Cloud Computing in der Öffentlichen Verwaltung Heiter bis wolkig: Behörden und die Verlockung der Cloud

Redakteur: Manfred Klein

Cloud Computing ist in aller Munde – auch in der Öffentlichen Verwaltung. Doch ist die Verunsicherung, ob die Technologie tatsächlich für Verwaltungen mit ihren Anforderungen an Datenschutz und Sicherheit geeignet ist, nach wie vor groß. Entsprechend unterschiedlich fallen die Einschätzungen der Verantwortlichen aus.

Firmen zum Thema

Noch ist es weiter Weg, ehe CLoud Computing in der Öffentlichen Verwaltung Alltag ist (Foto: AA+W - Fotolia.com)
Noch ist es weiter Weg, ehe CLoud Computing in der Öffentlichen Verwaltung Alltag ist (Foto: AA+W - Fotolia.com)

Wo also stehen die Verwaltungen im Augenblick? eGovernment Computing hat sich umgehört und ein Stimmungsbild eingefangen. Natürlich kann eine solche Bestandsaufnahme nicht vollständig sein. Die eingeholten Aussagen ergeben aber dennoch ein repräsentatives Bild und zeigen sehr schön, dass es auch hier Avantgardisten und vorsichtige Zauderer gibt, die die Technologie erst einmal genau prüfen wollen.

Noch ist die Initiative des Bundeswirtschaftsministeriums „Sichere Internet-Dienste – Sicheres Cloud Computing für Mittelstand und öffentlichen Sektor (Trusted Cloud)“ also nicht am Ziel. Laut Auskunft des Bundesinnenministeriums (BMI) nimmt das Interesse der Verwaltungen an Cloud Computing aber zu.

„Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt ein zunehmendes Interesse der Öffentlichen Verwaltung beim Thema Cloud Computing wahr. Es gibt jedoch innerhalb der Bundesverwaltung keine abgestimmte Cloud-Strategie oder konkrete Überlegungen zum Aufbau einer Bundes-Cloud“, so die Auskunft des BMI.

Ansätze würden zwar bereits diskutiert, denn das technologische Potenzial von Cloud Computing werde seitens der Verwaltung anerkannt.

„Jedoch müssen insbesondere aus Sicht des BMI noch rechtliche Fragestellungen und IT-Sicherheitsaspekte analysiert werden, bevor Cloud-Dienste für die Verwaltung zum Einsatz kommen können“, so das Fazit des BMI.

Rheinland-Pfalz

In Rheinland-Pfalz ist man offenkundig bereits weiter. „Nach unserer Auffassung ist es längst keine Frage mehr, ob Cloud Computing im Öffentlichen Sektor Einzug halten wird.“

Zwar könne ein für die Öffentliche Verwaltung hinreichend hohes Datenschutzniveau in einer öffentlichen Cloud (Public Cloud), in der die Server gegebenenfalls weltweit verteilt sind, nicht erreicht werden, heißt es von dort.

Aber: „Dagegen stellt das Modell einer privaten Cloud (Private Cloud) für die Öffentliche Verwaltung eine sachgerechte Option dar, um die mit der neuen Technologie erzielbaren umfangreichen Effektivitäts-, Einspar- und Effizienzpotenziale mehr und mehr zu erschließen.“

Aber auch in Mainz werden die Verantwortlichen von ungelösten Sicherheitsfragen umgetrieben: „Grundsätzlich stellen die zu lösenden Fragestellungen zur IT-Sicherheit die größten Herausforderungen dar.“ Und dennoch heißt es: „Cloud Computing ist nach unserer Auffassung ein Katalysator für Verwaltungsmodernisierung und eGovernment und besitzt daher für den Öffentlichen Sektor strategische Bedeutung.“

Die IT-Strategie des Landes berücksichtigt Cloud Computing bereits

Daher werde Cloud Computing auch im Rahmen der Fortschreibung der IT- und eGovernment-Strategie des Landes Rheinland-Pfalz adäquat berücksichtigt werden. Die technische Realisierung erfolge durch den Landesbetrieb Daten und Information (LDI), dem zentralen IT-Dienstleister des Landes Rheinland-Pfalz.

Dieser habe bereits im dritten Quartal 2011 ein Projekt zum Aufbau und Betrieb einer Private Cloud für Fachverfahren verschiedener Organisa­tionen auf Landesebene gestartet. Der Fokus liege auf dem Servicemodell Platform as a Service (PaaS).

Weiter heißt es dazu aus Mainz: „Das Konzept ist auf andere Organisationen übertragbar. So ist angedacht, Verfahren anderer Landesorganisationen und dann sogar Verfahren von Kunden aus anderen Ländern in diese Cloud-Services kostengünstig und bedarfsgerecht einzubeziehen.“

Und weiter: „Cloud Computing unterstützt die gemeinsame Nutzung von IT-Ressourcen und fördert damit den Ansatz der IT-Kooperation im Bereich der Erbringung von Infra­strukturdiensten, wie dies etwa bei der länderübergreifenden Entwicklung und Pflege von Fachverfahren bereits seit Jahren üblich ist.“

Das Konzept Cloud Computing entfalte seine Synergie- und Einspareffekte erst ab einer bestimmten Menge von Verfahren beziehungsweise Komponenten, die in eine Cloud-Computing-Umgebung integriert werden. Aus diesem Grund seien Kooperationen von Rechenzentren oder Dienstleistern im Öffentlichen Sektor sinnvoll.

„Private Cloud-Lösungen für die Öffentliche Hand sollten durch die IT-Dienstleister der Öffentlichen Hand realisiert werden, die dabei kooperieren sollten. Cloud Computing ist und bleibt primär eine Frage von Kooperationen.“

Damit verfolgt Rheinland-Pfalz eine ähnliche Strategie wie Hessen. Denn auch in Wiesbaden möchte man mit der eigenen Verwaltungs­cloud in anderen Bundesländern punkten.

Kritisch sieht man in Rheinland-Pfalz jedoch die juristischen Rahmenbedingungen. „Beim Einsatz von Cloud Computing sind noch viele rechtliche Fragen offen. Und es sind zahlreiche Rechtsgebiete – wie beispielsweise das Vertrags- und Haftungsrecht, das Urheberrecht, das Datenschutzrecht, das Steuer- und Handelsrecht, das Verwaltungsverfahrensrecht sowie das Vergaberecht – betroffen. Die Ausgestaltung der juristischen Rahmenbedingungen wird derzeit in vielen Gremien offen diskutiert und kritisch beleuchtet.“

Sorgenkind rechtliche Rahmenbedingungen ...

Für die Öffentliche Verwaltung sei die „rechtliche Zulässigkeit“ eine Grundvoraussetzung zur Nutzung von Cloud Computing. Datenschutz ist oberstes Gebot.

Die Einschätzung der Verantwortlichen in Mainz: „Schon die ISPRAT-Studie Cloud Computing für die Öffentliche Verwaltung vom November 2010 beschäftigt sich mit der Fragestellung ob und wie die mit Cloud Computing verbundene Virtualisierung von Informationstechnologie über institutionelle Verwaltungsgrenzen hinweg mit den rechtlichen Anforderungen und Anwendungsgrenzen im Öffentlichen Sektor kompatibel ist. Im Prinzip hat die Untersuchung gezeigt, dass die auftretenden Risiken dabei durchaus eingrenzbar und beherrschbar erscheinen.“

Allerdings ergebe sich erheblicher juristischer Handlungsbedarf, um die zu gestaltenden Risikotatbestände nicht in jedem Einzelfall einer Cloud-Migration absichern zu müssen, sondern diese durch die Schaffung von standardisierten gesetzgeberischen Regelungen etwa für Dienstverträge und -spezifikationen abwickeln zu können.

Hilfreich sei auch die von der Konferenz der Datenschutzbeauftragten des Bundes und der Länder herausgegebene Orientierungshilfe, die den datenschutzgerechten Einsatz von Cloud Computing fördern soll (S. 5).

Zudem würden in Rheinland-Pfalz alle Komponenten und Prozesse die im Vorfeld in der „physikalischen Welt“ vorhanden waren, auch in der virtuellen Umgebung beziehungsweise in der Cloud abgebildet. So könnten die vorhandenen Dienstleistungsverträge/Service Level Agreements (SLAs) mit Anpassungen unmittelbar genutzt werden – beim Aufbau der Private Cloud für eine Verwaltung ändere sich erst einmal nichts. Den datenschutzrechtlichen Belangen sowie den Anforderungen an die IT-Sicherheit werde nach wie vor ein hoher Stellenwert eingeräumt. Eine angestrebte Zertifizierung durch das BSI solle dies belegen.

Rundum positiv sieht man dagegen die finanziellen Vorteile der Cloud. Eine Hoffnung, die wohl auch den Bemühungen in anderen Ländern zugrunde liegt.

... versus lockende Einsparpotenziale

„Grundsätzlich ist angedacht, für jedes Verfahren vor der Migration auf Cloud-Technologie eine Wirtschaftlichkeitsüberprüfung und zusätzlich eine Sicherheitsbewertung durchzuführen. Erst bei positiver Bewertung beider Analysen kann das Verfahren umgesetzt werden. Darüber hinaus sind die Werte des Energieverbrauchs und des CO2-Ausstosses im Sinne der Green-IT-Politik gegenüberzustellen und zu bewerten", heißt es dazu.

Und weiter: „In den zurückliegenden Jahren haben sich die Vorteile des Cloud Computings deutlich manifestiert. Charakteristika wie Kostenersparnis, Verfügbarkeit und Flexibilität, gefolgt von Skalierbarkeit, Zukunftssicherheit, Elastizität und Nachhaltigkeit, Sicherheit sowie Ortsunabhängigkeit sind Punkte, die die IT-Nutzung, durch die gebotenen Möglichkeiten der Cloud-Services im Bereich der Öffentlichen Verwaltung, auch für Rheinland-Pfalz, deutlich innovativer und nachhaltig kostengünstiger werden lassen. Die Synergiemöglichkeiten und Einspareffekte müssen aber auch entsprechend genutzt werden – hierbei ist die Menge von Verfahren beziehungsweise Komponenten ausschlaggebend. Mit dem Einsatz von Cloud Computing werden die rheinland-pfälzischen Konzepte der Serverkonsolidierung und zu Green-IT unterstützt.“

Das abschließende Statement aus Mainz zu diesem Themenkomplex: „Fazit: Der Energieverbrauch kann über die Technologie in erheblichem Maß gesteuert werden. Die Virtualisierung von IT-Komponenten ermöglicht es, Effizienz, Flexibilität und Verfügbarkeit zu steigern. Damit ist die Grundlage für eine bedarfsgerechte IT geschaffen – bis hin zum Cloud Computing. Wirtschaftlichkeit und Green-IT sind bei adäquatem, bedarfsgerechtem Einsatz eine sinnvolle Konsequenz.“

Und was treibt die Zauderer um?

Ganz anders stellt sich die Situation dagegen in Thüringen dar. Hier beschied man die Anfrage von eGovernment Computing so: „In der Landesverwaltung des Freistaats Thüringen wird derzeit keine Cloud-Computing-Technologie eingesetzt. Der Einsatz dieser Technologie ist nicht geplant. Auch im Rahmen der Initiative Mitteldeutschland wird diese Technologie zurzeit ebenfalls nicht für länderübergreifende Projekte genutzt.“

Und auch in Erfurt treibt die Verantwortlichen die Sicherheitsproblematik um: „Grundsätzlich gilt es festzustellen, dass beim Einsatz von Cloud ungeklärte Probleme im Bereich der IT-Sicherheit bestehen. Bis zur Klärung der sicherheitstechnischen Probleme beim Einsatz von Cloud Computing kommt der Einsatz dieser Technologie in der Landesverwaltung des Freistaats Thüringen nicht in Betracht.“

Auch in Nordrhein-Westfalen, in Mecklenburg-Vorpommern und in Sachsen gibt man sich zurückhaltend. So ist in Düsseldorf das Thema Cloud Computing derzeit Gegenstand einer Großen Anfrage der FDP-Fraktion. Die Beantwortung erfolgt voraussichtlich im März. Da man der Unterrichtung des Landtages nicht vorgreifen wolle, sei eine ausführliche Stellungnahme derzeit leider nicht möglich, hieß es dazu.

Auch gebe es in der Landesverwaltung derzeit keine konkreten Planungen für den Einsatz von Public Clouds. Gegen einen solchen Einsatz sprächen vor allem Datenschutz- und Sicherheitsbedenken. Zwar seien Überlegungen, die Technologie innerhalb des Landesnetzes für eigene Zwecke zu nutzen, angestellt worden, befänden sich aber noch in einem frühen Stadium.

Und in Schwerin, der Landeshauptstadt von Mecklenburg-Vorpommern, erklärte man: „Nach Rücksprache mit dem Fachreferat ist eine Beantwortung so einer komplexen Fragestellung nicht möglich, auch, weil die Bewertung in den länder­übergreifenden Gremien erst begonnen hat.“

Und aus Sachsen hieß es lediglich: „Im Staatsbetrieb Sächsische Informatik Dienste (SID) wurde im Jahr 2011 ein Proof of Concept durchgeführt. Hierbei wurden die Themen Leistungsverrechnung von Cloud-Angeboten, Angebot von Software as a Service (SaaS) für Mail- und Sharepoint-Dienste, Angebote von Infrastructure as a Service (IaaS) als reiner Infrastrukturanbieter in Form von Rechenkapazitäten sowie Methoden des effektiven Provisionings, Monitorings und Managements erstmalig untersucht."

Das abschließende Statement aus Dresden: „Derzeit werden im Freistaat Sachsen keine Cloud-Computing-Systeme produktiv eingesetzt. Es werden die wirtschaftlichen und politischen Entwicklungen, die diesen Themenkomplex betreffen, beobachtet, um die IT-Strategie des Freistaates dran auszurichten.“

Der Freistaat Bayern

Die Nachbarn im Freistaat Bayern gehen dagegen mit dem Thema ganz offensiv um.

Nachdem schon im eGovernment-Computing-Sonderheft zum Nationalen IT-Gipfel das Thema Cloud Computing positiv bewertet wurde, unterstrich man diesen Standpunkt jetzt noch einmal.

„Durch die immer weitergehende Einhaltung zukunftsfähiger Standards wird die IT-Landschaft der bayerischen Staatsverwaltung mittel- und langfristig homogener und interoperabler. Dies ermöglicht es insbesondere, Dienste verwaltungsübergreifend, bedarfsgerecht und kostengünstig in einer Private Cloud anzubieten: Dadurch können freie Kapazitäten auf anderen Servern besser genutzt und somit veränderte Leistungsanforderungen beziehungsweise temporäre Belastungsspitzen leichter aufgefangen werden“, heißt es aus München.

Und: „Cloud Computing wird in Bayern schwerpunktmäßig im Rahmen der IT-Konsolidierung (Konzentration der IT-Betriebszentren auf zwei staatliche Rechenzentren) betrieben. Derzeit wird geprüft, inwieweit das Digitale Bildungsnetz Bayern – ein Leuchtturmprojekt, welches auf dem 6. Nationalen IT-Gipfel vorgestellt wurde – im Rahmen einer Private Cloud betrieben werden kann.“

Und weiter: „Der Einsatz der für Cloud Computing erforderlichen Virtualisierungstechniken erfordert hochqualifiziertes Personal sowie – bedingt durch die hohen Anforderungen an Sicherheit und Verfügbarkeit – hohe Investitionen in die Technikausstattung. Deshalb ist es erforderlich, diese Aufwände auf wenigen Stellen zu konzentrieren. Dies ermöglicht dann signifikante Einsparungseffekte beim Stromverbrauch und somit einen kosten- und umweltbewussten IT-Betrieb.“

Zurückhaltung in Baden-Württemberg

Vorsichtig äußerte man sich auch in Stuttgart: „Wir haben unseren Kriseninformationsdienst in die Standard Cloud eines bekannteren Herstellers migriert und planen den Prototypen unseres Open-Data-Portals zu service-bw auf der CeBIT als Cloud-Lösung vorzustellen.“

Öffentliche Daten, müssten zwar weiterhin gegen Verlust und Verfälschung geschützt werden, könnten aber kostengünstig in sicheren Clouds angeboten werden.

Fazit

Ehe sich Cloud Computing in der Öffentlichen Hand durchsetzen kann, müssen erst die rechtlichen Rahmenbedingungen entsprechend angepasst werde. Und das ist nicht nur ein juristisches Problem, auch die Technik – und damit die Hersteller – muss ihren Teil dazu beitragen.

In Rheinland-Pfalz schätzt man die Situation diesbezüglich so ein: „Die am Markt verfügbaren Standardprodukte sind grundsätzlich geeignet. Die Herausforderung ist, die Sicherheits- und Verfügbarkeitsanforderungen des Öffentlichen Sektors allgemein und der nutzenden Verwaltungen insbesondere als Kunde und Nutzer der Cloud-Dienste zu definieren und umzusetzen. In diesem Zusammenhang sind dann gegebenenfalls auch Anpassungen erforderlich.“

Es müsse daher sichergestellt sein, dass die erforderlichen Anpassungen mit der IT-Industrie zügig umgesetzt werden können.

(ID:31816910)