Kann es DIE Cloud-Lösung für die öffentliche Verwaltung geben?

Eine rhetorische Frage, denn ebenso wenig, wie es die eine Cloud gibt, kann es eine Einheitscloud für alle Behörden des öffentlichen Sektors geben. Oder?

Selbst auf Bundesebene findet sich kein einheitlicher Weg; gibt es doch unterschiedliche Sichtweisen, Prioritäten und fachliche Anforderungen. Im Juni 2019 wurden etwa 70 Cloud-Dienste auf Bundesebene genutzt, wie der Bundestag auf eine Anfrage bekannt gab. Die meisten davon gehören zur Kategorie Software as a Service (SaaS). Aber auch im Bereich der Infrastruktur und Rechenzentren bilden sich neue Angebote heraus:

  • Bundescloud des ITZBund: staatliche Cloud-Infrastruktur, seit Mitte 2017 (bisher) nur innerhalb der Netze des Bundes (NdB) nutzbar und im Aufbau
  • Neben der für nahezu alle Bundesbehörden nutzbaren Bundescloud werden derzeit Community Clouds entwickelt: die Bundeswehrcloud des Bundesministeriums der Verteidigung (BMVg), die Diplo-Cloud des Auswärtigen Amtes (AA) und Polizei 2020, die Cloud des Bundeskriminalamtes (BKA)

Auch auf Landesebene und in Großstädten entstehen Private und Community Clouds, etwa mit der Bayern-Cloud oder der M-Cloud der Landeshauptstadt München.

 

Ebenenübergreifende Clouds – Government Cloud & Moonshot Gaia-X

Mit der Government Cloud gehen Überlegungen einher, die (öffentlichen) IT-Dienstleister des Bundes, der Länder und die kommunalen Rechenzentren für eine ebenenübergreifende Cloud-Infrastruktur zusammen arbeiten zu lassen. Der IT-Planungsrat sieht in seinem kürzlich erschienen Positionspapier zur Stärkung der Digitalen Souveränität der Öffentlichen Verwaltung die Notwendigkeit die Abhängigkeit von privaten IT-Anbietern zu reduzieren. Der Trend zu skalierbaren und effizienten Public Cloud Lösungen stehe der Digitalen Souveränität entgegen. Alternative Angebote können auf Open-Source-Produkten basieren, mindestens jedoch auf offenen Standards und Schnittstellen.

Auch auf europäischer Ebene überlegt man mit dem Projekt Gaia-X eine Cloud-Lösung zu entwickeln, die den Zugang zu einer sicheren Daten-Infrastruktur ermöglichen soll. Das Projekt ist eine gemeinsame Initiative der deutschen Bundesregierung, Wirtschaft und Forschung, das Bundesminister Altmaier erst letzte Woche als „Moonshot der Digitalpolitik“ und „vielleicht wichtigstes digitales Bestreben einer Generation" bezeichnete. Im Gegensatz zur Government Cloud ist es nicht das Ziel eine europäische Alternative zu den amerikanischen und chinesischen Hyperscalern aufzubauen, sondern ein europäisches Datenökosystem zu etablieren, das einen gemeinsamen regulatorischen Rahmen für die Vernetzung von Cloud-Anbietern setzt. 

Auch der Blick in andere Länder lohnt sich. Wenn auch Cloudlösungen in den USA, China und Russland oftmals aus anderen Beweggründen entwickelt werden als hierzulande, treiben diese Länder Masterpläne voran, die ihre Autarkie und die Kontrolle lokaler Datenströme sichern soll.

Wie kann ein Lösungsansatz für die deutsche Öffentliche Verwaltung aussehen, der sowohl die Anforderungen der digitalen Souveränität als auch die Skalierbarkeit und Innovationspotentiale der public cloud nutzt?

 

Die Multi-Cloud ermöglicht Vielfalt und verlangt Souveränität 

Die Public Cloud braucht mehr Souveränität und Verwaltungsmodernisierung braucht mehr Innovation. Deshalb kann nur eine Mischung aus allen Bereitstellungsmodellen sinnvoll sein, die die Vorteile und Vorgaben der öffentlichen Verwaltung und ihrer Mitnutzer abdeckt, die Risiken überschaubar macht und die digitale Souveränität mit all ihren in einem passgenauen Rahmen gewährleistet.

Das heißt konkret: In einer Multi-Cloud-Lösung werden kritische Verfahren oder Daten in Private Clouds selbst betrieben oder durch Partner der öffentlichen Verwaltung als Community Cloud zur Verfügung gestellt. Es werden auch einzelne Public-Cloud-Angebote eingebunden, für die es keine ernsthaften Alternativen gibt. Auch Legacy Systeme müssen berücksichtigt werden.

So entsteht eine komplexe Multi-Cloud-Umgebung, die von Behörde zu Behörde unterschiedlich aussehen kann.

Komplex? Ja. Deshalb müssen mehrere Herausforderungen gemeistert werden:

Strikte Governance etablieren: Die kluge Steuerung, welche Anwendungsfälle wo realisiert werden, erfordert eine strikte Governance für die Platzierung von Workloads. Es wird bewusst entschieden, in welcher Form welcher Services aus der Public Cloud genutzt wird.

Multi-Cloud-Umgebung etablieren: Die kluge Steuerung wird nur dann wirksam, wenn zusätzlich die Fähigkeit geschaffen wird, nach Bedarf auch zwischen den Welten zu wechseln, wenn sich beispielsweise eine Risikoeinschätzung ändert. Die technologische Komplexität, eine solche Architektur zu etablieren und zu beherrschen ist jedoch nicht zu unterschätzen und benötigt tiefe Engineering-Fähigkeiten in den IT-Teams der Unternehmen.

Beweglichkeit der Anwendungsarchitektur verbessern: Dies gelingt durch die Vermeidung von proprietären Technologien in der Infrastruktur- und Plattformschicht, sprich: der Vermeidung von IT-Lösungen, die das Recht und die Möglichkeiten der Wieder- und Weiterverwendung sowie Änderung und Anpassung durch Nutzer und Dritte stark einschränken.

Risiken konsequent einschätzen und minimieren: Ziel muss es sein, die Handlungsfähigkeit der Zivilgesellschaft auch in Krisenszenarien zu erhalten. Das heißt auch: Kritische Infrastruktur muss für Krisenfälle abgesichert sein. Dabei ist die richtige Balance zwischen Autarkie und Abschottung einerseits und Abhängigkeit von Dritten andererseits zu finden.

Interessen durchsetzen: Vertragliche Schutzmaßnahmen im Sinne der öffentlichen Verwaltung sind nicht immer, aber häufig zumindest teilweise durchsetzbar – wobei die Größe einer Organisation einen wesentlichen Einfluss auf die Bereitschaft der Dienstleister hat, von den Standard-Vertragsbedingungen abzuweichen. Das heißt: Spätestens, wenn der öffentliche Sektor in Deutschland oder gar EU-weit abgestimmt auftritt, erhöht sich die Verhandlungsmacht deutlich.

Mein Fazit:

Der politische Wille die Digitale Souveränität zu stärken ist nachvollziehbar: die wenigen Hyperscaler könnten beispielsweise aus geopolitischen Gründen gezwungen werden in Europa nicht mehr tätig zu sein. Nüchtern betrachtet wird allerdings kein europäischer Cloud-Anbieter mittelfristig die amerikanischen und chinesischen Hyperscaler einholen können, da deren technologischer Vorsprung und finanziellen Mittel zu groß sind. Digital souverän zu agieren heisst auch die Handlungsfähigkeit der Behörden auf dem aktuellen Stand der Technik zu gewährleisten. Der Multi-Cloud-Ansatz ermöglicht eine pragmatische Herangehensweise, die public cloud Lösungen – auch von Hyperscalern – nicht kategorisch ausschließt, sondern diese in einem souveränen Ökosystem mit private cloud Lösungen integriert. Dadurch entsteht ein Cloud-Lösungsraum mit mehr [Vielfalt]. Die Gestaltung des regulatorischen Rahmens für dieses Ökosystem ist eine politisch-fachliche Herausforderung, die ebenenübergreifend verhandelt werden muss. Gaia-X spielt dabei eine wesentliche Rolle. Auf dieser Basis kann dann konsequent der nächste Entwicklungsschritt in den Behörden gegangen werden. Die verschiedenen Cloud-Anbieter und -Lösungen wie beispielsweise die Bundescloud, die Hyperscaler und ggf. eine Government Cloud können je nach Bedarf und Anwendungsfeld in die Leistungserbringung eingebunden wurden. Dabei ist es andauernde Aufgabe der CIOs und IT-Leiter die Multi-Cloud-Umgebung im Spannungsfeld zwischen Innovation und Digitaler Souveränität zu steuern.

Dr. Mario Walther

Geschäftsführer – öffentliche Verwaltung DACH


Alexander Sich

Principal Director – Öffentliche Verwaltung Dach

ABONNEMENT-CENTER
Melden Sie sich bei unserem Accenture's Blog für die öffentliche Verwaltung an! Melden Sie sich bei unserem Accenture's Blog für die öffentliche Verwaltung an!