Die Cloudifizierung der Behörden ging in Deutschland lange schleppend voran. Vor allem der Umgang mit besonders sensiblen Informationen führte bislang zu Herausforderungen. Erste Lösungen zeigen, wie auch bei ihnen die Umstellung gelingt – auf Basis verschiedener Sicherheitsprinzipien.
Dass hochsichere Clouds Anforderungen für KRITIS erfüllen müssen, erfordert unter anderem eine mehrschichtige Architektur aus physischer Ebene, Security Layer sowie Undercloud und Overcloud.
(Bild: Jürgen Fälchle - stock.adobe.com)
In den vergangenen Jahren haben sich die Grenzen dessen, was geheimschutzbetreute Unternehmen und Behörden der Cloud anvertrauen können, stark verschoben. Passend zum allgemeinen Trend weg von lokal implementierten Lösungen hin zur zentralen, modular aufgebauten, standardisierten IT bieten moderne Cloud-Lösungen Skalierbarkeit und Flexibilität, zudem können Ressourcen effizienter genutzt und Dienste schneller bereitgestellt werden. Behörden, gerade wenn sie ihre IT modernisieren wollen, können sich der Sogwirkung der Cloud immer weniger verschließen – auch, weil der Cloud-Markt sich gewandelt hat.
Veränderte Rahmenbedingungen schaffen neue Spielräume
Die veränderte geopolitische Lage hat das Bewusstsein für die Notwendigkeit digitaler Souveränität wachsen lassen. Gerade für sensible Daten stehen solide souveräne Alternativen zu den US-basierten Hyperscalern bereit, die den einst gültigen Gegensatz von Sicherheit und Cloud zunehmend auflösen. Eine solche Neuerung ist die SINA Cloud, die im Mai 2025 als erste Cloud-Lösung eine Einsatzerlaubnis des Bundesamts für Sicherheit in der Informationstechnik (BSI) für hochsichere Daten erhielt – und aufzeigt, welche Grundsätze für BSI-zertifizierte Hochsicherheit gelten müssen.
Die Herausforderungen für eine Cloudifizierung gerade bei öffentlichen Institutionen sind hinlänglich bekannt. Anders als die meisten Unternehmen arbeiten viele solcher Stellen im erheblichen Umfang mit Informationen, die als Verschlusssachen (VS) eingestuft sind – und zum Wohl der Bundesrepublik Deutschland geheim gehalten werden müssen. Für den Umgang mit ihnen gelten je nach Geheimhaltungsstufe strikte gesetzliche Vorgaben. Wer hochsichere Daten digital verarbeitet, muss aufwendige Maßnahmen ergreifen, zahlreiche Standards einhalten, zugelassene IT-Sicherheitsprodukte einsetzen und einen herausfordernden Freigabeprozess durchlaufen. Diese regulatorischen und technischen Voraussetzungen bremsten bislang die Cloud-Transformation in Behörden, aber auch für die geheimschutzbetreute Industrie, die ebenfalls mit VS umgehen muss. Auch Unternehmen, die nicht dem Geheimschutz unterliegen, aber dennoch hochsensible Informationen zu schützen haben, kennen das Problem. Daher gibt es drei Sicherheitprinzipien, die eine hochsichere Cloud ermöglichen:
1. Hochsichere Cloud-Architekturen
Die Übertragung hoher Sicherheitsanforderungen in eine Cloud-Umgebung erfordert ein technisches und architektonisches Umdenken im Vergleich zu etablierten Industriestandards der freien Wirtschaft. Gerade beim Umgang mit besonders schützenswerten Informationen müssen spezielle Schutzmaßnahmen implementiert werden, um gesetzlichen Vorgaben und geheimschutzrechtlichen Standards zu genügen. Eine moderne Sicherheitsarchitektur muss daher von Grund auf so gestaltet sein, dass sie zentrale Anforderungen wie Isolation, Mandantenfähigkeit, Nachvollziehbarkeit und Vertrauenswürdigkeit abbildet – ohne dabei die Flexibilität und Skalierbarkeit der Cloud zu verlieren.
Ein bewährtes Prinzip hierfür ist die strikte Entkopplung von Sicherheitskomponenten und Cloud-Software. Diese Trennung ermöglicht es, technologische Weiterentwicklungen – etwa Funktionserweiterungen oder Infrastruktur-Updates – durchzuführen, ohne sicherheitsrelevante Freigabeprozesse erneut anzustoßen. Solange keine geheimschutzrelevanten Änderungen erfolgen, bleibt die Konformität zu den gesetzlichen Vorgaben gewahrt. Dies unterstützt nicht nur die Betriebssicherheit, sondern auch die Effizienz im Lifecycle-Management.
2. Physische und logische Trennung von Ressourcen
Die physische Infrastruktur einer solchen Cloud umfasst Hardwarekomponenten wie Server, Speicher und Netzwerk. Entscheidend ist, dass diese Komponenten mandantenfähig genutzt werden können, ohne die gesetzlichen Anforderungen an die Verarbeitung vertraulicher Daten zu verletzen. Dies wird durch eine zusätzliche Sicherheitsarchitektur realisiert, die über der physischen Infrastruktur liegt. Dieser sogenannte Security Layer sorgt für die logische Trennung einzelner Sicherheitsdomänen. Eine Sicherheitsdomäne fasst die jeweiligen Ressourcen zusammen, die einem einheitlichen Zugriffskontext unterliegen – beispielsweise einer Behörde, eines Mandanten oder einer Benutzergruppe mit gemeinsamer Vertraulichkeitsstufe.
Die Isolation der Domänen erfolgt durch starke Kryptografie: Die Kommunikation innerhalb einer Domäne wird verschlüsselt und ist technisch von allen anderen Domänen vollständig getrennt. Nur innerhalb der eigenen Domäne können Netzwerkpakete entschlüsselt und verarbeitet werden. Diese Absicherung wird auf Netzwerkebene durchgesetzt und sorgt dafür, dass unterschiedliche Nutzergruppen dieselbe Infrastruktur sicher und gleichzeitig verwenden können – ohne gegenseitige Einsicht oder Beeinflussung. Wichtig dabei ist, dass die Plattform trotz dieser strikten Separierung mandantenfähig bleibt, Sicherheitsdomänen unabhängig voneinander verwaltet und zentral administriert werden können. Das gewährleistet eine flexible Nutzung durch unterschiedliche Stellen, zudem erlauben standardisierte Schnittstellen ein effizientes und kontrolliertes Lifecycle-Management der Sicherheitskomponenten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Oberhalb des Security Layers liegt dann eine zweigeteilte Infrastrukturebene aus Undercloud und Overcloud: Die Undercloud verwaltet die physischen Ressourcen innerhalb einer Sicherheitsdomäne und stellt sie der Overcloud zur Verfügung. Die Overcloud wiederum ist die operative Umgebung, in der Benutzerinnen und Benutzer arbeiten, Workloads verarbeitet und Dienste bereitgestellt werden und ist als einzige für Nutzer sichtbar. Die physische Infrastruktur bleibt vollständig abgeschirmt. Eine solche klare Schichtung sorgt nicht nur für zusätzliche Sicherheit, sondern erleichtert auch die technische Verwaltung und Skalierung der Systeme.
3. Transparenz, Unabhängigkeit und Souveränität
Ein zentrales Sicherheits- und Vertrauensprinzip für Cloud-Infrastrukturen im Hochsicherheitsbereich ist zudem Transparenz. Diese wird insbesondere durch den Einsatz von Open-Source-Technologien gewährleistet. Quelloffene Software ermöglicht unabhängige Prüfungen und schafft Nachvollziehbarkeit über eingesetzte Mechanismen – ein Aspekt, der bei proprietären Plattformen häufig nicht erfüllt ist. Zudem verhindert der Einsatz von Open Source einen Vendor-Lock-in und erlaubt die kontinuierliche Mitgestaltung durch die Fach-Community.
Der Herstellungs- und Betriebsort einer Cloud-Plattform ist also sicherheitsrelevant. Für den Umgang mit vertraulichen staatlichen oder unternehmenskritischen Informationen darf es keine Abhängigkeiten von außereuropäischen Anbietern geben. Eine vollständig im Inland entwickelte, betriebene und kontrollierte Infrastruktur bildet die Grundlage für digitale Souveränität und ist Voraussetzung für den Einsatz in sensiblen Bereichen.
Cloud-readiness wird zu einer Willensfrage
Die Einsatzerlaubnis für die erste Cloud im Hochsicherheitsbereich zeigt klar, dass die Cloud-Transformation erstmals in erheblichem Umfang auch im besonders schutzbedürftigen Bereich Einzug halten kann. Sicherheitsanforderungen, seien sie auch noch so hoch, müssen also keine Hürde für die Cloudifizierung mehr darstellen – weder aus technologischer noch aus regulatorischer Sicht. Sie müssen für das Digitalisierungstempo kein Hemmnis mehr sein. Gefragt ist lediglich der politische Wille, souveränen Lösungen unabhängiger Anbieter zu vertrauen, anstatt den Weg des geringsten Widerstands zu gehen.
:quality(80)/p7i.vogel.de/wcms/70/0b/700b87cbe34be72ed07e083a370f457c/0128930206v2.jpeg "Anstelle von Kleingeld erhalten selbst die kleinsten Kommunen in Niedersachsen eine Mindestfördersumme von 200.000 Euro. (Bild: © FotoBob – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/01/7e01f9af699f512a4ee3bbb345c9ddb9/0128945446v2.jpeg "Mit dem Deutschland-Stack soll eine souveräne, europäisch anschlussfähige und interoperable digitale Infrastruktur für Bund, Länder und Kommunen geschaffen werden. (CanvaKI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/ca/0cca515782c0b653d6b1a7a0a2551ec5/0128921072v2.jpeg "Symbolischer Auftakt in Brandenburg: Die AWS European Sovereign Cloud richtet sich an öffentliche Auftraggeber und stark regulierte Branchen in der EU. (Bild: AWS)")
:quality(80)/p7i.vogel.de/wcms/9d/a9/9da9de655c8a05642c5704aed926b6e3/0128919784v2.jpeg "Über das NOOTS können Behörden künftig Daten untereinander austauschen, statt Angaben wieder und wieder bei Bürgern und Unternehmen abzufragen. (Bild: © watcharee - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/10/72/10727eefe17cceada183cd4325a60db9/0128259302v1.jpeg "Dass hochsichere Clouds Anforderungen für KRITIS erfüllen müssen, erfordert unter anderem eine mehrschichtige Architektur aus physischer Ebene, Security Layer sowie Undercloud und Overcloud. (Bild: Jürgen Fälchle - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/47/a347b6ef39e7fdaf8bf3f17e31914d25/0128604029v2.jpeg "Christoph Schule, Leiter des Managed-SOC-Analystenteams bei G DATA. (Bild: GDATA)")
:quality(80)/p7i.vogel.de/wcms/0e/cc/0ecc8b487a62e127c10c9b862f52116b/0128696107v3.jpeg "Richtig integriert kann Confidential Computing als Übergangstechnologie dabei helfen, die Datensouveränität auch in US-Cloud-Lösungen zu behalten. (Bild: Lamina - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/08/f7086bdbf995dd01a59ee4c05c98c18e/0128147516v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/0d/920d464a10fdaabbed2a225131b40428/0128865118v2.jpeg "Ein Deep Dive in digitiale Bildung – und das vom heimischen Rechner aus: Das ist die LEARNTEC xChange. (Bild: Messe Karlsruhe / Jannik Hammes)")
:quality(80)/p7i.vogel.de/wcms/bd/bd/bdbd1321376cb252ca316049f04b85ea/0128715415v2.jpeg "Mitmachen und mitreden: Der „NEGZ Science Dialog“ widmet sich der Frage, wie sich Aufwand und Nutzen von Digitalisierungsmaßnahmen in der öffentlichen Verwaltung überzeugend bewerten lassen. (Bild: © NDABCREATIVITY – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/97/39975f57a9c6e6de2a5a8b366113e7d0/0128720584v2.jpeg "Silvio Große unterstützt seit 1. Januar 2026 die Ostwestfalen-Lippe IT als Geschäftsleiter. (Bild: © OWL-IT)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/a2/1c/a21c5cbcfc2114968d324ef51f71a997/0128496655v2.jpeg "(Illustration: Landkreis Regensburg)")
:quality(80)/p7i.vogel.de/wcms/55/49/5549944daffc8a848b82db8f3abcee30/0127845342v1.jpeg "Der Autor, Matthias J. Szymansky, ist Leiter Competence Center Analytics & AI, Materna. (Bild: Materna )")
:quality(80)/p7i.vogel.de/wcms/58/61/5861a71de0ab86cd686739c3e4b0d23c/0128079172v2.jpeg "Souverän analysieren: Mit disy Cadenza werden Daten sicher ausgewertet und verständlich visualisiert – ganz nach den Anforderungen der Verwaltung. (Bild: Disy Informationssysteme)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/66/ab/66ab44afc2a68/secunet-logo-rgb-schwarzrot-100mm.jpeg "secunet-logo-rgb-schwarzrot-100mm (secunet Security Networks AG)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/9c/679c90e925450/materna-square-logo-rgb.jpeg "materna-square-logo-rgb (www.materna.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/8c/628cba8e3f912/logo-governikus-600px.png "logo-governikus-600px (www.governikus.de)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/48/13/481330a48b6e045a08831364fe7123aa/0121864939v2.jpeg "Verschlusssachen konnten bislang kaum via Cloud-Lösung bearbeitet werden. Das ändert sich nun. (© fergregory - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/16/b0166b317468795e5d2cab059b7e65e8/0128233894v1.jpeg "Ulrich Ahle, CEO von Gaia-X: „Gaia-X könnte zum globalen Standard werden.“ (Bild: Rüdiger)")
:quality(80)/p7i.vogel.de/wcms/72/0f/720fe31d844d5e6a206cd813e7cffff6/0123885132v2.jpeg "Mit dem Umstieg zu einer internationalen Cloud-Lösung geben Behörden einen Teil ihrer Gestaltungsfreiheit ab. (Bild: tete_escape – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/8c/358cb74cc64a5b9dc5da0ad3cf1a167f/0126295267v2.jpeg "0126295267v2 (Bild: © hogehoge511 – stock.adobe.com)")