Deutschland braucht dringend eine souveräne Verwaltungscloud mit sichereren Lieferketten, so die deutschen Bundesländer. Konzepte für Cloud-Souveränität gibt es mehrere, neu hinzugekommen ist die Ankündigung von SAP und Arvato Systems zur „ersten souveränen Cloud-Plattform für den öffentlichen Sektor in Deutschland“. Doch wie unterscheidet sich dieser Ansatz von den bisherigen?
SAP und Arvatos Cloud-Plattform für die deutsche Verwaltung soll gemäß den Vorgaben deutscher Gesetzgebung technisch, operativ und rechtlich souverän sein.
Die Schaffung einer digitalen souveränen Verwaltungscloud gehört zu den vordringlichen Aufgaben der Bund-Länder-Zusammenarbeit im Bereich der Digitalpolitik, erklärten die deutschen Bundesländer in ihrem Positionspapier „Eine souveräne deutsche Verwaltungscloud schaffen“.
Bei digitaler Souveränität gehe es gleichermaßen um die Verfügbarkeit von Alternativen sowie die Fähigkeit und Möglichkeit, bewusst zwischen ihnen wählen zu können. Dafür brauche es auch Zugang zu Hyperscalern.
Die Digitale Verwaltung braucht Souveränität
Genau hier liegt nun eines der Probleme: Aktuell ist der öffentlichen Hand der notwendige Zugang zu Hyperscalern in Drittstaaten erschwert, so die Bundesländer. Das hängt einerseits daran, dass bedingt durch den Cloud Act und das Schrems II-Urteil des EuGHs, datenschutzrechtliche Anforderungen die Nutzung von Hyperscaler-Angeboten von Anbietern außerhalb der EU verhindern.
Die Bundesländer sagten in ihrem Positionspapier aber auch: Die heute verfügbaren Angebote europäischer Anbieter wie die SAP können derzeit nicht genutzt werden, da sie vielfach als Public Cloud die Trennung der Datensynchronisierung nicht in dem Maße garantieren können, wie es für die Öffentliche Hand und für die Erfüllung hoheitlicher Aufgaben erforderlich ist.
Bund und Länder brauchen Lösungen
Nun gibt es bereits eine Reihe von Ansätzen, souveränes Cloud Computing für den Öffentlichen Sektor zu ermöglichen, darunter Gaia-X, die Souveräne Cloud für Deutschland von T-Systems und Google Cloud, die souveräne Cloud von OVHcloud und die vor kurzem angekündigte souveräne Cloud-Plattform für den öffentlichen Sektor in Deutschland von SAP und Arvato Systems.
Die Zahl entsprechender Ankündigungen und Projekte dürfte noch weiter zunehmen, da eine Verwaltungscloud für Deutschland zweifellos ein spannender Markt für jeden Cloud-Anbieter darstellen wird.
Eine souveräne Cloud braucht spezielle Grundlagen
So interessant es für Cloud-Anbieter auch ist, sich auf den Weg zu einer digitalen Verwaltungscloud zu begeben, die Bund, Länder und Kommunen zufriedenstellen soll, so umfangreich sind auch die Anforderungen, die es dafür zu erfüllen gilt.
Die speziellen Diskussionen hinsichtlich der Fragen der IT-Sicherheit und des Datenschutzes in Europa erkennen Hyperscaler an, stellen die Bundesländer fest. Die Hyperscaler wollen Lösungen finden, um den Anforderungen Rechnung zu tragen.
Das Positionspapier der Bundesländer nennt auch Microsoft: „In diesem Sinne verstehen wir auch ein Angebot von Microsoft für die Bereitstellung einer souveränen Cloud für die Öffentliche Verwaltung in Deutschland, die auch von Ländern (einschließlich Kommunen) genutzt werden kann, als Schritt in die richtige Richtung“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stecke derzeit die „Roten Linien“ ab und definiere die Anforderungen an IT-Sicherheit und Datenschutz. Das BSI hat bestätigt, dass die notwendigen Anforderungen ausschließlich innerhalb einer operativ funktionalen souveränen Cloud-Plattform umgesetzt werden können, wie die Bundesländer betonen.
Genau hier setzt der Startschuss zur „ersten souveränen Cloud-Plattform für den öffentlichen Sektor in Deutschland“ von SAP und Arvato Systems an.
Interview
Was SAP zu dem neuen Ansatz sagt
Cloudcomputing-Insider wollte von SAP wissen, was den neuen Ansatz für eine souveräne Cloud-Plattform für den öffentlichen Sektor in Deutschland ausmacht.
CloudComputing-Insider: Es hat ja in jüngerer Vergangenheit bereits andere Ankündigungen in diese Richtung gegeben. Wo sehen Sie Ihren Vorteil gegenüber anderen Plänen?
SAP: Wir wollen die Digitalisierung des öffentlichen Sektors in Deutschland beschleunigen und unterstützen. Die Weichen dafür soll die bundesweit erste vom Bundesamt für Informationssicherheit (BSI) abgenommene souveräne Cloud schaffen. Heißt konkret: Unser Angebot unterscheidet sich von anderen in den Punkten Datenschutz, Sicherheit und Stabilität. Denn sowohl der Technologie-Stack als auch sämtliche darüber betriebenen Lösungen und Anwendungen werden die hohen Anforderungen des BSI erfüllen. Das ermöglicht Behörden und Verwaltung den rechtskonformen sicheren Schritt in die Branchen-Cloud.
CloudComputing-Insider: Sie wollen die Microsoft Azure Cloud Plattform nutzen. Wie kann man es schaffen, sich technisch, operativ und rechtlich souverän aufzustellen, wenn zum Beispiel ein Third-Level-Support durch Microsoft Azure selbst notwendig würde? Sind hierfür spezielle Verfahren für notwendige Zugriffe vorgesehen?
SAP: Das neue Unternehmen, das juristisch als eigenständiges, deutsches Unternehmen operieren wird, ist auf die strengen Anforderungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgerichtet. Alle auf der Souveränen Plattform angebotenen Cloud-Produkte werden in erster und zweiter Instanz von innerhalb des neuen Unternehmens betrieben und gewartet. Third-Level Support wird nur in Ausnahmefällen notwendig sein. Dafür sieht das BSI einen speziell abgesicherten und von Sicherheitsorganen begleiteten Zugriffsmechanismus vor.Sämtliche Dienste sind auf physische Souveränität ausgerichtet, sprich: Sie sind nicht abhängig von externen Netzwerken. Das bedeutet, sie funktionieren auch im nationalen Krisenfall. Die strikte Entkopplung der souveränen Cloud-Plattform von Standard Microsoft- und SAP Netzwerk- und Betriebsprozessen ermöglicht dem öffentlichen Sektor, die notwendige technische Kontrolle über ihre Technologie- und Datenverarbeitungsschichten zu wahren. Darüber hinaus steht die Plattform neben SAP und Microsoft auch sämtlichen Drittanbietern offen. Sie können über den souveränen Azure-Stack kommerzielle Anwendungen und Open-Source-Lösungen ebenso wie das gesamte Spektrum der klassischen virtuellen Maschinen auf Basis containerbasierter Workloads problemlos bereit stellen.
Es gibt auch Kritik an dem neuen Konzept
„Durch die Nutzung von Microsoft Azure und die zwangsläufig damit verbundene Abhängigkeit von Closed Source bleiben Datensouveränität und Individualisierbarkeit auf der Strecke“, meint Holger Dyroff, COO und Managing Director von ownCloud. „Es wird vielmehr das alte proprietäre Spiel von Intransparenz und Vendor-Lock-in weitergeführt, mit allen damit verbundenen Gefahren, wie beispielsweise Problemen bei der Datenmigration oder mangelnder Investitionssicherheit. Digitale Souveränität ist ohne offenen Quellcode gar nicht möglich.“
Eine souveräne Cloud-Plattform für sensible Behördendaten könne es mit Microsoft-Technologie de facto gar nicht geben, so Holger Dyroff, es sei ein Widerspruch in sich, so sehr SAP und Arvato „technische, operative und rechtliche“ Souveränität, Sicherheit und die „vollständige Trennung von den globalen Rechenzentren“ in den Vordergrund rückten.
Microsoft sieht dies anders: „Gemeinsam mit SAP und Arvato Systems stellen wir eine souveräne Cloud-Plattform zur Verfügung, die den Anforderungen der öffentlichen Verwaltung in Deutschland entspricht, um die digitale Transformation im Land voranzubringen“, so Satya Nadella, Chairman and CEO von Microsoft.
Der Weg zur souveränen Cloud, die nicht nur für den Öffentlichen Sektor von Interesse ist, sondern als generelles Vorhaben in Deutschland und in der EU zu sehen ist, ist noch nicht zu Ende. Aber es gibt schon einmal mehrere Routen dahin, nicht alle werden und können aber zum Ziel führen.
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.