Nextclouds Wette auf das KI-Ökosystem: Warum Rechenschaft zur Kernfrage wird
Auf dem Nextcloud Summit 26 in München hat Frank Karlitschek, CEO on Nextcloud seine Sicht auf die nächste Phase der Plattform skizziert. Der Kern seiner Aussage lässt sich auf eine Spannung verdichten:
Moderne KI-Modelle senken die Hürde, Software zu bauen, gegen null. Genau das stellt aber nicht den Wert von Software in Frage, sondern verschiebt ihn. Die entscheidende Größe ist nicht mehr, ob etwas gebaut werden kann, sondern ob jemand dafür einsteht.
Bauen wird trivial, Vertrauen wird knapper
Karlitscheks Ausgangspunkt ist nüchtern. Mit den aktuellen Modellen kann praktisch jeder eine Anwendung z.B. auf Nextcloud erweitern oder eigene Spezialfälle abbilden. Daraus ziehen viele den Schluss, der Wert von Software sinke, wenn ein paar Prompts genügen. Karlitschek widerspricht und benennt die eigentliche Verschiebung:
Was leicht zu erzeugen ist, ist nicht automatisch sicher, stabil, benutzbar oder rechenschaftsfähig.
Seine Formulierung des Risikos ist aus Compliance-Sicht präzise. Künftig lasse sich Code mit wenig Aufwand generieren und irgendwo ausrollen. Im günstigen Fall funktioniert er. Im ungünstigen Fall liegen sämtliche Daten offen, und niemand ist verantwortlich, weil der Code automatisch entstanden ist. Das ist nicht weniger als eine Beschreibung der Rechenschaftslücke, die generierte Software in regulierte Umgebungen trägt.
Die Rechenschaftslücke ist ein Regulierungsthema
Genau an dieser Stelle berührt die Keynote den Kern dessen, womit Verantwortliche im DACH-Raum ohnehin ringen. Eine schnell zusammengeklickte Anwendung mag funktionieren, doch sie beantwortet keine der Fragen, die ein Audit stellt: Wer haftet, wer pflegt, wer schließt Schwachstellen, wer dokumentiert die Verarbeitung?
Die regulatorischen Anknüpfungspunkte sind dicht:
- DSGVO: Datenschutz durch Technikgestaltung nach Art. 25, Auftragsverarbeitung nach Art. 28 und Sicherheit der Verarbeitung nach Art. 32 setzen einen identifizierbaren Verantwortlichen voraus. Generierter Code ohne Eigentümer ist mit keiner dieser Pflichten vereinbar.
- NIS2 (Richtlinie (EU) 2022/2555): Die Risikomanagementmaßnahmen nach Art. 21 Abs. 2, insbesondere lit. d zur Sicherheit der Lieferkette und lit. e zur sicheren Entwicklung und Wartung, erfassen genau jene Drittkomponenten, die ein wachsendes App-Ökosystem mit sich bringt.
- DORA (Verordnung (EU) 2022/2554): Für Finanzunternehmen verlangt das IKT-Drittparteienrisikomanagement nach Art. 28 ff. vertraglich abgesicherte, überprüfbare Anbieter. Eine anonyme Erweiterung erfüllt das nicht.
- Cyber Resilience Act (Verordnung (EU) 2024/2847): Produkte mit digitalen Elementen müssen Security by Design und einen definierten Umgang mit Schwachstellen über den Lebenszyklus nachweisen. Damit wird die Frage nach dem Hersteller, der einsteht, zur Rechtspflicht.
Karlitscheks Risikobeschreibung trifft also nicht ein technisches Randproblem, sondern das, was diese gesetzlichen Rahmenbedingungen adressieren.
Die Antwort von Nextcloud: Ein digitales Ökosystem als Vertrauensschicht
Die strategische Konsequenz, die Nextcloud zieht, ist konsequent. Statt die KI-getriebene App-Flut zu fürchten, will man sie kanalisieren. Der App Store mit derzeit über 600 Anwendungen soll innerhalb von zwölf Monaten um den Faktor zehn auf rund 6.000 wachsen. Getragen wird das durch Entwicklerwerkzeuge, die bewusst auch maschinenlesbar sind: standardisierte APIs über die Open Collaboration Services, SDKs für mehrere Sprachen, Container- und Kubernetes-Unterstützung sowie eine Dokumentation, die laut Karlitschek nicht nur Menschen, sondern auch Modellen das Erstellen einer Nextcloud-App in Minuten ermöglicht. Da Nextcloud quelloffen ist, finden die Modelle zusätzlich Beispielcode im Netz.
Den eigentlichen Hebel sieht Karlitschek aber nicht in der Menge, sondern in der Governance dieser Menge. Dafür führt Nextcloud ein ISV-Programm (Independent Software Vendors) ein. Entwickler haben zwei Wege: weiterhin frei und quelloffen veröffentlichen wie bisher, oder eine Partnerschaft eingehen. Im zweiten Fall vermarktet Nextcloud die Anwendung, verkauft Subskriptionen über das eigene Enterprise-Modell und teilt die Erlöse. Die Gegenleistung ist genau das, was Compliance verlangt: zugesicherte Sicherheit, etablierte Sicherheitsprozesse, langfristiger Support und die Verpflichtung auf die Plattformprinzipien, ausdrücklich ohne Hintertüren und ohne Überwachungsfunktionen. Vier Unternehmen sollen bereits unterschrieben haben, unter anderem für Intranet-Szenarien, als SharePoint-Alternative und für behördliche Anwendungen.
Damit verschiebt Nextcloud die Wertschöpfung weg vom reinen Bereitstellen von Software hin zur Verantwortung für deren Code. Das Geschäftsmodell wird zur Vertrauensschicht über einem ansonsten beliebig erweiterbaren System. Das ist die direkte Antwort auf die zuvor benannte Rechenschaftslücke.
Souveränität als roter Faden
Die Verpflichtung auf Quelloffenheit, offene Schnittstellen und das ausdrückliche Verbot von Überwachungsfunktionen ist mehr als ein Bekenntnis. Es ist die Bedingung dafür, dass digitale Souveränität bei einer Skalierung um den Faktor zehn nicht verwässert. Wer ein Ökosystem öffnet, vergrößert zwangsläufig die Angriffsfläche und die Lieferkettenkomplexität. ISO/IEC 27001:2022 bildet beispielsweise diese Realität in mehreren Controls ab, von A.5.19 bis A.5.23 für Lieferantenbeziehungen und Cloud-Nutzung bis zu A.8.25 ff. für sichere Entwicklung. Das ISV-Programm ist im Grunde der Versuch, diese Controls auf Ökosystemebene durchzusetzen, bevor der einzelne Kunde sie mühsam für jede Drittanwendung einzeln einfordern muss.
Einordnung
Karlitscheks Botschaft ist für Verantwortliche relevanter, als die kurze Keynote vermuten lässt. Die zentrale Erkenntnis lautet nicht, dass KI das Erstellen von Apps beschleunigt. Sie lautet, dass die KI-getriebene Software-Schwemme die Beweislast verschiebt. Funktionalität ist künftig billig, Nachweisbarkeit nicht.
Für die Praxis folgt daraus eine klare Prüflinie. Eine Drittanwendung sollte unabhängig von ihrer technischen Eleganz drei Fragen beantworten: Wer ist als Hersteller benannt und haftbar? Existiert ein dokumentierter Sicherheits- und Wartungsprozess über den Lebenszyklus? Ist die Verpflichtung auf Souveränitätsprinzipien, also keine versteckten Datenabflüsse, vertraglich gesichert? Genau diese Fragen versucht das ISV-Programm strukturell zu beantworten. Es ersetzt keine eigene Lieferantenprüfung nach NIS2, DORA oder ISO 27001, senkt aber den Aufwand erheblich, weil ein verantwortlicher Vertragspartner überhaupt erst existiert.
Wer Nextcloud aus Souveränitätsgründen einsetzt, sollte die kommende App-Welle daher nicht als Komfortgewinn behandeln, sondern als erweiterten Geltungsbereich des eigenen ISMS. Die gute Nachricht aus der Keynote: Der Plattformbetreiber denkt diese Frage selbst mit, statt sie auf die Kundschaft abzuwälzen.
Transparenzhinweis: Dieser Beitrag wurde unter anderem mit Unterstützung generativer KI (Claude Opus 4.8, Anthropic) zusammengefasst und vor Veröffentlichung redaktionell geprüft.
