Auf dem Weg zur deutschen Verwaltungscloud Wie die Cloud souverän werden soll

Deutschland braucht dringend eine souveräne Verwaltungscloud mit sichereren Lieferketten, so die deutschen Bundesländer. Konzepte für Cloud-Souveränität gibt es mehrere, neu hinzugekommen ist die Ankündigung von SAP und Arvato Systems zur „ersten souveränen Cloud-Plattform für den öffentlichen Sektor in Deutschland“. Doch wie unterscheidet sich dieser Ansatz von den bisherigen?

Anbieter zum Thema

SAP und Arvatos Cloud-Plattform für die deutsche Verwaltung soll gemäß den Vorgaben deutscher Gesetzgebung technisch, operativ und rechtlich souverän sein.
SAP und Arvatos Cloud-Plattform für die deutsche Verwaltung soll gemäß den Vorgaben deutscher Gesetzgebung technisch, operativ und rechtlich souverän sein.
(© Jacob Lund - stock.adobe.com)

Die Schaffung einer digitalen souveränen Verwaltungscloud gehört zu den vordringlichen Aufgaben der Bund-Länder-Zusammenarbeit im Bereich der Digitalpolitik, erklärten die deutschen Bundesländer in ihrem Positionspapier „Eine souveräne deutsche Verwaltungscloud schaffen“.

Bei digitaler Souveränität gehe es gleichermaßen um die Verfügbarkeit von Alternativen sowie die Fähigkeit und Möglichkeit, bewusst zwischen ihnen wählen zu können. Dafür brauche es auch Zugang zu Hyperscalern.

Die Digitale Verwaltung braucht Souveränität

Genau hier liegt nun eines der Probleme: Aktuell ist der öffentlichen Hand der notwendige Zugang zu Hyperscalern in Drittstaaten erschwert, so die Bundesländer. Das hängt einerseits daran, dass bedingt durch den Cloud Act und das Schrems II-Urteil des EuGHs, datenschutzrechtliche Anforderungen die Nutzung von Hyperscaler-Angeboten von Anbietern außerhalb der EU verhindern.

Die Bundesländer sagten in ihrem Positionspapier aber auch: Die heute verfügbaren Angebote europäischer Anbieter wie die SAP können derzeit nicht genutzt werden, da sie vielfach als Public Cloud die Trennung der Datensynchronisierung nicht in dem Maße garantieren können, wie es für die Öffentliche Hand und für die Erfüllung hoheitlicher Aufgaben erforderlich ist.

Bund und Länder brauchen Lösungen

Nun gibt es bereits eine Reihe von Ansätzen, souveränes Cloud Computing für den Öffentlichen Sektor zu ermöglichen, darunter Gaia-X, die Souveräne Cloud für Deutschland von T-Systems und Google Cloud, die souveräne Cloud von OVHcloud und die vor kurzem angekündigte souveräne Cloud-Plattform für den öffentlichen Sektor in Deutschland von SAP und Arvato Systems.

Die Zahl entsprechender Ankündigungen und Projekte dürfte noch weiter zunehmen, da eine Verwaltungscloud für Deutschland zweifellos ein spannender Markt für jeden Cloud-Anbieter darstellen wird.

Eine souveräne Cloud braucht spezielle Grundlagen

So interessant es für Cloud-Anbieter auch ist, sich auf den Weg zu einer digitalen Verwaltungscloud zu begeben, die Bund, Länder und Kommunen zufriedenstellen soll, so umfangreich sind auch die Anforderungen, die es dafür zu erfüllen gilt.

Die speziellen Diskussionen hinsichtlich der Fragen der IT-Sicherheit und des Datenschutzes in Europa erkennen Hyperscaler an, stellen die Bundesländer fest. Die Hyperscaler wollen Lösungen finden, um den Anforderungen Rechnung zu tragen.

Das Positionspapier der Bundesländer nennt auch Microsoft: „In diesem Sinne verstehen wir auch ein Angebot von Microsoft für die Bereitstellung einer souveränen Cloud für die Öffentliche Verwaltung in Deutschland, die auch von Ländern (einschließlich Kommunen) genutzt werden kann, als Schritt in die richtige Richtung“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stecke derzeit die „Roten Linien“ ab und definiere die Anforderungen an IT-Sicherheit und Datenschutz. Das BSI hat bestätigt, dass die notwendigen Anforderungen ausschließlich innerhalb einer operativ funktionalen souveränen Cloud-Plattform umgesetzt werden können, wie die Bundesländer betonen.

Genau hier setzt der Startschuss zur „ersten souveränen Cloud-Plattform für den öffentlichen Sektor in Deutschland“ von SAP und Arvato Systems an.

Interview

Was SAP zu dem neuen Ansatz sagt

Cloudcomputing-Insider wollte von SAP wissen, was den neuen Ansatz für eine souveräne Cloud-Plattform für den öffentlichen Sektor in Deutschland ausmacht.

CloudComputing-Insider: Es hat ja in jüngerer Vergangenheit bereits andere Ankündigungen in diese Richtung gegeben. Wo sehen Sie Ihren Vorteil gegenüber anderen Plänen?

SAP: Wir wollen die Digitalisierung des öffentlichen Sektors in Deutschland beschleunigen und unterstützen. Die Weichen dafür soll die bundesweit erste vom Bundesamt für Informationssicherheit (BSI) abgenommene souveräne Cloud schaffen. Heißt konkret: Unser Angebot unterscheidet sich von anderen in den Punkten Datenschutz, Sicherheit und Stabilität. Denn sowohl der Technologie-Stack als auch sämtliche darüber betriebenen Lösungen und Anwendungen werden die hohen Anforderungen des BSI erfüllen. Das ermöglicht Behörden und Verwaltung den rechtskonformen sicheren Schritt in die Branchen-Cloud.

CloudComputing-Insider: Sie wollen die Microsoft Azure Cloud Plattform nutzen. Wie kann man es schaffen, sich technisch, operativ und rechtlich souverän aufzustellen, wenn zum Beispiel ein Third-Level-Support durch Microsoft Azure selbst notwendig würde? Sind hierfür spezielle Verfahren für notwendige Zugriffe vorgesehen?

SAP: Das neue Unternehmen, das juristisch als eigenständiges, deutsches Unternehmen operieren wird, ist auf die strengen Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgerichtet. Alle auf der Souveränen Plattform angebotenen Cloud-Produkte werden in erster und zweiter Instanz von innerhalb des neuen Unternehmens betrieben und gewartet. Third-Level Support wird nur in Ausnahmefällen notwendig sein. Dafür sieht das BSI einen speziell abgesicherten und von Sicherheitsorganen begleiteten Zugriffsmechanismus vor.
Sämtliche Dienste sind auf physische Souveränität ausgerichtet, sprich: Sie sind nicht abhängig von externen Netzwerken. Das bedeutet, sie funktionieren auch im nationalen Krisenfall. Die strikte Entkopplung der souveränen Cloud-Plattform von Standard Microsoft- und SAP Netzwerk- und Betriebsprozessen ermöglicht dem öffentlichen Sektor, die notwendige technische Kontrolle über ihre Technologie- und Datenverarbeitungsschichten zu wahren. Darüber hinaus steht die Plattform neben SAP und Microsoft auch sämtlichen Drittanbietern offen. Sie können über den souveränen Azure-Stack kommerzielle Anwendungen und Open-Source-Lösungen ebenso wie das gesamte Spektrum der klassischen virtuellen Maschinen auf Basis containerbasierter Workloads problemlos bereit stellen.

Es gibt auch Kritik an dem neuen Konzept

„Durch die Nutzung von Microsoft Azure und die zwangsläufig damit verbundene Abhängigkeit von Closed Source bleiben Datensouveränität und Individualisierbarkeit auf der Strecke“, meint Holger Dyroff, COO und Managing Director von ownCloud. „Es wird vielmehr das alte proprietäre Spiel von Intransparenz und Vendor-Lock-in weitergeführt, mit allen damit verbundenen Gefahren, wie beispielsweise Problemen bei der Datenmigration oder mangelnder Investitionssicherheit. Digitale Souveränität ist ohne offenen Quellcode gar nicht möglich.“

Eine souveräne Cloud-Plattform für sensible Behördendaten könne es mit Microsoft-Technologie de facto gar nicht geben, so Holger Dyroff, es sei ein Widerspruch in sich, so sehr SAP und Arvato „technische, operative und rechtliche“ Souveränität, Sicherheit und die „vollständige Trennung von den globalen Rechenzentren“ in den Vordergrund rückten.

Microsoft sieht dies anders: „Gemeinsam mit SAP und Arvato Systems stellen wir eine souveräne Cloud-Plattform zur Verfügung, die den Anforderungen der öffentlichen Verwaltung in Deutschland entspricht, um die digitale Transformation im Land voranzubringen“, so Satya Nadella, Chairman and CEO von Microsoft.

Der Weg zur souveränen Cloud, die nicht nur für den Öffentlichen Sektor von Interesse ist, sondern als generelles Vorhaben in Deutschland und in der EU zu sehen ist, ist noch nicht zu Ende. Aber es gibt schon einmal mehrere Routen dahin, nicht alle werden und können aber zum Ziel führen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47999342)