Der Public Sector und die Angst vor der Cloud
In der Industrie längst Standard und in der öffentlichen Verwaltung immer noch ein Fremdkörper. Ist die Nutzung der Clouds in der Verwaltung ein rein rechtliches Problem, oder gilt es schlicht aktiv zu werden und Projekte in die Umsetzung zu bringen?
Die Cloud ist mittlerweile in nahezu allen Bereichen der Industrie ein Standard, der nicht nur Bestehendes ersetzt oder optimiert sondern ganze Geschäftsmodelle trägt. Ohne Cloud wären Big Data, KI und Machine Learning nicht der breiten Masse auf einfachem Wege zugänglich. Was spricht also im öffentlichen Sektor noch dagegen, die Public Cloud in normale Bereitstellungsprozesse zu integrieren? Ist Datenschutz tatsächlich das Hindernis oder gibt es im öffentlichen Sektor ein Mentalitätsproblem, das davon abhält, die benötigten Voraussetzungen zu schaffen und zu überwachen?
In den Maschinenräumen diverser Rechenzentren in Bund und Ländern sind zunehmend Private Clouds zu finden, die allem voran eines bereitstellen: virtuelle Maschinen. In seltenen Fällen wird auch mit Containern entwickelt und gehostet. Die unterste Ebene ist damit geschaffen, so dass sich zumindest die IT-Provider im öffentlichen Sektor über automatisierte Bereitstellungsprozesse freuen können. Diese Form ist jedoch eine reine Selbstoptimierung. Endkunden / Fachverfahren und Ämter konsumieren Services, keine virtuellen Maschinen. Auch ist dieser Stand der Automatisierung noch nicht flächendeckend in der IT von Bund und Ländern vertreten, denn der Aufwand für diese selbst aufgebaute bzw. selbst-betriebene Form der Private Cloud ist nicht unerheblich.
Ein Fremdbetrieb durch einen 24/7 „Follow-the-Sun“-Dienstleistungsbetrieb ist aus Datenschutzgründen hier vermutlich auch langfristig nicht realistisch und auch nicht gewünscht. Allerdings, wer in eine öffentliche Cloud geht, wo die Datenschutzklassifizierung eine andere ist als in der komplett selbst kontrollierten On-Premise-Umgebung, der wird bei seinem hybriden Ansatz froh darum sein, dass eigene Rechenzentrum noch zu haben.
Was darf eigentlich in die Public Cloud?
Angst vor der Cloud ist immer dann zu spüren, wenn es darum geht, dass die Cloud doch mehr Services bietet als das eigene Rechenzentrum. Hilfreich hier ist unter Umständen, die sechs Rs der Cloud Migration anzusprechen. (Link:) Ziel ist es doch, je Anwendungsfall die optimale Positionierung des Services zu finden. Kriterien sind Ökonomie, Datenschutz und Zukunftsfähigkeit.
Im Fall von Trend Micro gibt es beispielsweise die Möglichkeit, das komplette Managementsystem der Serversicherheitslösung Deep Security als Cloud Service zu beziehen, bei Erhalt aller Funktionen: Cloud One Workload Security. Im Fall der Cloud betreibt Trend Micro die Plattform, verwaltet alle Updates und Upgrades, sorgt für die Business Continuity der Plattform, und der operative IT Betrieb des Anwenders macht das Gleiche wie zuvor: Sicherheitsmanagement der Server-Endpoints. Auch hier sollte man die Details beachten: Welche Daten fließen hin und her? Gibt es Dateinamen, die bspw. bedenkliche personenbezogene Daten enthalten? Nach ausdrücklicher Prüfung der Plattform haben sich einige öffentliche Auftraggeber auf diese Reise begeben. Manche Prüfergebnisse zeigen zudem auch einfach Schwächen im Prozess auf (bspw. Die eben erwähnten personenbezogene Daten in und als Dateinamen).
Es lohnt sich aber auch ein Blick in andere Sparten: Servicemanagement wird heute zunehmend über eine SaaS-Plattform (ServiceNow) abgewickelt, Server-, Netzwerk- und Storage-Management werden zukünftig als Cloud-Service angeboten. Microsoft bietet die Office Suite und Collaboration Suite aus der Cloud an, andere On-Premise Angebote verschwinden sukzessive. Die Betrachtung muss immer im Detail erfolgen, und zwar je Anwenderszenario.
Welche Kriterien legt der öffentliche Sektor eigentlich an?
Diese zentrale Frage wird für die Zukunft immer interessanter. Während bei der Vergabe von Projekten außerhalb des IT Bereichs viel zu häufig der Preis als alleiniges Kriterium zieht, werden in IT-Projekten andere Maßstäbe angelegt. Maßgeblich kommt es also offenbar auf das Gesamtpaket an, und neben dem Preis sollte auch Qualität und Leistungsumfang, wie auch Datenschutzkonformität einbezogen werden.
Wie kann es dann sein, dass die German Cloud (Microsoft Azure betrieben von einer Datentreuhänderschaft mit der Telekom) gegen Ende 2020 das Ende der Service-Bereitstellung ankündigen musste. Die Cloud-Lösung der Telekom wurde als „überteuert, leistungsschwach und bei den Kunden unbeliebt” bezeichnet.
Die zusätzliche Sicherheit, die mit der Bereitstellung in der lokalen Rechtsform und der Entkoppelung vom Microsoft Azure Backbone einhergingen, haben die Lösung zeitlich hinter dem „großen“ Hyperscaler-Angebot hinterherhinken lassen. Ein durchschnittlich 25% - 30% höherer Preis ließ die Vergabestellen dann natürlich jeden Service den Kosten-/Nutzen-Effekt kritisch hinterfragen.
„Datensouveränität“ – Wann bekommen wir ein Gütesiegel?
Datensouveräne Cloud-Lösungen müssen nicht zwangsläufig On-Premise betrieben werden. Sie können auch von Cloud Service Providern kommen, die sich auf die lokale Rechtslage spezialisiert haben und keiner nicht-lokalen Rechtsform unterliegen. Wirtschaftlichkeit sollte dennoch ein Faktor sein.
Wenn IT-Konsumenten also souverän entscheiden können, wo die Unternehmensdaten Daten liegen, wer darauf zugreifen kann und wie der Zugriff gehandhabt wird, dann mag das Problem bereits gelöst sein. Unterliegt der IT-Betreiber dem lokalen Recht, so sind die Konsumenten rechtlich nahezu sicher. Vielleicht braucht es also eine klare Begriffsdefinition für „Datensouveränität“ und ein Gütesiegel, dass vergeben werden kann. Eine schöne Definition gibt es beim BIDT (Bayerische Forschungsinstitut für Digitale Transformation). Dort wird Datensouveränität definiert als „die (volle) Kontrolle über Daten und ihre Erhebung, Speicherung und Verarbeitung.“ Sobald eine dritte Partei auf Basis von durch den Konsumenten nicht kontrollierbarem Recht einen Anspruch auf Einsicht der Daten erheben kann, kann nicht mehr von Datensouveränität gesprochen werden.
Zentraler Anstoß: Der US CLOUD Act
Juristisch gesehen ist die Datenverarbeitung durch außereuropäische Unternehmen ein Streitpunkt vieler Datenschutzdiskussionen. Intellektuelles Eigentum der Unternehmen, Geschäftsgeheimnisse und auch personenbezogene Daten sind schutzbedürftig und der Zugriff durch Dritte ist schlicht kein hinnehmbares Risiko.
Cloud Provider aus den USA unterliegen aus juristischer Sicht dem US CLOUD Act und können damit teils ohne richterlichen Beschluss den Zugriff auf Daten gewähren, wenn die US-Behörden diesen einfordern. Dies gilt unabhängig davon, ob die Rechenzentren auf amerikanischem Boden oder anderswo auf der Welt liegen. Eingangskanal ist also die Rechtsform, der der Mutterkonzern in den USA unterliegt. Für europäische Unternehmen gilt die lokale Rechtsform, also beispielsweise GDPR (die Datenschutzgrundverordnung, DSGVO).
Erschwerend kommt der Wegfall des „Privacy Shield“-Abkommens hinzu. Seit Mitte 2020 ist der Austausch von Daten mit einer gewissen Rechtsunsicherheit verbunden, wenn es um den Austausch personenbezogener Daten zwischen europäischen und US-Unternehmen geht. Der Nachfolger, der in Form des „Trans-Atlantic Data Privacy Framework“ betrachtet wird, muss seine Standfestigkeit noch beweisen. Dennoch: Wenn diese Frage nachhaltig geklärt wäre, muss so mancher lokale Cloud-Anbieter über die Grundlage seines Geschäftsmodells bzw. seines Differenzierungsmerkmals nachdenken.
Diese Entwicklungen sind der Motor der Initiativen, die sich rund um die Initiative Gaia-X bewegen. Viele der mitwirkenden Unternehmen haben starke eigene Cloud-Angebote, die unter dem Dach von Gaia-X eine Möglichkeit zur Vermarktung finden. Diese Angebote existieren jedoch auch schon heute und können Mehrwerte liefern. Wie überall gibt es auch hier Graubereiche, die rechtskonform, sofort einsetzbar sind und wirtschaftlich durchaus attraktiv gestaltet sein können. Und nicht alle Applikationen verarbeiten Geschäftsgeheimnisse und/oder personenbezogene Daten – insofern gilt es von Fall zu Fall die passende, wirtschaftlich attraktive Lösung auszuwählen.
Agilität in der digitalen Verwaltung
Ein typisches Consulting-Rezept für die „Agilisierung“ der öffentlichen Verwaltung wird wie folgt zusammengefasst:
Schritt 1: DevOps Enablement für die Bundes- und Landes-IT-Dienstleister
Schritt 2: Aufbau einer Private Cloud zur Bereitstellung von IaaS und PaaS Services
Schritt 3: Dienstleister die Migrationen nach und nach durchführen lassen
Vor allen Bemühungen sollte generell definiert werden, welchen Reifegrad die gesamte Organisation aktuell hat und wie agil sie überhaupt werden muss. Nicht jeder Dienstleister muss zur DevOps- und Innovationsfabrik werden. DevOps ist sicher ein Teil einer modernen Kultur, aber mit Blick auf die sechs Rs der Migration wird nicht jeder Workload in Zukunft agil und selbstentwickelt sein müssen. Die IT-Dienstleister müssen also an mehreren Stellen an sich arbeiten.
Cloud Transformation für die öffentliche Verwaltung
Mittlerweile eine Binsenweisheit: Cloud ist keine Technologie sondern eine neue Art der Bereitstellung und des Konsumierens. Entsprechend müssen Konsumenten und Dienstleister gleichermaßen an ihren Fähigkeiten arbeiten. Wer früher exklusiv Kaufmodelle verwendet hat, muss sich an Pay-per-Use gewöhnen. Produzenten werden in Zukunft zu Dienstleistern, sonst sinkt die Kundenzufriedenheit, der Konsum wird eingestellt und die einstigen Riesen der IT Industrie werden obsolet.
Der Aufbau von datenschutzkonformen und nutzbaren Betriebs-Zonen für Workloads in der Cloud (also gern auch ein Mix aus Private und Public Clouds) wird ein weiterer Schritt sein, um der digitalen Verwaltung das notwendige Spielfeld zu bereiten. So kann je nach Klassifizierung der Daten auch eine variierende Fertigungstiefe genutzt werden (Shared-Responsibility Modelle helfen hier).
Die Dienstekonsolidierung wird dann durch eine Migrationsfabrik erfolgen, die eine Fähigkeit der Zukunft sein muss. In die Fabrik eingeführt werden qualifizierte Projekte mit klar umrissenen Anforderungen – mit dem Ziel diese auf standardisierten Services aus dem Portfolio des Landes- oder Bundes- IT-Dienstleisters abzubilden. Was nicht passt, wird passend gemacht – jedoch mit dem klaren Ziel durch die Migration zu standardisieren und zu rationalisieren. Nur so werden langfristig Synergie-Effekte gehoben, Aufwände für den täglichen Betrieb reduziert, und zu guter Letzt die Freiräume geschaffen Innovationen auf die Straße zu bringen.
Die Cloud ist und bleibt das Vehikel der Innovation – was die öffentliche Verwaltung heute braucht sind vorausschauende Fahrer und ein Team guter Ingenieure mit dem Mut Veränderungen anzugehen und Unwegbarkeiten aus dem Weg zu räumen!