Journey2Cloud-Public

Navigation aller Website-Bereiche

Technologie und Wissen

Was gilt es zu wissen über die aktuellen Trend-Themen?

Journey2Cloud-Public

IT-Services aus der Cloud – was in der Industrie längst Standard ist, muss im öffentlichen Sektor höheren regulatorischen Anforderungen genügen. Die Entwicklungs- und Umsetzungszeiten sind länger – die Gründe dafür vielfältig. Auch der Verwaltung ist längst klar, dass die Cloud künftig das Mittel der Wahl ist. Materna Monitor zeigt, wie die Lücke zwischen Anspruch und Wirklichkeit zu schließen ist – mit Journey2Cloud Public.

Die öffentliche Verwaltung geht in die Cloud

Die föderal aufgestellte Behördenlandschaft umfasst eine Vielzahl historisch gewachsener technischer Infrastrukturen. Hunderte von Rechenzentren mit Tausenden von Server-Räumen erfordern einen hohen Personalbedarf für Wartung und Betrieb. Der wachsende Mangel an Fachpersonal für Hardware, Netzwerke und Administration macht es immer schwieriger, den Schutz der einzelnen Rechenzentren zu gewährleisten. Gerade in Zeiten einer industriell operierenden Hackerszene und durch Cyberwar-Drohungen autoritärer Staaten bedarf es mehr denn je professioneller Sicherungs- und Ausfallkonzepte. Mehr Effizienz im Betrieb könnte helfen, die verfügbaren Kräfte zu bündeln und gezielt für die Entwicklung und den sicheren Betrieb zukunftsfähiger Lösungen einzusetzen. Die hohe Komplexität, Intransparenz und Anfälligkeit lassen auch den Staat mit Blick auf seine Dienste-Konsolidierung nicht kalt. Zwar existieren bereits eine Vielzahl von Cloud-Lösungen innerhalb der föderalen Verwaltungsebenen von Bund, Ländern und Kommunen, doch anders als in der Industrie herrscht hier die Übereinkunft, sich nicht allein in eine kritische Abhängigkeit von kommerziellen Cloud-Anbietern zu begeben. Aus diesem Grund wird mit Hochdruck an einer Zielarchitektur für die deutsche Verwaltungscloud gearbeitet, die den Anforderungen an Security, Privacy, digitale Souveränität, gesetzliche Vorgaben und weiteren Anforderungen gerecht wird. Nicht für alles benötigt man Neukonzeptionen, sondern kann durchaus auf den Erfahrungen der Wirtschaft aufbauen.

Aus den Cloud-Erfahrungen der Wirtschaft lernen

Geeignete Standards für eine umfangreiche Datenkooperation, die dabei helfen würde, gibt es. Das beweisen weltweit agierende Unternehmen täglich. Rund um die Uhr. Ihr Erfolgsgeheimnis, das längst keines mehr ist: die Cloud. Sie vereinfacht und beschleunigt die Bereitstellung von Software, Speicherplatz und Rechenleistung. So können interne und externe Benutzer:innen Anwendungen installationsfrei per Web-Browser nutzen. Skalierung durch das Zuschalten physischer Ressourcen und standortübergreifendes Load-Balancing erfolgt automatisiert und bei Bedarf in Nahezu-Echtzeit. Damit lassen sich die Kosten der Services nutzungsabhängig gestalten. Auch der Energiebedarf sinkt – eine zentrale Forderung jeder Nachhaltigkeitsstrategie.

Cloud schafft Sicherheit

Um Missverständnissen vorzubeugen: Ja, Sicherheit ist eine Kernanforderung an Cloud-Services. Mit dem Cloud Computing Compliance Criteria Catalogue (kurz: C5) hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Mindestanforderungen an die Informationssicherheit für Cloud-Dienste definiert. Auch speziell für die öffentliche Verwaltung. Die gute Nachricht in diesem Zusammenhang: Bei Einhaltung dieses Sicherheitsstandards sind Cloud-Services mindestens ebenso sicher wie das eigene Rechenzentrum – wenn nicht sogar sicherer. Hinzu kommt: eine Cloud-Infrastruktur muss nur genau einmal – zentral – abgesichert werden.

Das Ausrollen von Applikationen in der Fläche entfällt ebenso wie die damit verbundenen potenziellen Fehlerquellen. Mehr noch: Sicherheits-Updates sind – wie alle anderen – für sämtliche Nutzenden unmittelbar gültig. Darüber hinaus enthalten moderne Cloud-Plattformen viele Services für resilientere Prozesse „out-of-the-box“. Dazu gehören neben dem Schutz vor DDoS-Attacken die Netzwerkseparierung, das skalierbare Load-Balancing und ein verteiltes Content-Delivery-Netzwerk. Bleibt die Frage: Was brauchen die öffentlichen Verwaltungen noch, um ihre Anwendungen zukünftig in der Cloud betreiben zu können und von deren Vorteilen zu profitieren?

Containerisierung macht Anwendungen fit für die Cloud

Wie bereits erwähnt, bestehen in der öffentlichen Verwaltung spezielle Anforderungen an Ausfallsicherheit, Datenschutz und Datensicherheit. Um diese Anforderungen zu erfüllen, müssen Cloud-Anbieter unter anderem mit Hilfe von Zertifizierungen ihre Eignung für die Belange der öffentlichen Verwaltung nachweisen – etwa ISO 27000 oder BSI C5. Doch damit allein ist es nicht getan. Vielmehr gilt es, die Kriterien einer souveränen Cloud zu erfüllen (mehr dazu im Kasten weiter unten).

Gleichzeitig müssen die Anwendungen – in Behörden zumeist als Fachverfahren bezeichnet – neuen technischen Anforderungen entsprechen, damit sie beispielsweise herstellerunabhängig auf unterschiedlichen Cloud-Plattformen laufen können. Was für die Office-Software in der Bürokommunikation Standard ist, muss bei der Portierung von Fachanwendungen in die Cloud erst erzeugt werden: Plattformunabhängigkeit. Um dieses Ziel zu erreichen, empfiehlt sich die so genannte Containerisierung. Wie die Cloud-Technologie selbst ist auch dieses Verfahren bereits vielfach in der Praxis bewährt. Wirtschaftsunternehmen verwenden es, um ihre individuellen Kernanwendungen – die „Fachverfahren“ der Unternehmen – Cloud-fähig zu gestalten. Dabei zerlegen Software-Architekt:innen und Entwickler:innen bisherige monolithische Anwendungsblöcke in spezialisierte, voneinander unabhängige Microservices. Die einzelnen Funktionen innerhalb dieses Services, wie eine Plausibilitätsprüfung der Postleitzahl, übernimmt jeweils ein Microservice, realisiert als Container. Jeder Container ist ein Paket aus Programmcode, das alle erforderlichen Komponenten (Frameworks, Bibliotheken, Laufzeitumgebung etc.) einer lauffähigen Einheit enthält, und läuft unabhängig davon, auf welcher Cloud-Plattform er sich befindet. So kann ein einmal entwickelter Dienst in unterschiedlichsten Anwendungen zum Einsatz kommen.

Kubernetes: Schlüsselstandard für die Verwaltungs-Cloud

Die Orchestrierung der Services, also die Zusammenstellung verschiedener Container zu einer Anwendung, erfolgt auf Basis spezieller Standards. Der aktuell und auf absehbare Zeit wichtigste dieser Standards heißt Kubernetes. Er beschreibt, wie Container aufgebaut sein müssen und nach welchen Regeln sie zu funktionierenden Anwendungen kombiniert werden können. So ist gewährleistet, dass die erstellten Applikationen jederzeit verfügbar und sicher lauffähig sind. Unabhängig von der Plattform, auf der sie implementiert wurden.

Journey2Cloud Public: Schritt für Schritt zum Ziel

Egal wohin die Reise geht und wie lange sie dauert: Sie beginnt immer mit dem ersten Schritt. Für Materna als erfahrenen Scout auf dem Weg in die Cloud bedeutet das: Beratung und Analyse, um den Beteiligten zu helfen, Cloud-Potenziale zu identifizieren. Und gemeinsam mit den Entscheider:innen in der Verwaltung Strategien zu entwickeln, wie diese Potenziale zu nutzen sind. Dazu gehört die Auswahl der Zielplattform, die Konzeption der bereitgestellten Dienste sowie die Befähigung zur Nutzung der Cloud: von der gezielten Auswahl und Kombination der am besten geeigneten Angebote über die Etablierung eines Governance-Modells bis zur Schulung der Mitarbeitenden. Darüber hinaus stellt Materna ein professionelles, zielorientiertes Change-Management bereit, da sowohl die IT-Organisation als auch die einzelnen Mitarbeitenden erhebliche Veränderungen erfahren. Komplettiert wird das Angebot der Journey2Cloud Public durch den Cloud-Betrieb als Managed Service. Vom Prototyping über die Integration der Cloud-Services in die bestehende IT-Landschaft bis hin zur kontinuierlichen Weiterentwicklung durch DevOps umfasst dieses Angebot alle Optionen, die für eine erfolgreiche Cloud-Nutzung erforderlich sind – bei größtmöglicher Freiheit für die Verantwortlichen bei der Auswahl der benötigten Dienste.

Cloud-Transformation souverän steuern

Digitalisierung bedeutet Veränderung. Um die digitale Transformation aktiv zu steuern – und sich nicht von der Technologie treiben zu lassen – kommt es auf ein klar formuliertes Zielbild an. Sowohl für die Verwaltungsprozesse als auch die zugehörige Datenstrategie. Wie soll das Daten- und Infrastruktur-Ökosystem aussehen? Welche Sicherheitsfragen sind zu lösen und wie lässt sich die Compliance sicherstellen? Hier unterstützt Materna ebenso wie beim Klassifizieren und Priorisieren der Applikationen und ihrer Umsetzung in die Cloud gemäß Komplexität, Zentralität, Regulativen und inneren Abhängigkeiten. Und wenn es um die Umsetzung von Modernisierung und Migration geht, bietet Materna den Zugriff auf ein umfassendes Leistungsportfolio vom Architektur-Refactoring über Redesign und Containerisierung bis zum Roll-Out. Damit die Organisationen der öffentlichen Verwaltung ihre Cloud-Transformation souverän steuern können.


Damit die öffentliche Verwaltung unabhängig von einzelnen Cloud-Anbietern ist, hat der IT-Planungsrat, ein 17-köpfiges Gremium aus Vertreter:innen der Bundesregierung und den Regierungen der Länder, die Verwaltungscloud-Strategie entwickelt. Ziel ist eine Souveräne Cloud (siehe Abbildung 2), bestehend aus verschiedenen Plattformen internationaler und nationaler Hyperscaler, die den Anforderungen der öffentlichen Verwaltung genügen. Dazu muss jeder Cloud-Anbieter die Einhaltung europäischer Werte zum Schutz sensibler Daten zusichern und nachweisen. Die wichtigsten Vorgaben in diesem Zusammenhang sind:

  1. Datensouveränität: Gewissheit der Eigentümer:in, dass Daten vor unberechtigtem Zugriff, insbesondere vom Cloud-Anbieter selbst, geschützt und idealerweise extern verschlüsselt sind
  2. Operationelle Souveränität: nach Service-Aktualisierungen bleibt die Cloud weiterhin sicher
  3. Technologische Souveränität: Unabhängigkeit vom Cloud-Anbieter und seinen Technologien bei Diensten und Daten

Bei der Umsetzung dieser Verwaltungs-Cloud-Strategien geht es darum, zukünftige Fachverfahren – von der Hundesteuer-Anmeldung bis zum virtuellen Wahllokal – „ Cloud-only“ zu entwickeln und zu betreiben. Container-Technologie, offene Schnittstellen sowie der Nachweis der Portierbarkeit unter Einhaltung der BSI-Vorgaben sind dabei gesetzt. Ein entsprechender Proof of Concept – zur Einhaltung der Sicherheits-Richtlinien – läuft bereits auf Basis von Microsoft Azure. Als weitere Anbieter, um durch konkurrierende Entwicklung die Unabhängigkeit bei der Auswahl der Dienste sicherzustellen, sind derzeit Google, AWS und IONOS im Gespräch. Die Beteiligung deutscher IT-Dienstleister mit Erfahrung im öffentlichen Sektor als treuhändischer Betreiber soll helfen, die Souveränitätskriterien dauerhaft einzuhalten. Authentifizierung (ID) und Datensicherheit will der Bund mit einem zentral gesteuerten Key und Identity Management sicherstellen. Welche Cloud-Anbieter das Rennen gewinnen werden, wird eine Ausschreibung im Jahr 2023 zeigen.

Daten-Souveränität Abbildung 2: Derzeit befinden sich für die öffentliche Verwaltung verschiedene Cloud-Infrastrukturen in konkurrierender Entwicklung, darunter u. a. die Hyperscaler Azure, Google und IONOS. Auch deutsche Diensteanbieter sind beteiligt als treuhändische Betreiber zur Sicherstellung der Souveränität. Klarheit über die genaue Ausgestaltung wird eine Ausschreibung im Jahr 2023 bringen.