Warum nutzt der öffentliche Sektor kaum cloudbasierte Anwendungen?
Sind die Vorteile nicht offensichtlich oder ist die Angst vor den Risiken zu groß?
Unsere Kunden der Öffentlichen Verwaltung, der Justiz und aus dem Kreis der Kirchen- und Wohlfahrtsorganisationen, aber auch der einzelne Notare und Anwälte setzen auf Digitalisierung, um aktuellen und zukünftigen Herausforderungen gerecht zu werden. Mehr und mehr sollen auch Cloud-basierte Ansätze für die Digitalisierung berücksichtig werden, um bspw. IT-Kosten zu senken und gleichzeitig skalierbar bei sich verändernden Nutzerzahlen zu bleiben. In der Privatwirtschaft nutzen mittlerweile 84% der Unternehmen Cloud Computing. Vor 6 Jahren waren es noch weniger als zwei Drittel. Bis 2025 wollen diese Unternehmen 61% all ihrer Anwendungen „in die Cloud“ verlagern. Dass die Bedenken für unsere Kunden im Zweifel höher sind, hat vor allem mit dem außerordentlich hohen Schutzbedarf der hier verarbeiteten Daten zu tun. Westernacher Solutions möchte sich diesem Konflikt verstärkt annehmen und sichere Cloud-Strategien und -Lösungen entwickeln.
Auch die diesjährige Bitkom Privacy Conference (#pco22) und Public-IT-Security Conference (#pits2022) des Behördenspiegels greifen unterschiedlich stark fokussiert das Thema auf. So gab Dr. Frank Laicher (CISO MWIKE NRW) im Rahmen der PITS zu bedenken, dass die öffentliche Verwaltung nicht diesen eminenten Zwang hat, sich ständig zu optimieren und neu erfinden zu müssen. Dennoch: Cloud ist ein zentrales Zukunftsthema der öffentlichen Verwaltung. Die Kosteneinsparungen sind auch hier in den allermeisten Fällen unbestritten. Doch welche Risiken stehen dem entgegen?
Welche Risiken wirken nicht auf das eigene Rechenzentrum, wohl aber auf die eigene Anwendung in der Public Cloud? Und welche Risiken wirken auf welche Public Cloud? Die Diskussion darum wird durchaus emotional geführt; die Antwort ist komplex. Die Anforderungen an den Cloud Betrieb sind sicherlich andere als bei einer konventioneller IT-Infrastruktur-Strategie. Das Stichwort „Zero Trust“ ist hier mitweilen zentral. Dafür müssen Anwendungen vorbereitet werden. Das heißt, dass Fachverfahren – selbst, wenn sie bereits digitalisiert wurden – erneut anzupassen sind, so Dr. Laicher weiter. Ferner muss identifiziert werden, welche Daten überhaupt „in der Cloud“ verarbeitet, geschweige denn persistiert werden dürfen. Oft sind jene Verfahren jedoch noch nicht bzw. nicht vollständig digitalisiert. Somit ist die Frage, ob Cloud oder eigenes Rechenzentrum nur eine weitere auf dem Weg hin zu einer digitalen Verwaltung. Zum aktuellen Zeitpunkt ist es eher kein Beschleuniger, sondern aufgrund der ungeklärten Rechtslage (#DSGVO, #PatriotAct, #PrivacyShield, #CloudAct, #Schrems2) eher ein Transformationshemmnis.
Hier tut sich ein Dilemma auf, welches nach Lösungen sucht:
Die Vorzüge der Cloud liegen im effizienten und skalierbaren Betrieb. Dies kann nur durch eine besonders breite Verwendung der Cloud (des Providers) technisch und gleichzeitig wirtschaftlich umgesetzt werden. Hier haben vor allem die 4 großen Hyperscaler (AWS, AZURE, GCP und IBM) einen gigantischen Vorsprung. Insbesondere diese können gleichzeitig Effizienz und Sicherheit (Integrität, grundsätzlicher Vertraulichkeit und Verfügbarkeit der Daten) aufgrund ihres technologischen Vorsprungs vereinen. Wie kann ich also die Vorzüge der Cloud nutzen, ohne dabei das jeweilige nationale, supranationale oder internationale Recht (heute und morgen) zu brechen?
Den Akteuren ist dieser Umstand wohl bewusst. Mit Nachdruck wird versucht, diesen Risiken entgegenzuwirken. Eine Chance bietet das in Aussicht gestellte neuen Abkommen zwischen Europa und den USA, welches Schrems II Rechnung tragen und somit das Privacy Shield wiederbeleben soll. Dieses Trans-Atlantic Data-Privacy Framework greift genau diese Probleme des Zugriffs durch US-amerikanische Behörden auf, so Alex Greenstein (Director, Privacy Shield at U.S. Department of Commerce) im Rahmen der Bitkom Privacy Conference. Unabhängig davon unternehmen Cloud Provider und Partner weitere eigene Anstrengungen. So begründen Google und Telekom bspw. die Souveräne Cloud. Dadurch, dass die Telekom die Schlüssel hält, soll es Google bzw. den US-amerikanischen Behörden erschwert werden, Daten ausleiten zu können. Später möchte die Telekom sogar den Betrieb der Cloud selbst übernehmen, mit Google-Technologie. Microsoft, SAP und Arvato (u.a.) wollen eine Cloud Lösung für Behörden anbieten, welche den Vorbehalten entgegentritt. Die BundesCloud des ITZBund ist bereits in Betrieb. Und dann ist da ja immer noch GAIA X, die europäische Cloud. Aber wann diese kommt, und was sie im Vergleich zu den großen Hyperscalern kann, ist unklar. Und wieviel Europa schlussendlich in diesem oder ähnlichen Projekten steckt ist fraglich, gibt auch Prof. Dr. Haya Shulman (Goethe-Universität Frankfurt) zu bedenken. Der Grundtenor der PITS-Redner ist, dass es im Rahmen der Cybersecurity mehr „Kooperation der Guten“ braucht. Dr. Regine Grienberger (Beauftragte für Cyberaußen- und Cybersicherheitspolitik, Auswärtiges Amt) fordert mehr internationale und europäische Zusammenarbeit und bringt das Stichwort Datenbotschaften auf‘s Tableau.
Es sei nicht unerwähnt, dass es auch eine Vielzahl kleinerer Cloud Anbieter gibt, die durchaus an die DSGVO gebunden sind und u.U. auch das Trusted Cloud Label des Kompetenznetzwerks Trusted Cloud (u.a. Bundesdruckerei, Bitkom, Frauenhofer). Aber hier stellt sich dann die Frage, wie effizient ein Betrieb mit diesen Providern aussehen kann und wie gut sie in der Lage sind Daten auch vor illegalen Zugriffen (also nicht durch Patriot Act & Co. legitimierte Zugriffe) zu schützen und welchen Angriffen man eine höhere Wahrscheinlichkeit zurechnet.
Der Gang in die Cloud ist kein Ob-Frage, sondern nur noch eine Wie-Frage. Und die gilt es nun individuell für jede Organisation, für jeden Prozess und für jedes Datum zu beantworten. Dafür braucht es Expertise; technische, juristische und auch nicht weniger fachliche! Einige dieser Themen kann Westernacher Solutions schon heute bedienen und betreut mit Experten verschiedene Behörden. Den neuen Anforderungen der Branche und neue technische Möglichkeiten stellen wir uns offen und werden zukünftig neue Themen mit entwickeln.
Die Chancen sind mannigfaltig, die Sorgen auch. Doch hier kann unsere Expertise des Competence Centers Security dabei helfen durch technische und organisatorische Maßnahmen die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten zu gewährleisten und gleichzeitig Kosteneffizienz, Flexibilität und Unabhängigkeit zu realisieren
Tobias Müller // Competence Center Lead Digital Security // Westernacher Solutions
Ihr Ansprechpartner
Tobias Müller
Competence Center Lead Digital Security