Migration von IT-Dienstleistungen Wie kommt die Verwaltung in die Cloud?

Autor: Ira Zahorsky

Das Kompetenzzentrum Öffentliche IT (ÖFIT) am Fraunhofer-Institut Fokus in Berlin hat einen Cloud-Fahrplan für die Öffentliche Verwaltung erstellt. Dieser will einen Überblick über die Problemfelder geben, die sich für Verwaltungen bei der Migration des ständig breiter werdenden Spektrums von IT-Dienstleistungen in die Cloud ergeben.

Firmen zum Thema

Die Cloud bietet die Möglichkeit, IT-Dienstleistungen ohne hohe Investitionsaufwände und innerhalb kürzester Zeit in Anspruch zu nehmen.
Die Cloud bietet die Möglichkeit, IT-Dienstleistungen ohne hohe Investitionsaufwände und innerhalb kürzester Zeit in Anspruch zu nehmen.
(Foto: Fraunhofer Fokus)

Die Informationsschrift des Kompetenzzentrums Öffentliche IT (ÖFIT) am Fraunhofer-Institut Fokus in Berlin beschäftigt sich mit folgenden Fragen:

  • Was ist Cloud Computing?
  • Welche Betriebsmodelle und welche Standorte für Datenspeicherung und -verarbeitung kommen für den behördlichen Kunden in Frage?
  • Welchen Nutzen und welche Risiken birgt die Cloud für die Verwaltung?
  • Welche Anforderungen (Recht, Organisation, Technik, Sicherheit) muss die Verwaltung an die Cloud stellen?
  • Wie kommt die Verwaltung in die Cloud?

In der Öffentlichen Verwaltung bestehen beim Thema Cloud bezüglich gesetzlicher Rahmenbedingungen Unsicherheiten, auch Sicherheitsrisiken und fehlende Standards bringen Akzeptanzprobleme mit sich. Dennoch bringt die Cloud auch Vorteile. So erlauben Cloud-Technologien die Integration von IT-Ressourcen nicht nur innerhalb einer IT-Abteilung oder eines Datenzentrums, sondern auch über die Grenzen von Datenzentren hinweg. Zumindest technisch werden damit Dienstbereitstellungsmodelle möglich, in denen bisher exklusiv genutzte IT-Ressourcen nun gemeinsam von einer Reihe von Institutionen genutzt werden können. Damit geht auch eine Bündelung des zum Betrieb einer IT-Infrastruktur benötigten Know-hows einher. Dieser Umstand ist für den Öffentlichen Sektor – angesichts reduzierter Personalbudgets und demografischen Wandels – von besonderem Interesse.

Risiken: Sicherheit, Abhängigkeit, Rechtsfragen

Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit müssen auch in der Cloud gewährleistet werden. Ob und unter welchen Bedingungen Daten und Anwendungen der Öffentlichen Verwaltung in die Cloud verlagert werden können, hängt von deren Schutzbedürftigkeit ab. Diese kann nur durch eine individuelle Sicherheitsanalyse ermittelt werden.

Einen kompakten Einstieg und Überblick über Informationssicherheit in der Cloud liefert das BSI-Eckpunktepapier zum Cloud-Computing, in dem die wichtigsten organisatorischen, personellen, infrastrukturellen und technischen Maßnahmen beschrieben werden. Eine Detaillierung von Risiken und Maßnahmen erfolgt in den neuen IT-Grundschutzbausteinen „Cloud Management“ (pdf) für Cloud-Dienstanbieter und „Cloud-Nutzung“ (pdf) für die Nutzer, die als Grundlage für das Festlegen von angemessenen Sicherheitsanforderungen dienen.

Eine Verlagerung der eigenen IT (oder Teile dieser IT) in die Cloud kann – wie jedes Outsourcing-Vorhaben – zu ungewollten Abhängigkeiten führen, die einen Anbieterwechsel oder ein Insourcing mit hohem finanziellen und organisatorischen Aufwand verbinden. Zunächst ist hier die Bindung an die Technologien, die von dem jeweiligen Cloud-Dienstanbieter verwendet werden, zu berücksichtigen. Strukturelle bzw. organisatorische Abhängigkeiten ergeben sich, wenn zur Durchführung des Outsourcings die Organisationsstrukturen der eigenen Verwaltung abgewandelt wurden, um die gemieteten Cloud-Dienste optimal (oder überhaupt) zu nutzen. Dies betrifft unmittelbar IT-spezifische Prozesse, die nach dem Outsourcing nicht mehr benötigt werden oder abgewandelt wurden. Schließlich führt jedes Outsourcing von IT zu einem Verlust von operativem Wissen zum Betrieb einer IT-Infrastruktur, das bei einem Insourcing erneut erworben oder eingekauft werden muss.

Bevor sensible Daten in die Cloud ausgelagert werden können, ist eine Reihe von rechtlichen Fragen zu beachten. In Anbetracht der unterschiedlichen Betriebsmodelle (private, öffentliche, Community und hybride) sowie den unterschiedlichen Dienstmodellen (SaaS, Paas, IaaS) sind pauschale Aussagen über die rechtliche Zulässigkeit der Nutzung von Cloud-Angeboten kaum möglich. Neben dem Vergaberecht von öffentlichen Aufträgen, dem Organisationsrecht, den Vorschriften zur Arbeit mit Verschlusssachen und dem Urheberrecht bezüglich der Verwaltungssoftware ist insbesondere das Datenschutzrecht zu beachten.

Sollen personenbezogene Daten in der Cloud verarbeitet oder gespeichert werden, bedarf es nach dem deutschen Datenschutzrecht einer entsprechenden Legitimationsgrundlage. Datenauslagerungen in die Cloud mit Hilfe von Einwilligungserklärungen der betroffenen Bürger erweisen sich dabei als kaum praktikabel, da diese zum einen stets mit einer gewissen Unsicherheit bezüglich der Reichweite verbunden sind und zum anderen entsprechende Einwilligungen – zumindest wenn bereits vorhandene Datenbestände ausgelagert werden sollen – nachträglich eingeholt werden müssten. Bei der Suche nach der erforderlichen Ermächtigungsgrundlage bleibt daher lediglich die in §11 BDSG geregelte Auftragsdatenverarbeitung, die allerdings noch aus einer Zeit lange vor der Cloud stammt.

In fünf Stationen in die Cloud

  • Station 1: Bedarfsanalyse: Am Anfang einer jeden Migration in die Cloud muss eine Bedarfsanalyse erfolgen, das heißt, die Bestandsaufnahme und Identifikation von Funktionen, die ausgelagert werden können. Für neue Dienstleistungen ist es ebenso erforderlich, die notwendigen Bedarfe zu identifizieren und mit der IT-Strategie der Behörde abzustimmen. Im Rahmen der Bedarfsanalyse sollte die Zielsetzung, die Anforderungsdefinition, eine Marktanalyse sowie eine Kosten-/Nutzenanalyse zur Sprache kommen.
  • Station 2: Risikoanalyse: Eine Risikoanalyse setzt sich zusammen aus der: Identifikation potenzieller Gefährdungen und die Einschätzung ihrer Eintrittswahrscheinlichkeit sowie der potenziellen Schadenshöhe im Falle des Eintritts; Identifikation geeigneter Gegenmaßnahmen und ihres Aufwands beziehungsweise ihrer Kosten; Bewertung der Auswirkungen des Eintretens einer Gefährdung, sollten Gegenmaßnahmen erfolglos sein; Definition von Maßnahmen zu deren Steuerung von Restrisiken.
  • Station 3: Wahl eines Ausschreibungsverfahrens: In Abhängigkeit von der Komplexität und Detailliertheit der Leistungsbeschreibung besteht für die Behörde ein gewisser Spielraum bezüglich der Wahl des geeigneten Ausschreibungsverfahrens. Risiken möglichst sowohl auf Kunden- als auch auf Anbieterseite verstanden und Migrationsszenarien durch beide Seiten planbar gemacht werden.
  • Station 4: Auftragsvergabe: Damit der Auftraggeber (Behörde) eine Auswahl treffen kann, ist die eindeutige Beschreibung der Zuschlagskriterien notwendig. Im Rahmen von Cloud Computing sind neben Kostenaspekten insbesondere die Kriterien Erreichbarkeit, Verfügbarkeit und wohldefinierte Dienstgütevereinbarung von Bedeutung.
  • Station 5: Migration: Welche technischen Systeme werden auf einen Betrieb aus der Cloud umgestellt? Welche Systeme innerhalb der eigenen Infrastruktur sind betroffen? Welche organisatorischen Änderungen werden durch die Verwendung von Cloud-Diensten notwendig? Ist ein Sicherheitskonzept verfügbar, das die neue Organisation berücksichtigt? Ist ein Konzept verfügbar, das das Migrationsvorhaben in Einzelschritte unterteilt und dabei für jeden Schritt Erfolgskriterien und Fallback-Strategien definiert?

Den vollständigen Fahrplan in die Cloud finden Sie hier zum Herunterladen.

(ID:42660173)

Über den Autor

 Ira Zahorsky

Ira Zahorsky

Redakteurin und Online-CvD, IT-BUSINESS