Interview: Sicherheit öffentlicher Daten im Zeitalter von Cloud Computing

Viele größere Unternehmen experimentieren bereits mit clouds unternehmensintern, arbeiten aber genauso an Angeboten für die öffentliche Verwaltung. Für die öffentliche Hand wirft dieser neue Trend in der Informationstechnik einige Fragen auf und erfordert auch neue Geschäftsmodelle der öffentlichen IT-Dienstleister. Die technisch-organisatorische Creation von Clouds für die öffentliche Verwaltung hat besondere Anforderungen an IT-Sicherheit und Datenschutz zu erfüllen.

Frau Dr. Wulff, wann wird der klassische PC auch in der öffentlichen Verwaltung ein Auslaufmodell?
„Zügig, aber nicht hastig" ist ein gutes Motto über Modernisierungs- und Entwicklungsprozessen. Mit anderen Worten: bevor der letzte intelligente PC aus den Verwaltungen verschwunden ist, wird noch eine Zeit ins Land gehen. Der Abruf von IT-Services „on demand" aus dem Netz ist zwar kein Traum mehr, aber eine Umsetzung von Cloud Computing-Ansätzen für die öffentliche Verwaltung muss erstens die besonderen Rahmenbedingungen (z.B. Datenschutzvorschriften) berücksichtigen. Zweitens muss ein praktikables Modell gefunden werden, um Cloud-Services in die örtliche Infrastruktur zu integrieren, was besonders in der hoch komplexen IT-Landschaft von Kommunen nicht trivial ist. Drittens muss zunächst geprüft werden, welche Services schon jetzt tatsächlich lukrativ sind - denn z.B. sind längst nicht alle eingesetzten Fachverfahren der Verwaltung schon cloudfähig. Und schließlich benötigen wir zunächst tragfähige und umsetzbare Businesspläne und Geschäftsmodelle für Cloud Computing in der öffentlichen Verwaltung - viel Arbeit, aber nur bei sorgfältiger Planung wird das Modell Cloud Computing in der öffentlichen Verwaltung erfolgreich sein.

Was macht Cloud Computing für die öffentliche Verwaltung interessant?
Die Erfahrungen, die bislang vorliegen, - im Wesentlichen aus der Privatwirtschaft - zeigen, das Services aus der Cloud kostengünstig, flexibel, schnell und hochverfügbar bereitgestellt werden können. Diese Effekte müssen auch für die öffentliche Verwaltung erzielt werden. Denn die arge Finanznot auf der einen Seite, die hohe Abhängigkeit von hochfunktionalen und hoch verfügbaren IT-Systemen werden zum Problem: Geld ist keins da, aber die Anforderungen an die IT steigen ständig -und damit wachsen potenziell auch die Kosten. So sind unterbrechungsfreie Stromversorgung, Bereitschaftsdienste und Klimatechnik immer wichtiger; die Anforderungen an IT-Sicherheit und -Verfügbarkeit steigen. Auf der Basis des derzeitigen Trends zur Virtualisierung steigen zudem die Kosten pro physisch vorhandenem Server eklatant an, die Energiekosten tun ihr Übriges. Cloud Computing kann helfen zu konsolidieren, Synergien zu nutzen und erhebliche Einsparungen zu realisieren.

Gibt es bereits erfolgreiche Beispiele einer Government Cloud?
Die kommunalen IT-Dienstleister bieten heute schon Cloud-ähnliche Leistungen an, doch kann man diese noch nicht wirklich als Cloud-Computing bezeichnen. Denn: IT-Ressourcen organisationsübergreifend bereitzustellen und zu managen - und dies ist ein ganz entscheidender Aspekt einer IT-Government-Cloud - geht über die bisherigen Lösungen hinaus. Daher kann man sagen, dass die öffentlichen IT-Dienstleister eine Menge Erfahrungen mitbringen, auf deren Basis sie für Cloud Computing gut gewappnet sind - aber eine „echte" reale Government Cloud kennen wir nicht. Es gibt allerdings erste Kommunen, die mit Cloud basierten Services experimentieren.

Wie ist es um die Sicherheit der öffentlichen Daten bestellt?
Die Gewährleistung des Datenschutzes ist tatsächlich eines der wichtigsten Probleme bei Cloud Computing der öffentlichen Hand. Die öffentliche Verwaltung verarbeitet und nutzt eine Vielzahl von teils hoch sensiblen personenbezogenen Daten. Daher hat der Datenschutz eine ganz besondere - auch politische - Bedeutung. Lassen sie uns nur den Aspekt der Auftragsdatenverarbeitung betrachten. Die Verwaltung als Nutzer cloud-basierter IT-Leistungen behält die datenschutzrechtliche Verantwortung für die Verarbeitung und Nutzung der personenbezogenen Daten. Der Anbieter hat nur die Aufgabe, die Datenverarbeitung technisch durchzuführen. Bei Auftragsdatenverarbeitung müssen strenge Kriterien erfüllt sein, u.a. muss der Auftraggeber Verwaltung eine Kontrollmöglichkeit haben. Diese hohen Anforderungen sind bei Auftragsvergabe an Betreiber von sogenannten public Clouds kaum einzuhalten, auch weil personenbezogene Daten je nach freier Kapazität irgendwo auf der Welt flexibel gespeichert werden. Daher ist es für den Auftraggeber Verwaltung schier unmöglich, den Speicher- und damit den Verarbeitungsort zu kennen. Damit kann sie auch die Einhaltung der eigenen datenschutzrechtlichen, technischen und organisatorischen Vorgaben faktisch nicht kontrollieren.

Wie kann eine verlässliche Government Cloud in Deutschland aussehen?
Gerade vor dem Hintergrund der hohen Anforderungen der öffentlichen Verwaltung an Datenschutz und IT-Sicherheit ist die „Government Cloud" auf jeden Fall die Lösung. Sie beschreibt einen beschränkten Zugang wie in einem Intranet. IT-Services befinden sich entweder in einem verwaltungseigenen Rechenzentrum oder bei einem IT-Dienstleister, der kundenindividuell den IT-Betrieb übernimmt. An einer solchen Lösung der kommunalen - oder gar der öffentlichen - IT-Dienstleister auf Basis von DOI arbeiten die Mitglieder von Vitako. Sie wollen den Verwaltungskunden damit extrem hohe Verfügbarkeit, hervorragende Services und gute Preise bieten. Voraussetzungen für eine funktionsfähige Government Cloud ist zunächst der erklärte - (unternehmens-)politische - Wille, über Zusammenarbeit die potenziellen Effekte der Government Cloud für das eigene Unternehmen und deren Kunden gemeinsam mit anderen zu realisieren. Es braucht ein tragfähiges und transparentes Business- und Geschäftsmodell sowie ein umsetzbares, pragmatisches Organisations- und Technikkonzept.

Die öffentlichen IT-Dienstleister sind hervorragende Partner für Aufbau und Betrieb einer „Private Cloud" für die öffentliche Verwaltung - also der Government Cloud. Sie können ihren Kunden die Vorteile dieser Services anbieten und gleichzeitig die Risiken auf ein Minimum reduzieren: Sie sind öffentlich kontrolliert, arbeiten ausschließlich in abgeschotteten Rechenzentren und können auf der Basis des DOI-Netzes sicher miteinander kommunizieren. Und sie erfüllen seit Jahrzehnten hoch kompetent die Anforderungen an IT-Sicherheit und Datenschutz und arbeiten ständig an weiteren Verbesserungen.

Dabei geht es nicht um Abschottung von privaten Anbietern. Vielmehr muss nach unserer Überzeugung sorgsam geprüft werden, ob und für welche Anwendungsfelder sich Public Clouds für die Nutzung durch die öffentliche Verwaltung eignen, um größtmöglichen Nutzen für die Verwaltungen zu erzielen.

(Quelle: Reed Exhibitions/VITAKO)