Im dritten Teil dieser Blogserie wird gezeigt, wie ein Multi-Cloud-Ansatz die digitale Souveränität stärkt, indem er Flexibilität, Resilienz und die Vermeidung von Vendor-Lock-In ermöglicht. Wie können Behörden durch die Kombination verschiedener Cloud-Dienste Kosten optimieren und Risiken minimieren? Zudem wird die Bedeutung der Datenklassifizierung für eine effiziente und sichere Nutzung von Cloud-Ressourcen erläutert. Ein weiterer Schwerpunkt liegt auf IT-Sicherheit, regulatorischen Anforderungen (bspw. NIS2, BSI-Standards) und Zertifizierungen wie C5 oder ISO-Normen. Abschließend werden Herausforderungen wie Egress-Kosten, Nachhaltigkeit und GreenIT-Initiativen der Anbieter beleuchtet.
Der Multi-Cloud-Ansatz
Ein Multi-Cloud-Ansatz spielt eine wesentliche Rolle bei der digitalen Souveränität, da er es Behörden ermöglicht, die Vorteile verschiedener Cloud-Anbieter zu nutzen und gleichzeitig Abhängigkeiten zu minimieren. Durch die Nutzung mehrerer Cloud-Dienste können Behörden ihre IT-Landschaft flexibel gestalten und an ihre spezifischen Anforderungen anpassen. Dies erhöht die Resilienz und ermöglicht es, die besten Lösungen für unterschiedliche Anwendungsfälle zu wählen.
Die Nutzung mehrerer Cloud-Anbieter fördert die Interoperabilität und erhöht die Resilienz der IT-Infrastrukturen, da Ausfälle bei einem Anbieter durch die Dienste anderer Anbieter kompensiert werden können.
Durch die Auswahl der jeweils besten Cloud-Dienste für spezifische Anforderungen können Behörden Kosten optimieren und gleichzeitig die Leistung ihrer IT-Infrastrukturen maximieren.
Ein Multi-Cloud-Ansatz, bei dem verschiedene Cloud-Dienste von unterschiedlichen Anbietern genutzt werden, soll Vendor-Lock-In-Effekte verringern und die digitale Souveränität erhöhen. Es gibt jedoch Bedenken, ob die bisherige Multi-Cloud-Strategie ganzheitlich geplant und umgesetzt wurde.
Zu beachten sind bei einem Multi-Cloud-Ansatz allerdings die durch abfließenden Datenverkehr (Egress) entstehenden (Zusatz)-Kosten, bspw. bei einer Migration großer Datenmengen von einem zu einem anderen Cloud Service Provider. Diese zum Teil im Vorhinein nicht abschätzbaren Kosten können zu einem Vendor-Lock-in führen (vgl. Cloudcomputing Insider: „In dieser Abhängigkeit verlieren Unternehmen die Flexibilität, auf neue Anforderungen zu reagieren oder von technologischen Innovationen anderer Anbieter zu profitieren.“)
Exkurs: Vendor Lock-In (Cloud-bezogen)
Unter einem Vendor Lock-In versteht man eine Situation, in der ein Unternehmen stark von den Produkten oder Dienstleistungen eines bestimmten Anbieters abhängig ist, sodass ein Wechsel zu einem anderen Anbieter technisch oder organisatorisch aufwändig oder schwierig ist, kostspielig oder sogar unmöglich wird. Viele Anbieter nutzen nicht-standardisierte, geschlossene Technologien, die nur innerhalb ihres eigenen Ökosystems funktionieren. Dies erschwert die Interoperabilität mit anderen Systemen und kann den Wechsel zu einem anderen Anbieter kompliziert gestalten.
Die Übertragung von Daten zwischen verschiedenen Systemen zum Wechsel von einem Cloud Service Provider zu einem anderen, kann zeitaufwendig und kostspielig sein, was einen Anbieterwechsel erschwert. Dabei stellen langfristig abgeschlossene Verträge (bspw. Reserved Instances, Reservations; Vertragsbindung meist ein oder drei Jahre) eine große Hürde dar, denn vorzeitige Kündigungen können mit Sondergebühren belegt werden, was ebenfalls zu einem Vendor Lock-In führen kann.
In Bezug auf die digitale Souveränität ist ein Vendor Lock-In somit problematisch. Unternehmen und Behörden können nicht leicht von neuen oder besseren (auch günstigeren) Lösungen anderer Anbieter profitieren.
Datenklassifizierung als Basis der Multi-Cloud-Strategie
Die Datenklassifizierung spielt eine entscheidende Rolle bei der Umsetzung einer Multi-Cloud-Strategie in der deutschen Verwaltung auf allen drei Ebenen des Föderalismus (Bund, Länder und Kommunen). Welche Daten unterliegen welchen Schutzklassen? Sind wirklich alle Daten in nur einer (hohen) Schutzklasse anzusiedeln, weil es „einfacher“ ist, als eine Klassifizierung durchzuführen?
Durch eine entsprechende Klassifizierung aller Daten werden die (Cloud)-Ressourcen effizienter genutzt und die Kosten (besser) kontrollierbar. Daten, die weniger sensibel sind, können in kostengünstigeren Cloud-Umgebungen gespeichert werden, während kritische Daten in sichereren, möglicherweise teureren Umgebungen verbleiben, oder aber in besondere Cloud-Umgebungen migriert werden, bspw. SINA Cloud oder VS-Cloud for Defense.
Durch die Klassifizierung von Daten können potenzielle Risiken besser identifiziert und gemanagt werden. Dies trägt dazu bei, die Sicherheit und Integrität der Cloud-Infrastruktur zu gewährleisten.
IT-Sicherheit und Sicherheitsbedenken
Die IT-Sicherheit ist ein zentrales Anliegen für die digitale Souveränität, insbesondere im föderalen System Deutschlands und der Europäischen Union. Die zunehmenden Bedrohungen im Cyberraum erfordern eine enge Zusammenarbeit zwischen Bund, Ländern und Kommunen. Initiativen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die EU-Richtlinien NIS-2 tragen dazu bei, die Widerstandsfähigkeit gegen Bedrohungen zu stärken. Die NIS-2-Richtlinie erweitert die Anforderungen an die Cybersicherheit und betrifft sowohl öffentliche als auch private Einrichtungen, die als Betreiber kritischer Infrastrukturen oder wesentlicher Dienste gelten. Dies bedeutet, dass auch Behörden Maßnahmen zur Verbesserung ihrer Cybersicherheit ergreifen und Sicherheitsvorfälle melden müssen.
Bundesebene: Auf Bundesebene spielt das BSI eine zentrale Rolle bei der Überwachung und Sicherung der IT-Infrastrukturen. Es fördert IT-Sicherheitsstandards und unterstützt Behörden bei der Implementierung von Sicherheitsmaßnahmen.
Länderebene: Die Länder haben eigene Sicherheitsbehörden und -strategien, die auf die spezifischen Anforderungen und Bedrohungen in ihren Regionen zugeschnitten sind.
Kommunale Ebene: Kommunen sind zunehmend Ziel von Cyberangriffen und benötigen daher besondere Unterstützung und Ressourcen, um ihre IT-Sicherheit zu gewährleisten.
C5-Testat und BSI IT-Grundschutz
Das C5-Testat (Cloud Computing Compliance Criteria Catalogue) des BSI spezifiziert Mindestanforderungen an sicheres Cloud Computing und richtet sich an professionelle Cloud-Anbieter. Es bietet Cloud-Kunden eine wichtige Orientierung für die Auswahl eines Anbieters und bildet die Grundlage für ein kundeneigenes Risikomanagement. Der BSI IT-Grundschutz bietet umfassende Methoden und Maßnahmen zur Sicherung der IT-Systeme und unterstützt Behörden dabei, ihre IT-Sicherheit systematisch zu verbessern.
Viele der genannten Super- und Hyperscaler verfügen über ein C5-Testat und eine BSI IT-Grundschutz-Zertifizierung. Beispielsweise haben IONOS, plusserver und OVHcloud diese Zertifizierungen erhalten, um ihre hohen Sicherheitsstandards zu belegen.
Datenschutzkonformität: ISO 27017 und 27018
Viele Cloud-Service-Provider erfüllen die ISO/IEC 27017 und ISO/IEC 27018 Standards, die sich auf Informationssicherheitskontrollen und den Schutz personenbezogener Daten in der Cloud konzentrieren.
Diese Zertifizierungen helfen sicherzustellen, dass die Cloud-Dienste dieser Anbieter hohe Sicherheits- und Datenschutzstandards einhalten.
GreenIT und Nachhaltigkeit
Weitere, zentrale Bestandteile der Strategien vieler Super- und Hyperscaler stellen Nachhaltigkeit und GreenIT dar. Derart aufgestellte Anbieter setzen auf erneuerbare Energien und energieeffiziente Technologien, um ihren ökologischen Fußabdruck zu minimieren.
- IONOS betreibt seine Rechenzentren mit 100% erneuerbarer Energie und hat sich zu nachhaltigen Praktiken verpflichtet.
- Google Cloud hat sich verpflichtet, bis 2030 vollständig CO2-neutral zu sein und betreibt bereits jetzt viele seiner Rechenzentren mit erneuerbarer Energie.
- AWS ist der weltweit größte Käufer von erneuerbarer Energie und hat sich zum Ziel gesetzt, bis 2025 100% erneuerbare Energie zu nutzen.
Fazit: Mit Multi-Cloud sicher, flexibel und zukunftsfähig
Ein Multi-Cloud-Ansatz bietet Behörden und Organisationen erhebliche Vorteile in Bezug auf Flexibilität, Resilienz und digitale Souveränität. Durch die Kombination verschiedener Anbieter lassen sich Abhängigkeiten reduzieren und die besten Lösungen für unterschiedliche Anforderungen nutzen. Gleichzeitig erfordert dieser Ansatz eine sorgfältige Planung, insbesondere hinsichtlich Datenklassifizierung, IT-Sicherheit und Kostenkontrolle. Zertifizierungen wie C5 und ISO-Normen sowie regulatorische Vorgaben wie NIS-2 sind dabei unverzichtbare Leitplanken. Herausforderungen wie Egress-Kosten und potenzieller Vendor-Lock-In bleiben bestehen, ebenso wie die Notwendigkeit nachhaltiger IT-Strategien. Richtig umgesetzt, kann Multi-Cloud jedoch ein Schlüssel für eine sichere, effiziente und zukunftsfähige digitale Verwaltung sein.
Ausblick: Wie Open Source die digitale Souveränität stärkt – Strategien, Technologien und die Rolle der Verwaltungscloud
Im vierten und letzten Teil der Blog-Reihe wird dargestellt, wie Open-Source-Technologien die digitale Souveränität stärken können, indem sie Transparenz, Sicherheit und Unabhängigkeit fördern. Es wird der Frage nachgegangen, warum die Deutsche Verwaltungscloud-Strategie Open Source Services (OSS) priorisiert, und welche Schlüsselrolle Projekte, wie Sovereign Cloud Stack (SCS), dabei spielen. Zudem werden wichtige Open-Source-Plattformen wie OpenStack und Apache CloudStack vorgestellt, die flexible und skalierbare Cloud-Infrastrukturen ermöglichen.