Eine souveräne Cloud und Ihre Besonderheiten für öffentliche Auftraggeber

Als erstes Projekt, das sich im BSI-Prüfverfahren befindet, wird Delos Cloud eine voll souveräne Cloud-Plattform für Bund, Länder und Kommunen in Deutschland anbieten. Ab 2025 wird damit allen Ebenen der öffentlichen Verwaltung in Deutschland eine souveräne Cloud auf Basis einer Anwendungs- und Anbieter-neutralen Hyperscaler-Plattform zur Verfügung stehen. Im Partner-Seminar der DVNW Akademie gaben Vertreter der Firma Delos Cloud GmbH Einblicke in diese souveräne Cloud, wie sich die öffentliche Hand bereits heute auf die kommende Cloud-Technologie vorbereiten kann und wie die Beschaffung der Cloud-Plattform heute bereits mitgedacht wird.

Während privatwirtschaftliche Unternehmen von der Innovationskraft und Entwicklungsgeschwindigkeit der Cloud profitieren, können Behörden aufgrund hoher regulatorischer Anforderungen Cloud-Technologie in vielen Fällen nicht nutzen. Public Cloud Services von oftmals führenden US-amerikanischen Hyperscalern entsprechen nicht den Souveränitäts- und Datenschutzvorgaben der öffentlichen Hand. Es besteht also die Herausforderung, ein geeignetes Schutz- und Vertrauensniveau in der Cloud sicherzustellen. Damit die öffentliche Hand trotz der strengen Regularien mit ihrer Digitalisierung voranschreiten kann, braucht sie Hyperscale Cloud Services, die den besonderen Anforderungen an IT-Sicherheit, Datenschutz und Geheimschutz gerecht werden. Die digitale Souverä-nität der öffentlichen Verwaltung muss gewahrt bleiben. Sie muss die Hoheit über ihre Daten behalten und Lock-in-Effekte vermeiden.

Technische, betriebliche und juristische Souveränität

Die souveräne Cloud von Delos Cloud wird technisch, betrieblich und juristisch souverän sein. Technologisch basiert die Delos Cloud auf der Microsoft-Azure-Plattform, jedoch wird sie vollständig entkoppelt in separaten deutschen Rechenzentren bereitgestellt. Die Daten verbleiben somit auf deutschem Boden und werden dort verarbeitet. Microsoft hat darauf generell keinen Zugriff. Das BSI kontrolliert und steuert notwendige externe Datenaustausche in Ausnahmefällen. Auch das Identity Management erfolgt in der deutschen Infrastruktur.

Dennoch bleibt die Delos Cloud immer auf dem neuesten Stand – auch hier unterliegen Updates der ständigen Kontrolle der zuständigen Behörden. Dabei ist die Delos Cloud als hersteller- und lösungsneutrale Plattform konzipiert, die nicht nur den sicheren Betrieb von Anwendungen ermöglicht, sondern auch ein offenes Ökosystem für Open-Source-Technologien, Eigenentwicklungen sowie weitere Applikationen bietet – vorausgesetzt, diese entsprechen den Vorgaben des BSI.

Am Cloud-Betrieb beteiligt ist nur von der Regierung sicherheitsüberprüftes Personal. Als Eigentümerin der Infrastruktur übernimmt die Delos Cloud GmbH sowohl den Plattform-Betrieb als auch die diesbezügliche Lizenzierung ihrer Produkte. Als deutsche Betreibergesellschaft gilt die deutsche Gerichtsbarkeit für die Betreiberin, die Plattform und alle darin enthaltenen Daten. Mit diesen Voraussetzungen erfüllt Delos Cloud die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) für Datenschutz, IT-Sicherheit und Geheimschutz vollumfänglich und wird für die Nutzung in Behörden eine Freigabe erhalten.

Vorbereitungsmaßnahmen für die öffentliche Hand

Um die Potenziale der Cloud nutzen zu können, müssen Behörden und ihre Vergabestellen sich heute schon mit der neuen Technologie vertraut machen. Behörden müssen sich rechtlich, organisatorisch, und technisch auf die souveräne Cloud vorbereiten, denn die Beschaffung und Implementierung von Cloud-Technologie birgt viele Neuerungen im Vergleich zum heutigen Betrieb von Applikationen und Fachverfahren. Beispiele für eine grundlegende, rechtliche Vorbereitung können dabei die interne Datenklassifizierung nach Schutzbedürftigkeit sowie das Vordenken zukünftiger Auditierungen der eigenen Prozesse und Anwendungen sein. Ergänzend sollten organisatorische Vorbereitungsmaßnahmen wie die Prüfung und Überarbeitung von Rechten und Rollen innerhalb der eigenen Organisation sowie die Anpassung der internen IT-Management-Prozesse erfolgen. Hierzu zählen auch frühzeitige Überlegungen und die Umsetzung von Change-Management-Aktivitäten, sowie Weiterbildungen für Mitarbeitende. Um eine umfassende Weiterbildung zu gewährleisten, kooperiert Delos Cloud bereits mit ausgewählten Schulungspartnern. Diese bieten speziell auf Delos Cloud zugeschnittene Schulungen für Mitarbeitende an. Das aktuelle Angebot umfasst dabei Schulungen für Entscheider, IT-Fachkräfte und Anwender.

Darüber hinaus ist es aus technischer Sicht bereits heute möglich, die Migration bestehender Anwendungen in die Cloud vorzubereiten, die Integration zwischen Bestandssystemen zu planen sowie die Neuentwicklung von Cloud-Applikationen von Grund auf zu gestalten.

Die Schaffung eines zentralen Identitäten-Managements stellt sicher, dass Behörden die Potenziale der Cloud ab Verfügbarkeit vollumfänglich ausschöpfen können. Hierzu stellt Delos Cloud in Kooperation mit dem IT-Dienstleister SoftwareOne eine Simulationsumgebung auf Basis von Microsoft Azure in der Public Cloud bereit. Die Delos Cloud Public Simulation ist dabei ein funktionales Abbild der späteren souveränen Cloud und kann heute bereits zu Entwicklungs- und Testzwecken genutzt werden.

Ganzheitliche Vorbereitung der Beschaffung der souveränen Cloud

Abschließend werden auch die vergaberechtlichen Implikationen der souveränen Cloud heute bereits mitgedacht. Im Rahmen des vom IT-Rat der Bundesregierung beauftragten Projektes „MSSC“ (Microsoft Sovereign Cloud) unter Führung der Bundesministerien der Finanzen (BMF) und des Innern und für Heimat (BMI) wird die Beschaffung der souveränen Cloud von Delos Cloud durch ein entsprechendes Teilprojekt ganzheitlich vorbereitet. Aktuell befindet sich dieses Teilprojekt in der Phase der Markterkundung, indem mögliche Vertragskonstrukte und Beschaffungswege erkundet werden. Zwei Kernelemente dieser Überlegungen sind die Nachnutzbarkeit des Vertragsmodells für Länder und Kommunen sowie die Berücksichtigung von Lizenzmigrationsszenarien bestehender Microsoft-Verträge in die souveräne Cloud.

Weitere Einblicke hierzu erhalten Sie im Rahmen des IT-Vergabetags des DVNW am 5. Juni und am Deutschen Vergabetag am 14.-15. November 2024 jeweils in Berlin.