Unsere Kunden der Öffent­li­chen Ver­wal­tung, der Justiz und aus dem Kreis der Kir­chen- und Wohl­fahrts­or­ga­ni­sa­tionen, aber auch der ein­zelne Notare und Anwälte setzen auf Digi­ta­li­sie­rung, um aktu­ellen und zukünf­tigen Her­aus­for­de­rungen gerecht zu werden. Mehr und mehr sollen auch Cloud-basierte Ansätze für die Digi­ta­li­sie­rung berück­sichtig werden, um bspw. IT-Kosten zu senken und gleich­zeitig ska­lierbar bei sich ver­än­dernden Nut­zer­zahlen zu bleiben. In der Pri­vat­wirt­schaft nutzen mitt­ler­weile 84% der Unter­nehmen Cloud Com­pu­ting. Vor 6 Jahren waren es noch weniger als zwei Drittel. Bis 2025 wollen diese Unter­nehmen 61% all ihrer Anwen­dungen „in die Cloud“ ver­la­gern. Dass die Bedenken für unsere Kunden im Zweifel höher sind, hat vor allem mit dem außer­or­dent­lich hohen Schutz­be­darf der hier ver­ar­bei­teten Daten zu tun. Wes­ter­na­cher Solu­tions möchte sich diesem Kon­flikt ver­stärkt annehmen und sichere Cloud-Stra­­te­­gien und ‑Lösungen entwickeln.

Auch die dies­jäh­rige Bitkom Pri­vacy Con­fe­rence (#pco22) und Public-IT-Secu­rity Con­fe­rence (#pits2022) des Behör­den­spie­gels greifen unter­schied­lich stark fokus­siert das Thema auf. So gab Dr. Frank Lai­cher (CISO MWIKE NRW) im Rahmen der PITS zu bedenken, dass die öffent­liche Ver­wal­tung nicht diesen emi­nenten Zwang hat, sich ständig zu opti­mieren und neu erfinden zu müssen. Den­noch: Cloud ist ein zen­trales Zukunfts­thema der öffent­li­chen Ver­wal­tung. Die Kos­ten­ein­spa­rungen sind auch hier in den aller­meisten Fällen unbe­stritten. Doch welche Risiken stehen dem entgegen?

Welche Risiken wirken nicht auf das eigene Rechen­zen­trum, wohl aber auf die eigene Anwen­dung in der Public Cloud? Und welche Risiken wirken auf welche Public Cloud? Die Dis­kus­sion darum wird durchaus emo­tional geführt; die Ant­wort ist kom­plex. Die Anfor­de­rungen an den Cloud Betrieb sind sicher­lich andere als bei einer kon­ven­tio­neller IT-Infra­­struktur-Stra­­tegie. Das Stich­wort „Zero Trust“ ist hier mit­weilen zen­tral. Dafür müssen Anwen­dungen vor­be­reitet werden. Das heißt, dass Fach­ver­fahren – selbst, wenn sie bereits digi­ta­li­siert wurden – erneut anzu­passen sind, so Dr. Lai­cher weiter. Ferner muss iden­ti­fi­ziert werden, welche Daten über­haupt „in der Cloud“ ver­ar­beitet, geschweige denn per­sis­tiert werden dürfen. Oft sind jene Ver­fahren jedoch noch nicht bzw. nicht voll­ständig digi­ta­li­siert. Somit ist die Frage, ob Cloud oder eigenes Rechen­zen­trum nur eine wei­tere auf dem Weg hin zu einer digi­talen Ver­wal­tung. Zum aktu­ellen Zeit­punkt ist es eher kein Beschleu­niger, son­dern auf­grund der unge­klärten Rechts­lage (#DSGVO, #PatriotAct, #Pri­va­cyS­hield, #Clou­dAct, #Schrems2) eher ein Transformationshemmnis.

Hier tut sich ein Dilemma auf, wel­ches nach Lösungen sucht:

Die Vor­züge der Cloud liegen im effi­zi­enten und ska­lier­baren Betrieb. Dies kann nur durch eine beson­ders breite Ver­wen­dung der Cloud (des Pro­vi­ders) tech­nisch und gleich­zeitig wirt­schaft­lich umge­setzt werden. Hier haben vor allem die 4 großen Hypers­caler (AWS, AZURE, GCP und IBM) einen gigan­ti­schen Vor­sprung. Ins­be­son­dere diese können gleich­zeitig Effi­zienz und Sicher­heit (Inte­grität, grund­sätz­li­cher Ver­trau­lich­keit und Ver­füg­bar­keit der Daten) auf­grund ihres tech­no­lo­gi­schen Vor­sprungs ver­einen. Wie kann ich also die Vor­züge der Cloud nutzen, ohne dabei das jewei­lige natio­nale, supra­na­tio­nale oder inter­na­tio­nale Recht (heute und morgen) zu brechen?

Den Akteuren ist dieser Umstand wohl bewusst. Mit Nach­druck wird ver­sucht, diesen Risiken ent­ge­gen­zu­wirken. Eine Chance bietet das in Aus­sicht gestellte neuen Abkommen zwi­schen Europa und den USA, wel­ches Schrems II Rech­nung tragen und somit das Pri­vacy Shield wie­der­be­leben soll. Dieses Trans-Atlantic Data-Pri­­vacy Frame­work greift genau diese Pro­bleme des Zugriffs durch US-ame­ri­­ka­­ni­­sche Behörden auf, so Alex Green­stein (Director, Pri­vacy Shield at U.S. Depart­ment of Com­merce) im Rahmen der Bitkom Pri­vacy Con­fe­rence. Unab­hängig davon unter­nehmen Cloud Pro­vider und Partner wei­tere eigene Anstren­gungen. So begründen Google und Telekom bspw. die Sou­ve­räne Cloud. Dadurch, dass die Telekom die Schlüssel hält, soll es Google bzw. den US-ame­ri­­ka­­ni­­schen Behörden erschwert werden, Daten aus­leiten zu können. Später möchte die Telekom sogar den Betrieb der Cloud selbst über­nehmen, mit Google-Tech­­no­­logie. Micro­soft, SAP und Arvato (u.a.) wollen eine Cloud Lösung für Behörden anbieten, welche den Vor­be­halten ent­ge­gen­tritt. Die Bun­des­Cloud des ITZ­Bund ist bereits in Betrieb. Und dann ist da ja immer noch GAIA X, die euro­päi­sche Cloud. Aber wann diese kommt, und was sie im Ver­gleich zu den großen Hypers­ca­lern kann, ist unklar. Und wie­viel Europa schluss­end­lich in diesem oder ähn­li­chen Pro­jekten steckt ist frag­lich, gibt auch Prof. Dr. Haya Shulman (Goethe-Uni­­ver­­­sität Frank­furt) zu bedenken. Der Grund­tenor der PITS-Redner ist, dass es im Rahmen der Cyber­se­cu­rity mehr „Koope­ra­tion der Guten“ braucht. Dr. Regine Grien­berger (Beauf­tragte für Cyber­außen- und Cyber­si­cher­heits­po­litik, Aus­wär­tiges Amt) for­dert mehr inter­na­tio­nale und euro­päi­sche Zusam­men­ar­beit und bringt das Stich­wort Daten­bot­schaften auf‘s Tableau.

Es sei nicht uner­wähnt, dass es auch eine Viel­zahl klei­nerer Cloud Anbieter gibt, die durchaus an die DSGVO gebunden sind und u.U. auch das Trusted Cloud Label des Kom­pe­tenz­netz­werks Trusted Cloud (u.a. Bun­des­dru­ckerei, Bitkom, Frau­en­hofer). Aber hier stellt sich dann die Frage, wie effi­zient ein Betrieb mit diesen Pro­vi­dern aus­sehen kann und wie gut sie in der Lage sind Daten auch vor ille­galen Zugriffen (also nicht durch Patriot Act & Co. legi­ti­mierte Zugriffe) zu schützen und wel­chen Angriffen man eine höhere Wahr­schein­lich­keit zurechnet.

Der Gang in die Cloud ist kein Ob-Frage, son­dern nur noch eine Wie-Frage. Und die gilt es nun indi­vi­duell für jede Orga­ni­sa­tion, für jeden Pro­zess und für jedes Datum zu beant­worten. Dafür braucht es Exper­tise; tech­ni­sche, juris­ti­sche und auch nicht weniger fach­liche! Einige dieser Themen kann Wes­ter­na­cher Solu­tions schon heute bedienen und betreut mit Experten ver­schie­dene Behörden. Den neuen Anfor­de­rungen der Branche und neue tech­ni­sche Mög­lich­keiten stellen wir uns offen und werden zukünftig neue Themen mit entwickeln.