Klare Linien für den Cloudbetrieb

Wie schnell kann die Multi-Cloud für die Öffentliche Verwaltung Gestalt annehmen? Die Umsetzung soll kommen, doch noch gibt es Unklarheiten und Diskussionsbedarf.

2023 dürfte Bewegung in die Cloud-Transformation der Öffentlichen Verwaltung kommen: Wie Patrick Burghardt, CIO in Hessen und in diesem Jahr Vorsitzender des IT-Planungsrates, kürzlich in unserem Podcast „Unbürokratisch“ bekräftigte, ist das Thema Cloud einer der Schwerpunkte des ITPlanungsrates. Bereits seit November 2022 läuft bei govdigital die Pilotierung des MVP (Minimum Viable Product) für die Koordinierungsstelle der Deutschen Verwaltungscloud – die Ergebnisse werdeninKürzeerwartet.EinRahmenwerk der Zielarchitektur zur Deutschen Verwaltungscloud-Strategie hat der IT-Planungsrat im Oktober 2022 vorgelegt. Die darin enthaltenen Standards richten sich nach innen – während die genauen Anforderungen an Cloud-Anbieter und die Vorgaben zur Beschaffung aber noch nicht feststehen. Der folgende Blick auf zwei aktuelle Positionierungen zeigt, wo noch Unklarheiten bestehen. Cloud ahead, eine neue Plattform von Experten, die sich für digitale Souveränität und Open-Source engagieren, hat dazu die bestehenden IT-Sicherheitsvorgaben ana- lysiert. Die „roten Linien“ des BSI, veröffentlicht im Juni 2022 über die Plattform „Frag den Staat“, beschreiben die Sicherheitsanforderungen an souveräne Cloud-Plattformen für die Öffentliche Verwaltung. Jockel Merholz von Cloud ahead bewertet die Vorgaben insgesamt als eine gute Basis, „um in Deutschland leistungsfähige und gleichzeitig kontrollierbare CloudLösungen für staatliche Organisationen entstehen zu lassen“. Die Experten benennen aber auch Herausforderungen bei der Umsetzung, insbesondere begrenzte Ressourcen und Kompetenzen, die noch aufgebaut werden müssten (siehe Kasten).

„Big Picture“ für die Cloudnutzung

Während Cloud ahead vor allem die Beziehungen von Technologieherstellern und Cloudanbietern sowie die Ressourcen bei BSI und staatlichen Betreibern ins Visier nimmt, setzt das Nationale E-Government Kompetenzzentrum e.V. (NEGZ ) einen Schwerpunkt bei den Fachverfahren. In ihrem 2022 veröffentlichten Posi- tionspapier „Multi-Cloud in der Verwaltung erfolgreich machen“ stecken die Experten vier Handlungsfelder ab. Sie mahnen, erstens, klare politische und regulatorische Rahmenbedingungen für den Einsatz von Cloudtechnologien an. Dazu gehöre auch eine „Cloud-First“-Strategie. Es fehle eine einheitliche Vorgabe, welche konkreten Standards, Anforderungen oder Voraussetzungen eine Cloudumgebung zwingend erfüllen muss.

Zweitens sehen die Verfasser die Notwendigkeit, eine gemeinsame Zielvorstellung zu entwickeln, ein Big Picture, das die Fragen beantwortet: „Was wollen wir erreichen und wo wollen wir hin?“ Vielen Beteiligten sei die Rolle der Cloudtechnologie noch nicht klar und die technische Machbarkeit allein habe noch keine ausreichende Überzeugungskraft. Ein Wolkenschloss ist damit jedoch nicht gemeint, die Autoren wollen durchaus eine Reduktion auf das Machbare. Maßgeblich sind demnach die Lauffähigkeit der Fachverfahren, Wirtschaftlichkeit und Verfügbarkeit von Wissen in der Öffentlichen Verwaltung.

Die roten Linien des BSI

Kernherausforderungen

Von den insgesamt 121 Sicherheitsanforderungen bewertet Cloud ahead 35 als schwierig umsetzbar und zwei als unklar. Diese 35 Vorgaben wurden entsprechend den Herausforderungen in sechs Gruppen eingeteilt:

1. Staatsverantwortung: Die Private Cloud soll von einem kommerziellen Anbieter in staatlicher Infrastruktur zur Verfügung gestellt und von staatlichen Mitarbeitern betrieben werden: Für Cloud ahead schwer vorstellbar, da es, verkürzt gesagt, an Fachkräften und Know-how mangele.

2. Individualisierung: Software-Updates oder Patches sollen durch den staatlichen Betreiber auch abgelehnt oder individuell angepasst werden können. In der Folge müssten Anbieter diese Änderungen oft als zusätzliche Variante mit pflegen, was aufwändig wäre und zudem Entwicklungsprozesse verlangsamen würde.

3. Kontrolle und Sicherheit: Der Betreiber soll Updates; das BSI den Source Code prüfen können. Hier geben die Experten von Cloud ahead vor allem zu bedenken, dass bei Tausenden von Updates pro Monat die Prüfungskapazitäten bei BSI und Betreibern nicht ausreichten.

4. Autarkie und Kontinuität: Die Cloud muss im Notfall auch ohne außereuropäischen Support im Autarkie-Modus weiterlaufen können. Zurück im Normalmodus, sollen alle Services auf den aktuellen Softwarestand gebracht werden – und da liegt das Problem, das sei aufgrund der Vielzahl an Updates nach einiger Zeit technisch nicht mehr zu schaffen.

5. Anforderungen an die Hersteller in Bezug auf Transparenz (langfristige Roadmaps) und den Verzicht auf die Übermittlung von Telemetriedaten seien wohl nur in engeren Partnerschaften zwischen europäischem Cloudanbieter und außereuropäischem Technologieanbieter durchsetzbar.

6. Interoperabilität: Eine Migration zwischen verschiedenen Cloud-Angeboten muss möglich sein. Dies setze voraus, dass „die Cloud-Anbieter sich selbst sehr genau synchronisieren oder der Bund genaue Spezifikationen für Cloud-Services und Schnittstellen vorgibt“. Cloud ahead schätzt beide Optionen als unwahrscheinlich ein.

Ebenso wie Cloud ahead hat auch NEGZ dabei die Ressourcen des BSI im Blick und hinterfragt: „Wie viele große Cloud-Infrastrukturen kann das BSI zeitgleich absichern und jährlich auditieren?“ lung gekoppelter Cloudservices. Dabei solle der Code „von der ersten Zeile an auf Hochverfügbarkeit, Skalierbarkeit und Datensicherheit ausgerichtet“ sein. Wenn die Entwicklung direkt auf der Infrastruktur des Cloudbetreibers erfolgt, bedinge das auch eine neue Form der Zusammenarbeit zwischen Fachverfahrensherstellern und Cloudbetreibern.

Für bestehende Fachverfahren solle zunächst auch der Umstellungsaufwand bewertet werden, um anschließend zu priorisieren.

Wie werden Fachverfahren „cloud-ready“?

Wie eine solche Bewertung, ein Cloud-Assessment, ablaufen soll, wird im dritten Handlungsfeld „Passgenaue Fachverfahren“ erläutert: Für bestehende Fachverfahren sind technische Machbarkeit, Datenschutz- und Sicherheitsanforderungen sowie der Aufwand einzuschätzen. Auf dieser Basis sollten dann möglichst Pilotanwendungen gefunden und umgesetzt werden.

Für eine funktionierende MultiCloud-Umgebung sei schließlich auch die Komplexität zu reduzieren. Dazu schägt das NEGZ vor, Clouds nach den gleichen Prinzipien aufzubauen und Fachverfahren nach einheitlichen Standards zu entwickeln. nh

Zum Positionspapier des NEGZ

Die Autoren des Positionspapiers„Multi-Cloud in der Verwaltung erfolgreich machen“ sind Werner Achtert, Gregor Költzsch, Ines Fiedler und Pia Lansky. Das Dokument ist auf der Website des NEGZ veröffentlicht: [ t1p.de/NEGZ_Cloud ]

In der Umsetzungssteuerung durch stringente Governance sieht das NEGZ ein viertes Handlungsfeld für den Aufbau einer funktionierenden Multi-Cloud-Umgebung

Ein zentraler Punkt ist jedoch, dass sich die Entwicklung neuer Fachverfahren mit der Nutzung der Cloudtechnologie grundlegend ändert. Von vornherein sollten die Verfahren als „cloud-ready“ entwickelt werden, das heißt, nicht monolithisch, sondern als Samm-

Weitere Informationen Link zum Beitrag„Die roten Linien des BSI und wie sich Deutschland seine Cloud vorstellt“ von Jockel Merholz (über Cloud ahead): [ t1p.de/cloud_ahead_bsi ]

Die nächste Ausgabe der eGovernment – Verwaltung digital erscheint am Montag, den 27. März 2023. Das SPEZIAL dieser Ausgabe widmet sich dem Thema eHealth Anzeigenschluss ist der 13. März 2023.

Anzeigenhotline: 0821/2177-212

Lesertelefon: 0821/2177-194

Cloud Transformation Hub für den öffentlichen Sektor