REPORTCloud-Modelle für Behörden

Der Branchenverband BITKOM hat Cloud Computing als das Top-Thema des Jahres 2011 ausgemacht. Auch die diesjährige CeBIT liegt mit ihrem Motto „Work and Life with the Cloud“ im Trend. Schätzungen zufolge soll sich der Umsatz mit Cloud-Services in Deutschland bis 2015 nahezu verachtfachen. Zwar weisen die IT-Landschaften der öffentlichen Verwaltung häufig schon Strukturen auf, welche den Einstieg in Cloud-Konzepte erleichtern. Allerdings darf die Nutzung derartiger Technologien keine erhöhten Risiken mit sich bringen. Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD), Thomas Petri, empfiehlt Behörden äußerste Zurückhaltung bei der Nutzung von Cloud-Computing-Angeboten – denn die Verarbeitung von sensiblen Daten verlange ein besonders hohes Maß an Informationssicherheit.

Eine Frage des Vertrauens

Die Angebote der Cloud-Dienstleister müssen die Verwaltungen daher genau unter die Lupe nehmen. Dabei sollte auch juristischen Aspekten Beachtung geschenkt werden. Zu den Fragen, die es zu beantworten gilt, gehört etwa, welches nationale Recht beim Auslagern der IT in die Wolke gilt, in welchem Land die Daten liegen, ob sie vor dem Zugriff Dritter ausreichend geschützt sind oder was bei einer Insolvenz des Cloud-Anbieters geschieht. „Außerdem muss geklärt werden, welche Verfügbarkeiten und Service Level Agreements der IT-Dienstleister garantieren kann. Hinzu kommen Themen wie Haftung, Schadensersatzansprüche oder Vergütungsminderung bei Nichterfüllung“, erklärt Joachim Brands, Director Public Sector bei HP Enterprise Services Deutschland. Auch das Sicherheitskonzept des Anbieters müsse genau geprüft und Zertifikate eingefordert werden. „Zwar entsprechen heute schon einzelne Cloud-Anbieter höchsten Sicherheitsanforderungen“, so Brands, „um aber auf breiter Front für Vertrauen zu sorgen, brauchen wir transparente Rahmenbedingungen und Standards, vergleichbar einem TÜV für Cloud-Anbieter.“

Anforderungen des BSI

Als Anstoß für die Schaffung solcher Rahmenbedingungen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Eckpunktepapier „Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter“ erarbeitet. Der Entwurf soll als Grundlage für die Diskussion zwischen Anbietern und Kunden dienen, mit dem Ziel, Sicherheitsanforderungen an das Cloud Computing zu entwickeln, welche einen Schutz von Daten und Systemen gewährleisten sowie sinnvoll und umsetzbar sind.
Grundsätzlich empfiehlt das BSI, sich hinsichtlich des Sicherheitsniveaus von Cloud-Anbietern am IT-Grundschutz auf Basis von ISO 27001 zu orientieren. Die Sicherheit ihrer Rechenzentren sollten Anbieter nach dem aktuellen Stand der Technik gewährleisten. Zu den Mindestanforderungen zählt laut BSI beispielsweise eine permanente Überwachung der Zugänge. Für den Betrieb unverzichtbare Versorgungskomponenten, wie Stromversorgung, Klimatisierung und Internet-Anbindung, sollten außerdem redundant ausgelegt sein. Für eine besonders hohe Verfügbarkeit der Dienste sollte der Anbieter darüber hinaus zwei redundante und vernetzte Rechenzentren vorhalten, die geografisch so weit auseinander liegen, dass im Fall von Katastrophen nicht beide in Mitleidenschaft gezogen werden. Des Weiteren muss der Anbieter dafür Sorge tragen, dass zusätzlich alle Komponenten der Cloud-Architektur wie Netze, IT-Systeme, Anwendungen, Daten und virtuelle Infrastrukturen geschützt sind. Den besonders hohen Anforderungen der öffentlichen Verwaltung an die Vertraulichkeit der gespeicherten Informationen soll nach dem Willen des BSI durch entsprechende technische und organisatorische Maßnahmen Rechnung getragen werden, etwa durch den Einsatz zertifizierter Hypervisoren gemäß Common Criteria Evaluation Assurance Level (EAL) 4.
In einem Beitrag für unsere Fachzeitschrift move moderne verwaltung schreibt Isabel Münch, Referatsleiterin für IT-Sicherheitsmanagement und IT-Grundschutz beim BSI, es sei wichtig, dass Behörden aufgrund der hohen Sensibilität ihrer Daten von ihrem Cloud-Anbieter mehr Transparenz fordern: „Der Anbieter sollte offenlegen, an welchen Standorten die Daten und Anwendungen verarbeitet werden und wie dort der Zugriff durch Dritte geregelt ist.“
Das BSI empfiehlt in seinem Eckpunktepapier außerdem, die Sicherheitsleistungen in einem Service Level Agreement (SLA) zwischen Cloud-Anbieter und -Kunde eindeutig festzulegen. Gerade im Bereich der öffentlichen Verwaltung sollten sowohl der Zugriff auf die Daten als auch die Kontinuität der Geschäftsprozesse im Fall einer Insolvenz des Cloud-Anbieters sichergestellt sein. Des Weiteren darf laut BSI durch die Auslagerung von IT in die Wolke keine Herstellerabhängigkeit entstehen: Anbieter von Cloud-Diensten sollten demnach standardisierte oder offengelegte Schnittstellen verwenden.

Was für die Cloud spricht

Auch wenn derzeit noch rechtliche Bedenken vorherrschen, wird die öffentliche Hand am Cloud Computing nicht vorbeikommen, ist Joachim Brands von HP Enterprise Services überzeugt. Denn Bund, Länder und Kommunen könnten dadurch ihre IT-Kosten im hohen zweistelligen Prozentbereich reduzieren. Auch Angelika Gifford, Leiterin des Geschäftsbereichs Public Sector bei Microsoft Deutschland, meint: „Es geht heute auch bei Behörden nicht mehr um die Frage, ob Cloud Computing in die IT integriert wird, sondern auf welche Weise und mit welchen Cloud-Services der Einstieg beginnt.“ In Hinblick auf die föderalen Strukturen in Deutschland und der historisch gewachsenen IT-Landschaften mit hoher Fragmentierung auf den verschiedenen Verwaltungsebenen könnte sich Cloud Computing nach Ansicht von Gifford als das übergreifende Betriebsmodell erweisen, das gleichsam als Schlüsseltechnologie zur überfälligen Harmonisierung der Infrastruktur- und Applikationslandschaften der öffentlichen Hand beiträgt.
HP-Manager Brands nennt noch einen weiteren Aspekt, der für die Cloud spricht: „Der IT-Betrieb ist typischerweise von Silo-Strukturen und vielen manuellen Tätigkeiten geprägt. Hier ist dringend eine nachhaltige Transformation auf den Ebenen der Technik, der Prozesse und der Organisation erforderlich.“ Diese müsste die öffentliche Hand sowohl inhouse vorantreiben, als auch auf Lösungen externer Anbieter zurückgreifen. Brands: „Bei verwaltungsspezifischen Verfahren wird sich sicherlich die interne Optimierung durchsetzen, wobei diese mit einer massiven Konsolidierung und Standardisierung der Bundes-, Länder- und kommunalen IT einhergehen muss, wenn nachhaltige Effekte erzielt werden sollen. Bei klassischen Infrastruktur-Services oder E-Mail liegt es dagegen nahe, auf Cloud-Angebote von etablierten Anbietern zurückzugreifen.“
Insbesondere wenn personenbezogene Daten verarbeitet werden, kommt für öffentliche Verwaltungen derzeit allerdings nur das Betriebsmodell der Private Cloud in Betracht. Denn hier hat der Kunde die volle Kontrolle über die IT-Infrastruktur und die angebotenen Dienste, weil er die Cloud im eigenen Rechenzentrum betreibt oder einen bestimmten Dienstleister damit beauftragt hat. Hard- und Software werden exklusiv vom Kunden genutzt. Die alleinige Verwendung von privaten Cloud-Umgebungen bringe allerdings nur begrenzte Konsolidierungseffekte mit sich, konstatiert das Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS. Eine mögliche Alternative sei die Community Cloud, also ein Zusammenschluss mehrerer Rechenzentren zu einer kooperativen Dienstleistungsinfrastruktur. Zu deren Umsetzung müssten zunächst jedoch unter anderem föderierte System- und Dienst-Management-Ansätze entwickelt werden.

Angebote für Behörden

An Cloud-Lösungen, welche die besonderen Anforderungen der öffentlichen Verwaltung berücksichtigen, wird von verschiedenen Seiten gearbeitet. So prüft eine Facharbeitsgruppe der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister, Vitako, die Möglichkeiten einer Government Cloud. In dieser würden Cloud-Services von einem Netzwerk öffentlicher IT-Dienstleister erbracht. Geprüft wird dabei auch, ob und wie das Deutsche Verwaltungsnetz (Deutschland-Online Infrastruktur, DOI) als sichere Infrastruktur genutzt werden kann. „Die öffentlichen IT-Dienstleister sind Garanten für finanzierbares, beherrschbares, rechtssicheres und hoch verfügbares Cloud Computing“, meint Vitako-Geschäftsführerin Marianne Wulff. „Der öffentlichen Verwaltung ist dringend anzuraten, den Weg mit ihren Dienstleistern zu gehen und keine unkontrollierten Abenteuer mit privaten Unternehmen zu starten.“
Einen anderen Weg geht Dataport. Der IT-Dienstleister der öffentlichen Verwaltung in Schleswig-Holstein, Hamburg und Bremen sowie für die Steuerverwaltung in Mecklenburg-Vorpommern und Niedersachsen hat sich mit dem Unternehmen Microsoft zusammengetan und entwickelt gemeinsam mit dem Konzern ein Cloud-Angebot für die E-Mail-Kommunikation. Die Government CloudMail richtet sich vornehmlich an kommunale Kunden, welche keine eigene E-Mail-Infrastruktur betreiben oder nur ein geringes IT-Budget zur Verfügung haben. E-Mail-Postfächer werden dabei nach Bedarf über ein Selbstbedienungsportal eingerichtet. Der Zugriff auf das Postfach ist via Internet und somit ortsunabhängig und auch über mobile Endgeräte möglich. Laut Dataport-Vorstand Andreas Reichel besitzt das Angebot gegenüber anderen cloudbasierten E-Mail-Diensten einen entscheidenden Vorteil: Während diese häufig auf Basis einer Public Cloud arbeiten, werden bei der Government CloudMail alle Daten ausschließlich im Rechenzentrum von Dataport innerhalb Deutschlands verarbeitet und gespeichert, sodass der Kunde jederzeit weiß, wo sich seine Daten befinden. Die Vorbereitung des Pilotbetriebs für die Government CloudMail soll noch im ersten Quartal 2011 starten. Darüber hinaus plant Dataport, künftig weitere Standard-Software und IT-Infrastrukturen webbasiert und als On-Demand-Service bereitzustellen.
Auch andere Anbieter haben Cloud-Lösungen für den Public Sector entwickelt. So demonstriert etwa IBM auf der CeBIT (1. bis 5. März 2011, Hannover) anhand des Showcase „Cloud für D115“ nach eigenen Angaben eine sichere Service-Center-Anwendung aus einer Public Cloud heraus. Der kommunale IT-Dienstleister citeq verbindet die Themen neuer Personalausweis und Cloud Computing. Er will es Kommunen ermöglichen, intelligente Formulare für eID-Anwendungen aus der Wolke heraus zu beziehen. Das Unternehmen Materna bietet mit Training in a Cloud eine Komplettlösung für interne und externe IT-basierte Schulungen. Ein weiteres Einsatzszenario ist laut Hersteller die Bereitstellung von virtuellen Desktops aus der Cloud. Der Service setzt sich zusammen aus der Bereitstellung, dem Management und dem Betrieb von Arbeitsplätzen. Somit könnten komplette Arbeitsumgebungen mit Betriebssystem und Anwendungen über die Cloud angeboten werden. Die schützenswerten Daten verbleiben dabei laut Materna im Rechenzentrum und liegen nicht mehr auf einem beschränkt absicherbaren Endgerät wie beispielsweise einem PC.

Berlin in der Testwolke

Einen Schritt weiter ist man in der Bundeshauptstadt: Für die Berliner Verwaltung hat das IT-Dienstleistungszentrum Berlin (ITDZ Berlin) im Dezember 2010 eine Testplattform für eine Private Cloud in Betrieb genommen. Diese ermöglicht den flexiblen Zugriff auf Rechenleistung oder Software-Lösungen innerhalb eines nach außen abgeschotteten, internen Netzwerks, dem Berliner Landesnetz. Kommunikations- und Verzeichnisdienste, IT-Infrastrukturbetreuung und Geo-Informationssysteme sind Anwendungen der Berliner Verwaltung, die bereits den Anforderungen an einen Cloud-Service entsprechen. Die vorhandenen Strukturen will das ITDZ nun zu einem umfassenden Cloud-Angebot ausbauen. Im Fokus stehen dabei unter anderem der Aufbau einer On-Demand-Struktur, die einen flexibleren Zugriff auf die Dienstleistungen ermöglicht, sowie die weitere Automatisierung von Bearbeitungsprozessen. Nach Abschluss des Probebetriebs soll die Berliner Verwaltung dann mit einer ausgereiften Private-Cloud-Lösung arbeiten können.