Wie die Cloud-Transformation im öffentlichen Sektor gelingt
Ein moderner Staat braucht eine digitale Verwaltung. Dabei muss die Handlungsfähigkeit des Staates und die Kontrolle über seine Daten jederzeit gewährleistet sein – auch in Krisensituationen. Der Koalitionsvertrag der aktuellen Regierung hebt daher ausdrücklich die digitale Souveränität als Ziel des staatlichen Handelns hervor. Da heutzutage die meisten IT-Systeme auf Cloud-Technologien basieren, ist es für die öffentliche Verwaltung entscheidend, dass diese Systeme souverän sind. Wie ein geeigneter Rahmen für die Cloud-Transformation des öffentlichen Sektors aussehen kann, erklärt Werner Achtert, Geschäftsbereichsleiter Public Sector bei msg, im Standpunkte-Interview.
Herr Achtert, in vielen Branchen sind digitale Prozesse bereits weit fortgeschritten. Der öffentliche Sektor hingegen steht oft noch am Anfang. Warum ist die Digitalisierung für den Staat so schwierig?
Dafür gibt es viele Gründe. Der föderale Staatsaufbau ist einer davon. Er prägt unsere öffentliche Verwaltung maßgeblich. Grundlegende politische Entscheidungen werden zwar auf Bundesebene getroffen. Die Umsetzung der meisten Gesetze liegt jedoch bei den Ländern und Kommunen. Die föderale Struktur führt zu unterschiedlichen IT-Systemen und etliche Architekturen und Technologien sind zudem historisch gewachsen. Hinzu kommen viele Individualentwicklungen, die aufgrund der spezifischen Anforderungen in der öffentlichen Verwaltung weit verbreitet sind.
Außerdem spielen Datenschutz und Sicherheit eine große Rolle, da in den IT-Systemen teilweise sensible Daten von Bürgerinnen und Bürgern sowie Unternehmen verarbeitet werden. Das kann den Digitalisierungsprozess mitunter verlangsamen. Ein adäquater Schutz ist aber essenziell für die öffentliche Verwaltung, von der die Funktionsfunktionsfähigkeit unseres öffentlichen Lebens zu großen Teilen abhängt. Daher wird die Souveränität der Verwaltung auch im digitalen Raum gefordert.
Hängt die Digitalisierung im öffentlichen Sektor also von der digitalen Souveränität ab?
Digitale Souveränität ist auf jeden Fall ein Schlüsselfaktor – besonders bei der Cloud-Transformation. Der CIO des Bundes, Staatssekretär Dr. Markus Richter, beschreibt digitale Souveränität als ‚Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können.’¹ Das bedeutet auch, dass Institutionen die Freiheit haben, IT-Anbieter nach eigenen Kriterien auszuwählen – und bei Bedarf zu wechseln. Dazu braucht es aber einige Grundvoraussetzungen, wie beispielsweise die Kompetenz, Alternativen bewerten zu können. Ebenfalls gehört das Wissen über die Entwicklung und den Betrieb der eigenen IT-Systeme dazu, sowie auch die Fähigkeit, Anforderungen an Produkteigenschaften und Vertragsdetails gegenüber den Systemanbietern zu artikulieren.² All das sind Bestandteile der digitalen Souveränität.
Das sind hohe Anforderungen, die auch viele Unternehmen anstreben. Wie kann dieser Anspruch in der öffentlichen Verwaltung realisiert werden?
Eines ist klar: Vollkommene Unabhängigkeit von externen IT-Anbietern ist weder für Unternehmen noch für die öffentliche Verwaltung möglich. Was jedoch möglich ist: Die Risiken der Abhängigkeiten reduzieren, durch das Bewerten verschiedener Handlungsmöglichkeiten. Dabei ist das Nutzen von herstellerunabhängigen Standards und offenen Schnittstellen ein wichtiger erster Schritt. Denn eine modulare Architektur bildet die Basis, um einzelne Elemente der IT-Landschaft austauschbar zu halten und den Wettbewerb bei der Beschaffung von IT-Komponenten zu fördern. Eine zentrale Voraussetzung hierfür ist der Aufbau von eigenen Kompetenzen und Expertenwissen, um auf Augenhöhe mit Anbietern agieren zu können.
In der aktuellen Diskussion werden häufig souveräne Cloud-Systeme thematisiert. Warum ist die Cloud so ein zentrales Thema in Bezug auf digitale Souveränität und Datensouveränität?
Früher konnte die öffentliche Verwaltung ihre IT-Systeme „On-Premise“, also in eigenen Dienstleistungszentren, betreiben. Da mittlerweile viele IT-Komponenten nur noch Cloud-basiert angeboten werden, ist es nicht mehr möglich, bei der Datenhaltung und -verarbeitung vollständig in geschlossenen Systemen zu arbeiten. Auch die erforderliche Skalierbarkeit lässt sich mit traditionellen Rechenzentren nicht erreichen.
Ähnlich wie Wirtschaftsunternehmen haben Institutionen der öffentlichen Verwaltung kaum eine andere Wahl, als Teile ihrer IT-Systeme in die Cloud zu verlagern. Dies führt zu neuen Herausforderungen und Abhängigkeiten. Die öffentliche Verwaltung muss sicherstellen, dass auch bei Nutzung kommerzieller Cloud-Systeme die Datenhoheit, Sicherheit und staatliche Handlungsfähigkeit gewährleistet bleiben.
Wie können souveräne Lösungen in der Cloud aussehen?
Zunächst einmal ist es wichtig, dass deutsche Rechtsvorschriften uneingeschränkt gelten müssen, wenn Daten in der Cloud verarbeitet und gespeichert werden. Eine entscheidende Frage ist also der juristische und tatsächliche Standort der Datenverarbeitung und -speicherung in einer Cloud. Da der Markt für Cloud-Systeme momentan weitgehend von US-amerikanischen Unternehmen dominiert wird, stellt sich die Frage, inwieweit wir einem politischen System und einer Jurisdiktion außerhalb unseres Einflussbereichs vertrauen können. Die Antwort darauf kann aber letztlich nur politisch entschieden werden.
Und welche souveränen Möglichkeiten gibt es derzeit schon?
Aktuell bieten alle großen Cloud-Provider Lösungen an, bei denen der unberechtigte Zugriff auf Daten ausgeschlossen werden kann. AWS beispielsweise arbeitet zudem an der AWS European Sovereign Cloud, einer neuen unabhängigen Cloud für Europa, durch die auch besonders regulierte Branchen die strengen Sicherheits-, Souveränitäts- und Datenschutzanforderungen in der Cloud erfüllen können. Zusätzlich gibt es mittlerweile eine Reihe von deutschen Unternehmen, die Cloud-Services „made in Germany“ anbieten. Die öffentliche Verwaltung betreibt sogar eigene Cloud-Systeme, wie beispielsweise die Bundescloud des ITZ-Bund.
Warum werden bereits zertifizierte Lösungen, die für den Einsatz in der öffentlichen Verwaltung geeignet sind, noch nicht großflächig von Bund, Ländern und Kommunen genutzt?
Das liegt an der föderalen Struktur unseres Staates, wie bereits erwähnt. Es gibt nicht „die“ öffentliche Verwaltung, und Entscheidungen über die Nutzung von IT-Systemen werden nicht zentral getroffen. Die Verantwortung ist verteilt auf den Bund und die Länder. Daher sind die bestehenden föderalen Cloud-Lösung nur eingeschränkt interoperabel und kompatibel.³
Um diesem Problem zu begegnen, hat der IT-Planungsrat – ein Gremium zur Abstimmung der IT-Strategien zwischen Bund und Ländern – die AG Cloud ins Leben gerufen. Die AG Cloud ist eine Arbeitsgruppe für die Themen Cloud-Computing und Digitale Souveränität. Ihre Aufgabe ist es, eine Zielarchitektur für eine deutsche Verwaltungscloud zu entwickeln. Diese Initiative soll Standards für eine föderale Cloud-Infrastruktur schaffen.
Damit ist bereits einiges in Bewegung für eine souveräne Cloud-Transformation. Was ist Ihrer Meinung nach noch notwendig, um die öffentliche Verwaltung souverän in die Cloud zu bringen?
Die Diskussion über die Nutzung der Cloud für die öffentliche Verwaltung ist von technischen und von politischen Aspekten geprägt. Für die technischen Fragestellungen gibt es Lösungsvorschläge der Cloud-Provider und auch das BSI hat Mindestanforderungen an sicheres Cloud Computing spezifiziert.⁴ Die politischen Fragenstellung sind meiner Einschätzung nach in unserem föderalen System weit schwieriger zu lösen. Bevor wir von den Vorteilen der Cloud, wie Skalierbarkeit und gemeinsame Nutzung von Services, profitieren können, müssen sich Bund und Länder auf die flächendeckende Nutzung standardisierter Cloud-Systeme einigen. Die bestehenden Fachverfahren – egal ob von Bund oder Ländern – sind jedoch im Moment in den wenigsten Fällen Cloud-fähig. Die nächste Herausforderung wird also sein, große Teile der Verfahrenslandschaft mit völlig neuen Architekturkonzepten in die Cloud zu bringen. Es ist also noch ein weiter Weg.
Weitere Infos zum souveränen Umgang mit Daten in der Cloud erhalten Sie hier:
Datensouveränität in der Cloud: Darauf kommt es an
¹ CIO Bund - Digitale Souveränität
² Strategie zur Stärkung der Digitalen Souveränität für die IT der Öffentlichen Verwaltung (bund.de)
³ Microsoft Word - 20210813_DVS - Rahmenwerk Zielarchitektur_v1.0_final.docx (it-planungsrat.de) S. 4
