Die Cloud in der öffentlichen Verwaltung möglich machen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Die Cloud in der öffentlichen Verwaltung möglich machen
02
Die Cloud in der öffentlichen Verwaltung möglich machen
Mit der Cloud den Digitalisierungsschub meistern 04
Grundlagen des Cloud-Computings 06
Vorteile und Herausforderungen für
den öffentlichen Sektor 08
Den Cloud-Einsatz in der öffentlichen
Verwaltung aktiv gestalten 10
Vermeidung von Lock-in-Effekten in der Cloud 13
Fazit 17
Kontakte 18
03
Mit der Cloud den
Digitalisierungsschub
meistern
Der öffentlichen Verwaltung in Deutschland Ressourcen und teils technologisch veral- von industriellen Produktionsmustern an,
bietet sich derzeit die große Chance, in der tete Infrastrukturen. Für einen echten Digi- zum Beispiel auf Basis von Low-Code-
digitalen Transformation einen deutlichen talisierungsschub bedarf es also mehr als Plattformen, um somit „die Schnelligkeit
Sprung vorwärts zu machen. Die Pandemie nur monetärer Förderung und guter Ideen: von Softwareentwicklungen [zu] erhöhen“.
hat die Defizite in der operativen Umset- Führende Staaten in der Digitalisierung der Gleichzeitig geht es nach Auffassung des
zung der Digitalisierung im öffentlichen öffentlichen Verwaltung, wie etwa Däne- Normenkontrollrates darum, die „Nachnut-
Sektor klar vor Augen geführt. Lockdown- mark oder auch die Niederlande, adaptie- zung“ dieser Lösungen zu „vereinfachen“
bedingte Schließungen von beispiels- ren innovative Technologien besonders sowie „Innovationskraft und Wettbewerb“
weise Bürgerämtern haben sowohl schnell und umfangreich.1 Die öffentliche aufrechtzuerhalten.2
Entscheidungsträger:innen in Politik und Verwaltung in Deutschland tut sich mit der
Verwaltung als auch der Bevölkerung die Adaption neuer technologischer Möglich- Wenn es um das Thema staatliche
Dringlichkeit des Themas verdeutlicht. keiten meist vergleichsweise schwerer, so Cloud-Nutzung geht, wird in diesem
Die Erwartungen von Unternehmen und insbesondere auch mit dem Einsatz von Zusammenhang in Brüssel und Berlin
Bürger:innen an einen digital leistungsfähi- Cloud-Technologie. Dabei bietet besonders berechtigterweise auch intensiv über die
gen Staat sind höher denn je. Gleichzeitig die Nutzung der Cloud ein großes Potenzial digitale (Daten-)Souveränität Europas und
startet das Onlinezugangsgesetz (OZG) in für die Digitalisierung und damit auch zur des Staates und darüber diskutiert, wie
diesem Jahr in die entscheidende Umset- schnellen und flexiblen Skalierung von man sie in der Cloud garantieren kann. In
zungsphase. Zusätzlich werden die Digi- staatlichen Dienstleistungen. dieser Debatte bemängeln viele Akteure
talisierungsbemühungen der öffentlichen eine sich steigernde Abhängigkeit gegen-
Verwaltung durch eine Milliardenförderung Neben der Schaffung von grundlegenden über den großen, meist amerikanischen
aus den Corona-Konjunkturpaketen des E-Government-Angeboten gilt es auch oder chinesischen Cloud-Anbietern. Fakt
Bundes und der Europäischen Union (EU) bei Zukunftsthemen wie dem Einsatz von ist jedoch auch, dass deutsche Unter-
beflügelt, die umfangreiche Fördermaßnah- künstlicher Intelligenz oder Big Data, den nehmen auf diesem Markt aktuell eine
men in den Bereichen Smart City, Smart Anschluss nicht zu verlieren. Dafür sind sehr untergeordnete Rolle spielen. Die
Region und der Registermodernisierung mehr Freiräume im operativen Betrieb und Inanspruchnahme von Cloud-Angeboten
vorsehen. eine höhere Flexibilität in der Realisierung nicht-deutscher bzw. außereuropäischer
von IT-Lösungen erforderlich. Dabei ist der Anbieter scheint in einigen Anwendungs-
Allerdings stoßen die großzügigen För- Einsatz neuer Technologien zwar bedacht- feldern daher nahezu unvermeidlich.
dermittel und die zahlreich initiierten sam abwägend, jedoch gleichzeitig auch Insbesondere vor dem Hintergrund der
Digitalisierungsinitiativen in der Realität Chancen nutzend zu betrachten. Der Nor- Notwendigkeit zur Einhaltung des euro-
des öffentlichen Dienstes häufig auf nur menkontrollrat mahnt in seinem fünften päischen Datenschutzes (DS-GVO) und
begrenzt vorhandene personelle Monitor Digitale Verwaltung den Einsatz nationaler Datenschutzregeln wird dies
04
Die Cloud in der öffentlichen Verwaltung möglich machen
als problematisch angesehen. Dies gilt
umso mehr seit der Außerkraftsetzung
Neben der Schaffung von grundlegenden
des Privacy-Shield-Abkommens sowie
dem damit einhergehenden Fehlen eines
E-Government-Angeboten gilt es auch
entsprechenden, gültigen Rechtsrahmens
in der Beziehung mit den USA.3
bei Zukunftsthemen wie dem Einsatz
Auf der einen Seite steht also das Risiko
von künstlicher Intelligenz oder Big Data,
eines möglicherweise weiteren Zurückfal-
lens in der digitalen Transformation der
den Anschluss nicht zu verlieren. Dafür
öffentlichen Verwaltung, auf der anderen
Seite droht eine potenziell hohe Abhän-
sind mehr Freiräume im operativen
gigkeit von den großen Cloud-Anbietern
aus Übersee, ausgelöst durch sogenannte
Betrieb und eine höhere Flexibilität in der
Lock-in-Effekte in der Cloud. Ein solcher
Effekt tritt ein, wenn es den Cloud-
Realisierung von IT-Lösungen erforderlich.
Nutzer:innen nur schwer möglich ist, ihre
Daten oder Anwendungen aus der einen
Dabei ist der Einsatz neuer Technologien
Cloud heraus auf andere Infrastruktur-
typen oder zwischen unterschiedlichen
zwar bedachtsam abwägend, jedoch
Cloud-Anbietern zu verschieben.
gleichzeitig auch Chancen nutzend zu
Wie lässt sich dieses Dilemma auflösen?
Diese Publikation zeigt unterschiedliche
betrachten.
Lösungsansätze zur Vermeidung des Lock-
in-Effekts sowie Möglichkeiten zur Nutzung
von Multi-Cloud-Architekturen auf, die ein
Wechseln zwischen einzelnen Cloud-
Anbietern erleichtern.
05
Grundlagen des
Cloud-Computings
Das Cloud-Computing ist ein Outsourcing- munikationsnetze sowie grundlegender teilen mehr als die Hälfte des Gesamt-
Modell und besteht aus IT-Infrastrukturen, Dienste“4 konzentrieren, werden Hypersca- markts unter sich auf.5
-Plattformen oder ‑Anwendungen, die als ler genannt. Zu den bekannten Hypersca-
Dienst auf gemeinsam genutzten Betriebs- lern zählen die US-amerikanischen Funktional werden Cloud-Computing-
mitteln bereitgestellt und nutzungsabhän- Cloud-Anbieter Amazon, Google, Microsoft Dienste in eine von drei Service-
gig abgerechnet werden. oder Alibaba aus China. In Europa fällt Kategorien eingeordnet:
alleinig der französische Anbieter OVH in
Große private Unternehmen, die Cloud- die Kategorie der Hyperscaler, der Abstand
Lösungen anbieten und sich auf die „Bereit- zur Konkurrenz aus den USA und China ist
stellung von IT-Ressourcen (Provisioning), allerdings sehr groß. Allein die größten drei
wie Rechenkapazität, Speicher und Kom- marktführenden amerikanischen Anbieter
Abb. 1 – Servicekategorien des Cloud-Computings
Software als Dienstleistung IT-Infrastruktur als Service Virtuelle IT-Plattform
Software as a Service (SaaS) Infrastructure as a Service (IaaS) Platform as a Service (PaaS)
Bereitstellung von Anwendungen Bereitstellung von IT-Betriebsmit- Schließung der Lücke zwischen
als Dienstleistung über das teln, z.B. Rechenleistung oder Applikations- (SaaS) und Infrastruk-
Internet Speicherplatz, um Anwendungen zu turangebot (IaaS) durch Bereitstel-
betreiben und sie über das Internet lung von standardisierten Plattfor-
verfügbar zu machen men und Entwicklungsumgebun-
gen, auf denen Kunden Anwendun-
gen entwickeln, betreiben und auch
anbieten können
06
Die Cloud in der öffentlichen Verwaltung möglich machen
Abb. 2 – Cloud-Typen
1 2 3
Öffentliche (Public) Cloud Private Cloud Hybrid Cloud
Bezug von öffentlichen Cloud- Betrieb einer eigenen Cloud- Mischung aus den beiden genann-
Computing-Diensten, welche für Umgebung/eigener Cloud- ten Betriebsmodellen für Cloud-
zahlreiche Nutzer:innen auf einer Computing-Dienste auf einer Computing, z.B. eine Private Cloud,
gemeinsamen Infrastruktur privaten Infrastruktur. Technolo- welche mit einem oder mehreren
erbracht werden. Der thematische gisch werden somit viele Eigen- Public-Cloud-Services kombiniert
Schwerpunkt dieser Publikation zielt schaften einer Cloud umgesetzt, wird.
in erster Linie auf die spezifischen z.B. hohes Maß an Virtualisierung,
Merkmale der Public Cloud ab. Service-Orientierung, Standardisie-
rung und Automatisierung. Durch
die Nutzung dedizierter Infrastruk-
tur ist jedoch die Skalierungsfähig-
keit oft begrenzt und es entfallen
die Effizienzvorteile gemeinsam
genutzter Ressourcen.
07
Vorteile und Heraus-
forderungen für den
öffentlichen Sektor
Der öffentlichen Verwaltung bietet die Prozesse in den Hintergrund verschoben Den zahlreichen Vorteilen stehen allerdings
Nutzung von Cloud-Technologie zahlreiche werden, die nicht unmittelbar für den auch einige Herausforderungen gegenüber,
Vorteile. Dabei sind vor allem eine höhere Zweck der Anwendung erforderlich sind. die in besonderer Weise für das sensible
Flexibilität, Effizienz, Produktivität und Umfeld der öffentlichen Verwaltung gelten.
Skalierbarkeit ihrer (Verwaltungs-)Dienste • Skalierbarkeit Vor allem ein starker Datenschutz sowie
und Vorgänge als auch geringere IT- Virtuelle IT-Ressourcen stehen in der Fragestellungen der digitalen Souveränität
Betriebskosten zu nennen. Cloud jederzeit in beliebigem Umfang zur nehmen hier eine prominente Rolle ein.
Verfügung – Speicherplatz, Prozessorleis-
• Flexibilität tung, Arbeitsspeicher oder Software- • Rechtssichere Beauftragung und
Die Cloud ermöglicht es, flexibel und Lizenzen können hinzugefügt und auch Beschaffung
kurzfristig Ressourcen zu beanspruchen wieder abgegeben werden. Hierdurch Die gängigen Vertragsarten der öffent-
oder abzugeben. Hierdurch wird den wird insbesondere ein kurzfristiges oder lichen Beschaffung decken die üblichen
öffentlichen IT-Dienstleistern ein höheres temporäres Hochfahren von IT-Systemen Modalitäten von Cloud-Computing
Maß an bedarfsorientierter Servicebe- ermöglicht, wie es beispielswiese in Kri- gegenwärtig nur unzureichend ab.
reitstellung ermöglicht. Auch die Chance sensituationen benötigt werden kann. Üblicherweise kommen hier die „ergän-
zur stärkeren Fokussierung auf die zenden Vertragsbedingungen für die
eigentliche Kernaufgabe kann durch die • Wirtschaftlichkeit Beschaffung von IT-Leistungen“
gewonnene Flexibilität wahrgenommen Eine Reihe von Investitionen in IT-Infra- (EVB-IT) zum Einsatz. Die Standard-
werden. struktur, die sonst Investitionskapital Nutzungsbedingungen von beispielswei-
binden würden, entfällt. Durch die se Hyperscalern sind hier jedoch noch
• Effizienz Möglichkeit zur bedarfsgerechten und nicht vorgesehen, EVB-IT für SAAS-
Der Aufwand für Beschaffung, Instal- temporären Nutzung von IT-Ressourcen Lösungen sind noch nicht vorhanden.
lation, Konfiguration und Wartung von kann zudem ein Aufbau von überdimen- Die Anpassung der EVB-IT an die Be-
Hardware und Software wird durch sionierten IT-Kapazitäten vermieden sonderheiten von Cloud-Diensten steht
Cloud-Dienste wesentlich reduziert. werden. aufseiten des Bundes bisher noch aus.
Dadurch werden IT-Dienstleister und
Fachabteilungen der öffentlichen Ver- • Nachhaltigkeit • Datenschutz und IT-Sicherheit
waltung entlastet und können sich somit Wird auf Dienstleister mit emmissionsar- Anwendungen und Daten der öffentli-
stärker auf den Kern ihrer Geschäftstätig- men bzw. -freien Rechenzentren zurück- chen Verwaltung unterliegen aus gutem
keit konzentrieren. gegriffen, trägt die Verwaltung ebenso zu Grund strengen Schutz- und Compliance-
einem nachhaltigen öffentlichen Sektor Anforderungen. So sind beispielsweise
• Produktivität bei. Emissionsarme bzw. -freie Rechen- viele Daten ausfuhrbeschränkt oder
Die Nutzerfreundlichkeit vieler cloudba- zentren sind einfacher von dezentralen Dienste als kritische Infrastruktur
sierter Anwendungen ist höher, da die Anbietern zu betreiben. klassifiziert oder es werden gar im
08Die Cloud in der öffentlichen Verwaltung möglich machen
Sinne des Geheimschutzhandbuchs als • IT-Strategie
Verschlusssachen eingestufte Informa- Die bestehenden Lösungen großer Anbie-
tionen verarbeitet. Es besteht also die ter schaffen oftmals proprietäre Ökosyste-
Herausforderung, für Anwendungen und me innerhalb der eigenen Plattform. Dies
Daten der öffentlichen Verwaltung ein geht mit dem Risiko eines Lock-in-Effekts
geeignetes Schutz- und Vertrauensniveau einher. Dadurch besteht die Herausforde-
in der Cloud sicherzustellen. rung, kurzfristige Vorteile gegen langfristi-
ge strategische Risiken abzuwägen.
Deloitte-Projekt im Bereich Cloud
im Public Sector
• Deloitte hat für die European Plasma spenden (wie Geschlecht
Blood Alliance und die DG SANTE und Alter), die jeweilige Phase der
der Europäischen Kommission klinischen Studien u.v.m. – unter
eine EU-weite Datenbank in einer Beachtung der DS-GVO und an-
Public Cloud entwickelt, welche die derer Datenschutzbestimmungen
Organisation beim Kampf gegen die durch Anonymisierung der Daten.
COVID-19-Pandemie unterstützt.
• Innerhalb von drei Wochen nach
• Die Datenbank verfolgt rekon- der Anfrage haben wir eine
valeszente Plasmaspenden und praktische Lösung entwickelt. Die
Transfusionen. Da Studien durch- erste Iteration fand in kleinerem
geführt werden, um festzustellen, Maßstab statt, wobei nur zwei
ob Rekonvaleszenzplasma von bis drei Blutspendeeinrichtungen
genesenen COVID-19-Patienten bedient wurden, nun sind es weit
akut am Virus Erkrankten helfen mehr als 100 Einrichtungen sowie
kann, war das gesamte Spenden- Tausende registrierte Spender.
modell zu berücksichtigen.
• Hier finden Sie das interaktive
• Die Plattform umfasst daher den Dashboard der EU:
durchgängigen Prozess: die rele- https://www.euccp.dataplatform.
vanten Details derjenigen, die ihr tech.ec.europa.eu
09Den Cloud-Einsatz in
der öffentlichen Verwaltung
aktiv gestalten
Cloud Bestrebungen der EU me Definition technischer Lösungen und
Die EU hat sich das Ziel gesetzt, ihre digitale Richtlinien bezüglich des Einsatzes von Das US-amerikanische Federal Risk
Souveränität im Bereich Cloud-Computing Cloud-Technologien.9 Mit ihrem „2030 Digi- and Authorization Management
deutlich zu steigern. Zusätzlich bzw. viel tal Compass“ ergänzt die EU-Kommission Program (FedRAMP) wurde 2011 ins
mehr ergänzend zu den amerikanischen ihre Cloud-Vorhaben, indem sie hier einen Leben gerufen, um einen kosten-
oder chinesischen Hyperscalern sollen starken Fokus auf die digitale Bildung der effizienten, standardisierten und
alternative Cloud-Angebote geschaffen europäischen Bürger setzt, insbesondere risikobasierten Ansatz für die Sicher-
werden, die die Einhaltung europäischer im Bereich Datennutzung und Cloud.10 heitsbewertung, Einführung und Nut-
Prinzipien und Datenschutzregeln in den zung von Cloud-Diensten durch die
Fokus rücken. Verschiedene europäische Jüngst wurde außerdem der EU Cloud Code amerikanischen Bundesbehörden zu
Akteure und Initiativen entwickeln hier of Conduct (CoC) offiziell genehmigt. Parallel schaffen. FedRAMP befähigt Behör-
unterschiedliche Ansätze mit besonderer hierzu wurde SCOPE Europe offiziell als den, moderne Cloud-Technologien zu
Zielsetzung der Vermeidung von Lock-in- Überwachungsstelle akkreditiert, die mit der nutzen, wobei der Schwerpunkt auf
Effekten in der Cloud. Überwachung des Verhaltenskodex beauf- der Sicherheit und dem Schutz von
tragt ist.11 Der CoC ist der erste länder- Bundesinformationen liegt.13
Die Datenstrategie6 der Europäischen Kom- übergreifende Kodex, der für alle Cloud-
mission sieht vor, europäische Datenräume Angebote in der EU genehmigt wurde. Er
in der Cloud für neun Sektoren, u.a. auch wird es den Nutzern von Cloud-Diensten –
für die öffentlichen Verwaltungen Europas, insbesondere KMUs, öffentlichen Einrich-
zu schaffen. Dieses Projekt wird sowohl tungen und Behörden – einfach machen,
legislativ mit Gesetzesvorschlägen (Data festzustellen, ob ein bestimmter Cloud-
Governance Act7 und Data Act8) als auch Dienst DS-GVO-konform und somit im
mit finanziellen Mitteln gestützt. Insgesamt Umgang mit personenbezogenen Daten
sollen bis zum Jahr 2027 10 Milliarden Euro nutzbar ist. Dies ist ein wichtiger Schritt
in eine europäische Cloud-Infrastruktur für den Ausbau der Cloud-Nutzung in der
investiert werden – die geplanten Mittel öffentlichen Verwaltung, da durch den CoC
stammen aus dem EU-Haushalt, dem nun das Vertrauen in solche Dienste ge-
EU-Konjunkturpaket „Next Generation stärkt und das Niveau des Datenschutzes
EU“, den Haushalten der Mitgliedsstaaten auf dem europäischen Cloud-Computing-
sowie Investitionen der Privatwirtschaft. Markt angehoben wird. Dies trägt dazu bei,
Die Mitgliedsstaaten der EU haben mit der die Einführung dieser Schlüsseltechnologie
Gründung der „European Alliance on Indus- zu beschleunigen und die Vorteile des
trial Data and Cloud” – einer Public Private Cloud-Computings einem größeren Teil der
Partnership – die Datenstrategie der europäischen Wirtschaft sowie der öffentli-
EU-Kommission noch weiter untermauert. chen Verwaltung zugänglich zu machen.12
Kernpunkt dieser Allianz ist die gemeinsa-
10Die Cloud in der öffentlichen Verwaltung möglich machen
Mit der europäischen Initiative GAIA-X und die Verwendung der Daten.“ Basierend mit seiner Dienstleistung nicht gegen die
sollen Unternehmen und die öffentliche auf einem Open-Source-Prinzip vernetzt bekannten Hyperscaler oder GAIA-X stel-
Verwaltung durch die Schaffung von Wahl- die GAIA-X-Infrastruktur dezentrale und len, sondern viel mehr komplementär zu ih-
möglichkeiten zwischen verschiedenen zentrale Dateninfrastrukturen zu einem nen wirken. Dadurch sollen bei potenziellen
Anbietern auf Basis einheitlicher Daten- gemeinsamen System. Damit können Cloud-Nutzern Eintrittsbarrieren und Ängs-
austauschstandards in die Lage versetzt sektorale Datenräume in der GAIA-X- te bezüglich der Nutzung der Technologie
werden, digitale Souveränität zu erlangen. Infrastruktur geschaffen werden, in denen abgebaut werden. Auch die Initiatoren von
Gleichzeitig werden mit GAIA-X auch in- die Nutzer:innen ihre Daten einspielen. GAIA-X scheinen Lösungsansätze für hyb-
dustriepolitische Ziele verfolgt, die auf eine Dies soll gemeinsame Big-Data-Projekte ride Cloud-Systeme, Beispiel Aiven, nicht
Stärkung des europäischen Industrie- von unterschiedlichen Stakeholdern zur als Konkurrenz zu GAIA-X zu bewerten,
4.0-Sektors abzielen.14 Organisatorisch ist Effizienzgewinnung, beispielsweise bei der sondern äußern ganz gegenteilig, dass es
GAIA-X als internationale Non-Profit- Steuerung des Verkehrs oder der Schaf- zu begrüßen sei, „dass solche Anbieter
Organisation mit Sitz in Brüssel registriert. fung neuer Produkte oder Dienstleistungen Innovationen in den Markt bringen und
Der politische Anstoß hierzu kam aus ermöglichen.15 Da es sich dabei um eine sich aktiv an GAIA-X beteiligten“18.
Frankreich und Deutschland, woher auch Dateninfrastruktur handelt, auf der ver-
die ersten 22 Mitgliedsunternehmen kom- schiedenste Mitglieder ihre Cloud-
men. Im Jahr 2021 sollen weitere, zunächst Lösungen anbieten werden, wird GAIA-X
europäische Unternehmen hinzukommen. in den nächsten Jahren voraussichtlich
Die Tür steht jedoch auch für Unternehmen einen positiven Beitrag zur Vermeidung von
aus Drittstaaten offen – so zum Beispiel Lock-in-Effekten in Europa leisten.
den genannten Cloud-Hyperscalern.
Lösungsansätze zur Vermeidung von
GAIA-X soll ein Infrastruktur- und Cloud-Lock-in-Effekten werden bei GAIA-X
Datenökosystem nach europäischen Wer- von Unternehmen entwickelt. Als ein
ten und Standards bieten. Die Architektur vielversprechendes Beispiel ist hier das
von GAIA-X ist so erdacht, dass digitale finnische Start-up Aiven zu nennen.
Prozesse und Informationstechnologie Aiven will seinen Kunden Unabhängigkeit
eingesetzt werden, um eine Verbindung von einzelnen Hyperscalern ermöglichen
zwischen allen Akteuren der europäischen und ihnen „per Klick“ einen unkomplizier-
digitalen Wirtschaft herzustellen. Die ten Wechsel zwischen unterschiedlichen
oberste Prämisse ist dabei laut GAIA-X die Cloud-Anbietern ermöglichen.16 Mit der
Erreichung bzw. das Erhalten der euro- Entwicklung einer Art „unabhängigem
päischen Datensouveränität, welche die Betriebssystem für die Cloud managt
Organisation wie folgt definiert: „Daten- Aiven die Datenströme von Unternehmen
Souveränität ist die Ausführung der vollen mithilfe von Open-Source-Software und
Kontrolle und Steuerung durch einen kann dafür die Rechenleistung beliebiger
Dateneigentümer über den Speicherort Cloudanbieter nutzen“17. Aiven möchte sich
1112
Die Cloud in der öffentlichen Verwaltung möglich machen
Vermeidung von
Lock-in-Effekten in
der Cloud
Cloud in Digital- und IT-Strategien Datensicherheit bereits frühzeitig Schwer- (z.B. sog. Standard Contract Clauses,
Die Digital-Strategie und die IT-Strategie punkte in der Betrachtung von Cloud- technische-organisatorische Maßnah-
sollten am Ausgangspunkt für die Be- Computing sein und entsprechende Leitli- men) hier implementiert werden können,
stimmung potenzieller Einsatzbereiche nien strategisch verankert werden. In der um das Thema datenschutzrechtlich
von Cloud-Technologie in der öffentlichen Operationalisierung des Cloud-Einsatzes konform umzusetzen. In der öffentlichen
Verwaltung stehen. Darin sollten die in der öffentlichen Verwaltung sind beson- Verwaltung ist jedenfalls eine Lokalisie-
strategischen Ziele der (IT-)Organisation ders folgende Aspekte zu beachten. rung der Server in Deutschland oder
sowie ein Plan zum Aufbau des Produkt- mindestens in der EU stets zu empfehlen.
und Serviceportfolios enthalten sein. Diese • Datenschutz: Im Rahmen der Beauftra-
sollten sich immer an den individuellen gung und des Einsatzes von Cloud- • Betriebssicherheit: Wie bei lokalen
Geschäftsanforderungen sowie -risiken Computing gilt es, die datenschutzrecht- Infrastrukturen muss auch in der Cloud
ausrichten und möglichst spezifisch auf die lichen Rollen der Beteiligten zu ermitteln ein fortlaufender Betrieb sichergestellt
jeweilige Organisation bzw. Organisations- und die Anforderungen durchgehend werden. Entscheidend dafür sind robuste
einheit zugeschnitten sein. einzuhalten. Häufig wird insbesondere Komponenten in den Servern und Spei-
der Abschluss einer Vereinbarung zur chersystemen sowie Redundanzen der
Die IT-Strategie sollte dabei auch Anforde- Auftragsverarbeitung mit dem Anbieter zentralen Infrastrukturbestandteile. Dies
rungen und Rahmenbedingungen in Bezug gemäß Art. 28 DS-GVO erforderlich sein. sollte bei der Planung bedacht und von
auf den Einsatz bzw. die Nutzung von Dienstanbietern nachgewiesen werden.
Cloud-Angeboten ableiten. Die Festlegung • Datensicherheit: Verschlüsselungen
und Durchsetzung von einheitlichen Rah- und Anonymisierungen sind übliche • Zertifizierung: Cloud-Anbieter können
menbedingungen für den Cloud-Einsatz Maßnahmen zur Erhöhung der Sicherheit mithilfe geeigneter Zertifizierungen
von IT-Dienstleistern und Fachabteilungen und sollten „by Design”, also bereits bei Qualität und Einhaltung von Standards
der öffentlichen Verwaltung ist ein der Konzipierung und Entwicklung von in verschiedensten Bereichen nach-
wesentlicher Erfolgsfaktor für den Einsatz IT-Architekturen berücksichtigt werden. weisen. Hier existiert eine Vielzahl an
von Cloud-Technologie. Oftmals berück- Zertifizierungen, darunter Nachweise
sichtigen IT-Strategien in der öffentlichen • Drittstaatentransfer: Seit der Europäi- über Datenschutz sowie Daten- und
Verwaltung den Umgang mit Cloud- sche Gerichtshof mit seinem Schrems-II- Betriebssicherheit. Durch die Vielfalt der
Technologien noch nicht ausreichend oder Urteil den EU-US Privacy Shield gekippt möglichen Zertifizierungen sollten bei
sind nicht in dem erforderlichen Maße hat, wird insbesondere der Einsatz von der Anbieterauswahl die Erfüllung der im
auf die spezifischen Anforderungen der Cloud-Lösungen mit Bezug zu den USA Anwendungsfall relevanten Standards ge-
jeweiligen Organisation angepasst. Dies kritisch. Ein Datentransfer aus der EU prüft und Empfehlungen, insbesondere
sollte durch die Erweiterung bestehender kann insofern auch dann gegeben sein, durch das Bundesamt für Sicherheit in
Festlegungen oder die Formulierung einer wenn zwar die Daten in der EU gehostet der Informationstechnik (BSI), beachtet
spezifischen Cloud-Strategie nachgeholt und verarbeitet werden, aber z.B. zum werden.
werden. Zwecke der Wartung oder des Supports
auf diese Daten aus einem Drittland
Datenschutz und Datensicherheit zugegriffen wird. Im Hinblick auf mögliche
In der öffentlichen Verwaltung sollten ein Drittstaatentransfers ist im Einzelfall zu
effektiver Datenschutz und eine hohe prüfen, welche möglichen Garantien
13Klassifizierung von möglichen Cloud-Plattformen und -Infrastrukturen Rechtssichere Beauftragung und
Cloud-Diensten üblicherweise begrenzt. Falls Dienste nur Beschaffung
Vor dem Gang in die Cloud stellt sich die mit einer begrenzten Anzahl von Tech- Wie an vorheriger Stelle bereits herausge-
Frage, welche Dienste und Daten der nologien kompatibel sind, sollte vor einer arbeitet, liegt derzeit kein EVB-IT-Vertrag
IT-Landschaft sinnvollerweise in die Cloud Cloud-Migration eine Überarbeitung der vor, der speziell für den Cloud-Einsatz in
migriert werden können bzw. sollten. Hier Dienst-Architektur in Betracht gezogen der öffentlichen Verwaltung geeignet ist.
spielen verschiedene Faktoren eine Rolle. werden. Zwar gibt es bereits Bestrebungen, den ju-
Beispielhaft zu nennen sind vor allem der ristischen Rahmen hier nachzuziehen und
Grad der Standardisierung eines Dienstes Dabei sollte insbesondere in der öffent- an die Nutzungsmöglichkeit dieser Techno-
und die Anforderungen an den Daten- lichen Verwaltung auf offene Standards logie anzupassen, jedoch wird momentan
schutz sowie die Sicherheit der Daten. Zur gesetzt werden. Viele Cloud-Anbieter der Cloud-Einsatz beschaffungstechnisch
Schaffung von Kriterien zur Klassifizierung unterstützen die meisten offenen Stan- oftmals noch über Individualverträge oder
von Diensten und Daten sollte auf existie- dards verschiedener Branchen. Um eine eine Kombination verschiedener EVB-IT-
rende Standards für die öffentliche Ver- verteilte Umgebung zu steuern, haben sich Verträge gelöst. Eine rechtssichere und
waltung zurückgegriffen werden, darunter mittlerweile zahlreiche Hilfsmittel etabliert, einheitliche juristische Regelung für die
insbesondere die „Mindeststandards des darunter eine Reihe von Multi-Cloud- Beauftragung und Beschaffung im Bereich
BSI zur Nutzung externer Cloud-Dienste“ Management-Tools unterschiedlicher Her- Cloud sollte für die öffentliche Verwaltung
sowie „Vorgehensweise und Kriterien zu steller wie BMC Software, Cisco, IBM, Micro- so schnell wie möglich erlassen und umge-
Inanspruchnahme und Beschaffung von soft und VMware. Daneben bieten einige setzt werden.
Cloud-Diensten der IT-Wirtschaft“ des Drittanbieter sowie Open-Source-Projekte
IT-Planungsrats. anpassbare Speziallösungen an. Hierzu
zählen beispielsweise Nagios, SolarWinds
Die spezifische Klassifizierung ist auf Basis sowie Zabbix.
der individuellen Anforderungen der
jeweiligen Organisation zu entwickeln, da Durchführung der Migration
eine übergreifende Standardisierung in Das Vorgehen bei der Migration von
Deutschland aktuell noch aussteht. Als Ori- Daten und Diensten in die Cloud muss im
entierung für eine solche Standardisierung Einzelfall festgelegt werden, um die Brücke
kann beispielsweise das amerikanische zwischen bestehender IT-Landschaft und
FedRAMP (s. Infobox 4) dienen. Zielarchitektur zu schlagen. Nur so können
die digitale Transformation beschleunigt
Multi-Cloud-Architektur und die in der IT-Strategie gesteckten Ziele
Um einem potenziellen Lock-in-Effekt über Cloud-Plattformen erreicht werden.
entgegenzuwirken, ist die Architektur Viele Cloud-Anbieter haben Migrations-
der IT-Landschaft einer Organisation Frameworks für ihr Angebot geschaffen,
entsprechend auszurichten. Eine geeignete welche, basierend auf der zuvor definierten
Multi-Cloud-Architektur ist dabei oft der (Multi-)Cloud-Architektur, genutzt werden
Schlüssel. Durch die Nutzung mehrerer sollten.
Cloud-Dienste und die Verteilung von
Daten und Diensten auf verschiedene Neben dem „Gang in die Cloud“ sollte
Anbieter wird eine Abhängigkeit vermieden. auch immer ein möglicher Gang bzw.
Durch die geeignete Lieferantensteuerung Rückzug aus der Cloud geplant und in
und ein leistungsfähiges Architekturma- einer Ausstiegsstrategie festgelegt werden.
nagement kann digitale Souveränität er- Cloud-Anbieter sehen häufig in den ver-
möglicht, nachhaltig gewahrt und in vielen traglichen Konditionen Klauseln für Ände-
Fällen sogar ausgebaut werden. rungen ihres Geschäftsmodells vor, die ein
Grund für die Entscheidung zu einem
Für die Entwicklung einer Multi-Cloud- Anbieterwechsel sein können. Die recht-
Architektur sind die Elemente der beste- zeitige Festlegung einer eigenen Ausstiegs-
henden IT-Landschaft auf Kompatibilität und Migrationsstrategie und dahingehen-
und Abhängigkeiten zu prüfen. Wenn den vertraglichen Vorsorge kann dieses
Systeme für den Betrieb mit älteren Tech- Risiko maßgeblich reduzieren.
nologien ausgelegt sind, ist die Auswahl an
14Die Cloud in der öffentlichen Verwaltung möglich machen
„Die Nutzung von Cloud-
Technologie kann einen
wichtigen Beitrag dazu
leisten, die Digitalisierung
der deutschen Verwaltung
schneller voranzutreiben.
Die gezielte Vermeidung von
Lock-in-Effekten ist dabei
ein geeignetes Instrument
zur Herstellung von digitaler
Souveränität.“
Felix Dinnessen, Partner
1516
Die Cloud in der öffentlichen Verwaltung möglich machen
Fazit
Die Nutzung von Cloud-Technologie kann Auswirkungen in der Cloud hat dieser
einen wichtigen Beitrag dazu leisten, die Artikel aufgezeigt. Wird die Abhängigkeit
Digitalisierung der deutschen Verwaltung gegenüber einem einzelnen Anbieter durch
schneller voranzutreiben. Der Cloud- Anwendung dieser Strategie reduziert,
Einsatz und darauf aufsetzende Applika- kann die digitale Souveränität gewahrt
tionen machen es möglich, den zum Teil bleiben. Der im weltweiten Vergleich streng
bereits angestoßenen, ambitionierten ausgelegte europäische Datenschutz sollte
Vorhaben und Projekten einen zusätzlichen beim Gang in die Cloud nicht als Hinder-
Schub zu geben. Für eine effiziente wie um- nis, sondern viel mehr als europäisches
sichtige Nutzung der Cloud im öffentlichen Qualitätsmerkmal gesehen werden, der
Sektor sind die richtigen Rahmenbedin- die digitale Souveränität der öffentlichen
gungen und Voraussetzungen, juristisch Behörden und Institutionen in Deutschland
als auch technisch, von größter Bedeutung. und somit auch der Unternehmen und
Darüber hinaus ist es bedeutend, mit Blick Bürger sicherstellt und schützt.
auf die Wahrung der staatlichen (Daten-)
Souveränität in Europa, sich nicht in nur In bestimmten Bereichen des öffentlichen
schwer umzukehrende Abhängigkeiten Sektors gilt es noch einmal, besondere
von außereuropäischen Unternehmen zu Herausforderungen im Bereich der digi-
begeben. talen Souveränität zu beachten, so zum
Beispiel im Bereich der inneren Sicherheit,
Hier gilt es für die öffentliche Verwal- der Verteidigung oder der kritischen Inf-
tung, sich aus organisationaler als auch rastruktur. Die nächste Publikation dieser
technischer Ebene so aufzustellen, dass Serie wird einen Blick auf die spezifischen
Lock-in-Effekte vermieden oder zumindest Rahmenbedingungen und Herausforderun-
eingeschränkt werden. Wichtige Eckpunkte gen in sicherheitsrelevanten Anwendungs-
einer Strategie zur Vermeidung solcher szenarien werfen.
17Kontakte Peter J. Wirnsperger Felix Dinnessen Dr. Soentje Julia Hilberg Partner | Public Sector Partner | Public Sector Director | Deloitte Legal Tel: +49 40 32080 4675 Tel: +49 221 9732 4128 Tel: +49 30 2546 8225 pwirnsperger@deloitte.de fdinnessen@deloitte.de shilberg@deloitte.de Weiterer Ansprechpartner Mosche Orth Public Policy Manager | EU Policy Centre Tel: +49 151 58071859 moorth@deloitte.de Unter Mitwirkung von: Stella Janzen und Bastian Kalytta, Public Sector Consulting
Die Cloud in der öffentlichen Verwaltung möglich machen
01. Endspurt OZG, Behörden Spiegel Newsletter, Nr. 1.064, 30.04.2021.
02. Nationaler Normenkontrollrat, Monitor Digitale Verwaltung #5, Mai 2021, abgerufen am 28.05.2021.
03. Europäische Kommission, Commercial sector: EU-US Privacy Shield, Juli 2020, abgerufen am 31.05.2021.
04. Kompetenzzentrum Öffentliche IT, Cloud-Betrieb im öffentlichen Sektor: Selbstbedienung, Automatisiert,
Februar 2021, abgerufen am 28.05.2021.
05. Statista, Cloud Infrastructure Market, Februar 2021, abgerufen am 04.06.2021.
06. Europäische Kommission, Europäische Datenstrategie, Februar 2020, abgerufen am 26.05.2021.
07. Europäische Kommission, Regulation of the European Parliament and of the Council, November 2020,
abgerufen am 26.05.2021.
08. Europäische Kommission, Commission proposes measures to boost data sharing and support European
data spaces, November 2020, abgerufen am 26.05.2021.
09. Europäische Kommission, Towards a next generation cloud for Europe, März 2021, abgerufen am 26.05.2021.
10. Europäische Kommission, Europas Digitale Dekade: digitale Ziele für 2030, März 2021,
abgerufen am 26.05.2021.
11. EU Cloud CoC, The EU Cloud Code of Conduct becomes first GDPR code of conduct to receive green light
from data protection authorities, Mai 2021, abgerufen am 26.05.2021.
12. EU Cloud CoC, The EU Cloud Code of Conduct becomes first GDPR code of conduct to receive green light
from data protection authorities, Mai 2021, abgerufen am 26.05.2021.
13. Federal Risk and Authorization Management Program, abgerufen am 01.06.2021.
14. Siebel, Thomas, Gaia-X bietet neue Chancen für die Industrie 4.0, Industrie 4.0, Juli 2020,
abgerufen am 28.05.2021.
15. GAIA-X, GAIA-X: Technical Architecture, Juni 2020, abgerufen am 27.05.2021.
16. Handelsblatt, Start-up Aiven verspricht einen einfachen Wechsel des Cloud Anbieters,
abgerufen am 28.05.2021.
17. Handelsblatt, Start-up Aiven verspricht einen einfachen Wechsel des Cloud Anbieters,
abgerufen am 28.05.2021.
18. Handelsblatt, Start-up Aiven verspricht einen einfachen Wechsel des Cloud Anbieters,
abgerufen am 28.05.2021.
19Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited („DTTL“), ihr weltweites Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen (zusammen die „Deloitte-Organisation“). DTTL (auch „Deloitte Global“ genannt) und jedes ihrer Mitgliedsunternehmen sowie ihre verbundenen Unternehmen sind rechtlich selbstständige und unabhängige Unternehmen, die sich gegenüber Dritten nicht gegenseitig verpflichten oder binden können. DTTL, jedes DTTL-Mitgliedsunternehmen und verbundene Unternehmen haften nur für ihre eigenen Handlungen und Unterlassungen und nicht für die der anderen. DTTL erbringt selbst keine Leistungen gegenüber Mandanten. Weitere Informationen finden Sie unter www.deloitte.com/de/ UeberUns. Deloitte ist ein weltweit führender Dienstleister in den Bereichen Audit und Assurance, Risk Advisory, Steuerberatung, Financial Advisory und Consulting und damit verbundenen Dienstleistungen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Unser weltweites Netzwerk von Mitgliedsgesellschaften und verbundenen Unternehmen in mehr als 150 Ländern (zusammen die „Deloitte-Organisation“) erbringt Leistungen für vier von fünf Fortune Global 500®-Unternehmen. Erfahren Sie mehr darüber, wie rund 330.000 Mitarbeiter von Deloitte das Leitbild „making an impact that matters“ täglich leben: www.deloitte.com/de Diese Veröffentlichung enthält ausschließlich allgemeine Informationen. Weder die Deloitte GmbH Wirtschaftsprüfungsgesellschaft noch Deloitte Touche Tohmatsu Limited („DTTL“), ihr weltweites Netzwerk von Mitgliedsunternehmen noch deren verbundene Unternehmen (zusammen die „Deloitte-Organisation“) erbringen mit dieser Veröffentlichung eine professionelle Dienstleistung. Diese Veröffentlichung ist nicht geeignet, um geschäftliche oder finanzielle Entscheidungen zu treffen oder Handlungen vorzunehmen. Hierzu sollten Sie sich von einem qualifizierten Berater in Bezug auf den Einzelfall beraten lassen. Es werden keine (ausdrücklichen oder stillschweigenden) Aussagen, Garantien oder Zusicherungen hinsichtlich der Richtigkeit oder Vollständigkeit der Informationen in dieser Veröffentlichung gemacht, und weder DTTL noch ihre Mitgliedsunternehmen, verbundene Unternehmen, Mitarbeiter oder Bevollmächtigten haften oder sind verantwortlich für Verluste oder Schäden jeglicher Art, die direkt oder indirekt im Zusammenhang mit Personen entstehen, die sich auf diese Veröffentlichung verlassen. DTTL und jede ihrer Mitgliedsunternehmen sowie ihre verbundenen Unternehmen sind rechtlich selbstständige und unabhängige Unternehmen. Stand 07/2021 20
Sie können auch lesen
