Kategorien für unterschiedliche Daten

Sinn von Cloud Services in der ­Öffentlichen Verwaltung

| Autor / Redakteur: Dr. Petra Wolf, Prof. Helmut Krcmar / Ira Zahorsky

Die Öffentliche Verwaltung muss bei der Nutzung von Cloud Services besondere Vorsicht walten lassen. Stichwort: Datenschutz
Die Öffentliche Verwaltung muss bei der Nutzung von Cloud Services besondere Vorsicht walten lassen. Stichwort: Datenschutz (Foto: Aleksandr-Bedrin - Fotolia.com)

Privatwirtschaftliche Unternehmen erwerben IT-Services über verschiedene Bereitstellungsmodelle. Cloud Services sind eines davon. Als Vorteile werden unter anderem die Optimierung der Hardware-Ressourcen-Allokation und damit die Kostensenkung für den Betrieb von Anwendungen und Speicherlösungen gesehen.

Cloud Computing ist eine Weiterentwicklung des IT-Outsourcing. Hierbei werden bislang organisa­tionsintern erledigte Aufgaben der traditionellen IT-Umgebung an ein oder mehrere externe Unternehmen vergeben. Im Unterschied zu IT-Outsourcing werden beim Cloud Computing integrierte, skalierbare und anpassungsfähige Applikationen zur Verfügung gestellt. Dadurch lassen sich anders als beim klassischen Outsourcing schneller Anpassungen vornehmen und eine höhere Flexibilität erzielen. Des Weiteren können durch die gemeinsame Nutzung der Infrastruktur in einer Cloud Kosten gespart werden.

Es wird zwischen den Cloud-Bereitstellungsmodellen Public, Private, Hybrid und Community Clouds unterschieden. Public Cloud beschreibt die gemeinsame Nutzung von Cloud Services für eine große Anzahl verschiedener Nutzer. Dementgegen ist die Private oder Community Cloud nur für eine geschlossene Benutzergruppe zugänglich. ­Zudem werden anders als bei der Public Cloud, in der jeder Service standardisiert angeboten wird, die bestellten Dienste an die Geschäftsprozesse des Anwenderunternehmens angepasst. Die Hybride Cloud ist die kombinierte Nutzung von mindestens zwei Cloud-Bereitstellungsmodellen, sie kann aus Elementen einer Private, einer Public und / oder einer Community Cloud bestehen.

Herausforderung Datenschutz

Neben den genannten Vorteilen gehen mit Cloud Services auch einige Herausforderungen und Risiken einher. Insbesondere in der Öffentlichen Verwaltung herrschen derzeit große Vorbehalte gegenüber Cloud-Lösungen, vor allem aufgrund rechtlicher und Datenschutz-Bedenken. Die Vorstellung, dass Daten der Öffentlichen Verwaltung auf Servern außerhalb der eigenen Gemarkung oder gar Deutschlands gehalten werden, ist für viele IT-Entscheider nicht mit den Anforderungen der Öffentlichen Verwaltung vereinbar. Die Skalen- und Synergieeffekte, die mit kommerziellen Cloud-Lösungen verbunden sind, können so für den Öffentlichen Sektor bislang nicht genutzt werden.

In der Öffentlichen Verwaltung sind Bedingungen wie die Sensibilität der Verarbeitung, Weiterleitung und Speicherung personenbezogener und sachbezogener Daten in besonderer Weise zu beachten. Grundsätzlich bedürfen der Schutz der ­Daten und die damit verbundenen Sicherheitsanforderungen einer genauen Betrachtung und besonderer Sorgfalt. Nach wie vor besteht bei vielen Verwaltungen Unsicherheit über Zuverlässigkeit, Sicherheit und Einsatzpotenziale der verschiedenen Cloud-Angebote.

Im Auftrag von salesforce.com wurde daher von ipima die Studie „Potenzial von Cloud Services in der Öffentlichen Verwaltung in der Bundesrepublik Deutschland“ erstellt, um die Rahmenbedingungen und Einsatzpotenziale von Cloud Services in der Öffentlichen Verwaltung systematisch zu beleuchten. Hierzu wurde der Schutz­bedarf verschiedener Datenkategorien, die im Rahmen von Verwaltungsleistungen gehandhabt werden, betrachtet. Ausgehend von den sicherheitsbezogenen Eigenschaften unterschiedlicher Cloud-Bereitstellungsformen wurde eine Zuordnung zwischen Datenkategorien und möglichen Cloud-Bereitstellungsformen vorgenommen.

Rahmenbedingungen des Einsatzes von Cloud Services

Bei der Auslagerung der Speicherung oder Verarbeitung von Daten kann zwischen vier Cloud-Bereitstellungsmodellen Public, Community, Private und Hybrid Cloud, ausgewählt werden. Dabei scheint auf den ersten Blick die Public Cloud für ein breites Angebot für Daten, die keine besonderen Schutzmaßnahmen erfordern oder individuelle fachliche Anforderungen stellen, geeignet. Private und Community Cloud bieten die Möglichkeit, auf individuelle fachliche oder Schutzanforderungen einzugehen, da die Cloud Services nur von einer begrenzten Gruppe beziehungsweise einer Organisation genutzt werden.

Problematisch sind die Fälle, in denen ein unbefugter Zugriff auf ­Daten durch Dritte unbedingt ausgeschlossen werden und befugte ­Datenzugriffe überwacht werden müssen, wie im Fall von personenbezogenen Daten durch das Bundesdatenschutzgesetz (BDSG) vorgeschrieben.

Dies erfordert eine intensive Prüfung des potenziellen oder gewählten Cloud-Anbieters, um sicherzustellen, dass die dort ergriffenen Maßnahmen und Prozesse mit den gesetzlichen Anforderungen konform gehen. Inwiefern diese Prüfung möglich ist, entscheidet häufig darüber, ob Cloud Services als Bereitstellungsform für solche kritischen Bereiche in Betracht gezogen werden.

Sowohl im privatwirtschaftlichen Bereich wie auch in der Öffentlichen Verwaltung werden Daten ohne größere Schutzanforderungen häufig gemeinsam mit schutzbedürftigen Daten verarbeitet. Für solche Arten von Anforderungen sind hybride Cloud-Bereitstellungsformen geeignet, die beispielsweise für die Bereitstellung von öffentlichen Web-Formularen Public-Cloud-Angebote mit Private-Cloud-Formen für die Verarbeitung von schutzbedürftigen Daten kombinieren.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42389786 / Standards & Technologie)