Multi-Cloud in der Verwaltung erfolgreich machen - Positionspapier - Autor:innen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Positionspapier
Multi-Cloud in
der Verwaltung
erfolgreich machen
Autor:innen
Werner Achtert Ines Fiedler
Dr. Gregor Költzsch Pia LanskyFür einen Staat im digitalen Zeitalter
Das Nationale E-Government Kompetenzzentrum ist Fachnetzwerk und Denkfabrik für die
Digitale Verwaltung.
Wir bündeln die Expertise von Unternehmen, Forschungseinrichtungen, öffentlichen Körper-
schaften und Verbänden, um die Digitalisierung der deutschen Verwaltung zu unterstützen
und voranzutreiben.
Wir veröffentlichen Studien und Impulse, veranstalten Austauschformate, vermitteln Kompe-
tenzen und bringen uns in die Fachdiskussion ein.
negz.org
negz-nationales-e-government-kompetenzzentrum-e-v
negz_org
1AUF EINEN BLICK
Cloud-Infrastrukturen bergen große Vorteile für den öffentlichen Sektor. Wie der öffentliche Sektor
diese mit einer Multi-Cloud-Strategie geschickt nutzen kann, dazu führt dieses Positionspapier die
im NEGZ vertretene Expertise aus Wirtschaft, Wissenschaft und Verwaltung zusammen.
Bei der Gestaltung der Multi-Cloud für die Verwaltung sollten Fachpolitiker:innen und IT-Verant-
wortliche die folgenden vier Handlungsfelder beachten:
1. Den politischen und regulatorischen Rahmen für den Einsatz von Cloudtechnologien setzen.
2. Eine zweckmäßige Gesamtarchitektur entwerfen, die das Big Picture der digitalen Transforma-
tion mit der Multi-Cloud zeichnet.
3. Fachverfahren für die Multi-Cloud passgenau machen.
4. Eine Governance-Struktur aufsetzen, die eine stringente Steuerung der Umsetzung garantiert.
Bundes-Cloud
Cloud
Infrastructure
Öffentlicher Nationaler
Anbieter Hyperscaler
Cloud Mul
-Cloud der Cloud
Infrastructure Verwaltung Infrastructure
Privater
Anbieter
Cloud
Infrastructure
Um die Komplexität einer Multi-Cloud zu meistern, sollten Wirtschaft, Wissenschaft und Verwaltung
diese Handlungsfelder im Dialog gestalten.
Das Ziel dieses Dialogs ist die Gewährleistung eines zügigen Aufbaus, eines erfolgreichen Betriebes
und die effektive Nutzung einer Multi-Cloud Umgebung in der Verwaltung.
2INHALT
MULTI-CLOUD IN DER VERWALTUNG 4
VIER HANDLUNGSFELDER 6
Handlungsfeld 1: Politischer und regulatorischer Rahmen für den Einsatz der Cloudtechnologien 6
„Cloud First“-Strategie im Fokus behalten 6
Europäischen Datenschutz und BSI-Standards als Basis für die Multi-Cloud-Umgebung nutzen 6
Zugang für GovTech-Unternehmen schaffen und damit den Technologieschub ermöglichen 7
Handlungsfeld 2: Zweckmäßige Gesamtarchitektur als Big Picture der digitalen Transformation 8
Für die Schlüsseltechnologie Cloud eine gemeinsame Sprache und ein gemeinsames Bild definieren 8
Die Zweckmäßigkeit der Gesamtarchitektur durch die Reduktion auf das Machbare erzeugen 8
Mindeststandards für das Betriebsmodell festlegen, damit Standard-IT-Lösungen entstehen 9
Handlungsfeld 3: Passgenaue Fachverfahren 10
Die Komplexität für eine betreibbare Multi-Cloud-Umgebung bestmöglich reduzieren 10
Einen passenden Software-Entwicklungsprozess für die Cloud aufsetzen 10
Ein Cloud-Assessment als Basis für die Festlegung des cloud-ready-Prädikats des Fachverfahren nutzen 10
Handlungsfeld 4: Governance für stringente Umsetzungssteuerung 11
Klarheit der Führung schärfen, Ziele operationalisieren und Aufgaben definieren 12
Risiken transparent machen, damit nur die grundlegenden Risiken übrigbleiben 12
Schnelles Abrufen der Services aus der Cloud mit angepasstem Vergabeprozess ermöglichen 12
Synergien heben durch partnerschaftliche Steuerung von Verwaltung, Wissenschaft und Wirtschaft 12
FAZIT UND AUSBLICK 14
GLOSSAR 15
3MULTI-CLOUD IN DER VERWALTUNG
Die digitale Transformation ist in Bund, Ländern Transformation in der Verwaltung unterstützen
und Kommunen im vollen Gange: Vertraute Hand- kann. Das reicht bis zur Frage, ob der Aufbau einer
lungsmuster in der Verwaltung müssen durch Multi-Cloud Umgebung überhaupt notwendig
neue ersetzt werden; IT-Vorhaben aus dem „stil- ist. Die gleichen Fragen stellen sich auch im
len Kämmerlein“ sind überholt. Heute steht mit privaten Sektor. Allerdings hat dieser die Vor-
dem OZG-Baustein „Einer für Alle (EfA)“ die Nach- teile und Chancen von Multi-Cloud-Umgebungen
nutzung von Vorhandenem an erster Stelle. Die- inzwischen erkannt; sodass die Nutzung von
ses Umdenken reicht bis zur Frage: Wie viel Infra- Cloudinfrastrukturen stetig steigt. Während dieser
struktur lässt sich gemeinsam nutzen? Ein Faktor Entwicklung hat die Wirtschaft viel Kompetenz
ist hierbei die Nutzung einer Multi-Cloud. Auf einer zu den Umsetzungsprinzipien aufgebaut und Vor-
Multi-Cloud können beliebig viele Anwender Soft- behalte abgebaut: Sicherheit, Datenschutz, Ska-
lierbarkeit, Schnelligkeit sind Erfolgsattribute der
ware nachnutzen. Dieses Vorgehen findet nicht nur
Multi-Cloud-Nutzung.
Unterstützer. Immerhin leben viele Rechenzen-
trumsbetreiber von den individuellen Umsätzen Auch in Bund, Ländern und Kommunen ist der
individueller Betriebsszenarien. Wird das EfA- Start mit diversen Initiativen gelungen und geht
Prinzip konsequent angewendet, wird die Nach- mit dem notwendigen Kompetenzaufbau einher.
nutzung von Software im Multi-Cloud-Betrieb um- Beispielweise beauftragte der IT-Planungsrat 2020
gesetzt. So wird die Multi-Cloud zum Treiber für die „AG Cloud Computing und Digitale Souveräni-
gemeinsam genutzte Infrastrukturen, über die sich tät“, gemeinsame Standards und Schnittstellen zu
Services übergreifend bereitstellen lassen. entwickeln und Rahmenbedingungen für die IT-
Beschaffung zu definieren. Im gleichen Jahr be-
Im November 2021 wurde der Aufbau einer Multi-
schloss der IT-Planungsrat die Deutsche Verwal-
Cloud-Umgebung im Koalitionsvertrag veran-
tungscloud-Strategie (DVS). Die Mitglieder der
kert. Kurz zuvor hat der Bund mit der „Deutschen
AG Cloud sind IT-Dienstleister aus Bund, Län-
Verwaltungscloud-Strategie“ im IT-Planungsrat
dern und Kommunen mit technischem Know-
die Standards für die Multi-Cloud-Umgebung
how und vielfältigen Betriebserfahrungen im öf-
herausgegeben. Ziele sind u. a. die Zukunftsfähig-
fentlichen Sektor. Die gemeinsamen Ergebnisse
keit zu sichern und die digitale Souveränität zu
der AG bestätigen das enorme Potential der Mul-
wahren. Ein großes Potenzial – für Bedarfsträger
ti-Cloud auch für die Verwaltung. Dazu sind die
und Nutzer von Verwaltungsleistungen – liegt in
föderalen Interessen der Mitglieder mehr und
der Verfügbarkeit effektiver Anwendungen (as a
mehr dem Ziel einer gemeinsamen Multi-Cloud-
Service) über die Multi-Cloud.
Umgebung unterzuordnen.
Um diese Ziele zu erreichen, braucht es ein einheit- Daneben gibt es Initiativen der Verwaltung und
liches Verständnis in Bund, Ländern und Kom- öffentlicher IT-Dienstleister – als Gemeinschafts-
munen, was die Multi-Cloud-Umgebung der oder Individualprojekt –, um den Aufbau konkreter
deutschen Verwaltung erreichen soll. Momen- Infrastrukturen anzuschieben und eigene Cloud-
tan existieren diverse Definitionen und Erwar- Infrastrukturen aufzubauen. Zur Beschleuni-
tungen, wie diese Infrastruktur die digitale gung dieser und nächster Aktivitäten lässt sich
4Bewährtes aus der Wirtschaft adaptieren; die In diesen vier Handlungsfeldern geben wir in
Kompetenzen von Privatwirtschaft und Wissen- den folgenden Kapiteln konkrete Empfehlungen
schaft sind nutzbar. für Politik und Verwaltung.
Cloudnutzung bedeutet auch in der Wirtschaft, Die Politik sollte den regulatorischen Rahmen
die eigene IT neu zu denken und Aufgaben zu setzen und transparent darstellen, was für den
verlagern. Die Erfahrungen von CIOs, Cloudbe- Cloudaufbau geht und was nicht. Sie muss für
treibern und Fachverfahrensentwicklern können die Grundlagen einer klaren Governance sorgen,
viel dazu beitragen, das Maß an Cloudifizierung sodass sich – auch bei geteilten Verantwortlich-
und deren Umsetzung auch in der Verwaltung zu keiten – die Multi-Cloud stringent steuern lässt.
handhaben. Zudem hängt eine erfolgreiche Um-
setzung und Nutzung von Cloudinfrastrukturen Die Verwaltung sollte die Gesamtarchitektur ent-
im öffentlichen Sektor ebenso wie die gesamte werfen. Diese muss die Prozess-, Service,- Fach-
Verwaltungsdigitalisierung vom erfolgreichen Zu- verfahrens- und Infrastruktur-Ebene umfassen.
sammenspiel der Akteure und Anbieter in Ver- Auch ist es Aufgabe der Verwaltung, hier klare,
waltung und Wirtschaft ab. eindeutige Standards zu definieren.
Basierend auf unseren Erfahrungen im NEGZ, Wir sind überzeugt, dass die Nutzung von Cloud-
haben wir in diesem Positionspapier Empfehlun- infrastrukturen für den öffentlichen Sektor er-
gen zusammentragen, um Aufbau, Betrieb und hebliche Vorteile und Chancen bietet. Mit unse-
Nutzung von Multi-Cloud in der Verwaltung er- ren Erfahrungen und unserem Wissen zu den
folgreich zu gestalten. Wir haben hierfür folgen- spezifischen Anforderungen der Verwaltungs-
de vier Haupt-Handlungsfelder identifiziert: digitalisierung wollen wir dazu beitragen, die-
se Chancen Hand-in-Hand mit der Verwaltung
1. Den passenden politischen und regulator-
ischen Rahmen für den Einsatz von Cloud- zu nutzen.
technologien setzen.
2. Eine zweckmäßige Gesamtarchitektur ent-
werfen, die das Big Picture der digitalen Trans-
formation mit der Multi-Cloud zeichnet.
3. Fachverfahren für die Multi-Cloud passgenau
machen.
4. Eine passende Governance aufsetzen, die eine
stringente Steuerung der Umsetzung garantiert.
Ausgangslage Cloud Migration
Zielkonflikte • Intransparenz • Heterogene Initiativen Handlungsfelder Hohe Komplexität • Hoher Veränderungsbedarf
Zweckmäßige
Passgenaue
Gesamtarchitektur
Stringente Fachverfahrensent-
Governance wicklung
Politische und regulatorische Rahmensetzung
Ziel
Multi-Cloud mit serviceorientierter Anwendbarkeit
5VIER HANDLUNGSFELDER
Handlungsfeld 1: Politischer und regulatorischer Rahmen für den Ein-
satz der Cloudtechnologien
Der Einsatz von Cloudtechnologien fördert die di- damit überflüssig. Die Akteure können sich
gitale Transformation der Verwaltung und viele darauf konzentrieren, wie der Einsatz in der
weitere politische Ziele. Die technischen Optio- Multi-Cloud erfolgt. Der Betrieb außerhalb der
Multi-Cloud ist nur in begründeten Ausnahme-
nen von Cloud Computing ermöglichen die Nut-
fällen vertretbar. Bereits heute gibt es viele Ini-
zung klimaneutraler Rechenzentren, staatliche
tiativen mit dem “Cloud First“-Ansatz in Politik
Souveränität, Krisen-Resilienz sowie Sicherheit
und Verwaltung. So haben die EU (DIGIT), die
und Handlungsfähigkeit des Staates.
Bundesregierung sowie die Länder und Kom-
Doch der Einsatz innovativer Technologien wie munen konkrete Vorhaben zum Umgang mit
Cloud braucht eine gute politische und regulato- den technischen Möglichkeiten der Cloud-Ent-
rische Begleitung. In der Wirtschaft haben sich wicklungen initiiert. Ein verbindlicher ebenen-
übergreifender Rahmen “Cloud First“ ist aller-
mit der Nutzung von Cloud Computing Geschäfts-
dings noch nicht definiert. Eine entsprechende
modelle komplett geändert. Diese Veränderun-
politische Festlegung würde den Weg hin zur
gen waren entsprechend für Auftraggeber, Kun-
Multi-Cloud-Umgebung fordern und fördern.
den, Partner und Mitarbeitende vielschichtig zu
Bei Gesetzen zur Digitalisierung der Verwal-
flankieren. Strategische und operative Rahmen-
tung empfehlen wir eine solche Festlegung.
bedingungen waren zu schaffen, die allen Betei-
Auch befürworten wir eine entsprechende For-
ligten die Dringlichkeit und den Nutzen der Ver-
mulierung für das OZG 2.0 Gesetz.
änderung verdeutlicht haben. Diese Aktivitäten
sind auch auf den öffentlichen Sektor übertrag-
Europäischen Datenschutz und BSI-Standards
bar. Auch hier braucht es politische und regula- als Basis für die Multi-Cloud-Umgebung nutzen.
torische Rahmenbedingungen, um die Verände-
Sicherheitspolitische Vorgaben zum Einsatz
rungen hin zur Multi-Cloud in der Verwaltung
der Cloud sind im Bereich Datensicherheit und
zu bewältigen.
Cyberkriminalität umfangreich vorhanden.
Datenschutzgesetze sowie Standards des BSI
“Cloud First“-Strategie im Fokus behalten.
garantieren eine souveräne Cloudnutzung. Be-
Die Orientierung an der politische Maxime “Cloud reits heute existieren viele Regularien, Hand-
First“ schafft Transparenz, Verbindlichkeit und reichungen und Zertifizierungen für Cloudbe-
Entscheidungssicherheit bei den Beteiligten. treiber und staatliche Auftraggeber. Die darin
Werden alle IT-Vorhaben prioritär auf das Um- enthaltenen Anforderungen sind hoch; sie bei
setzungsszenario in der Multi-Cloud-Umgebung der Umsetzung einzuhalten ist entsprechend
hingewiesen, wird eine Beschäftigung mit dem aufwendig und mit hohen Kosten verbunden.
Thema Cloud bestmöglich erwirkt. Die Frage, ob Bisher mangelt es jedoch an einer einheitlichen
ein Cloudeinsatz überhaupt notwendig ist, wird Vorgabe, welche konkreten Standards, Anfor-
6derungen oder Voraussetzungen eine Cloud-Um- Für GovTech-Unternehmen wäre es reizvoll, ab
gebung für die Verwaltung zwingend erfüllen Tag 1 der Beauftragung eine Cloud-Plattform ein-
muss. Das erschwert es für die Cloudbetreiber, zusetzen. Sie können so schnelle Entwicklungs-
nachhaltige Investitions- und Betriebsszenarien und Updatezyklen umsetzen, direkt auf der
zu entwickeln und aufzubauen. Sie benötigen ein späteren Betreiberplattform ihre Software pro-
verlässliches Set von Sicherheitskriterien für die duzieren und State-of-the-art-Technologie nut-
Multi-Cloud, die die öffentliche Hand definiert. zen. Damit ergeben sich enorme Erfolgschancen
für die Digitalisierung der Verwaltung hinsicht-
Zugang für GovTech-Unternehmen schaffen und
lich Geschwindigkeit, Standardisierung und Sy-
damit den Technologieschub ermöglichen.
nergienutzung. Eine solche Plattformfreigabe ist
Die Nutzung der Multi-Cloud-Umgebung impli- für GovTech-Unternehmen attraktiv: Sie können
ziert auch für GovTech-Unternehmen, insbeson- damit die Veränderung hin zu modernen Abläu-
dere für Fachverfahrensentwickler, neue Anfor- fen, neuen Rollen und agilen Formen der Zusam-
derungen und Abläufe. menarbeit implementieren.
Viele Fachverfahren sind nicht “ready“ für die
neue Cloud-Infrastruktur. Werden Anpassun-
gen erst nach der Bereitstellung vorgenommen,
kann dies lange dauern. Das entfällt, wenn die
Fachverfahrensentwickler wissen, wie die Mul-
ti-Cloud- Infrastruktur konkret zu gestalten und
umzusetzen ist und wann sie ihren gesamten
Developmentprozess auf der Cloud-Umgebung
starten können.
„Cloud First“ Europäischer Datenschutz Zugang für GovTech-
Strategie und BSI-Standards Unternehmen
Polischer und regulatorischer Rahmen für den Einsatz der Cloudtechnologien
Bundes- Landes- Kunden der IT-Dienstleister Datenschutzbe- Fachverfahrens- Cloudbetreiber
verwaltung verwaltung Kommunen Verwaltung öffentl. Verwaltung auftragte & BSI hersteller & Hyperscaler GovTech
7Handlungsfeld 2: Zweckmäßige Gesamtarchitektur als Big Picture der
digitalen Transformation
Die Effekte der „Cloudifizierung“ werden häufig oder nationaler Hyperscaler. Begriffe und Ini-
sehr technokratisch beschrieben. Im Kontext der tiativen sind noch nicht eindeutig definiert und
digitalen Transformation erschließt sich nicht klar voneinander abgegrenzt; das erschwert die
jedem Beteiligten die Verortung der neu aufzu- Debatten und führt zu Missverständnissen in der
bauenden Multi-Cloud im Gesamtbild. Für den Kommunikation. Es zeigt aber auch, dass das
einzelnen Entscheider gibt es bisher nur wenige Zielbild – das Big Picture – zu schärfen ist.
fassbare Nutzungsbeispiele; auch der Zusam-
Infrastrukturen, Funktionalitäten und Applikati-
menhang zur „Digitalisierung der Verwaltung“
onen sind klar und einheitlich zu definieren. Auf
insgesamt ist bisher ungeklärt.
dieser Basis lässt sich ermitteln, mit welchem
Politik und Verwaltung sind es gewohnt, föderal Aufwand welche Funktionalität und Applika-
zu agieren. Die Cloudszenarien entwerfen eher tion auf welcher Infrastruktur kurz-, mittel- und
einen zentralistischen Ansatz und lassen bisher langfristig betrieben werden soll. Dieses Big
noch die Einordnung in ein großes Bild vermis- Picture zeigt die Gesamtzusammenhänge und
sen. Doch ein zweckmäßiger Architekturansatz, ermöglicht eine klare Abgrenzung zwischen den
der zentrale IT-Komponenten föderal nutzbar Initiativen, ein gemeinsames Verständnis und ef-
macht, bedarf einer Veranschaulichung; die fektiveres Vorgehen.
technische Machbarkeit allein hat keine ausrei-
Ein solches Gesamtarchitekturbild bietet die
chende Überzeugungskraft. Damit die Beteilig-
Grundlage zu entscheiden, welche kommerziellen
ten das Big Picture akzeptieren und sich darauf
Dienste der Cloud, welche Fachverfahren und wel-
einstellen können, sind existierende Architek-
che Verwaltungsservices genutzt werden können.
turvorstellungen zu berücksichtigen. Ist das Big
Picture „Was wollen wir erreichen und wo wollen Die Zweckmäßigkeit der Gesamtarchitektur durch
wir hin“ beschrieben, braucht es ein Commit- die Reduktion auf das Machbare erzeugen.
ment der Stakeholder. Denn die Umsetzung er-
Hohe Ansprüche an Cloud-System-Architektu-
fordert das Zusammenwirken vieler Experten,
ren sind schnell formuliert: In der Verwaltung
die für ihre Zusammenarbeit ein einheitliches
ergeben sich vielschichtige Anforderungen an
Bild, ein gemeinsames Verständnis und Verbind-
den Datenschutz, IT- und Cybersicherheit. An-
lichkeit benötigen.
dererseits bilden die Architekturprinzipien der
Verwaltungscloud industrieübliche Standards für
Für die Schlüsseltechnologie Cloud eine gemein-
Virtualisierung ab. Dabei geht es um Virtualisie-
same Sprache und ein gemeinsames Bild definieren
rung, containerbasierte Architekturen und of-
Der gemeinsame Wille zum Aufbau einer Cloud fene Schnittstellen. Als Konsequenz heißt das,
der öffentlichen Verwaltung ist gegenwärtig. die bloße Abbildung dieser gängigen Architek-
Konträr dazu verwenden vorhandene Initiati- turprinzipien ist nicht hinreichend. Die spezi-
ven unterschiedliche Begriffe. Zu nennen sind fischen Anforderungen der Verwaltung sind zu
Deutsche Verwaltungscloud, Multi-Cloud-System berücksichtigen.
8Das Machbare sollte sich an der Lauffähigkeit Mindeststandards für das Betriebsmodell festlegen,
der Fachverfahren, der Wirtschaftlichkeit und damit Standard-IT-Lösungen entstehen.
der Verfügbarkeit von Wissen in der öffentlichen
Die Verwaltung wird nicht unabhängig vom
Verwaltung orientieren.
Markt und unabhängig von privaten Anbie-
So sind erforderliche Zertifizierungen und tern bei Aufbau, Umsetzung und Betrieb von
Testate hohe Hürden. Zu berücksichtigen ist Cloud-Infrastrukturen agieren. Die Privatwirt-
auch die Verfügbarkeit des BSI: Wie viele große schaft ist ein wichtiger Partner der Verwaltung
Cloud-Infrastrukturen kann das BSI zeitgleich und hat bereits Standard-Lösungen im Einsatz.
absichern und jährlich auditieren? Unterstützt Die öffentliche Verwaltung kann anhand der
die EU? Auch die „Zersplitterung der Zertifizie- Erfahrungen und eingesetzten Alternativen
rungsmodelle innerhalb der EU als Grund für der privaten Wirtschaft geschickt ihre eige-
das nur geringe Vertrauen des Marktes im Be- nen Anforderungen aufbauen. Dafür sollte ein
reich Cloud Computing“ zeigt Raum für Weiter- iterativer Prozess angestrebt werden, in dem
entwicklungen. Lassen sich Allianzen zwischen
1
Cloudbetreiber und Auftraggeber gemeinsam
den Ländern aufbauen? Zum Beispiel für Zertifi- Lösungen erarbeiten. So lassen sich Betreiber-
zierungsverfahren zu nationalen Clouds, wie sie modelle, Serviceanforderungen und Nachnut-
in Frankreich und Deutschland geplant werden? zungsmodelle für die Software sowie permanent
Diese Fragen sind auf Basis der Machbarkeit und
notwendige Innovationen gemeinsam erarbeiten.
Verfügbarkeit zu klären.
Zu diskutieren bleibt, in welchem Maße die Ver-
Ein weiterer Aspekt sind die Architekturkonzep-
waltung unabhängig von konkreten Marktent-
te der knapp 700 Fachverfahren, die cloudfähig
wicklungen Mindeststandards festlegen will.
umgestaltet werden müssten. Hierbei geht es
Im Vordergrund sollte vielmehr stehen, wie die
auch um die wirtschaftliche Betrachtung. Idea-
Verwaltung von den innovativen Entwicklungen
lerweise wird für die Gesamtheit der Aufwand
und Services profitieren kann und welche Ko-
wirtschaftlich geschätzt, um dann zu entschei-
operationsmodelle zwischen Verwaltung und
den, für welche Fachverfahren sich die Um-
Wirtschaft dafür nötig sind. So lässt sich eine
stellung lohnt und in welcher Reihenfolge diese
effektive, effiziente Aufgabenteilung etablieren
erfolgen kann. Erst diese Bewertung zeigt die
und definieren: Wer erbringt welche Leistungen
Zweckmäßigkeit der Gesamt-Cloud-Architektur.
bei der Gestaltung der Verwaltungscloud und
Das Big Picture der Cloud - Infrastrukturen, welche Voraussetzungen sind dafür notwendig?
Funktionalitäten und Applikationen
Die föderale IT-Landschaft
Reduktion auf das Machbare durch Bewertung
für alle Fachverfahren
Datenschutz Sicherheitsanfragen
www.fitko.de/fileadmin/fitko/foederale-koordination/gremienarbeit/Foederales
_IT-Architekturboard/20220610_Foederale_IT-Landschaft_Poster_v1.01.pdf
Mindeststandards festlegen Technische Machbarkeit Aufwandsgröße
1
„Sicheres IT-Outsourcing für Kommunen“,
Prof. Dr. Dirk Heckmann, Jannik Zerbst, LL.M., 2019, S. 21
9Handlungsfeld 3: Passgenaue Fachverfahren
Die Fachverfahrensentwicklung verändert sich Einstieg in die Cloud-Technologie. Diese zentra-
durch die Nutzung der neuen Cloudtechnologien len Clouds müssen so serviceorientiert funktio-
grundlegend. Der Software-Entwicklungsprozess nieren, dass Kommunen nicht zahlreiche paral-
wird für cloudbasierte Plattformszenarien ange- lele lokale Installation betreiben. Voraussetzung
passt. So werden Rahmenbedingungen für das für diese serviceorientierten Clouds ist ein star-
Onboarding von Fachverfahren benötigt; neue kes Partnernetzwerk.
Rollen für Betriebsszenarien und kurz getaktete
Updates (Continuous Deployment) werden defi-
Einen passenden Software-Entwicklungsprozess
niert. Bisher praktizierte organisatorische Ab-
für die Cloud aufsetzen.
grenzungen zwischen Fachverfahrenshersteller
und Cloudbetreiber verändern sich und müssen Prozesse, Rollen und Abläufe ändern sich für
neu erprobt werden. Fachverfahrenshersteller in einer Cloud-Umge-
bung komplett. Dabei benötigt der Fachverfah-
renshersteller keine eigene Infrastruktur mehr.
Die Komplexität für eine betreibbare Multi-Cloud-
Er entwickelt sofort auf der Infrastruktur des
Umgebung bestmöglich reduzieren.
Cloudbetreibers. Das Zusammenwirken von Ent-
Multi-Cloud heißt eine Vielzahl von Clouds wer- wicklung und IT-Betrieb verändert sich damit
den genutzt, um u. a. Fachverfahren für die entscheidend; beide Einheiten müssen in einer
Nutzer bereitzustellen. Doch wie gelingt es, neuen Qualität zusammenarbeiten. Neue Pro-
Fachverfahren auf Multi-Cloud-Infrastrukturen zesse und Rollen sind auszuprägen und cloud-
betreibbar zu gestalten? fähig zu gestalten (DevOps-Ansatz). Durch dieses
Zusammenwachsen werden kürzere Releasezy-
Für die Betreibbarkeit einer Multi-Cloud-Umge-
klen möglich und der Nutzer verfügt schneller
bung ist die Komplexität zu reduzieren. Dafür
über neue Funktionalitäten. Der Designansatz
sind verbindliche Standards beim Aufbau der
der Verwaltungscloud muss daher die spezifi-
einzelnen Clouds und bei der Fachverfahrensent-
schen Fachverfahrensabläufe berücksichtigen –
wicklung nötig. Sobald alle Beteiligten nach glei-
insbesondere das Zusammenwirken von Cloud-
chen Prinzipien die Cloud aufbauen und/oder die
betreiber und Softwarelieferanten.
Fachverfahren nach gleichen Regeln entwickeln,
ist auch bei steigender Anzahl von Clouds und
Fachverfahren die Multi-Cloud handhabbar. Dabei
Ein Cloud-Assessment als Basis für die Festlegung
stellt sich die Frage: Wie viele Standards sind des cloud-ready-Prädikats der Fachverfahren nutzen.
notwendig und in welchen Punkten ist heteroge-
nes Vorgehen förderlich? Existierende Fachverfahren benötigen ein Cloud-
Assessment. Dabei wird bewertet, ob und mit
Des Weiteren sind die Fachverfahren und Diens- welchem Aufwand das Fachverfahren in einer
te in einigen wenigen Clouds mit maximaler
Cloud betreibbar ist. Technische Machbarkeit,
Nutzerzahl zu bündeln. Dies reduziert die Kom-
Datenschutz- und Sicherheitsanforderungen so-
plexität ebenfalls und sichert einen effizienten
wie die Aufwandsgröße sind zu bewerten und an-
10hand ihrer Migrationsaufwände zu berechnen. Bei neuen Fachverfahren ist schon zum Start
das Prädikat “cloud-ready“ einzufordern, damit
Idealerweise lassen sich auf Basis dieser Bewer-
die neue Software nicht monolithisch entwickelt,
tung zunächst schnell umsetzbare Piloten identi-
sondern als eine verteilte Sammlung gekoppelter
fizieren und starten, anhand derer die öffentliche
Cloud-Services implementiert wird. Dabei ist der
Verwaltung gemeinsam mit den Fachverfahrens-
Softwarecode von der ersten Zeile an auf Hoch-
herstellern Erfahrungen in der neuartigen Cloud-
verfügbarkeit, Skalierbarkeit und Datensicher-
umgebung sammeln kann.
heit ausgerichtet. Verbindliche niederschwellige
Damit die Fachverfahren abschließend in der Richtlinien sind notwendig, wie ein Fachverfah-
Cloud betreibbar sind und damit auch das Prädi- ren das Prädikat erwirbt. Das garantiert die not-
kat “cloud-ready“ aufweisen, sind Investitionen wendige verbesserte Qualität der Softwareent-
notwendig und sinnvolle Anreize für alle Betei- wicklung für die Multi-Cloud-Umgebung.
ligten erforderlich.
Bundes-Cloud
Cloud
Infrastructure
Cloud Cloud
Infrastructure Infrastructure
Cloud-Assessment und Cloud-Ready-
Prädikat für Fachverfahren nutzen
Privater
Anbiet er
Cloud
Infrastructure
Handlungsfeld 4: Governance für stringente Umsetzungssteuerung
Für das Funktionieren einer Multi-Cloud-Umge- entscheidet. Ebenso ist das Zusammenspiel von
bung, erst recht für die öffentlichen Verwaltung, öffentlichen und privaten Cloudbetreibern zu
bedarf es einer stringenten Governance. Rollen koordinieren, ein Risikomanagement ist aufzu-
und Entscheidungsprozesse müssen vor dem bauen und die Vergabeprozesse sind anzupas-
Hintergrund der vielen beteiligten Stakeholder sen. Auch ist die Frage nach einer angemessenen
klar fixiert und den vielfältigen Anforderungen Beteiligung und Aufgabenteilung zwischen den
angemessen orchestriert werden. So werden bei- Akteuren aus staatlichen und nicht-staatlichen
spielsweise Verhandlungen mit Cloud-Anbietern Bereichen zu beantworten.
notwendig sein. Dafür ist vorab zu klären, wer
das Mandat erhält und welches Gremium final
11Klarheit der Führung schärfen, Ziele operationali- Wirtschaft gemeinsam nach Lösungen suchen.
sieren und Aufgaben definieren. Es bleiben dann nur die Risiken, die strukturim-
manent im Rahmen der öffentlichen Verwaltung
Für die Steuerung aller Beteiligten der Multi-
zu bewerten und behandeln sind.
Cloud-Umgebung ist eine Balance zwischen zen-
traler Standardisierung und Föderalismus nötig. Hierfür ist eine strategische Partnerschaft zwi-
Fachkräftemangel und EU-Anforderungen gebie- schen staatlichen und nicht-staatlichen Akteu-
ten es, komplexe Governancekonstrukte zu ver- ren zu schaffen, bei der mit gleichen Werten und
meiden. Ein stringenter Steuerungsrahmen ist Zielen an einer Lösung gearbeitet wird.3
zu definieren, der ein zielgerichtetes Handeln
ermöglicht. Grundlegend ist die Klärung der Ent-
Schnelles Abrufen der Services aus der Cloud mit
scheidungsprozesse und Entscheidungsbefugnis angepasstem Vergabeprozess ermöglichen.
auf Bundes-, Länder- und kommunaler Ebene.
Auch Vergabeprozesse und -verfahren sind den
Im zentralen Cloud-Programmmanagement ist
neuen Cloud-Infrastrukturen anzupassen. Die
zudem der Abgleich mit bestehenden Vorgaben,
Servicenutzung in der Cloud ist rein technisch
den parallelen Cloud-Projekten und -Initiativen
ohne Ausschreibung möglich. Das muss organi-
sicherzustellen, damit die Projekte der einzelnen
satorisch und prozessual in dem Vergabeprozess
Stakeholder widerspruchsfrei integrierbar sind.
neu verankert werden. Wird beispielsweise eine
Die Steuerungskreise sollten in kurzen Zyklen ta-
Kapazitätserweiterung bestellt, muss dies ohne
gen, um die Entwicklungspotentiale bestmöglich
Vergabeprozess möglich sein.
nutzen zu können.
Des Weiteren ist eine produktneutrale Vergabe
Die Basis für klare Entscheidungsstrukturen sind
für die Fachverfahrensentwicklung in der Cloud zu
operationalisierte Ziele. Daher sind bisher defi-
berücksichtigen. Die Vorgaben für die Erlangung
nierten Ziele wie Zukunftsfähigkeit und digitale
der Cloud-Readiness sollten herstellerneutral sein.
Souveränität systematisch zu analysieren und
operationalisieren, um gemeinsam Aufgaben zu
definieren und Prioritäten zu setzen. Lässt man Synergien heben durch partnerschaftliche Steuer-
hingegen die Ziel-Definition unbestimmt, bleibt ung von Verwaltung, Wissenschaft und Wirtschaft.
eine Projektionsfläche für diffuses Unbehagen.2 Mit der Migration in die Cloud verändern sich
in hohem Maße die Prozesse und die damit ver-
Risiken transparent machen, damit nur die grund- bundenen Rollen. Eine passgenaue Adaption
legenden Risiken übrigbleiben. und der schrittweise Aufbau von Know-how wer-
den erforderlich. Hierfür braucht die öffentli-
Der Weg in die Cloud birgt Risiken, denen mit einem
che Verwaltung erweiterte Expertise hinsicht-
stringenten Risikomanagement begegnet werden
lich Cloud-Architektur und Governance-Design,
muss. Technische, organisatorische und rechtli-
Fachverfahrensentwicklung, Cloud-Transforma-
che Risiken sind so einzuordnen, dass sie sich mög-
tion und Cloud-Service-Management. Diese Ex-
lichst gemeinsam mit der Wirtschaft lösen lassen.
pertise können Wirtschaft und Wissenschaft auf
Für zahlreiche Herausforderungen gibt es be- unterschiedlichen Wegen beisteuern. Ein nahe-
reits Lösungsansätze – sei es eine technische An- liegender Schritt ist die Initiierung eines Cloud-
passung oder eine passende Vertragsgestaltung. Arbeitskreises, der diese Kompetenzen bündelt.
Besteht Transparenz, können Verwaltung und Ein frühes Einbinden dieses Arbeitskreises in die
12Strategieentwürfe ermöglicht den gemeinschaft- Cloud schnell mit dem spezifischen Wissen der
lichen Kompetenzaufbau in iterativen Abfolgen. öffentlichen Verwaltung zusammen und ermög-
Das Know-how aus Wirtschaft und Wissenschaft licht eine partnerschaftliche, schnelle Umsetzung.
findet so zeitig Eingang in die Konzeptionierung.
Ebenso denkbar ist, Experten kontinuierlich in
Dies sichert die Nutzbarkeit basierend auf der
die „Cloud-Gremien“ zu involvieren oder bera-
Erfahrung aus laufenden Cloud-Projekten in der
tende Sitze dafür zu schaffen.
Wirtschaft und beschleunigt damit auch den Abstim-
mungsprozess in der öffentlichen Verwaltung. Dem Kompetenznetzwerk NEGZ gehören die trei-
benden Verwaltungsdigitalisierer aus Forschung,
Ein weiterer Schritt könnte die Initiierung eines
Verwaltung und Wirtschaft an. Damit sind Exper-
Beirats für Verwaltungsgremien im Kontext Cloud
ten aus allen Bereichen interdisziplinär verfügbar,
mit Vertretern aus Wirtschaft und Wissenschaft
die mit ihrem Erfahrungsspektrum und mit dem
sein. Die Beiratsmitglieder setzen sich idealer-
Blick auf die Machbarkeit und Umsetzbarkeit den
weise aus Cloudbetreibern, Fachverfahrensan-
Multi-Cloud Ansatz in der deutschen Verwaltung
bietern und Wissenschaft zusammen. Damit sind
unterstützen. Diese Maßnahmen bauen neue Ex-
alle notwendigen Kompetenzfelder berücksichtigt.
pertise auf und nutzen vorhandene Expertise.
Ein erweiterter Schritt könnte mittelfristig eine
Public-Private-Partnership sein. Diese führt die
Innovationserfahrung der Wirtschaft mit der
IT-Rat BMI KoSIT IT-Planungsrat Reduktion der Entscheidungswege und
eine stringente Governance schaffen
ateg ungs-
BMF BSI Zertifizierung AG Cloud
Computing &
ie
clou Verwalt
Digitale Souveränität
d St r
sche
POC Microsoft-SAP UAG Technik &
-Cloud Nationaler Betrieb > Gemeinsame
Deut
Standar- Standards &
Hyperscaler OZG- disierungs-
Umsetzung Schnittstellen
agenda
ITZ-Bund UAG Beschaffung
Standar- Föderale > Rahmenbeding-
disierungs-
agenda
Mul
-Cloud IT-Architektur ungen IT-Beschaffung Ziele & Risiko-
der öffentlichen
Verwaltung Organisation management
Bundes-Cloud UAG Kommunikation
Ziele u.a.: > Stakeholder
Digitale Souveränität,
Kommunikation
Nachnutzung
von Services
Partner-
Vielzahl der Aktivitäten benötigt Vergabe- schaftliche
eine Cloudorientierte Governance Prozess Steuerung
und Integration der Kompetenz
Öffentliche
der Privaten Anbieter
IT-Dienstleister
Länder & Kommunen
GovDigital
Gaia-X
Private Private
So ware-Lieferanten Cloud-Anbieter
2
Siehe auch folgende Ausführung: „Strategische Autonomie ist das Ziel, Abhängig- unvermeidbar oder kritisch sein und deshalb den Aufbau von Risikomanagement und
keitsmanagement die Aufgabe. Ein bewusster Umgang mit Abhängigkeiten in der Resilienz erfordern oder in strategischen Partnerschaften bewusst gewählt werden.“
Digitalisierung setzt die Einsicht voraus, dass Abhängigkeiten unvermeidbar und ‚Digitale Souveränität als strategische Autonomie‘, Resa Mohabbat Kar, Basanta E. P.
nicht in jedem Fall problematisch sind. Vielmehr geht es um die planvolle Wahl von Thapa, 2020, S.26.
Abhängigkeitsgraden. So wird das übergeordnete Ziel strategischer Autonomie er-
reicht, indem kleinteiliges Abhängigkeitsmanagement betrieben wird. Abhängigkeiten
3
‚Digitale Souveränität als strategische Autonomie‘, Resa Mohabbat Kar, Basanta E.
können vernachlässigbar sein, durch institutionelle Arrangements eingehegt werden, P. Thapa, 2020, S. 23
13FAZIT UND AUSBLICK
Multi-Cloud ist ein Schlüssel zum Erfolg der Umsetzung der Verwaltungsdigitalisierung: Multi-Cloud
schafft die Architekturgrundlage, um agil und bedarfsgerecht verschiedenartige Services den Bürge-
rinnen und Bürgern bereitzustellen. Multi-Cloud ist die technische Grundlage für die Gesamtstrate-
gie der Verwaltung zu mehr Service-Orientierung. Zudem bietet der Multi-Cloud-Ansatz auf Basis der
Deutsche Verwaltungscloud-Strategie (DVS) eine Möglichkeit, die verschiedenen Clouds der Länder
und des Bundes miteinander nutzbar zu machen. Damit lassen sich Standards etablieren.
Der Aufbau der Cloud-Umgebungen basierend auf einer Multi-Cloud-Strategie erfordert allerdings ei-
nen Wandel in der gesamten IT und in der Organisation der öffentlichen Verwaltung. Um die Komplexi-
tät zu meistern und Nutzen zu schaffen, sollten Wirtschaft, Wissenschaft und Verwaltung zeitnah in
einen offenen Dialog treten und partnerschaftlich die vier dargestellten Handlungsfelder bearbeiten.
Das heißt, politische und regulatorische Rahmen setzen, eine zweckmäßige Gesamtarchitektur ent-
wickeln, die Fachverfahren cloudfähig gestalten und eine stringente Governance aufbauen.
Der gestartete Aufbau der Multi-Cloud sollte zügig fortgesetzt werden. Im Rahmen der OZG-Umset-
zung werden aktuell viele Fachverfahren erneuert. Daraus ergibt sich die Chance, diese Entwicklung
sofort auf Basis der Cloud-Infrastruktur durchzuführen. Jede Entwicklung im Rahmen des OZGs nach
althergebrachten Architekturprinzipien (on premise) bedeutet eine nochmalige spätere Anpassung.
Das verursacht zusätzliche Kosten und zahlt somit auf das Konto der technischen Schulden ein. Je
länger die Akteure warten, umso schwieriger und aufwendiger wird der Umstieg.
Für den schnellen Aufbau der Multi-Cloud der Verwaltung sollten alle Beteiligten frühzeitig in einer
Partnerschaft agieren. Expertinnen und Experten des NEGZ sind überzeugt, dass ein multidiszipli-
näres Kompetenzteam den Aufbau der Multi-Cloud-Umgebung schnell zum Erfolg führen wird. Eine
partnerschaftliche Umsetzung unter Mitwirkung der Verwaltung, der Wissenschaft und der Wirtschaft
ermöglicht die schnelle, sichere Nutzung dieser modernen Technologie. Das NEGZ kann durch ihr
breit aufgestelltes Erfahrungsspektrum diesen fundamentalen Schritt der Digitalisierung begleiten.
14GLOSSAR
Die folgenden Begriffe sind wesentlich für dieses Dokument. Die Definitionen stammen aus: „Deut-
sche Verwaltungscloud-Strategie: Rahmenwerk der Zielarchitektur“ Version 1.0 vom 13. August 2021.
Cloud Computing – Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten,
Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienst-
leistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle.
Die Spannbreite, der im Rahmen von Cloud Computing angebotenen Dienstleistungen, umfasst das
komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Re-
chenleistung, Speicherplatz), Plattformen und Software.
Continuous Deployment – Ansatz in der Softwareentwicklung, bei dem Änderungen an der Software
automatisiert und nach festen Kriterien in die aktuelle Software beziehungsweise in die Produktion
überführt werden. Auf diese Weise wird eine kontinuierliche Auslieferung der Software ermöglicht.
Deutsche Verwaltungscloud – Standardisierte, föderale Cloud-Infrastruktur von Bund, Länder und
Kommunen im Rahmen der beschlossenen Deutschen Verwaltungscloud-Strategie.
DevOps-Ansatz – Zusammenwachsen von Entwicklung und Betrieb von IT-Systemen und -Lösungen.
Digitale Souveränität – Die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre
Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können.
Multi-Cloud – Parallele Nutzung von Cloud-Services und -Plattformen mehrerer Anbieter.
Plattformbetreiber (In diesem Dokument auch als Cloudbetreiber bezeichnet) – Der Plattformbetrei-
ber betreibt die IT-Infrastruktur im Cloud-Standort und stellt dem Softwarebetreiber Werkzeuge zur
manuellen und/oder automatischen Orchestrierung bereit.
Softwarelieferant (In diesem Dokument auch als Fachverfahrenshersteller bezeichnet) – Der Soft-
warelieferant ist eine Organisation (im Sinne einer juristischen Person) oder eine lose miteinander
gekoppelte Community (Gruppe von Entwicklerinnen und Entwickler), welche dem Softwarebetrei-
ber Software(-releases) bereitstellt.
15IMPRESSUM
Nationales E-Government Kompetenzzentrum e.V.
Oberlandstraße 26-35
12099 Berlin
+49(0)30 7543 89 55
office@negz.org
www.negz.org
Bildnachweis Titelbild: Originalgrafik von Flaticon.com
ISSN 2748-6826
DOI 10.30418/2748-6826.2022.1
Inhaltliche Ansprechpartner:innen
Autor:innen
werner.achtert@msg.group
ines.fiedler@init.de
pia.lansky@msg.group
gregor.koeltzsch@init.de
16Sie können auch lesen
