Suchen

Gesponsert

Sieben Dimensionen der Cloudifizierung Weshalb Deutschland jetzt eine Cloud-First-Strategie braucht

Die Corona-Krise hat gezeigt, wie leistungsfähig Cloud-Technologien sind – auch in der öffentlichen Verwaltung. Nun kommt es darauf an, die gemachten Erfahrungen in den Normalbetrieb zu übernehmen. Dazu bedarf es einiger einfacher Grundregeln.

Cloud Computing eröffnet neue Wege für die Verwaltung
Cloud Computing eröffnet neue Wege für die Verwaltung
(© gemeinfrei – wynpnt - pixabay)

Seit mehr als zehn Jahren werden die Mehrwerte, welche die „Cloud“ der öffentlichen Verwaltung bieten kann, diskutiert. In der COVID-19-Krise wird deutlich, wie schnell und konsequent die deutsche Verwaltung die Möglichkeiten der Cloud nutzte, um die eigene Handlungs- und Gestaltungsfähigkeit aufrecht zu erhalten und zu verbessern, wie eine neue Studie1 von mehr als 4.000 Verwaltungsmitarbeitern der Hertie-School of Governance bestätigt.

Ob bei spontanen Video-Konferenzen, beim Skalieren von Soforthilfe2, bei der Verlegung der Schulen ins Digitale oder bei der Integration von künstlicher Intelligenz in die Pandemie-Forschung3. Der Bedarf an neuen Technologien, um heutigen Herausforderungen begegnen zu können, bringt unsere Gesellschaft dazu, dass wir die Debatten um Cloud und digitale Souveränität der letzten Jahre nochmals reflektieren sollten und entsprechend der neuesten Ereignisse in Bezug setzen.

Wenn man den Studien von Gartner glauben darf, dann findet IT heutzutage nahezu nur noch in der Cloud statt. 80 Prozent aller großen IT-Projekte im öffentlichen Sektor weltweit, werden bis 2023 in die Cloud ausgelagert sein.4

Sieht man von außen auf die großen Projekte im öffentlichen Sektor wird klar, dass es Lösungen braucht mit denen Basiskomponenten geteilt werden, Dienste über Marktplätze bzw. Service-Kataloge verteilt werden, und IT-Infrastrukturen skaliert werden können. Dies gilt für Projekte wie die IT-Konsolidierung des Bundes ebenso wie für die gesetzlich verpflichtende Umsetzung des Onlinezugangsgesetzes (OZG) bis ins Jahre 2022 und natürlich auch bei der Zusammenarbeit der deutschen Gesundheitsämter in der aktuellen COVID-19 Zeit.

Aber das was in der Krise spontan und außerhalb der normalen Prozesse funktionieren kann, funktioniert deshalb so gut, weil teilweise Ausnahmen in Prozessen ermöglicht wurden. Folglich braucht es einen Ansatz, die positiven Erfahrungen der letzten Wochen und Monate genau zu analysieren und im Anschluss zu „normalisieren“. In Gesprächen mit IT-Entscheidern im Bund, in den Ländern und in den Kommunen wurden folgende Elemente identifiziert und von den Erfahrungen der Praktiker gelernt. Ein „Policy-Dokument“ müsste daher Folgendes umfassen (alternativ können Sie sich dazu auch am 20. Oktober 2020 zu unserem Webinar anmelden):

  • 1. Mitarbeiterführung: Cloud ist kein Produkt und auch kein Marketinghype, sondern eine andere Art zu arbeiten. Ein primärer Grund dafür ist, dass Fach- und IT-Abteilungen dank Hyperscale Computing anders arbeiten können und die Arbeit in und an Projekten dadurch eine andere werden kann. Dadurch dass viele der widerkehrenden Herausforderungen in IT-Projekten schon durch Standards vorbereitet sind, können sich Teams auf die gemeinsame inhaltliche Arbeit konzentrieren. Dies ermöglicht, dass der eigentliche Mehrwert im Projekt in den Vordergrund gestellt werden kann. Somit können Umsetzungen innerhalb weniger Tage/Wochen erfolgen, funktionierende Demonstratoren teilweise schon innerhalb eines Tages. Teil der wiederkehrenden Projekttätigkeiten sind z.B. Server- und Software-Auswahl, Sizing (Anzahl und Beschaffenheit) und Beschaffung sowie die Installation oder das Aufsetzen eines Identitätsmanagement.
  • 2. Organisation: „Form folgt Funktion“ – insofern müssen für Cloud Computing auch die Teams angepasst werden. Bei AWS prägt diese Form den Begriff der „Zwei-Pizza-Teams“, d.h. kleine Einheiten, die selbständig für Teile des großen Ganzen zuständig sind. Sowohl für die Entwicklung, als auch für den Betrieb. Dieser Umbau wird zurzeit in Deutschland schon betrieben, Beispiele gibt es sowohl auf kommunaler, Landes- und Bundesebene mit großen Leuchttürmen im Bereich des Onlinezugangsgesetz (OZG). Hier wird in Digitallaboren in kleinen Teams nahezu identisch in zwei Pizza-Teams gearbeitet. Diese Art des Arbeitens wird nicht nur an Universitäten so gelehrt und erlernt, sondern ist gängige Praxis in erfolgreichen Unternehmen. So arbeitet die Deutsche-Bahn, Zalando oder auch Konzerne wie Volkswagen oder die Allianz in kleinen, nahezu unabhängigen Teams. Nur im öffentlichen Bereich ist diese moderne Art des Arbeitens, noch nicht ausreichend etabliert.
  • 3. Technologie: Cloud-Technologien unterscheiden sich radikal von klassischer IT und sie umfassen nicht nur Rechen- und Speicherleistung. Der Kerngedanke ist, dass sie Software (oft quelloffen), Rechenzentren (bei denen alles bis auf den letzten Chip optimiert und maßgeschneidert ist) und Menschen (die weltweit entwickeln und betreiben) zusammenbringen. Die Modularisierung bei den Mitarbeitern des Hyperscalers erfolgt in der gleichen Art und Weise, wie unter dem zweiten Punkt „Organisation“ beschrieben. Es gibt diverse zwei-Pizza-Teams, die gemeinsam am Erfolg arbeiten. Für den Erfolg von Diensten aus der Cloud kommt es auf die Symbiose aus Hardware- und Software an. Es reicht nicht, die Software zu entwickeln oder zu betreiben, denn der Betrieb des Ökosystem und die Menschen sind Teil des Ganzen. Bei AWS etwa werden jedes Jahr neue Services entwickelt, sodass heute vom Call Center bis zur Satellitensteuerung alles als Basis-Dienst direkt verwendet werden kann. Die globale AWS-Infrastruktur gibt Kunden die Flexibilität, die Methode und den Standort zur Ausführung ihrer Workloads bestimmen zu können. Dabei nutzen Kunden dasselbe Netzwerk sowie dieselbe Oberfläche, APIs und AWS-Services. Somit erreicht man eine extreme Flexibilität und kann als Kunde die konzeptionell unendliche Skalierbarkeit der Cloud nutzen.
  • 4. Vergabe: Cloud-Technologien bezieht man wie Wasser, Strom, Telefonie oder Berater. Man zahlt für das, was man benutzt, nicht für zum Teil ungenutzte Hard- und Software in Rechenzentren. Einmal implementiert, ist dies billiger als vergleichbare Projekte und kommt ohne Fix-Kosten aus. Anfangs ist es sicherlich nicht einfach für die Verwaltungen, da bislang IT-Komponenten so nicht beschafft wurden. Die Verhandlungen um ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) im Bereich Cloud sind noch nicht abgeschlossen. Das bedeutet, dass man sich aktuell mit unterschiedlichen Vergabekonstruktionen behelfen muss.
  • 5. Sicherheit: IT-Sicherheit in der Cloud ist geteilte Verantwortung. Vereinfacht gesprochen ist die Infrastruktursicherheit Aufgabe des Cloud-Anbieters. Entwickelte und betriebene Applikationen fallen in die Verantwortung des Kunden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dafür den weltweit anerkannten Goldstandard C5 entwickelt (seit April 2020 in der Version 2.0) an den sich alle Bundesbehörden halten müssen (und Länder und Kommunen halten sollten). AWS-Kunden können das C5-Testat für Cloud-Anwendungen erlangen, die auf der AWS-Infrastruktur ausgeführt werden. Im November 2016 erlangte AWS als erster Cloud-Service-Anbieter in Deutschland das C5-Testat auf Infrastrukturebene. Mit dem C5-Bericht legt AWS den Grundstein für die Dokumentation der C5-Compliance als Infrastructure-as-a-Service (IaaS)-Anbieter, dass für alle Kunden im öffentlichen Bereich aufgrund der BSI Vorgaben eine hohe Relevanz hat.
  • 6. Datenschutz ist erst einmal Technologie-agnostisch und die Datenschutzgrundverordnung sieht vor, dass Cloud Computing in Europa von Betreibern, die auch außerhalb von Europa arbeiten (wie bspw. SAP, Telekom, AWS, Microsoft) angeboten werden kann. Ob und wie das funktionieren kann muss jeweils im Einzelfall sichergestellt werden, so wie bei jeder On-Premise-Lösung natürlich auch. In der AWS Datenschutzmitteilung ist dargelegt, wie AWS personenbezogene Daten, die von Kunden im Zusammenhang mit der AWS-Website, Marketingaktivitäten, Produkten oder Services von AWS oder dessen verbundenen Unternehmen zur Verfügung gestellt werden (z. B. die personenbezogenen Daten, die Kunden beim Eröffnen ihres AWS-Kontos in unser System eingeben), erfasst und verwendet. Die Datenschutzmitteilung gilt ausschließlich für personenbezogene Daten und nicht für Inhalte, die Kunden in den AWS Systemen speichern. Die AWS-Services sind so konzipiert, dass Kunden Kontrolle über ihre Inhalte bewahren. Das umfasst den Speicherort, die Art der Speicherung sowie Kenntnis über Zugriffsberechtigungen.
  • 7. Digitale Handlungsfähigkeit: Es gibt heute eine Diskussion um die Handlungs- und Gestaltungsfähigkeit im digitalen Raum inklusive der Vertraulichkeit. Das schließt einerseits die Fähigkeit ein, neuste Technologien einzusetzen, um z.B. in der Krise „rechtssicher Baugenehmigungen aus dem Heimarbeitsplatz erteilen zu können“ und muss andererseits die Abhängigkeit von Drittstaaten-Technologien managen. Zudem arbeiten viele Behörden mit sensiblen Daten, die unter VSA (Verschlusssachenanweisung) fallen. Diese Herausforderungen sind genauso zu managen, wie andere Herausforderungen, bspw. in der IT-Sicherheit. Oft hilft es, die eigene Daten- und Prozessklassifizierung anzuwenden und mögliche Maßnahmen zu diskutieren. Um diese Fragen zu eruieren und zu evaluieren, kann es helfen, das BSI zu kontaktieren (Kryptographie-& Cloud-Abteilung). Jede AWS-Region ist vollständig isoliert und besteht aus mehreren Verfügbarkeitszonen (AZs), bei denen es sich um vollständig isolierte Partitionen unserer Infrastruktur handelt. Wobei eine AWS-Region jeweils ein separater geografischer Bereich ist, wie z.B. Frankfurt. Um Probleme besser zu isolieren und eine hohe Verfügbarkeit zu erreichen, können Sie Anwendungen auf mehrere AZs in derselben Region verteilen. Die AWS-Steuerebene und die AWS-Managementkonsole sind zudem über Regionen verteilt und umfassen regionale API-Endpunkte, die so ausgelegt sind, dass sie mindestens 24 Stunden lang sicher funktionieren, wenn sie von den Funktionen der globalen Steuerebene isoliert sind, ohne dass Kunden während einer Isolierung über externe Netzwerke auf die Region oder ihre API-Endpunkte zugreifen müssen. Als AWS Kunde behält man die volle Kontrolle über die Inhalte und ist für die Konfiguration des Zugriffs auf AWS-Services und Ressourcen verantwortlich. Dabei bietet AWS fortschrittliche Funktionen für die effektive Ausführung von Zugriff, Verschlüsselung und Anmeldung (z. B. AWS Identity und Access Management, AWS Organizations und AWS CloudTrail). AWS stellt APIs zur Verfügung, mit denen Kunden Zugriffsberechtigungen für alle Services konfigurieren können, die Kunden in einer AWS-Umgebung entwickeln oder bereitstellen. AWS greift niemals auf Kundeninhalte zu oder verwendet diese, ohne Sie vorher um Erlaubnis gebeten zu haben. Somit können Kunden jederzeit selbst entscheiden, wo sie die Daten speichern und bestimmen selbst wer darauf Zugriff hat.

Conclusio

Das Normalisieren der Erfolge der letzten Wochen ist also kein einfaches Unterfangen, Cloud denken bedeutet multidimensionales verantwortungsbewusstes Handeln. Es kann und sollte angegangen werden. Die sieben Dimensionen unterstützen dabei Gedanken zu strukturieren, Herausforderungen einzuordnen und Strategien zu entwickeln. Ziel muss es sein, dass Deutschland nicht nur weiter vorne im Ranking ist, sondern die digitale Souveränität tatsächlich erhöht hat! Dies kann am einfachsten mit einer Cloud First Strategie sichergestellt werden.

Falls wir Ihr Interesse geweckt haben, bieten wir dazu am 20. Oktober um 10 Uhr auch ein entsprechendes Webinar an. Dort können Sie mit den Autoren Dr. Philipp Müller und Michael Wahlers zu diesem Thema diskutieren und erhalten weitere Informationen.

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.

(ID:46896038)