Sicher in die Cloud: Worauf Behörden bei der Anbieterwahl achten sollten

Der Schritt in die Cloud wird für die öffentliche Verwaltung zunehmend unausweichlich. Sie ist auf diese Technologie angewiesen, wenn sie innovative digitale Services wie automatischen Datenaustausch oder virtuelle Behördengänge anbieten will – und das wird heute von ihr erwartet. Bei der Wahl des Cloud-Anbieters ist allerdings größte Sorgfalt geboten, denn die Dienste müssen sicher und zuverlässig sein und allen rechtlichen Anforderungen entsprechen. Dieser Blogartikel gibt Auskunft über die wichtigsten Kriterien.

Die gute Nachricht zuerst: Auch wenn die Cloud immer mehr zur Notwendigkeit wird, ist sie eine Chance, kein notwendiges Übel. Gerade die öffentliche Verwaltung kann in vielerlei Hinsicht von Cloud-Technologien profitieren. Die flexible und skalierbare Nutzung der IT-Ressourcen kann nicht zuletzt für erhebliche Kostenersparnisse sorgen. Der vereinfachte Informationsaustausch zwischen verschiedenen Abteilungen und Behörden verbessert die Zusammenarbeit. Innovationen werden möglich. Zudem kann sich die Umweltfreundlichkeit erhöhen, da die meisten Cloud-Provider ihre Energieeffizienz kontinuierlich optimieren. Gleichzeitig bieten robuste und überwachte Infrastrukturen Sicherheit.

Die zahlreichen Vorteile ändern jedoch wenig daran, dass der Schritt in die Cloud für die öffentliche Verwaltung immer noch mit besonders hohen Hürden verbunden ist. An erster Stelle stehen Rechtssicherheit, Datenschutz und Datensicherheit. Sowohl die Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie die Datenschutz-Grundverordnung (DSGVO) und Bundes- wie Landesdatenschutzgesetze müssen eingehalten werden. Es gilt, sensible und kritische Daten vor unbefugtem Zugriff zu schützen – seien es personenbezogene Informationen oder staatliche Geheimnisse.

Der Ausweg: die souveräne Cloud

Einen Ausweg aus dem Dilemma zwischen Cloud-Technologie und Compliance bietet die souveräne Cloud. Sie gewährleistet, dass die Daten unter der eigenen Kontrolle bleiben und der Zugriff durch Unbefugte verhindert wird. Sie garantiert Sicherheit gegen aktive Angriffsvektoren von außen. Damit übertrifft sie die gewöhnlichen Public Clouds hinsichtlich Compliance – und macht der öffentlichen Verwaltung sowie den Unternehmen der Kritischen Infrastrukturen die Cloudnutzung überhaupt erst möglich.

Die souveräne Cloud bietet Datenhoheit: Sie gibt die Gewissheit, dass die Daten in der Cloud nicht von Unbefugten eingesehen, kopiert, verändert oder gelöscht werden können. Datenhoheit bedeutet darüber hinaus, dass die Informationen jederzeit verschlüsselt sind (oder werden können) und dass der Schlüssel in einem Verwaltungssystem außerhalb der Cloud verwahrt werden kann.

Ein weiterer Aspekt der souveränen Cloud ist die kommerzielle und betriebliche Souveränität. Dies bedeutet, dass die Zukunftsfähigkeit und die volle Leistungsfähigkeit der Plattform jederzeit gesichert sind. Es muss ausgeschlossen sein, dass Unbefugte auf die grundlegenden Funktionen der Plattform zugreifen. Zudem darf es keine technische Abhängigkeit des Cloud-Nutzers vom Anbietenden geben. Anwendungen und Dienste müssen jederzeit einfach und schnell auf eine andere IT-Infrastruktur migriert werden können.

Entscheidende Kriterien bei der Wahl des Cloud-Anbieters

Bei der Wahl des Cloud-Anbieters ist größte Sorgfalt geboten. Dies sind aus meiner Sicht die wichtigsten Anforderungen:

• Digitale Souveränität: Wenn Geschäftsprozesse der öffentlichen Hand digital umgesetzt werden, muss die digitale Souveränität jederzeit gewahrt werden. Gemäß DSGVO dürfen weder direkte noch nachgeordnete Dienstleister der Rechtsprechung eines Drittlandes unterliegen.
• Keine Datenübermittlung an Drittländer: Kunden- und Nutzungsdaten müssen vor Zugriffen durch Hacker geschützt sein, aber auch vor staatlichen Verordnungen wie dem US CLOUD Act, der von US-amerikanischen IT-Anbietern eine Herausgabe gespeicherter Daten an US-Behörden verlangt.
• Datenverarbeitung in Deutschland: Alle Cloud-Infrastrukturen, die am Hosting und Betrieb von Anwendungen sowie an der Speicherung und Verarbeitung von Daten beteiligt sind, müssen innerhalb der Grenzen Deutschlands liegen. Nur so können die Daten in Übereinstimmung mit den geltenden Gesetzen gespeichert und verwaltet werden.
• Transparente System- und Leistungsbeschreibung: Der Cloud-Anbieter muss transparent belegen, dass alle Vorgaben des BSI-Kriterienkatalogs erfüllt sind. Die Ablageorte von Kundendaten, der Umgang mit Ermittlungsanfragen staatlicher Stellen und die Gerichtsbarkeit müssen präzise nachvollziehbar sein.
• Unabhängigkeit von einzelnen Technologie-Anbietern: Im Sinne der digitalen Souveränität sind beim Aufbau von IT-Infrastrukturen Open-Source-Lösungen vorzuziehen. Das vermeidet Vendor Lock-ins, also die Abhängigkeit von einzelnen Technologien und Anbietern.
• Qualitätsnachweis durch Zertifizierung: Die höchsten Anforderungen an Datenschutz und Datensicherheit sollten erfüllt sein. Hier sind vor allem der BSI IT-Grundschutz auf Basis von ISO 27001 sowie die Testierung der Cloud-Infrastruktur nach BSI C5 zu beachten.
   

Unsere Partnerschaft mit IONOS

Wir unterstützen Kunden verschiedenster Branchen bei der Migration und Integration in die Cloud und ermöglichen einen reibungslosen Umzug von bestehenden Systemen und Daten. Hierfür haben wir ein Anwendungsmodell entwickelt, das die bestehenden Applikationen vorab analysiert und die Migration passgenau aufsetzt. Um insbesondere für Kunden aus der öffentlichen Verwaltung den Weg in die Cloud sicher und einfach zu gestalten, haben wir eine Partnerschaft mit IONOS geschlossen. Als einziger privatwirtschaftlicher Cloud-Anbieter erfüllt IONOS die höchsten Ansprüche an Datenschutz und Sicherheit: Die Infrastruktur ist nach dem BSI IT-Grundschutz nach ISO 27001 zertifiziert sowie nach dem BSI-Kriterienkatalog C5 testiert.

Unter anderem betreiben wir auf der IONOS Cloud eines der ersten Cloud-Projekte mit einem Landesjustizministerium in Deutschland – ein gutes Beispiel dafür, dass der Einsatz der Public Cloud auch bei datensensiblen Kunden möglich ist. Darüber hinaus haben wir bereits eine Vielzahl von Services für die öffentliche Verwaltung auf der IONOS Cloud aufgebaut. Beispiele sind der CGI DigitalRadar, die Buchungsplattform CGI Door James oder CGI Sense360.

Die souveräne Cloud ebnet der öffentlichen Verwaltung den Weg in eine neue cloudbasierte Welt. Bei der Wahl des Anbieters heißt es, genau hinzusehen. Es ist unbedingt erforderlich, dass eine gründliche Due-Diligence-Prüfung durchgeführt wird und alle hier aufgeführten Aspekte berücksichtigt werden. Treten Sie gerne in Kontakt mit mir, wenn Sie sich mit mir über die souveräne Cloud für die öffentliche Verwaltung austauschen möchten.