Cloud-Lösungen werden künftig für staatliche Einrichtungen, Behörden und Bildungseinrichtugnen eine große Rolle spielen. Auf dem Weg zu digitaler Souveränität sind deshalb angemessene Vorgaben wichtig, um Sicherheit und Datenschutz der Anwendungen garantieren zu können. Diese sollten fester Bestandteil öffentlicher Ausschreibungen werden.
Die OSB-Alliance, der Bundesverband von Open Source Anbietern und Anwendern, hat dazu ein Positionspapier veröffentlicht.
Dieses formuliert aus ihrer Sicht erfüllbare Kriterien, die bei der Umsetzung von Cloud-Diensten im öffentlichen Sektor berücksichtigt werden sollen.
Sie formulieren zwei Kernziele für die digitale Souveränität:
- Wirkungsvoller Schutz von persönlichen Daten der Bürger*innen und vertraulichen Informationen vor unerlaubtem Zugriff.
Der Staat bzw. seine Behörden müssen jederzeit die Kontrolle darüber bewahren, wer, wann und unter welchen Umständen auf welche Daten zugreifen darf. - Unabhängigkeit der Einsatzfähigkeit digitaler Infrastrukturen von anderen Staaten oder Unternehmen.
Wirtschaftliche Abhängigkeiten und die Gefahr daraus resultierender politischer Zwänge müssen vermieden werden, um elementare staatliche Funktionen sicherzustellen und für Krisen- oder Katastrophenfällen widerstandsfähig, d.h. „resilient“, zu sein .
Diese beiden Fähigkeiten zur (1) Kontrolle von Datenflüssen sowie zur (2) Nutzung und Gestaltung von Informationstechnologie tragen entsprechend dem Papier zur digitalen Souveränität einer Organisation, einer Einzelperson oder von ganzen Staaten bei.
Wenig überraschend benennen sie Transparenz, Nachvollziehbarkeit und Überprüfbarkeit auf Code-Basis als wesentliche Aspekte für die Sicherheit von Cloud-Diensten. Mögliche Ableitungen von Daten sind nur dadurch zu vermeiden – Open Source Code sei (auch) deswegen für alle Teile von Cloud-Anwendungen zu bevorzugen.
Neben vielen weiteren Punkten wird (Daten-)portabilität eingefordert, um dem Lock-in-Problem zu begegnen: Es muss möglich sein, den Cloud-Anbieter zu wechseln (sonst gern als Multi-Cloud-Strategie bezeichnet).
Warum ist all das überhaupt erwähnenswert?
Leider sieht es bei Cloud-Anwendungen zur Zeit nicht danach aus, dass die oben genannten Punkte erfüllt werden können.
Der Cloud-Markt wird derzeit durch die großen US-Firmen bestimmt, d.h. Amazon mit AWS, Microsoft mit Azure und Google mit Google Cloud. Sie bieten nur Garantien vertraglicher Art – unabhängige und regelmäßige Code-Überprüfungen, wie sie in etablierten Open Source Projekten üblich sind, gibt es nicht.
Die Auftraggeber müssen darauf vertrauen, dass in den Rechenzentren der Anbieter alles mit rechten Dingen zugeht.
Die dort eingesetzte Cloud-Technologie ist -zumindest bei Platform as a Service (PaaS) und Software as a Service (SaaS)– Anbieter-spezifisch, proprietär und nicht Open Source. Der Auftraggeber kann somit keine echte Kontrolle über die Verarbeitungstätigkeiten haben, d.h. wer Zugriff auf Daten und Code hat und wo diese verarbeitet werden. Ein Wechsel von Anwendungen weg von einem dieser Anbieter ist ein unvorhersagbares Mammut-Projekt – es ist ein Lock-in gegeben.
Mittlerweile sind die Open Source Cloud-Technologien wie Open Stack weit ausgereift, mit ihrer Leistungsfähigkeit sind sie eine echte Alternative zu den kommerziellen US-amerikanischen Diensten. Auch in Deutschland gibt es kommerzielle Anbieter Open Source-basierter Cloud-Lösungen, so dass größere Anwendungen auch außerhalb des eigenen Rechenzentrums betrieben werden können.
Insofern sollten öffentliche Einrichtungen bei Cloud-Technologien von vornherein auf Open Source statt auf proprietäre Lösungen setzen.
Möglicherweise sind die US-amerikanischen Cloud-Anbieter durch Vergaberichtlinien für öffentliche Aufträge davon zu überzeugen, dass sie künftig (auch) auf Open Source setzen (Open Source bedeutet an dieser Stelle, dass der Code transparent ist, die Software jedoch u.U. nur mit Lizenzkosten nutzbar).
Weitere Informationen
- osb-alliance.de – Mindestanforderungen an die Nutzung von Cloud-Angeboten durch die öffentliche Hand
- Wikipedia – OpenStack