Die Nutzung von Cloud-Diensten, insbesondere unter den Aspekten der Digitalen Transformation, wird immer populärer – insbesondere im Bereich der Behörden. Für diese Entwicklung gibt es verschiedenste Gründe. Einer davon ist der demografische Wandel. Dieser sorgt dafür, dass immer weniger Menschen mehr Leistung liefern müssen. Dies führt unabdinglich dazu, dass Standards und hohe Automatisierungsgrade immer relevanter werden.
Mit Cloud werden nicht nur technologische Vorteile verbunden, sondern auch Einsparpotenziale und organisatorische Flexibilität. Dabei muss die Cloud unbedingt als das gesehen werden, was sie ist: Die Grundlage für die Bereitstellung von neuen Diensten. Daher sind dienst-orientierte Architekturen gefordert. Daneben muss beachtet werden, wer immer noch im Mittelpunkt steht: Der Mensch als Anwender und Nutznießer der Dienste.
Bevor tiefer in das “Warum” eingestiegen wird, sollten einige Begriffe rund um das Thema Cloud beleuchtet werden, insbesondere die Cloud-Modelle und die Typen der Cloud-Computing-Dienste.
Was genau ist Cloud-Computing?
Wikipedia[1] beschreibt Cloud Computing wie folgt: „Cloud Computing […] beschreibt ein Modell, das bei Bedarf – meist über das Internet und geräteunabhängig – zeitnah und mit wenig Aufwand geteilte Computerressourcen als Dienstleistung, etwa in Form von Servern, Datenspeicher oder Applikationen, bereitstellt und nach Nutzung abrechnet.“
Es ist mehr als nur Software, die auf anderen Systemen läuft und die einem nicht wirklich gehört. Die Nutzung solcher Dienste entlastet die eigene Organisation durch Anwendungen, die zentral zur Verfügung gestellt werden (SaaS – Software as a Service), durch Funktionalitäten wie Umgebungen für das Programmieren oder verschiedene Datenbanken (PaaS – Platform as a Service). Weitere Unterstützung bringen Speicher, Netzwerke oder ganze Systeme, die einfach bezogen werden können (IaaS – Infrastructure as a Service).
Diese Vorteile könnten sofort genutzt werden, aber sie gehen mit einigen notwendigen Anpassungen einher. Immerhin haben Bundesbehörden besondere Anforderungen an die Nutzung von Cloud-Diensten: Sie müssen zum Beispiel die Souveränität der Daten gewährleisten. Die Software muss zudem allgemeinen, möglichst freien Standards (Open Source) entsprechen. Außerdem muss Cloud die aktuellen Softwarepakete und bestehende Verfahren aufnehmen können. Schließlich muss ein Betrieb unter strikter Einhaltung der Datenschutz-Grundverordnung (DSGVO) und der im Kriterienkatalogs C5 des BSI[2] spezifizierten Mindestanforderungen an sicheres Cloud Computing möglich sein. Darüber hinaus müssen Behörden für als Verschlusssache klassifizierte Daten noch weitere Anforderungen bedenken und Maßnahmen einrichten.
Einer der wesentlichen Vorteile von Cloud-Technologien ist, dass damit schnellere Umsetzungen von neuen oder die Veränderung von bestehenden Verfahren möglich werden, weil die dafür notwendige Technologie nicht erneut beschafft und betrieben werden muss.
Welche Cloud-Modelle gibt es?
Unter Cloud-Modellen versteht man auch Service-Modelle, die den Zugang zu verschiedenen Nutzungsmöglichkeiten bieten. Unterschieden wird dabei zwischen Private, Public, Hybrid und Community Cloud:
- Private Cloud: Hier werden Cloud-Computing-Dienste nur für ausgewählte Benutzer:innen z.B. einer Behörde über ein privates internes Netzwerk oder das Internet bereitgestellt. Diese Cloud stellt Behörden viele der Vorteile einer Public Cloud zur Verfügung, zu denen bspw. Self-Service, Skalierbarkeit und Elastizität zählen. Über behördeneigene Firewalls (am besten aus deutscher oder europäischer Produktion) und einen entsprechenden Datenschutzgrad stellen die Behörden selbst sicher, dass nicht autorisierten Personen oder Systeme der Zugang zu vertraulichen Daten verwehrt wird.
- Public Cloud: Im Unterschied zur Private Cloud wird diese von vielen Unternehmen des Privatsektors, aber mittlerweile auch Behörden genutzt. Der Zugriff erfolgt in der Regel über das Internet oder dedizierte, direkte Zugänge (u.a. verbesserte Sicherheit und geringere Latenzen, höhere Bandbreiten). Hier bieten sich verschiedene Möglichkeiten der geteilten Verantwortlichkeiten (Shared Responsibility), wodurch der Cloudbetreiber wesentliche Verantwortungen im Betrieb der Infrastruktur und Anwendungen von den Behörden übernehmen kann.
- Hybrid Cloud: Werden Dienste sowohl in einer Public Cloud als auch in der eigenen (Private) Cloud genutzt, so spricht man von Hybrid Cloud. Hier wird versucht, die Vorteile der beiden Modelle optimal zu nutzen (z.B. Flexibilität der Public Cloud, spezielle Anforderungen und die Sicherheit der Private Cloud).
- Multicloud: Diese Weiterentwicklung der Hybrid Cloud bietet unter anderem den Vorteil, dass ein Vendor-Lock-in vermieden werden kann. Zusätzlich lassen sich die Betriebskosten in einer heterogenen Systemarchitektur optimieren, z.B. durch einen Wechsel von Diensten zum aktuell günstigsten Cloud-Anbieter.
- Community Cloud: Diese ist zwischen der Private und der Public Cloud angesiedelt und ein relativ neues Konzept. Eine Community Cloud ist eine mandantenfähige Infrastruktur, die von einer Gruppe von Organisationen mit gleichen Anforderungen gemeinsam genutzt werden kann. Im Unterschied zur Public Cloud können die speziellen Anforderungen an den Datenschutz, die Sicherheit und die der Einhaltung von Richtlinien wesentlich besser umgesetzt und angeboten werden. Sie ist in diesem Punkt einer Private Cloud sehr ähnlich.
IaaS, PaaS und SaaS – Was verbirgt sich hinter den verschiedenen Cloud-Computing-Diensten?
Es gibt unterschiedliche Arten, wie Behörden die Cloud und damit gebotenen Infrastrukturelemente und Dienste für sich nutzen können. Diese drei Typen schließen einander nicht aus und bieten verschiedene Abstufungen eines IT-Management. Alle drei stellen Alternativen zu On-Premises-IT-Lösungen dar, die die Behörden selbst verwalten.
- Infrastructure as a Service, IaaS
Die Bereitstellung virtualisierter Compute-Ressourcen (CPU, RAM, Netzwerk und Speicherplatz). IaaS ist dynamisch skalierbar und bietet dadurch mehr Flexibilität als On-Premises-Lösungen. IaaS-basierende Dienste können z.B. über das Internet genutzt werden. Zu den Anbietern zählen unter anderem Amazon Web Services, Google Cloud Platform, Microsoft Azure, PlusServer, IONOS, IBM Cloud, Oracle Cloud Infrastructure und natürlich die Bundescloud. - Platform as a Service, PaaS
Die Plattform bietet insbesondere Entwickler:innen ein Framework und die Werkzeuge, um Anwendungen zu entwickeln. Wie bei IaaS haben die Nutzer:innen Zugriff auf Server und Rechenleistungen, die vom Cloud-Betreiber gewartet und verwaltet werden. Beispiele für PaaS sind OpenShift, AWS Lambda und die Laufzeit- sowie Entwicklungsumgebung der Bundescloud. - Software as a Service, SaaS
Diese Form des Cloud-Computings ist meist sofort einsatzbereit. Der Zugriff durch die User:innen erfolgt meist über einen Webbrowser. Es muss meist keine Software auf Nutzerseite installiert werden. Beispiele für SaaS sind Phoenix (Dataport), Salesforce, Atlassian Jira und Google Suite.
Fazit
Im ersten Teil dieser Blog-Serie wurden die grundlegenden Cloud-Modelle und -Computing-Dienste dargestellt und erläutert. Diese bilden die Entscheidungsgrundlagen für die Transformation von Diensten in die Cloud. Dabei wurden erste Besonderheiten im Behördenkontext benannt, die für die meisten privaten Unternehmen nicht derart stark im Fokus stehen: C5, BSI IT-Grundschutz sowie die DSGVO.
Ausblick
Im zweiten Teil dieser Blog-Serie wird das Thema “Warum eigentlich Cloud?” unter den Aspekten der Vorteile, der Datensouveränität und den Technologien sowie organisatorischen Aspekten vorgestellt.