In dieser Debatte kann man leicht den Überblick verlieren. Aus diesem Grund haben wir Alexander Wallner, Chief Executive Officer bei plusserver, gebeten, etwas Licht ins Dunkel zu bringen.
Lieber Alex, danke, dass du dir die Zeit nimmst, um ein Thema zu beleuchten, das derzeit für viel Verwirrung im Markt sorgt. Kannst du kurz erklären, worum es im Kern der Debatte geht?
Im Grunde geht es darum, unter welchen Bedingungen die öffentliche Verwaltung – also Bund, Länder und Kommunen – den Weg in die Cloud antritt und welche Anbieter dafür infrage kommen. Das Bundesfinanzministerium (BMF) plant hierzu eine öffentliche Ausschreibung mit dem Ziel, „vertrauenswürdige Cloud-Infrastrukturen” an die Rechenzentren der Verwaltung anzubinden.
Dabei werden hauptsächlich Lösungen im Bereich IaaS und PaaS ausgeschrieben. Auf diesen Infrastrukturen soll dann Open-Source-Software zum Einsatz kommen – etwa für Office-Produkte. Entsprechende Produkte, die als Alternative zu proprietären Lösungen der Hyperscaler aufgebaut werden, gibt es bereits – z. B. in Form von „Phoenix”. Die Vorbereitungen für die Ausschreibung laufen bis Ende des Jahres und 2023 soll die „Verwaltungscloud” bereits einsatzbereit sein.
Das Problem ist allerdings, dass diese Ambition – also vertrauenswürdige und souveräne Infrastruktur in Kombination mit Open-Source-Software – unterlaufen wird. Laut aktuellen Informationen aus dem BMF sollen zwar die vermeintlich „souveränen” Clouds, die in Zusammenarbeit mit den Hyperscalern entstehen, nicht für die Ausschreibung infrage kommen. Doch das wird eher damit begründet, dass diese noch nicht „bereit” seien und entsprechende Infrastrukturen fehlen, die sicherstellen, dass keine direkte Verbindung in ein zentrales Rechenzentrum außerhalb Europas besteht.
Zudem sollen die Hyperscaler durchaus die Möglichkeit haben, mit ihren etablierten Public-Cloud-Angeboten an der Ausschreibung teilzunehmen. In diesem Ansatz sehen die Autoren des aktuellen OSBA-Papers (Open Source Business Alliance) einige Probleme, die sie mit der Veröffentlichung adressieren. Sie wollen damit jedoch nicht den Wettbewerb begrenzen, sondern auf Standards pochen, die für die Nutzung der Cloud in der öffentlichen Verwaltung hierzulande gelten müssen.
plusserver ist ebenfalls Mitglied der OSBA. Welche Forderungen werden im Paper genau aufgestellt?
Die Nutzung von Cloud Computing in der öffentlichen Verwaltung ist unumgänglich. Sie erfordert jedoch ein hohes Maß an Schutzvorkehrungen. Dies gilt zum einen für den Datenschutz selbst, aber auch für den Betrieb und die Ausgestaltung der eingesetzten digitalen Infrastruktur. Das Paper der OSBA beschreibt hier Mindestanforderungen, die eingehalten werden müssen, um den Schutz der Daten bestmöglich zu gewährleisten und Unsicherheiten in den Behörden auf ein Minimum zu begrenzen. Diese Anforderungen könnte man wie folgt zusammenfassen:
- Überprüfbarkeit des Sicherheitsniveaus: Die eingesetzte Cloud-Infrastruktur muss zu jedem Zeitpunkt auf die Einhaltung von Sicherheitskriterien überprüfbar sein. Und zwar durch eine unabhängige Instanz, die in der Lage ist, diese Prüfung unangekündigt durchzuführen. Dazu ist es erforderlich, dass das „Software Bill of Materials” (SBOM; quasi eine Dokumentation aller Software-Komponenten inklusive Versionsstand) öffentlich einsehbar ist und der Quell- beziehungsweise Source-Code bei Bedarf analysiert werden kann.
- Resilienz im Betrieb der Infrastruktur: Für den Betrieb und etwaige Anpassungen einer Verwaltungscloud ist es erforderlich, dass die Mitarbeiter:innen beziehungsweise der Betreiber ausschließlich der lokalen Rechtsprechung unterliegen. Zudem muss der Zugriff auf die Metadaten sowie die Verkehrsdaten jederzeit gewährleistet sein. Diese Daten ermöglichen ein Tracking und es bedarf einer klaren Regelung sowie Kontrollierbarkeit bei der Nutzung – insbesondere für die Verkehrsdaten. Dies darf nicht abhängig vom Gutdünken Dritter erfolgen.
- Portabilität der Daten: Ähnlich wie im Fall eines Vendor Lock-ins muss vermieden werden, dass die Datenhaltung sowie der eingesetzte Software Stack zur Verarbeitung proprietär ist. Alle verarbeiteten Daten – insbesondere die Nutzerdaten der Bürger:innen – müssen nicht nur datenschutzkonform vorgehalten werden. Sie müssen auch portabel sein, um sie bei Bedarf in jede andere IaaS-Plattform übertragen zu können. Dazu zählt auch, dass quelloffene Standards bei Dateiformaten sowie eine quelloffene Darstellung der algorithmischen Verarbeitung zum Einsatz kommen.
Im Grunde geht es den Autoren also darum, persönliche Daten der Bürger:innen vor unerlaubtem Zugriff zu schützen und die wirtschaftliche Abhängigkeit von Dritten auszuschließen. Wir als plusserver teilen die Ansicht, dass dies einzig mit Open-Source-Lösungen und durch die Verwendung von solchen Rechenzentren möglich sein wird, die den Kriterien digitaler Souveränität bzw. Autonomie entsprechen oder zusätzliche Gaia-X-Fähigkeiten aufweisen.
Warum ist das nötig?
Wir alle sind uns einig, dass es jetzt akuten Handlungsbedarf gibt, um die öffentliche Verwaltung zu digitalisieren. Damit wir die Sache aber richtig angehen und uns gleichzeitig nicht in theoretischen Definitionsdebatten verlieren, wollten die Initiatoren hier Klarheit schaffen und eine Gegenposition zum Verständnis der Hyperscaler von „souveränen Clouds” formulieren. Denn was in den Publikationen der Hyperscaler zu diesem Thema niedergeschrieben ist, erweckt eher den Eindruck einer „Wall of Paper”, hinter der man weiterhin eigene wirtschaftliche Interessen – die Abhängigkeit von der eigenen Lösung – versteckt.
Dort ist beispielsweise viel zu neuen Rechenzentren in Deutschland oder der Gründung von deutschen Betriebsgesellschaften enthalten. aber wichtige Aspekte wie Interoperabilität und Transparenz bleiben außen vor. Außerdem wird bemerkenswert viel über Infrastruktur gesprochen – während das Thema Services, also die Nutzung von Cloud-Diensten auf der Infrastruktur, vage bleibt. Das ist jedoch nicht akzeptabel, denn diese Dienste verarbeiten sensible Daten und es muss sichergestellt werden, dass diese Daten nicht dem amerikanischen CLOUD Act unterliegen.
Das soll keinesfalls bedeuten, dass die Hyperscaler-Technologie auszuschließen ist. Im Gegenteil: Die OSBA-Anforderungen können vielmehr für Planungssicherheit sorgen und dazu führen, dass bei Einhaltung alle Akteure an der Ausschreibung gleichberechtigt teilnehmen können. Ansonsten drohen weitere juristische Auseinandersetzungen in Vergabeverfahren, wie sie aktuell in Baden-Württemberg geführt werden. Hier hatte das OLG Karlsruhe jüngst den Ausschluss eines Anbieters, der in der Vergabe mit einer luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens zusammenarbeiten wollte, für nicht rechtskräftig erklärt.
Interessant ist dabei die Argumentation im Rechtsspruch: Dort heißt es: „die öffentlichen Auftraggeber dürfen sich vielmehr auf die bindenden Zusagen der Anbieterin verlassen, dass die Daten ausschließlich in Deutschland verarbeitet und in kein Drittland übermittelt werden.“ Statt hier blind auf die Zusagen zu vertrauen, wäre die öffentliche Verwaltung gut beraten, auf die Einhaltung der Mindestanforderungen zu bestehen. Damit ließe sich der Nachweis deutlich leichter erbringen.
Heißt das nun, die öffentliche Verwaltung muss darauf warten, dass die Hyperscaler ihre Lösungen entsprechend anpassen?
Das ist nicht nötig. Es gibt bereits Lösungen auf deutscher und europäischer Ebene, die diese Bedingungen für den Einsatz von Cloud Computing in der öffentlichen Verwaltung erfüllen – sowohl bei der Infrastruktur als auch bei den Services. plusserver hat mit der pluscloud open eine erprobte Lösung im Angebot, die nicht nur komplett quelloffen, sondern auch BSI-C5-testiert ist und eine vollständig datensouveräne Cloud auf SCS-Basis darstellt. Damit bleibt die öffentliche Verwaltung unabhängig von Rechten Dritter und kann ihre Cloud entweder selbst betreiben oder sie als Infrastructure-as-a-Service beziehen. Mit der Variante „pluscloud open local” kann die Cloud zudem auch lokal im Rechenzentrum einer Behörde eingesetzt werden und behält trotzdem die Möglichkeit zur Föderation mit einem Cloud Service Provider. In der Wahl des Anbieters für Services, wie etwa dem Betriebssystem oder Office-Anwendungen, bleibt die öffentliche Verwaltung ebenfalls flexibel, da sämtliche Open-Source-Lösungen ohne Einschränkung auf der pluscloud open betrieben werden können.
Danke dir für das Gespräch, Alex.
Mit eigenen, am Markt etablierten Cloud-Lösungen und DSGVO-konformen sowie zertifizierten Rechenzentren in Deutschland erfüllt plusserver strengste Anforderungen an die Datenhaltung. plusserver ist jederzeit erreichbar und berät seine Kunden bedürfnisorientiert.
