Unaufhaltsam drängt die Digitalisierung in die Privatwirtschaft. Größtenteils unbeeindruckt vom Trend der Transformation zeigt sich indes die Öffentliche Hand – notgedrungen: Gesetzliche Regularien und Governance-Maßgaben, höchste Anforderungen an die Sicherheit und Verfügbarkeit der IT-Infrastruktur, aber auch vage Vorstellungen über die Umsetzbarkeit trüben die Aufbruchsstimmung in Behörden. Unsere Erfahrung bei der noris network AG aber zeigt: Aus technischer Sicht gibt es für Bund, Länder und Gemeinden keinen Grund mehr zur Zurückhaltung, sofern auch die Zertifizierung mitmacht.

Ein Gespenst geht um in Europas Behörden: Während Unternehmen aus nahezu allen Branchen der Privatwirtschaft mit Hocheifer ihre Vision der digitalen Transformation verwirklichen, nimmt das Thema im öffentlichen Sektor nur vereinzelt Formen an. Selbst Dienste für Unternehmen und Bürger, die gemäß Onlinezugangsgesetz (OZG) von den öffentlichen Einrichtungen angefordert werden, arbeiten noch häufig mit Medienbrüchen: Nach dem digitalen Eingang in der Behörde läuft der Drucker heiß, um die weiteren Abläufe im ersten Schritt konventionell weiterbetreiben zu können. Die Gründe für das Verharren in gewohnten Arbeitsabläufen und etablierten IT-Prozessen liegen in der Natur der Sache. Gesetzlich verordnete Regularien wie der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), höchste Sicherheitsanforderungen für kritische Infrastrukturen (KRITIS) in größeren Kommunen und Hiobsbotschaften über Cyberattacken von kriminellen und offiziellen Organisationen auf staatliche Einrichtungen hemmen den Tatendrang in deutschen Amtsstuben.

Dass es durchaus Grund zur Sorge gibt, bezeugen seit geraumer Zeit das Bundesamt für Verfassungsschutz (BfV), Bundeskriminalamt (BKA) oder Landesamt für Sicherheit in der Informationstechnik (LSI), wonach sich Angriffe seit geraumer Zeit vermehrt auch gegen Behörden und politische Institutionen richten. Diese Attacken fänden »auf hohem technischem Niveau statt und gefährden daher massiv die Informationssicherheit in diesen Bereichen«, mahnte kürzlich beispielsweise das Bundesministerium des Innern, für Bau und Heimat auf seiner Webseite. Im Fadenkreuz der Cyberkriminalität stünden neben Einrichtungen von Kommunen und Ländern sogar das Auswärtige Amt und seine Auslandsvertretungen, das Bundesfinanzministerium, das Bundesministerium für Wirtschaft und Energie, Dienststellen der Bundeswehr und selbst das Bundeskanzleramt – Einrichtungen, die freilich allesamt in die KRITIS-Kategorie fallen.

GAIA-X: Hoffnung für Behörden. Eine Situation, die sich durch das politische Engagement im Rahmen des europäischen Gemeinschaftsprojekts GAIA-X allmählich bessern sollte. »Unser Ziel ist es, für Europa, seine Staaten, seine Unternehmen und seine Bürgerinnen und Bürger die nächste Generation einer europäischen Dateninfrastruktur zu entwickeln«, hieß es in einem veröffentlichen Papier des Wirtschaftsministeriums aus dem vergangenen Jahr. Mit GAIA-X gehe es um nichts Geringeres als die Selbstbestimmung im digitalen Raum, um eigenständige und unabhängige Handlungsfähigkeit, um die Freiheit von Daten für die Privatwirtschaft und Behörden. Die neuen digitalen Räume bieten die ideale Möglichkeit für Behörden, ihre Datentöpfe unkomplizierter im Cyberraum bereitzustellen.

Unabhängig vom weiteren Verlauf der europäischen Cloud bleibt ein zentrales Problem für die digitale Transformation der Öffentlichen Hand allerdings bestehen: Die Abschirmung von KRITIS-Umgebungen und anderen Infrastrukturen mit einem hohen Bedarf an Datenschutz und Datensicherheit ist in der Regel hoch komplex und noch dazu gesetzlich genau geregelt. Das neue IT-Sicherheitsgesetz 2.0 von 2021 beispielsweise schreibt KRITIS-konformen Rechenzentrumsbetreibern wie noris network vor, IT-Sicherheit nach dem aktuellen Stand der Technik umsetzen und erhebliche IT-Sicherheitsvorfälle an das BSI melden zu müssen. Und damit beginnt das Hin und Her für Behörden und deren IT-Verantwortliche erst richtig: Für sie stellt sich die entscheidende Frage, wie und wo Anwendungen und Daten aufgehoben sein müssen, um existierende IT-Silos aufbrechen und eine fortschrittliche IT-Infrastruktur für die Entwicklung moderner Anwendungen und Workflows nutzen zu können und andererseits dem Datenklau nicht Tür und Tor zu öffnen.

On-Premises oder Cloud – Hauptsache deutsch. Eigene Rechenzentren nach dem On-Premises-Modell haben den Nachteil, dass sie gerade im sicherheitskritischen Behördenumfeld mit teils hohen Kosten für die Implementierung, Wartung und Administration verbunden sind, sich aber relativ wirksam abschotten lassen. Zudem sind in diesen »sicheren Häfen« eher traditionelle Fachverfahren beheimatet; innovative Softwarelösungen findet man dort häufig erst viel später. Populäre Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft Azure oder die Google Cloud punkten hingegen mit Skalierbarkeit und Flexibilität, kranken allerdings daran, dass Datensicherheits- und Datenschutzaspekte US-amerikanischen Gesetzen wie dem USA Patriot Act unterliegen und die Hoheitsgewalt über sensible Informationen nicht mehr gegeben ist. Es ist also unklar, wo Fachverfahren beziehungsweise Fachanwendungen der Öffentlichen Hand am besten aufgehoben sind.

Doch es gibt eine weitere Wahlmöglichkeit zwischen technologischer Alternativlosigkeit, der Abhängigkeit von US-Konzernen und der ständigen Furcht vor dem Datenklau: Unabhängig davon, ob es um Colocation, Managed Services oder reine Cloud-Infrastrukturen geht, haben sich hierzulande Rechenzentren wie die vom BSI zertifizierten Datacenter von noris network in Nürnberg oder München etabliert, die beide Welten miteinander vereinen und sowohl die gesetzlichen als auch technischen Voraussetzungen mitbringen. Unverzichtbar dabei ist neben dem Standort Deutschland die Einhaltung entsprechender Schutzklassen und ein bestätigtes IT-Sicherheitsniveau durch Zertifizierungsinstanzen wie dem BSI oder TÜV. Dazu gehören neben der internationalen Cyber-Security-Zertifizierung ISO 27001 für Informationssicherheits-Managementsysteme (ISMS) vor allem der Kriterienkatalog BSI C5 (Cloud Computing Compliance Criteria Catalogue). Er spezifiziert die Mindestanforderungen an sicheres Cloud Computing und richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden. Ziel einer Testierung von Rechenzentrumsbetreibern nach dem Kriterienkatalog C5 ist es, eine transparente Darstellung der Informationssicherheit eines Cloud-Dienstes auf Basis einer standardisierten Prüfung zu gewährleisten. So lagern etwa Stadtverwaltungen die komplette IT ihrer Stadtwerke ins noris-Rechenzentrum und beziehen den Kindertagesstätten- und Bibliotheksbetrieb jeweils als Fachverfahren in Form einer Cloud-Leistung.

Trutzburg mit Georedundanz. Ein weiterer Aspekt für die Evaluierung des passenden Rechenzentrumsanbieters betrifft die Verfügbarkeit und die Absicherung für den Katastrophenfall. In diesem Zusammenhang bedeutet das für IT-Verantwortliche aus öffentlichen Einrichtungen, nach Rechenzentren Ausschau zu halten, die eine Redundanz von Daten und Anwendungen über zwei oder mehr Datacenter gewährleisten können – ohne Abstriche bei der Sicherheit machen zu müssen. Stichwort: Georedundanz. Dabei handelt es sich um Kriterien des BSI, die im Jahr 2018 speziell für Behörden oder Unternehmen mit hohen oder sehr hohen Anforderungen hinsichtlich Verfügbarkeit bei der Planung eines Rechenzentrumsstandorts entwickelt wurden. Demnach müssen mindestens 100 Kilometer, bei möglichen Risikoszenarien auch 200 Kilometer und mehr zwischen zwei Datacenter liegen, so dass selbst bei einem Totalausfall eines Rechenzentrums im Katastrophenfall das zweite den gesamten IT-Betrieb übernehmen kann.

Disruptive Veränderungen eine Frage der Zeit. Eine kleine Katastrophe könnte allerdings auch drohen, wenn sich Einrichtungen von Bund, Länder und Gemeinden den Forderungen nach digitalen, modernen und schnellen Geschäftsprozessen grundsätzlich verschließen. Aspekte wie die Wettbewerbsfähigkeit, veränderte Erwartungen und Ansprüche von Bürgern, Pandemie- und Work-Life-Balance-bedingte New-Work-Initiativen in hybriden Arbeitsmodellen und natürlich der allgegenwärtige Kostendruck werden ebenso wie in Organisationen aus den Branchen Industrie, Finanzen oder Gesundheitswesen auch in deutschen Amtsstuben früher oder später zu disruptiven Veränderungen führen. Die technologischen Voraussetzungen dafür sind gegeben: in Form von hochsicheren und hoch verfügbaren Rechenzentren mit knallharten Audit-Verfahren wie bei noris network.

Joachim Astel,
Vorstand der noris network AG

Illustration: © Petrafler, CraigUK/shutterstock.com

1186 Artikel zu „Behörden Digitalisierung“

NEWS | TRENDS INFRASTRUKTUR | BUSINESS PROCESS MANAGEMENT | TRENDS KOMMUNIKATION | DIGITALISIERUNG | DIGITALE TRANSFORMATION | TRENDS GESCHÄFTSPROZESSE | GESCHÄFTSPROZESSE | INFRASTRUKTUR | TRENDS 2019 | KOMMUNIKATION

E-Government in der EU: Digitalisierung der Behörden kommt in Deutschland nur langsam voran

24. Februar 2019

57 Prozent der Deutschen nutzen laut Eurostat das Internet zur Interaktion mit staatlichen Stellen und Behörden. Zum Vergleich: 2008 waren es 44 Prozent. E-Government kommt hierzulande also eher langsam voran. Anders sieht das beispielsweise in Dänemark aus. Hier hat sich die Nutzung im selben Zeitraum fast verdoppelt, wie die Grafik zeigt. EU-weit beschaffen sich 52…

Joachim Astel, Vorstand der noris network AG

1186 Artikel zu „Behörden Digitalisierung“

Joachim Astel,
Vorstand der noris network AG