News | Cloud Computing | Digitalisierung | Favoriten der Redaktion | Infrastruktur | Strategien | Ausgabe 7-8-2023

Cloud-Technologie für Bund, Länder und Kommunen – Wie die souveräne Cloud die moderne Verwaltung verändert

In der Cloud Systeme zu betreiben und Daten vorzuhalten, ist für privatwirtschaftliche Unternehmen längst Normalität. Unter anderem sprechen Skalierbarkeit, größtmögliche Flexibilität, Schnelligkeit, Sicherheit und Zugriff auf modernste Technologien für die Cloud. Diese Vorteile müssen auch Behörden nutzen. Bislang setzt die öffentliche Verwaltung aber nur wenig auf die Cloud. Denn der öffentliche Sektor hat besondere Anforderungen an Themen wie Sicherheit, Datenschutz & Co. Auch gilt es, Abhängigkeiten zu Lieferanten und Technik so gering wie möglich zu halten. Für Behörden ist darum eine Cloud mit einer speziellen Architektur und einem besonderen Hosting-Konzept erforderlich. Zudem muss gewährleistet sein, dass etwa ausländische Regierungen keinen Zugriff auf sensible Daten haben. Auf all dies zielt das Konzept der »souveränen Cloud«.

Cloud-Technologie, wie sie im Koalitionsvertrag  der Bundesregierung auch beschrieben ist, eröffnet dem öffentlichen Sektor große Chancen und Innovationsmöglichkeiten. Ihre Nutzung kann die Arbeitsweise disruptiv verändern und die Qualität des Bürgerservices spürbar verbessern. Es hilft der Bevölkerung sehr, wenn beispielsweise Bauanträge nicht mehr ausgedruckt und in Ordnern abgeheftet werden müssen, weil all diese Daten geschützt in der Cloud liegen. Oder wenn Bürger ihren Umzug nicht mehr persönlich im Rathaus melden müssen, weil es dafür einen schlanken Online-Prozess gibt. Auch Staatsbedienstete profitieren von cloud-basierten Workflows – man denke nur an die vielzitierten 55 Aktenordner, die die Unterlagen für die Genehmigung einer einzigen Windkraftanlage bislang benötigen. Behörden werden durch die souveräne Cloud einen enormen Zugewinn an Skalierbarkeit, Flexibilität und Effizienz erfahren. Auch ist es in der Cloud ein Leichtes, bei Bedarf zusätzliche Rechenkapazitäten zeitweise bereitzustellen – einfach per Knopfdruck.

Die Deutsche Verwaltungscloud-Strategie: DVS. Allerdings ist die Public Cloud im öffentlichen Sektor meist keine Option, weil sie die speziellen und obligatorischen Anforderungen an die Souveränität der Verwaltung nicht erfüllt. Diese grundlegenden Ansprüche an eine souveräne Cloud behandeln sowohl die »Deutsche Verwaltungscloud-Strategie« (DVS) [1] als auch die »roten Linien« [2] des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Angebote im Bereich der souveränen Cloud sind zentraler Bestandteil der DVS als »Strategie zur Stärkung der digitalen Souveränität der IT der öffentlichen Verwaltung« [3]. Die DVS soll insbesondere dazu dienen, gemeinsame Standards und offene Schnittstellen zu schaffen, die den effizienten Einsatz föderaler Cloud-Lösungen erst ermöglichen. Denn die meisten bislang in der Verwaltung genutzten Cloud-Lösungen sind nicht miteinander kompatibel, weil die zugrundeliegenden Architekturen nicht auf gemeinsamen Standards basieren. Darum ist das oberste Ziel der DVS, eine souveräne Multi-Cloud-Infrastruktur für Bund, Länder und Kommunen zu etablieren, die es Behörden erlaubt, Softwarelösungen einheitlich zu betreiben und Daten auszutauschen. Neben der so wichtigen Aufgabe, die Interoperabilität der Fachverfahren sicherzustellen, reduziert die DVS auch kritische Abhängigkeiten von Softwareanbietern (Vendor Lock-in) und ermöglicht es, digitale Tools bedarfsgerecht einzuführen oder bei Nichtgebrauch wieder abzulösen.

Die roten Linien des BSI. Wie genau die souveräne Cloud im Hinblick auf Architektur, Funktionalität und Sicherheit aufgebaut sein soll, hat das BSI in seinen »roten Linien« festgelegt. Offiziell heißen sie »Requirements for Cloud Platforms in the Federal Administration«. Dazu gehören unter anderem:

  • Geografische Autonomie: Die souveräne Cloud muss in einem deutschen Rechenzentrum von einem deutschen Unternehmen betrieben werden.
  • Infrastrukturelle Autonomie: Die souveräne Cloud muss eine Private Cloud in einer föderalen Infrastruktur sein, ausschließlich mit dem deutschen Regierungsnetz verbunden.
  • Vernetzungsautonomie: Es ist Dritten untersagt, Daten und Metadaten aus der Cloud zu extrahieren oder in die Cloud einzuspeisen. Die souveräne Cloud ist Endpunkt aller Telemetriedaten von Geräten oder clientseitiger Software.
  • Lifecycle Management: Unter anderem müssen Bugfixing, Release-Entwicklung und Release-Testing gewährleistet sein. Die Betreibergesellschaft muss die Verfügbarkeit von Kernfunktionalitäten und Schnittstellen garantieren. 
  • Operative Sicherheit: Das operative Sicherheitsmanagement verantwortet die Bundesregierung oder ein von ihr ausgewählter nationaler IT-Dienstleister. Erkannte Schwachstellen sind dem Hersteller zu melden, der diese managt und behebt [4].
  • Normative Sicherheitsanforderungen: Die souveräne Cloud muss alle geltenden Sicherheitsanforderungen des BSI und sämtliche Anforderungen an Cloud-Plattformen in der Bundesverwaltung gemäß »IT-Grundschutz« erfüllen. Softwaremodule müssen BSI sowie Cloud-Anbieter und -Betreiber gemeinsam auswählen.
  • Interoperabilität: Die souveräne Cloud muss über offene Protokolle und herstellerunabhängige Schnittstellen Migrationen zwischen Anbietern und Diensten ermöglichen, etwa für SaaS-Angebote und integrierte Cloud-Services staatlicher Dienstleister.

Es ist nachvollziehbar, dass diese besonderen Anforderungen an technische, operative und rechtliche Souveränität eine Herausforderung für entsprechende Anbieter von Cloud-Plattformen darstellen. Es wird darum noch eine gewisse Zeit brauchen, bis sie komplett umgesetzt sind. Zeit, die Behörden bereits heute nutzen sollten, um sich auf souveräne Cloud-Plattformen vorzubereiten. 

Wie kommt die souveräne Cloud in die Behörde? Für die Cloud-Migration gilt: Wer morgen in der Verwaltung von der souveränen Cloud profitieren möchte, sollte schon heute seine – gegebenenfalls umfangreichen – Hausaufgaben machen. Während das eine Amt noch Faxgeräte einsetzt, betreibt ein anderes seine Fachverfahren vielleicht schon in einer geeigneten, wenngleich nicht souveränen Cloud. Schon deswegen ist eine schrittweise umgesetzte Cloud-Migration ratsam, die sich an der individuellen Ausgangssituation orientiert. Zunächst gilt es, den Status quo zu erheben, die behördenspezifischen Anforderungen zu definieren und eine maßgeschneiderte Migrationsstrategie für die jeweilige Behörde zu erarbeiten. Ämter beziehungsweise ihre IT-Dienstleister müssen das dafür erforderliche (technologische) Fachwissen aufbauen und die gebotene Cloud Readiness schaffen. Ebenso wichtig wie die technische Umsetzung ist ein ganzheitliches Change Management. Es braucht in der öffentlichen Verwaltung den Willen, zeitgemäße Lösungen umzusetzen. Nötig ist ein Kulturwandel hin zu einem Fokus auf die Bedürfnisse der Bevölkerung. Das Ziel: Ein BaföG-Antrag muss für Bürger ebenso leicht zu stellen sein wie eine Webanfrage über die Konditionen von Energieanbietern in einem privatwirtschaftlichen Vergleichsportal.

Schrittweise in die Cloud. Eine intensive Vorbereitung auf dem Weg in die souveräne Cloud hat gleich zwei Vorteile. Zum einen wissen die Beteiligten dann schon vorher, was zu tun ist und was wie funktioniert. Cloud-Anbieter stellen bereits spezielle, wenngleich noch nicht hermetisch abgeriegelte Plattformen zur Verfügung, mit denen Behörden die Möglichkeiten und Funktionalitäten einer souveränen Cloud maßgeschneidert für den eigenen Bedarf erproben und entsprechende Vorbereitungen treffen können. Zum anderen ist es für Behörden sinnvoll, schon heute diejenigen konkreten Aufgaben in die Public oder Private Cloud zu verlagern, für die zwar die üblichen hohen Sicherheitsstandards zu beachten sind, bei denen jedoch nicht sämtliche Souveränitätsanforderungen greifen. 

Sich für die Zukunft rüsten. Behörden sind gut beraten, die Weichen frühzeitig in Richtung Cloud zu stellen. Denn wenn sie die Vorteile einer souveränen Cloud möglichst schnell nutzen wollen, müssen sie sich heute mit den neuen Möglichkeiten auseinandersetzen. Im Idealfall tun sie dies unterstützt durch einen Dienstleistungspartner, der über Erfahrung im Hosting komplexer IT- und Cloud-Infrastrukturen verfügt – und ein Maximum an Datensicherheit bietet. Eine Behörde kann sich jetzt für die Zukunft rüsten: indem sie zeitnah eine verlässliche Roadmap dafür erarbeitet, wie Systeme, Fachverfahren, Applikationen, Register und Daten in die souveräne Cloud zu migrieren sind und welche Standards zur Anwendung kommen sollen. Die souveräne Cloud ist gut, mit geeigneter Vorbereitung ist sie besser.

 

Klaus Fetzer, Geschäftsführer
für die Branchen Public Sector & Healthcare
bei Arvato Systems 
www.arvato-systems.de

 

[1] https://www.cio.bund.de/Webs/CIO/DE/digitale-loesungen/digitale-souveraenitaet/deutsche-verwaltungscloud-strategie/deutsche-verwaltungscloud-strategie-node.html
[2] Requirements for Cloud Platforms in the Federal Administration, Version v1.0.0
[3] https://www.arvato-systems.de/branchen/branchen-im-ueberblick/oeffentlicher-sektor/souveraene-cloud-plattform-fuer-den-oeffentlichen-sektor
[4] https://www.arvato-systems.de/infrastruktur-betrieb/security/vulnerability-management

 

Illustration: © Mast3r | Dreamstime.com

Zur Startseite →

← Zurück