Cloud ComputingKommunen auf dem Weg

Mit einem Volumen von 20 Milliarden Euro am Gesamtmarkt für Hardware, Software und IT-Dienstleistungen im Jahr 2011 bildet die öffentliche Hand in Deutschland die Branche mit den höchsten IT-Ausgaben. Dennoch wird immer wieder moniert, dass die bei Verwaltungen und öffentlich-rechtlichen Institutionen anzutreffende IT den Standards aus Industrie und Handel um Jahre hinterherhinkt. Dies ist sicherlich den föderalen Strukturen geschuldet, welche die Standardisierung und Konsolidierung der Datenverarbeitung bei Bund, Ländern und Kommunen erschweren. Im Sinne einer ganzheitlichen Sicht ebenfalls wenig hilfreich war und ist das Denken und Agieren in Amtssilos statt in prozessorientierten, integrierten Anwendungsarchitekturen.
Wenn die IT der öffentlichen Hand bislang also durch Kleinteiligkeit, Insellösungen, Heterogenität, mangelnde Dynamik und vergleichsweise hohe Kosten gekennzeichnet ist, so erscheinen die Prinzipien des Cloud Computing geradezu maßgeschneidert, um an dieser Stelle Abhilfe zu schaffen. Dem stehen allerdings ernst zu nehmende rechtliche Einschränkungen sowie die lediglich rudimentär ausgeprägte Standardisierung von Verfahren und Infrastrukturen diametral entgegen.

#titel+Rechtliche Herausforderungen#titel-

Neben einer ganzen Reihe von Sonder- und Spezialgesetzen und -normen, welche die Ausgestaltung von Datenverarbeitung und IT-Infrastrukturen reglementieren, ist es vor allem der Tatbestand der Auftragsdatenverarbeitung in Bundes- und Landesdatenschutzgesetzen, der im Kontext von Cloud Computing zum Problem wird. Ein Grundprinzip der Cloud besteht darin, dass der physische Standort der die Leistung erbringenden Systemressourcen aus Sicht des Anwenders irgendwo sein kann. Da Cloud Computing in Deutschland aber unter die Bestimmungen der Auftragsdatenverarbeitung fällt, hat die Lokation der Wolke für deutsche Anwender sehr wohl eine Relevanz: Das Cloud-Rechenzentrum muss sich nämlich an einem deutschen Standort befinden. Bei wohlwollender Auslegung der Vorschriften und unter Berücksichtigung der EU-Datenschutzrichtlinie 95/46 EG käme allenfalls noch ein EU-Standort in Frage. Dem steht allerdings in der Praxis entgegen, dass zum Beispiel der Zugriff auf personenbezogene Daten länderspezifischen Regelungen unterliegt, die regelmäßig den deutschen Standards nicht gerecht werden. Fachleute sind sich daher einig, dass in der Praxis für öffentlich-rechtliche Auftraggeber lediglich Private Clouds an einem deutschen Standort in Frage kommen. Da öffentliche Auftraggeber mit rechtlichen Bestimmungen naturgemäß sehr sorgsam und umsichtig umgehen müssen, ist der Begriff der Private Cloud sogar noch zu weit gefasst: Gefragt sind vielmehr Trusted Clouds, die sich durch eine besonders umfassende, vollständig gesetzeskonforme Zusicherung der Daten- und Systemsicherheit auszeichnen.

#titel+Geringe Standardisierung als Hemmschuh#titel-

Der zweite wesentliche Hemmschuh für die Cloudifizierung der IT im öffentlichen Dienst ist die lediglich gering ausgeprägte Standardisierung von Verfahren und Infrastrukturen – eine wesentliche Voraussetzung, um die Kostenvorteile des Cloud Computing tatsächlich realisieren zu können. Der relativ geringe Standardisierungsgrad der Datenverarbeitung in der öffentlichen Verwaltung ergibt sich zum einen aus der Spezifität der eingesetzten Verfahren, zum anderen handelt es sich um ein rein organisatorisches Problem, das sich aus der verfassungsgarantierten Selbstständigkeit von Ämtern, Ministerien, Ressorts und Kommunen ergibt. Wenngleich mit der Einsetzung des IT-Planungsrates und der Einfügung von Artikel 91c in das Grundgesetz Signale gesendet wurden, die von einem eindeutigen politischen Problemverständnis zeugen, ist die IT des öffentlichen Dienstes nach wie vor von mannigfacher Beliebigkeit geprägt, die insbesondere Hersteller von Hard- und Software sowie die Beratergilde erfreut.
Dennoch lassen sich im öffentlichen Bereich Anwendungsfelder identifizieren, die relativ leicht vereinheitlicht werden können und so zu Kandidaten für SaaS-, PaaS- und IaaS-Angebote von Trusted Clouds for Public Sector werden. Zu nennen sind in diesem Zusammenhang etwa die Bürokommunikation von Microsoft sowie die SAP-Systeme für Finanz- und Rechnungswesen oder Personalwirtschaft. Aber auch einheitliche ECM- und DMS-Systematiken erscheinen prädestiniert für den Einsatz in einer Verwaltungscloud. Bis jedoch Bundes- und Landesministerien die Vielzahl ihrer Rechenzentren und IT-Infrastrukturen in jeweilige Government-Clouds konsolidieren, dürfte noch einige Zeit ins Land gehen.

#titel+Trusted Cloud gefragt#titel-

Die kommunale Welt scheint auf diesem Weg bereits deutlich näher am Ziel zu sein: Kommunale Gebietsrechenzentren, deren Geschäftsmodell traditionell den Cloud-Paradigmen sehr verwandt sind, verfügen in Deutschland über einen Marktanteil von nahezu 60 Prozent und erfüllen in der Regel alle Anforderungen, die mit den Besonderheiten des öffentlichen Bereichs verbunden sind. Aus kommunalen Rechenzentren werden aber nicht automatisch Trusted Cloud Center for Municipal IT. Es ist sicherlich der Heterogenität der verschiedenen gängigen Verfahrensarchitekturen geschuldet, dass kommunale Rechenzentren im Hinblick auf Infrastrukturen und Plattformen zumeist eben nicht den hohen Standardisierungsgraden entsprechen, die mit Cloud Computing verbunden werden.
Ein Rechenzentrum, das sich in Richtung Cloud bewegen möchte, benötigt zunächst eine System- und Plattformstrategie, die auf Konsolidierung und Standardisierung zielt und die eigentliche Cloud-Infrastruktur beschreibt. Idealerweise kommen hierbei bereits Architekturen wie die Cloud Computing Reference Architecture 2.0 von IBM als Blaupause zum Zug, welche Cloud-Management-Disziplinen wie verursachungsgemäße Abrechnung, Orchestrierung und Provisionierung berücksichtigen, aber auch Themen wie durchgängige Virtualisierung, automatisiertes System-Management und automatisierte Dienste­bereitstellung adressieren. Der konkreten Ausgestaltung dieser so genannten Cloud Middleware kommt hierbei eine besondere Bedeutung zu. Ebenfalls nicht zu unterschätzen ist der Aspekt, dass mit Cloud Computing neue Rollen und Prozesse im Rechenzentrum Einzug halten, die wiederum Einfluss auf die Ausgestaltung des IT-Service-Management haben. Um den Anforderungen an ein Trusted Cloud Center gerecht zu werden, wird man zudem mittelfristig um Zertifizierungen wie ISO 27000 nicht herumkommen, die deutlich über den BSI-Grundschutz hinausgehen.
Cloud Computing führt darüber hinaus zu neuen Formen der Zusammenarbeit zwischen den kommunalen IT-Dienstleistern. Denn aufgrund des damit einhergehenden Standardisierungsdrucks kann es durchaus interessant sein, bestimmte Leistungen nicht mehr selbst zu erbringen, sondern von einem anderen Rechenzentrum zu beziehen, das auf diese Leistung spezialisiert ist und damit entsprechende Skaleneffekte generieren kann.

#titel+ Der Aufwand lohnt#titel-

Die Transformation eines konventionellen kommunalen Rechenzentrums in ein kommunales Trusted Cloud Center ist also ein steiniger, riskanter und aufwändiger Weg, der zu grundlegenden Änderungen in Technik und Organisation führen kann, sich aber lohnt: Nachdem das Rechenzentrum Region Stuttgart (RZRS) im vergangenen Jahr einen siebenstelligen Betrag für die Implementierung einer neuen Cloud-Technologie aufgewendet hat, ist es nun in der Lage, Stammkunden eine auf SAP ERP HCM basierende Entgeltabrechnung inklusive aller Vor- und Nacharbeiten zu lediglich 1,67 Euro pro Monat anzubieten. Cloud- Technologie macht es möglich.