Suchen

Cloud Computing in der Öffentlichen Verwaltung

Daten dürfen den Rechtsraum der EU nicht verlassen

Seite: 4/4

Vertrauen ist die zentrale Frage bei Cloud Computing

Welche Anforderungen müsste ein Sicherheitskonzept für die Öffentliche Verwaltung erfüllen?

Veit: Das Bundesamt für Sicherheit in der Informationstechnik hat in seinem Eckpunktepapier für sicheres Cloud Computing bereits eine Reihe von Kernanforderungen entwickelt, die durch den Anbieter und Nutzer von Cloud-Lösungen erfüllt werden müssen.

Hierzu gehören die Rechenzen­trumssicherheit, die Server- und Netzsicherheit, sowie die Anwendungs- und Plattformsicherheit. Die notwendigen organisatorischen, personellen und technischen Maßnahmen sind dabei natürlich mit Kosten verbunden. Daher sollte in jedem Fall zuvor analysiert werden, ob tatsächlich spezielle Anforderungen an die Vertraulichkeit oder Verfügbarkeit der Daten und Anwendungen bestehen oder ob Grundanforderungen an die Sicherheit ausreichen.

Generell würde ich davon ausgehen, dass Cloud Computing die Sicherheit der IT weiter verbessern wird, da die Cloud-Anbieter sich mit diesem Thema umfassender und professioneller beschäftigen können. Dies können einzelne Verwaltungseinheiten nicht in dem gleichen Umfang wie spezialisierte Cloud-Anbieter leisten. Das Vertrauen in den Anbieter, dass er für ausreichend Vertraulichkeit und Verfügbarkeit sorgt, wird in Zukunft das Kernthema für IT-Anbieter und ein entscheidender Erfolgsfaktor bei der Vermarktung von Cloud-Lösungen sein.

Im Memorandum fordern Sie zusammen mit Ihren Kollegen für Deutschland die Entwicklung einer integrierten und vernetzten Cloud-Infrastruktur unter Beachtung infrastrukturell-hoheitlicher und wettbewerblicher Anforderungen bis 2020. Was ist darunter zu verstehen?

Veit: Eine durch den Staat betriebene Cloud-Infrastruktur, die durch die Öffentliche Verwaltung, Unternehmen und Bürger genutzt werden kann, sollte eine große Zahl von Anforderungen erfüllen, damit sie in kritischen Bereichen zum Einsatz kommen kann.

In der Vergangenheit wurden im eGovernment bereits eine Reihe von Ideen wie etwa der Dokumentensafe entwickelt, die sich besonders für eine Migration in die Cloud eignen. Die Erfahrungen aus den Vereinigten Staaten zeigen uns, dass Unternehmen und Bürger sensible Daten nur ungern an kommerzielle Anbieter übergeben, die sich staatlichen Kontrollen, wie die Daten im Detail weiterverarbeitet werden, weitest­gehend entziehen.

Dies war sicher auch der Hauptgrund, warum Google im letzten Jahr die digitale Krankenakte in den USA einstellen musste. Gerade für sensible Anwendungsbereiche benötigen wir eine Cloud-Infrastruktur, die auf offene Schnittstellen und Datenaustauschformate, Ende-zu-Ende-Verschlüsselung, ein ausgeklügeltes Datenzugriffsrechtesystem, sowie sichere Authentifizierungsverfahren mit Single-Sign-On setzt.

Wie die Erfahrungen beim neuen Personalausweis zeigen, sollten frühzeitig alle wichtigen Akteure mit ins Boot geholt werden, damit eine solche Cloud-Infrastruktur auch angenommen und der Wettbewerb um int­eroperable Applikation gestärkt wird. Hier sollte aus den Fehlern bei der Einführung des neuen Personalausweises gelernt werden, wo über die richtigen Anreizmechanismen im Vorfeld nicht ausreichend nachgedacht wurde. Denn ohne entsprechende Vorarbeiten wird sich Cloud Computing in vielen Bereichen nur schwer durchsetzen können

(ID:31871940)