Cloud-Lösungen sind in der heutigen digitalen Welt kaum noch wegzudenken. Sie werden sowohl im öffentlichen als auch im privaten Bereich genutzt – und auch viele Unternehmen in unterschiedlichen Branchen lagern ihre IT-Infrastruktur in die Cloud aus. Die Vorteile liegen auf der Hand: Kostenreduzierung, Skalierbarkeit der IT-Leistungen, organisatorische Flexibilität und deutliche Einsparungen bei Wartung und Instandhaltung. Was derzeit noch fehlt, ist eine Cloud-Lösung, die europäischen Standards folgt und den gesetzlichen Normen der DSGVO-Regelung in Punkto Datenschutz und Sicherheit entspricht – und damit einen Gegenpart zu den amerikanischen Cloud-Anbietern stellt.
Kurz & knapp
- Als Gegenentwurf zu amerikanischen Cloudanbietern wie Amazon und IBM soll in Europa ein zentraler, europäischer Datenraum geschaffen werden.
- Das europäische Datenprojekt Gaia-X ist mit Vorschuss-Lorbeeren gestartet, strauchelt aber auf dem Weg zur Realisierung.
- Die Deutsche Verwaltungscloud-Strategie (DVS) für die öffentliche Verwaltung ist seit Anfang 2023 im Pilotbetrieb gestartet.
- Die OZG-Cloud dient als Vorreiter der Multi-Cloud-Lösung in Deutschland.
Die Cloud verstehen
Cloud Computing hat seine frühesten Anfänge in den 1960er Jahren. Damals entstand unter Softwareentwicklern die Idee, bestimmte IT-Ressourcen wie Rechenleistung oder Anwendungen zu bündeln und so einer breiten Masse nach Bedarf zur Verfügung zu stellen. Das Problem damals: Es gab weder stabiles Internet noch multimandaten-fähige IT-Systeme. Daher sollte es noch bis in die 1990er Jahre und bis zur Entstehung des World Wide Web dauern, bis man den Cloud-Gedanken in die Tat umsetzen konnte.
Heute versteht man unter Cloud-Computing die Bereitstellung sowie Nutzung von IT-Infrastruktur wie Speicherplatz, Rechenleistung oder Software über das Internet. Über ein Rechennetz werden die benötigten IT-Infrastrukturen zur Verfügung gestellt – nicht mehr über lokale Rechner. Die Bereitstellung und Nutzung der IT-Leistungen erfolgt ausschließlich über technische Schnittstellen und Protokolle sowie über eine Clientsoftware – in der Regel ein Webbrowser.
Die Cloud teilt sich in zwei Haupt- und zwei Unterarten:
- Public Cloud: Viele Kunden teilen sich eine Infrastruktur; Anbieter sind beispielsweise Dropbox oder Google Drive. Für den alltäglichen Gebrauch, ohne größere Datensicherheit.
- Private Cloud: Infrastruktur wird für nur einen einzelnen Kunden bereitgestellt. Die Cloud-Anbieter sind auf hochsensible Daten spezialisiert.
- Hybrid Cloud: Kombination aus Private und Public Cloud; beide Cloud-Umgebungen arbeiten zusammen, um eine Vielzahl von Cloud-Modellen zu kombinieren.
- Multi Cloud: Zwei oder mehrere öffentliche Clouds werden innerhalb eines Unternehmens genutzt.
Cloud-Computing bietet drei unterschiedliche Service-Modelle:
- Infrastructure as a Service (IaaS): IaaS konzentriert sich hauptsächlich auf die Bereitstellung technischer Infrastruktur wie Rechenleistung, Netzwerke und Speicherplatz. Die Nutzung dieser Dienste lässt sich flexibel an die Anforderungen der Benutzer anpassen.
- Platform as a Service (PaaS): PaaS stellt den Benutzern eine Plattform bereit, auf der sie ihre eigenen Software-Anwendungen entwickeln und anbieten können. Hierbei werden programmierbare Entwicklungsumgebungen flexibel in der Cloud angeboten.
- Software as a Service (SaaS): SaaS wird auch als “Software on Demand” bezeichnet und bildet die oberste Ebene des Cloud-Computing. Hier werden reine Software-Anwendungen als Cloud-Dienst vom Anbieter bereitgestellt.
Aus der heutigen Welt ist die Cloud nicht mehr wegzudenken – wir nutzen sie im täglichen Leben, wenn wir Filme anschauen, Fotos speichern etc. Da Cloud Computing seinen Ursprung in den USA hat, sind die führenden Anbieter von Cloud-Diensten amerikanische Unternehmen wie Amazon, Google oder IBM. Aufgrund der amerikanischen Datenschutzbestimmungen, die nicht so streng sind wie die europäische Datenschutzgrundverordnung (DSGVO), ist der Datenaustausch über amerikanische Cloud-Anbieter derzeit für europäische Unternehmen und öffentliche Verwaltungen schwierig bis unmöglich.
Längst sind Dienstleistungen rund um das Thema Cloud zur Grundlage moderner Volkswirtschaften geworden. Seit mehreren Jahren gibt es daher Bestrebungen, ein Gegengewicht zu den amerikanischen Cloud-Anbietern zu schaffen und einen zentralen, europäischen Datenraum zu etablieren. Dieser soll sich sowohl sicherheits- als auch datenschutzrechtlich an europäischen Standards orientieren und ein Höchstmaß an digitaler Souveränität bieten. Dazu haben sich in den letzten Jahren verschiedene Initiativen gegründet.
Prestigeprojekt Gaia-X
Das europäische Datenprojekt Gaia-X steckt nach Einschätzung von Branchenkennern aktuell in einer Sackgasse: Wichtige Mitglieder ziehen sich zurück, Fördergelder fließen nicht wie geplant und die verbliebenen Mitglieder stehen sich mit ihren Eigeninteressen selbst im Weg. Dabei war das Projekt 2019 mit großen Erwartungen und dem Ziel gestartet, ein sicheres und DSGVO-konformes, europäisches Daten- und Infrastruktur-Ökosystem aufzubauen, das höchsten Anforderungen an die digitale Souveränität gerecht wird. Hinter der Initiative stehen 22 Unternehmen und Organisationen aus Deutschland und Frankreich, die 2020 die internationale gemeinnützige Gesellschaft GAIA-X AISBL gegründet haben. Sie koordiniert die Zusammenarbeit aller Beteiligten – mittlerweile mehrere hundert, europäische Organisationen aus Politik, Wirtschaft und Wissenschaft. Auch die EU-Kommission ist involviert.
Gaia-X soll mit vertrauenswürdigen Plattformen Datenräume schaffen, die gemeinsamen Regeln und Standards entsprechen und es den Nutzern dank einheitlicher Schnittstellen erlauben, Daten sicher und frei zwischen mehreren Akteuren zu teilen und auszutauschen. Die definierten Standards der Cloud-Infrastruktur unterliegen den europäischen Datenschutzanforderungen und beinhalten Interoperabilität, Transparenz und Kompatibilität von Daten und Diensten sowie die Zusammenarbeit und den Datenaustausch zwischen den verschiedenen Cloud-Instanzen. Gaia-X ist ein föderales System, das viele Cloud-Service-Anbieter und -Nutzer in einer transparenten Umgebung miteinander verbinden soll. Um die Datensouveränität zu stärken, ist der Einsatz von Open Source-Software ein zentraler Aspekt.
Neben Gaia-X sind in den letzten Jahren weitere Initiativen zum Thema Cloud entstanden, die sich aber nie branchenübergreifend, sondern eher in Teilbereichen wie zum Beispiel der Wissenschaft (Europäische Cloud-Initiative) engagiert haben. So auch die Cloud for Europe: Die Initiative, die von der Europäischen Kommission finanziert wurde, sollte die Verbreitung von Cloud-Diensten im öffentlichen Sektor fördern. Ziel war es, den Behörden der Mitgliedstaaten Cloud-Lösungen bereitzustellen, die den spezifischen Anforderungen des öffentlichen Sektors gerecht werden und gleichzeitig die europäischen Sicherheits- und Datenschutzanforderungen erfüllen. Alle diese Initiativen haben bislang entweder noch keinen Reifegrad erlangt oder die Projektkoordination wurde bereits wiedereingestellt – ohne nennenswerte Auswirkungen auf die Cloud-Landschaft in Europa.
Ist die europäische Cloud-Initiative jetzt gescheitert? Konzentrieren sich die einzelnen Länder auf Einzellösungen? Was macht Deutschland?
Deutschland, deine Wolken
Parallel zu den europäischen Bemühungen haben einzelne europäische Mitgliedsstaaten eigene Cloud-Strategien in unterschiedlichen Wirtschaftszweigen entwickelt – zum Beispiel in der Automobilindustrie. Insbesondere für hochsensible Daten aus dem Gesundheitswesen oder der öffentlichen Verwaltung gelten weiterhin strenge Regeln und Vorgaben. Dabei stehen die digitale Souveränität und die Einhaltung der DSGVO-Verordnung stets im Vordergrund.
Die sichersten Clouds zeichnen sich durch einen Serverstandort innerhalb der EU aus. Zudem vergeben verschiedene, unabhängige Institutionen Sicherheitskennzeichen wie beispielsweise Zertifikate, anhand derer Kunden überprüfen können, ob die festgelegten Sicherheitsstandards vom Anbieter eingehalten werden. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt es auf dem Markt verschiedene Zertifikate für Cloud-Angebote. Zu den bekannten zählen das Gütesiegel SaaS von EuroCloud, CSA STAR und TÜV Trust IT. Auch das IT-Grundschutz-Zertifikat des BSI kann von Cloud-Anwendern genutzt werden. Eine gesetzliche Pflicht zur Zertifizierung von Cloud-Anbietern besteht jedoch nicht.
Die Deutsche Verwaltungscloud-Strategie als Wegweiser für die Digitalisierung der öffentlichen Verwaltung?
Mit der Deutschen Verwaltungscloud-Strategie (DVS) verfolgt die öffentliche Verwaltung eine Strategie zur Stärkung der Digitalen Souveränität der IT der öffentlichen Verwaltung. Sie wurde als gemeinsames Steuerungsgremium von IT-Planungsrat, Bund und Ländern entwickelt und wird mit verschiedenen Kooperationspartnern weiterentwickelt.
Ziel ist die Schaffung gemeinsamer Standards und offener Schnittstellen für Cloud-Lösungen der öffentlichen Verwaltung, um übergreifend eine interoperable sowie modulare föderale Cloud-Infrastruktur in Deutschland zu etablieren. In den Verwaltungsebenen von Bund, Ländern und Kommunen existiert derzeit eine Vielzahl an Cloud-Lösungen – die aufgrund fehlender Standardisierung nur eingeschränkt interoperabel und kompatibel sind. Mithilfe der DVS soll eine Cloud-übergreifende und wechselseitige Nutzung der Anwendungen und Softwarelösungen geschaffen werden – die Deutsche Verwaltungscloud (DVC). Sie wird definiert als ein bundesweit zugänglicher digitaler Marktplatz, auf dem Behörden von Bund, Ländern und Kommunen einfach und sicher digitale Verwaltungsleistungen beziehen können.
Welche verpflichtenden Standards setzt die Deutsche Verwaltungscloud-Strategie für die teilnehmenden Cloud-Standorte von Bund, Ländern und Kommunen um? Das Konzeptpapier der DVS nennt fünf Standardisierungsbereiche:
- Entwicklung und Entwicklungsplattform,
- Anwendungsbereitstellung und -management,
- Code Repository,
- Infrastruktur-Service und technologischer Stack sowie
- Betriebsstandards und Betriebsmodelle
Alle bereits heute bestehenden Cloud-Lösungen der öffentlichen Verwaltung sowie die zugehörigen IT-Dienstleister müssen diese Standards verpflichtend umsetzen, wenn sie Teilnehmer der Deutschen Verwaltungscloud werden wollen. Damit soll auch die Umsetzung der OZG und des EfA-Prinzips aktiv unterstützt werden.
Bereits bestehende Cloud-Lösungen in Ländern und Kommunen: Die OZG-Cloud
Eine bereits seit 2021 erfolgreich existierende Cloud-Lösung ist die OZG-Cloud, die sich zu einem entscheidenden Element der Verwaltungsdigitalisierung in Deutschland entwickelt. Derzeit arbeiten die Länder Schleswig-Holstein und Bayern gemeinsam daran, den Kommunen Anwendungen über die Cloud zur Verfügung zu stellen.
Die OZG-Cloud bildet die wesentlichen Anforderungen der „Deutschen Verwaltungscloud-Strategie“ (DVS) ab – wie die Kompatibilität und Interoperabilität der bereits vorhandenen Cloud-Lösungen von Kommunen, Ländern und Bund, die Stärkung der digitalen Souveränität der öffentlichen Verwaltung, die Gewährleistung von Sicherheit, Transparenz und Vertraulichkeit der Daten in der Cloud sowie die Kontrolle über die Daten. Die OZG-Cloud ist eine Sammlung von Skripten und Technologien, die es ermöglichen, Anwendungen in den bestehenden Rechenzentren der Bundesländer aufzusetzen und zu warten. Das Ergebnis ist eine Multi-Cloud-Lösung, bei der sich alle angeschlossenen Rechenzentren zentral versorgen lassen.
Grundvoraussetzung ist, dass jedes Rechenzentrum Virtual Machines (VM) oder einen Kubernetes-Namespace zur Verfügung stellt. Kubernetes bietet für die weitere Untergliederung einzelner Cluster die Funktion zum Erstellen sogenannter „Namespaces“ – virtuelle Cluster innerhalb eines Kubernetes-Clusters. Dieser Namespace bleibt „Hoheitsgebiet“ der einzelnen Kommunen. Das Cloud-System ermöglicht es, den Mandanten „auf Knopfdruck“ eine Systemumgebung bereitzustellen und wurde mit einem hohen Automatisierungsgrad entwickelt.
Weitere Informationen:
- Website: Deutsche Verwaltungscloud-Strategie
- Website: Gaia-X
- Website IT.VSH: OZG-Cloud
- Blog-Artikel: OZG-Cloud – Digitale Blaupause für Kommunen