Suchen

Cloud Computing in der Öffentlichen Verwaltung Daten dürfen den Rechtsraum der EU nicht verlassen

Redakteur: Manfred Klein

In einem Memorandum haben Wissenschaftler sich zum Einsatz von Cloud Computing in der Öffentlichen Verwaltung geäußert. Die größte Gefahr sehen sie in der Dominanz nicht-europäischer Unternehmen. Das stelle eine Bedrohung für den Wirtschaftsstandort Deutschland und die europäische Staatengemeinschaft dar.

Die Europäische Union droht beim Cloud Computing abgehängt zu werden
Die Europäische Union droht beim Cloud Computing abgehängt zu werden

Keinen Zweifel lassen die Autoren Helmut Krcmar, Claudia Eckert, Arnold Picot, Dieter Klumpp, Nico Grove, Tiziana Margaria, Volker Markl, Michael Pauly und Daniel Veit hingegen daran, dass für die Öffentliche Verwaltung kein Weg an der Cloud vorbeiführt. eGovernment Computing sprach mit Prof. Daniel Veit von der Universität Mannheim über die Folgen.

Herr Veit, Sie haben mit anderen Wissenschaftlern am Memorandum „Nachhaltige Cloudstrategien für Europa“ mitgewirkt. Überschrieben ist die Arbeit mit dem Titel „Denk ich an Clouds in der Nacht“. Wer Heine kennt, an den das Zitat angelehnt ist, weiß, dass es in seinem Gedicht weiter geht mit „bin ich um den Schlaf gebracht“. Steht es wirklich so schlimm um Cloud Computing?

Veit: Cloud Computing wird in den nächsten Jahren ein wesentlicher Innovationsmotor für die Optimierung der Arbeitsabläufe in Öffentlichen Verwaltungen und Privatwirtschaft sein. Dies deuten nicht nur die hohen Erwartungen von Analysten und IT-Unternehmen an, sondern auch die erkennbare Bereitschaft der IT-Entscheider den Paradigmenwechsel anzugehen.

Für den Öffentlichen Sektor ist Cloud Computing besonders attraktiv, da durch eine starke Verbreitung Reformziele – wie die Konsolidierung und Standardisierung von IT sowie die Digitalisierung von Prozessen – verfolgt und in der Folge hohe Einsparung erzielt werden können.

Momentan wird der Cloud-Markt allerdings vor allem von amerikanischen Unternehmen wie Amazon, Google oder Salesforce dominiert. Deutsche IT-Dienstleister haben hier Nachholbedarf.

Aufgrund der extremen Skalierungseigenschaften in den Bereichen Infrastruktur- und Plattform-Dienstleistungen ist damit zu rechnen, dass sehr rasch schwer revidierbare Marktstrukturen entstehen werden.

Da diese Bereiche die Grundlage für die Verfügbarkeit von Geschäftsprozessen aus der Cloud bilden, stellt die Dominanz nicht-europäischer Unternehmen eine ernsthafte Bedrohung für die Unabhängigkeit, Kontrolle und Robustheit des Wirtschaftsstandorts Deutschland und der europäischen Staatengemeinschaft dar. Hier gilt es frühzeitig die Weichen für die Zukunft zu stellen, damit Öffentliche Verwaltung und Privatwirtschaft vom Innovationsmotor Cloud Computing profitieren können.

Braucht Europa eine eigene Cloud?

Dass der Cloud-Computing-Markt von amerikanischen Unternehmen dominiert wird, heißt auch, dass die Server für die Cloud meist in den USA stehen. Und der Patriot Act sorgt für weiteres Unbehagen. Welche Anstrengungen muss die Politik unternehmen, damit Verwaltungen und Unternehmen die Hoheit über ihre Daten behalten und Datenschutz auf europäischem Niveau gewährleistet werden kann? Sollte die EU eine europäische Cloud aufbauen und wenn ja, wie müsste diese aussehen?

Veit: Der Patriot Act sieht vor, dass amerikanische Behörden jederzeit auf Daten zugreifen können, die von Cloud-Anbietern mit Hauptsitz in den Vereinigten Staaten verarbeitet werden. Diese Gesetzeslage verbietet es deutschen Unternehmen und Verwaltungen grundsätzlich personenbezogene Daten – beispielsweise der Mitarbeiter – in Clouds zu speichern, die von amerikanischen Unternehmen betrieben werden.

Vor diesem Hintergrund gibt es keine Alternativen zu einer europäischen Cloud, auf der Verwaltungen, Unternehmen, sowie Bürgerinnen und Bürger ihre Daten sicher ablegen können, wenn die Wettbewerbsfähigkeit Deutschlands nicht nachhaltig beschädigt werden soll.

Bei der europäischen Cloud geht es vor allem um den Erhalt des Datenschutzes nach europäischem Maßstab, was auch ein Markenzeichen im internationalen Wettbewerb sein kann. Die amerikanischen Unternehmen klagen bereits über den Wettbewerbsnachteil, den sie im Kampf um den europäischen Markt haben könnten, wenn Europa endlich aktiver wird. Diese Chance gilt es jetzt zu nutzen.

Die europäischen Partner sollten dabei koordiniert an einer grenzüberschreitenden und interoperablen Lösung arbeiten, damit eine homogene IT-Landschaft entsteht, die hilft, Barrieren im europäischen Binnenmarkt zu überwinden.

Hier bieten grenzüberschreitende EU-Projekte wie STORK (Secure idenTity acrOss boRders linKed), SPOCS (Simple Procedures Online for Crossborder Services) oder PEPPOL (PanEuropean Public Procurement OnLine) Anknüpfungspunkte.

Welche Anstrengungen sind darüber hinaus auf deutscher und europäischer Ebene notwendig, um die Wettbewerbsfähigkeit zu erhalten?

Veit: In den nächsten Jahren geht es vor allem darum, Vertrauen in die Cloud aufzubauen. Wenn der erwartete Paradigmenwechsel gelingen soll, geht das nur über Vertrauen in die Technik und die IT-Dienstleister.

Kernidee von Cloud Computing ist es, einen beträchtlichen Teil der IT-Funktion einer Organisa­tion auf den IT-Dienstleister zu übertragen. Zertifizierungsverfahren und Transparenz über die Ausfallzeiten von Cloud-Diensten könnten hier der Schlüssel sein, um das Risiko für Anwender transparent zu machen.

Wenn auf deutscher und europäischer Ebene gemeinschaftlich klare Qualitätsmaßstäbe entwickelt werden können, kann neben dem Datenschutz die Zuverlässigkeit zu einem weiteren Wettbewerbsvorteil für die europäische Cloud werden. Damit ein fairer Wettbewerb um Preis und Lösungen entstehen kann, brauchen wir zudem eine enge Zusammenarbeit im Bereich Standardisierung.

Fehlende Standards können dazu führen, dass Unternehmen aus Angst vor einem Lock-in-Effekt lieber erst einmal abwarten. Langfristig könnten proprietäre De-facto-Standards und die hohen Skalierungseigenschaften von Cloud Computing dazu führen, dass der Cloud-Markt an Innovationsdynamik verliert. Dies gilt es durch entsprechende institutionelle Maßnahmen zu überwinden.

Verwaltungen können die Erfahrungen aus dem Outsourcing nutzen

Welche Bedingungen stellt Cloud Computing an Ämter und Behörden aus verwaltungsjuristischer Sicht. Welche Anforderungen muss die Technik erfüllen, um in Verwaltungen eingesetzt werden zu können?

Veit: Während die Virtualisierung von Infrastruktur den Vorteil mit sich bringt, dass IT-Ressourcen effizienter genutzt werden können, hat sie auch zur Folge, dass der tatsächliche Datenverarbeitungsort für den Nutzer unbekannt bleibt. Hier liegt aus juristischer Sicht der Schwachpunkt eines Einsatzes von Cloud Computing in der Öffentlichen Verwaltung.

IT-Dienstleister müssen sicherstellen, dass personenbezogene Daten den europäischen Rechtsraum nicht verlassen. Dies ist die Grundvoraussetzung für einen Einsatz. Natürlich muss die Integrität und Verfügbarkeit der Daten sichergestellt sein. Dabei können die Verwaltungen aber auch auf ihre Erfahrungen im Outsourcing bauen, denn letztlich ist Cloud Computing aus rechtlicher Sicht nichts anderes.

Welche Empfehlungen können Sie Landes- und Kommunal­verwaltungen für den Einsatz von Cloud Computing geben?

Veit: Die Verwaltungen sollten zunächst einmal bei kleineren Anwendungsszenarien Erfahrungen mit Cloud Computing sammeln. Die Wahl des Browsers kann hier schon die erste weichenstellende Herausforderung darstellen, ähnlich wie früher die Wahl des Betriebssystems.

Generell sollten die Landes- und Kommunalverwaltungen eng mit den IT-Dienstleistern der Öffentlichen Verwaltungen zusammenarbeiten, damit in den hoch standardisierten Softwarelösungen auch die eigenen Erwartungen und Anforderungen an die Software berücksichtigt werden. Auch wenn der Markt für Cloud-basierende Softwarelösungen in den nächsten Jahren heiß umkämpft sein wird, ist davon auszugehen, dass sich durch die extremen Skaleneffekte in allen wesentlichen Bereichen Quasi-Standardlösungen herauskristallisieren werden.

Ein Problem, das sich in der Praxis zunehmend zeigt, ist der unterschiedliche Patch-Level, auf Basis dessen Anwendungen zur Verfügung gestellt werden können. Beispielsweise bei ERP-On-Demand-Lösungen haben Unternehmen und Verwaltungseinheiten häufig sehr unterschiedliche Versionen der gleichen Basissoftware im Einsatz. Diese Versionsunterschiede sind derzeit nur schwer in Cloud-Lösungen abzubilden. Daher bedarf dieser Bereich weiterer Grundlagenarbeit. Für die Öffentlichen Verwaltungen gilt es hier, durch frühzeitige Adoption aktiv die Weiterentwicklung der Lösungen zu beeinflussen.

Wie ein Innovationsrahmen für eine stärkere Verbreitung von Cloud Computing in der Öffentlichen Verwaltung auszusehen hat und Anreizmechanismen gestaltet werden sollten, darauf müssen noch bessere Antworten gefunden werden. Daher ist dies Gegenstand unserer Forschung.

Vertrauen ist die zentrale Frage bei Cloud Computing

Welche Anforderungen müsste ein Sicherheitskonzept für die Öffentliche Verwaltung erfüllen?

Veit: Das Bundesamt für Sicherheit in der Informationstechnik hat in seinem Eckpunktepapier für sicheres Cloud Computing bereits eine Reihe von Kernanforderungen entwickelt, die durch den Anbieter und Nutzer von Cloud-Lösungen erfüllt werden müssen.

Hierzu gehören die Rechenzen­trumssicherheit, die Server- und Netzsicherheit, sowie die Anwendungs- und Plattformsicherheit. Die notwendigen organisatorischen, personellen und technischen Maßnahmen sind dabei natürlich mit Kosten verbunden. Daher sollte in jedem Fall zuvor analysiert werden, ob tatsächlich spezielle Anforderungen an die Vertraulichkeit oder Verfügbarkeit der Daten und Anwendungen bestehen oder ob Grundanforderungen an die Sicherheit ausreichen.

Generell würde ich davon ausgehen, dass Cloud Computing die Sicherheit der IT weiter verbessern wird, da die Cloud-Anbieter sich mit diesem Thema umfassender und professioneller beschäftigen können. Dies können einzelne Verwaltungseinheiten nicht in dem gleichen Umfang wie spezialisierte Cloud-Anbieter leisten. Das Vertrauen in den Anbieter, dass er für ausreichend Vertraulichkeit und Verfügbarkeit sorgt, wird in Zukunft das Kernthema für IT-Anbieter und ein entscheidender Erfolgsfaktor bei der Vermarktung von Cloud-Lösungen sein.

Im Memorandum fordern Sie zusammen mit Ihren Kollegen für Deutschland die Entwicklung einer integrierten und vernetzten Cloud-Infrastruktur unter Beachtung infrastrukturell-hoheitlicher und wettbewerblicher Anforderungen bis 2020. Was ist darunter zu verstehen?

Veit: Eine durch den Staat betriebene Cloud-Infrastruktur, die durch die Öffentliche Verwaltung, Unternehmen und Bürger genutzt werden kann, sollte eine große Zahl von Anforderungen erfüllen, damit sie in kritischen Bereichen zum Einsatz kommen kann.

In der Vergangenheit wurden im eGovernment bereits eine Reihe von Ideen wie etwa der Dokumentensafe entwickelt, die sich besonders für eine Migration in die Cloud eignen. Die Erfahrungen aus den Vereinigten Staaten zeigen uns, dass Unternehmen und Bürger sensible Daten nur ungern an kommerzielle Anbieter übergeben, die sich staatlichen Kontrollen, wie die Daten im Detail weiterverarbeitet werden, weitest­gehend entziehen.

Dies war sicher auch der Hauptgrund, warum Google im letzten Jahr die digitale Krankenakte in den USA einstellen musste. Gerade für sensible Anwendungsbereiche benötigen wir eine Cloud-Infrastruktur, die auf offene Schnittstellen und Datenaustauschformate, Ende-zu-Ende-Verschlüsselung, ein ausgeklügeltes Datenzugriffsrechtesystem, sowie sichere Authentifizierungsverfahren mit Single-Sign-On setzt.

Wie die Erfahrungen beim neuen Personalausweis zeigen, sollten frühzeitig alle wichtigen Akteure mit ins Boot geholt werden, damit eine solche Cloud-Infrastruktur auch angenommen und der Wettbewerb um int­eroperable Applikation gestärkt wird. Hier sollte aus den Fehlern bei der Einführung des neuen Personalausweises gelernt werden, wo über die richtigen Anreizmechanismen im Vorfeld nicht ausreichend nachgedacht wurde. Denn ohne entsprechende Vorarbeiten wird sich Cloud Computing in vielen Bereichen nur schwer durchsetzen können

(ID:31871940)