{"id":276328,"date":"2022-12-25T00:16:00","date_gmt":"2022-12-24T23:16:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276328"},"modified":"2023-04-11T07:04:58","modified_gmt":"2023-04-11T05:04:58","slug":"mindestanforderungen-an-die-nutzung-von-cloud-angeboten-durch-die-ffentliche-hand","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/25\/mindestanforderungen-an-die-nutzung-von-cloud-angeboten-durch-die-ffentliche-hand\/","title":{"rendered":"Mindestanforderungen an die Nutzung von Cloud-Angeboten durch die öffentliche Hand"},"content":{"rendered":"

Ich hatte hier im Blog ja h\u00e4ufiger \u00fcber das Thema Cloud, Datensicherheit und Abh\u00e4ngigkeiten berichtet. Deutschland und Europa macht sich von einigen wenigen Big Playern abh\u00e4ngig. Welche Mindestvoraussetzungen braucht eine Beh\u00f6rden-Cloud, welche die digitale Souver\u00e4nit\u00e4t sichert? Im Umfeld der OSB Alliance hat sich eine Expertengruppe gebildet, um die mindesten notwendigen und schon heute durch deutsche und europ\u00e4ische Cloud- und Software-Anbieter erf\u00fcllbaren Bedingungen zusammenzustellen, die den rechtssicheren Einsatz von Cloud-Computing durch die \u00f6ffentliche Hand gew\u00e4hrleisten.<\/p>\n

<\/p>\n

\"\"Hintergrund sind eigentlich mehrere Ereignisse. So gab es das Urteil der Vergabekammer Baden-W\u00fcrttemberg von Mitte Juli 2022, siehe Artikel Vergabekammer Baden-W\u00fcrttemberg schlie\u00dft Anbieter eines US-Cloud-Diensts von Angebot aus<\/a> und das Revisionsurteil, siehe US-Cloud-Verbotsbeschluss der Vergabekammer Baden-W\u00fcrttemberg verworfen<\/a>. Weiterhin gab es eine Verlautbarung der deutschen Datenschutzkonferenz zu Microsoft 365 (siehe Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht Datenschutzkonform<\/a> und die weiteren Artikel in der Linkliste am Artikelende). <\/p>\n

Die auf Basis einer IFG-Anfrage erstmals ver\u00f6ffentlichten \"Roten Linien\" des BSI (Rote Linien des BSI f\u00fcr Cloud-Angebote f\u00fcr die \u00f6ff. Verwaltung<\/a>) liefern Anhaltspunkte, aber noch keine konkreten Antworten. Im Umfeld der OSB Alliance hat sich eine Expertengruppe gebildet, um die mindestens notwendigen und schon heute durch deutsche und europ\u00e4ische Cloud- und Software-Anbieter erf\u00fcllbaren Bedingungen zusammenzustellen, die den rechtssicheren Einsatz von Cloud-Computing durch die \u00f6ffentliche Hand gew\u00e4hrleisten. <\/p>\n

Denn Bund, L\u00e4nder und Gemeinden stehen vor massiven und dr\u00e4ngenden Aufgaben im Bereich der Digitalisierung. Zu ihrer L\u00f6sung werden erheblich effizientere Betriebs- und Bereitstellungsmodelle f\u00fcr Informationstechnologie ben\u00f6tigt. Cloud-Computing erm\u00f6glicht den dazu notwendigen Paradigmenwechsel, der derzeit weltweit von Verwaltungen sowie in der Wirtschaft vollzogen wird. Denn die Nutzung von Cloud-Angeboten erlaubt es, Infrastruktur, Plattformen, Software und andere Teile digitaler Infrastruktur zuverl\u00e4ssig \"aus der Steckdose\" zu beziehen und verbrauchsabh\u00e4ngig zu bezahlen, ohne sich beispielsweise um Fragen der Skalierung k\u00fcmmern zu m\u00fcssen. <\/p>\n

Die \u00f6ffentliche Hand ist deswegen grunds\u00e4tzlich gut beraten, Cloud-Angebote zu nutzen, wo immer es sinnvoll m\u00f6glich ist. Allerdings bestehen dabei f\u00fcr die \u00f6ffentliche Hand in besonderem Ma\u00dfe Anforderungen an den Schutz von Daten sowie an die nachhaltige Sicherstellung von Betriebs- und Gestaltungsf\u00e4higkeit digitaler Infrastrukturen.<\/p>\n

Das Papier<\/a> der OSB Alliance nennt und erkl\u00e4rt die rechtssicheren und digitale Souver\u00e4nit\u00e4t sch\u00fctzenden Kriterien und soll Entscheiderinnen und Entscheidern der \u00f6ffentlichen Hand bei der Auswahl von Cloud-Angeboten unterst\u00fctzen. Die OSB hatte mich bereits vor l\u00e4ngerer Zeit diesbez\u00fcglich informiert – ich stelle nachfolgend die Positionen aus dem Papier hier im Blog ein. <\/p>\n

\n

Schutz von Daten, Diensten und Infrastruktur<\/strong> <\/p>\n

Der Staat muss pers\u00f6nliche Daten von B\u00fcrgerinnen und B\u00fcrgern ebenso wie eigene vertrauliche Informationen wirkungsvoll vor unerlaubtem Zugriff sch\u00fctzen. Dazu muss er jederzeit die Kontrolle dar\u00fcber bewahren, wer, wann und unter welchen Umst\u00e4nden auf welche Daten zugreifen darf. <\/p>\n

Zus\u00e4tzlich m\u00fcssen wirtschaftliche Abh\u00e4ngigkeiten und die Gefahr daraus resultierender politischer Zw\u00e4nge vermieden werden, damit der Staat auch in Krisen- oder Katastrophenf\u00e4llen resilient ist und die kontinuierliche Verf\u00fcgbarkeit elementarer staatlicher Funktionen sicherstellen kann. Dazu muss die Einsatzf\u00e4higkeit wichtiger digitaler Infrastrukturen und Dienste unabh\u00e4ngig von den Interessen nicht oder nur schwer beeinflussbarer Staaten oder Unternehmen gew\u00e4hrleistet, funktional kontrolliert und an neue Bed\u00fcrfnisse angepasst werden k\u00f6nnen. Diese beiden F\u00e4higkeiten zur Kontrolle von Datenfl\u00fcssen sowie zur Nutzung und Gestaltung von Informationstechnologie bilden gemeinsam die digitale Souver\u00e4nit\u00e4t einer Organisation, einer Einzelperson oder von ganzen Staaten. <\/p>\n

Digitale Souver\u00e4nit\u00e4t schaffen und st\u00e4rken<\/strong><\/h4>\n<\/p>\n

Schon heute bestehen auch ohne den Einsatz von Cloud-Computing zu bestimmten Anbietern wie etwa zu Microsoft bei Funktionen der Arbeitsplatzproduktivit\u00e4t kritische Abh\u00e4ngigkeiten, durch die erhebliche Schmerzpunkte im Bereich digitaler Souver\u00e4nit\u00e4t entstanden sind. Diese Schmerzpunkte wurden schon 2019 im Abschlussbericht der im Auftrag des Bundesministeriums des Innern, f\u00fcr Bau und Heimat beauftragten PwC-Studie \u201eStrategische Marktanalyse zur Reduzierung von Abh\u00e4ngigkeiten von einzelnen Software-Anbietern<\/a>\" ausf\u00fchrlich dargestellt. <\/p>\n

\u00dcber diese bereits bei klassischer IT vorhandenen Abh\u00e4ngigkeiten hinaus besteht beim Cloud-Computing die Gefahr zus\u00e4tzlicher und deutlich weitreichender Abh\u00e4ngigkeiten, etwa weil Cloud-Betreiber die Regeln zum Zugriff auf Daten oder f\u00fcr die Erweiterung der eigenen Angebote durch Dritte eigenst\u00e4ndig festlegen und sp\u00e4ter immer wieder \u00e4ndern k\u00f6nnen. Weiter sinkt bei der Verwendung fremder Infrastrukturen die M\u00f6glichkeit zur Kontrolle von Datenfl\u00fcssen. Die Nutzung von Cloud-Computing macht es deswegen zwingend erforderlich, diese Gefahren einzusch\u00e4tzen und bewusst damit umzugehen, um sp\u00e4ter nicht unerwartet mit wirtschaftlich, technologisch oder gar politisch teuer zu bezahlenden Abh\u00e4ngigkeiten konfrontiert zu sein. Nicht zuletzt deswegen wurde eine deutliche St\u00e4rkung der digitalen Souver\u00e4nit\u00e4t Deutschlands zum wichtigen Bestandteil des 2021 beschlossenen Koalitionsvertrages der aktuellen Bundesregierung<\/a>. <\/p>\n

In diesem Spannungsfeld aus gewaltigen Potentialen von Cloud-Computing auf der einen und der Gefahr erheblicher Abh\u00e4ngigkeiten mit m\u00f6glicherweise dramatischen Konsequenzen auf der anderen Seite m\u00fcssen Staat und Verwaltung nun einen Weg finden, der die Nutzung der Potentiale von Cloud-Computing so gut wie m\u00f6glich erlaubt und gleichzeitig den Erfordernissen digitaler Souver\u00e4nit\u00e4t, also an Kontrollf\u00e4higkeit, Resilienz, Handlungs- und Gestaltungsf\u00e4higkeit, Rechnung tr\u00e4gt. Ein wichtiges Instrument dazu ist die Definition von Mindestanforderungen, also von mindestens einzuhaltenden Eigenschaften von Cloud-Diensten1, welche die Kontroll- und Gestaltungsf\u00e4higkeit des Staates jederzeit sicherstellen.
Der Umgang mit und die Einhaltung von solchen Mindestanforderungen f\u00fchren auch zu einer Verbesserung der digitalen Kompetenz und Leistungsf\u00e4higkeit sowie der digitalen Souver\u00e4nit\u00e4t der Gesellschaft als Ganzes. Gleichzeitig f\u00fchrt die nachweisbare Einhaltung solcher Mindestanforderungen, etwa durch eine Zertifizierung durch vertrauensw\u00fcrdige Instanzen wie dem BSI, zu einem gesteigerten Vertrauen bei B\u00fcrgerinnen, B\u00fcrgern und Beh\u00f6rden. <\/p>\n

Das vorliegende Papier stellt \u2013 ohne Anspruch auf Vollst\u00e4ndigkeit \u2013 mindestens notwendige und schon heute durch deutsche und europ\u00e4ische Cloud- und Software-Anbieter erf\u00fcllbare Bedingungen f\u00fcr den Einsatz von Cloud-Computing durch die \u00f6ffentliche Hand zusammen und soll damit als Unterst\u00fctzung von Entscheiderinnen und Entscheidern der \u00f6ffentlichen Hand bei der Auswahl von Cloud-Angeboten dienen. Die vorgestellten Mindestanforderungen nehmen zentrale Teilaspekte des Software-Stacks in den Blick. Verwaltungseinheiten der \u00f6ffentlichen Hand k\u00f6nnen auch weitere, hier nicht benannte Teile des Hard- und Software-Stacks mit Blick auf Kontrollf\u00e4higkeit, Resilienz, Handlungs- und Gestaltungsf\u00e4higkeit \u00fcberpr\u00fcfen. Das vorliegende Papier soll auch als Diskussionsgrundlage dienen und einen konstruktiven Austausch \u00fcber die hier diskutierten Fragen erm\u00f6glichen. <\/p>\n

Sicherheitsanforderungen<\/font><\/h4>\n<\/p>\n

Sicherheit spielt beim Cloud-Computing eine zentrale Rolle und erfordert unter anderem die kompromisslose Einhaltung von Mindeststandards. Die Definition und Auslegung der entsprechenden Standards darf dabei nicht dem Anbieter allein \u00fcberlassen werden, auch wenn der Funktionsumfang einer L\u00f6sung und die vermeintliche, deklarierte Expertise des Anbieters eventuell dazu einladen w\u00fcrden. Ebenso darf die Einhaltung von Sicherheitsanforderungen nicht als ein rein vertragliches Thema behandelt werden. Sollten Teile einer Cloud-Infrastruktur au\u00dferhalb der Europ\u00e4ischen Union (EU) betrieben oder von einem Unternehmen au\u00dferhalb der EU bereitgestellt werden, sind diese Anforderungen noch wichtiger, sonst ist die Cloud-Nutzung f\u00fcr die deutsche Verwaltung, ohne dass die Einhaltung von Mindeststandards sichergestellt ist, nicht denkbar. Dazu muss unter anderem jederzeit eine unabh\u00e4ngige, unangek\u00fcndigte Pr\u00fcfung der Einhaltung von Sicherheitskriterien stattfinden k\u00f6nnen. Weiter sind mindestens die folgenden Anforderungen durch Cloud-Anbieter umzusetzen: <\/p>\n