auch eigenständig zusätzliche Services anbieten.

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Weitere Informationen

Roland Fadrany, COO der Gaia-X AISBL, erklärt im Detail die Rolle der Gaia-X Digital Clearing Houses

Verfügbare Clearing Houses, Call to Action an Unternehmen

Die GXDCH wurden beim Gaia-X Summit 2022 angekündigt und bei der Market-X Konferenz in Wien im März 2023 offiziell gelauncht. In ganz Europa können Service Provider sich nun für den Betrieb eines Gaia-X Digital Clearing House bewerben und ein solches aufsetzen. Die einzelnen „Computing Nodes“ sollen in weiterer Folge zu einem Netzwerk werden, über das potenzielle Teilnehmerinnen und Teilnehmer eines Datenökosystems Gaia-X-konforme Services beziehen können.

Aktuell gibt es drei offizielle und verfügbare GXDCH. Diese werden von T-Systems in Deutschland, von Aruba in Italien und von K-Businesscom und HPE in Österreich betrieben. Die genannten Unternehmen betreiben die erwähnten Nodes, die die Überprüfung von Services auf ihre Gaia-X-Konformität ermöglichen.

Unternehmen, die im Gaia-X-Kontext eine Vorreiterrolle übernehmen möchten, können ihre Angebote jetzt bereits bei den GXDCH einbringen. Beim österreichischen GXDCH von K-Businesscom & HPE Austria ist man momentan in einer Testphase, das GXDCH ist aber online und bereit für die Anbindung erster Anwendungen. Experimentierfreudige Unternehmen unterstützt man gerne bei der Integration. Wenn Sie neugierig sind und mehr erfahren möchten, dann kontaktieren Sie uns gerne und wir leiten Ihre Kontaktdaten an die zuständigen Personen weiter – über den Gaia-X Hub Austria arbeiten Vertreter von K-Businesscom, HPE Austria, der Plattform Industrie 4.0 und weiteren Organisationen gemeinsam an der Umsetzung von Gaia-X in Österreich.

Foto von David Rotimi auf Unsplash

Michael Fälbl