Digitale Souveränität und IT-Security im öffentlichen Sektor Zwischen Open Source und Open Standards

Von Horst Robertz |

Anbieter zum Thema

Das Thema digitale Souveränität nimmt Behörden in die Pflicht. Im Mittelpunkt der Diskussionen um die Modernisierung der IT steht oft die Wahl zwischen eigenem Rechenzentrum und der Cloud. Leichter beantworten lässt sich indes die Frage, ob offene Standards, kommerzielle oder quelloffene Software in öffentlichen Einrichtungen zum Einsatz kommen sollte.

Öffentliche Einrichtungen werden immer angreifbarer – doch sind Politik und Verwaltung diesen Angriffen nicht schutzlos ausgeliefert
Öffentliche Einrichtungen werden immer angreifbarer – doch sind Politik und Verwaltung diesen Angriffen nicht schutzlos ausgeliefert
(© gaspr13)

„Wir müssen wieder Vertraulichkeit im Netz garantieren können und als Deutsche und Europäer unsere digitale Souveränität zurückgewinnen. Dafür werden wir viel Geld ausgeben müssen.“

Die Worte von Alexander Dobrindt, Ex-Bundesminister für Verkehr und digitale Infrastruktur, aus dem Jahr 2013 haben bis heute nichts an Aktualität verloren. Es geht um Selbstbestimmung im digitalen Raum, um eigenständige und unabhängige Handlungsfähigkeit, um die Freiheit von Daten. Das Thema digitale Souveränität bewegt Politik, Wirtschaft und Gesellschaft.

Politik und Behörden im Fadenkreuz

Doch zeigten sich in den vergangenen Jahren hauptsächlich Unternehmen engagiert, so investieren nun zunehmend auch Einrichtungen der öffentlichen Hand in die digitale Souveränität. Das gilt vor allem für den Teilbereich der IT-Sicherheit.

Kein Wunder: Nach Informationen vom Bundesamt für Verfassungsschutz (BfV), Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) richten sich Angriffe seit geraumer Zeit vermehrt auch gegen Behörden und politische Institutionen.

Diese Attacken finden „auf hohem technischem Niveau statt und gefährden daher massiv die Informationssicherheit in diesen Bereichen“, mahnt das Bundesministerium des Innern, für Bau und Heimat auf seiner Webseite. Im Fadenkreuz der Cyberkriminalität stünden auch das Auswärtige Amt und seine Auslandsvertretungen, das Bundesfinanzministerium, das Bundesministerium für Wirtschaft und Energie, Dienststellen der Bundeswehr und sogar das Bundeskanzleramt – Einrichtungen, die allesamt in die Kategorie Kritische Infrastrukturen (KRITIS) fallen.

Dabei handelt es sich um Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden, so das BSI. Betreiber von KRITIS besitzen ein besonders hohes Schadenspotenzial in Bezug auf die Gesellschaft.

Doch die Absicherung von IT-Systemen, die von KRITIS-Betreibern eingesetzt werden, ist in der Regel hoch komplex und noch dazu gesetzlich genau geregelt. Das IT-Sicherheitsgesetz von 2015 beispielsweise „schreibt KRITIS-Betreibern vor, IT-Sicherheit nach dem Stand der Technik umzusetzen und erhebliche IT-Sicherheitsvorfälle an das BSI zu melden,“ so das Bundesamt für Sciherheit in der Informationstechnik (BSI).

Somit stellt sich für viele öffentliche Einrichtungen schon aus Sicherheitsgründen immer öfter die Frage, wo ihre Daten besser aufgehoben sind: in einem eigenen Rechenzentrum – für dessen Sicherheit mit teils hohen Investitionen gesorgt werden muss – oder bei einem externen Cloud-Anbieter. Und mitunter lohnt es sich für Behörden auch, über Cloud-Angebote als Ergänzung zum On-Premises-Datacenter nachzudenken. Entscheidend dabei ist unter anderem, dass sich trotz hoher Sicherheitsmaßnahmen Anwendungen rasch erneuern und neue Applikationen zügig entwickeln lassen – Anforderungen, in denen üblicherweise die Cloud ihre Vorteile ausspielen kann.

Trennung von Daten und Anwendungen

Ein weiterer entscheidender Punkt für die IT-Sicherheit: Moderne Multi-Tier-Anwendungen erlauben eine strikte Trennung der Datenhaltung von Anwendungen. Das ermöglicht es IT-Verantwortlichen von hybriden IT-Infrastrukturen, sensible Daten im eigenen Rechenzentrum zu halten und einzelne Dienste oder komplette Anwendungen trotzdem individuell und flexibel von externen Dienstleistern in Anspruch zu nehmen.

Eine Vorgehensweise, welche die Digitalisierung in der Öffentlichen Verwaltung einerseits merklich beschleunigt, allerdings auch eine Modernisierung von Anwendungen und Abläufen für neue Technologien wie etwa die Containerisierung voraussetzt.

Open Standards oder Open Source?

Um die Abhängigkeit von einem einzigen Soft- oder Hardware-Hersteller – Stichwort Lock-in – ad acta zu legen und agile Geschäftsprozesse zu fördern, vertrauen Einrichtungen der öffentlichen Hand oft auf quelloffene Software. Eine grenzenlose IT-Freiheit ist allerdings auch damit keineswegs garantiert. Oft entsteht dadurch eine neue Abhängigkeit – bestenfalls von einzelnen Programmierern des Open-Source-Projekts.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung in der Verwaltung

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Richtig unabhängig agieren Behörden allerdings erst, wenn sie sich auf offene Standards verlassen können. Oft ist sogar erst eine robuste, zeitgemäße Infrastruktur auf Basis offener Standards die technische Voraussetzung dafür, Open-Source-Initiativen anstoßen zu können.

Auch dafür sind die teils komplexen und sehr sicherheitsrelevanten IT-Anforderungen in Behörden nicht selten der Grund. Dass sich Open Standards bei der Modernisierung von IT-Topologien in öffentlichen Einrichtungen langsam durchsetzen, zeigt beispielsweise die Bundes-Cloud. Das Projekt soll Behören und öffentlichen Instituten einen sicheren Zugriff auf relevante Daten gewähren und so in Zukunft als zentrale Plattform für den sicheren Datenaustausch fungieren.

Ob in Unternehmen oder in Öffentlichen Verwaltungen: Wichtig für eine Einführung dezentral gemanagter Services ist es, sich Gedanken über die zugrundeliegende IT-Umgebung zu machen. Ideal ist eine bewährte Infrastruktur, wie beispielsweise die VMware Cloud Foundation, die es ermöglicht, jede Art von Applikationen auf sämtlichen Clouds wie Private-, Hybrid- oder Public-Cloud zu entwickeln, zu betreiben, abzusichern und zu managen.

Der Vorteil: Alle Anwendungen – seien es herkömmliche, Cloud-native oder SaaS-Anwendungen – können auf jedem Endgerät laufen. So steht eine komplette technologische Basis für Behörden zur Verfügung, um Anwendungen zu modernisieren.

Schlüsseltechnologie Container-Technologie

Eine Plattform auf Basis von Container-Technologie wie Kubernetes – basierend auf Open Source – ist die Schlüsseltechnologie für die Anwendungsentwicklung. Denn gerade jetzt sollte der öffentliche Bereich auf die schnelle und agile Entwicklung von Anwendungen setzen, Stichwort Corona-Warn-App.

Auch zahlreiche andere behördliche Dienstleistungen und Anwendungen für Rente, Steuer oder das Kindergeld sollten unkompliziert und digital für alle Bürger verfügbar sein. Container-Technologie vereint das Beste aus zwei Welten, der Welt der IT-Operations und der Welt der Entwickler.

Denn die Arbeit mit containerisierten Work­loads und Services erlaubt die App-Entwicklung für Cloud- und On-Premises-getriebene IT-Infra­strukturen und hat das Potenzial, eine ähnlich revolutionäre Entwicklung anzustoßen wie Virtualisierung oder Java. Denn während monolithische Anwendungen eine Time-to-Market von mehreren Jahren haben, können moderne, Cloud-native Apps in wenigen Wochen entwickelt und ausgerollt werden. Und beenden so den Rückstau in der Anwendungsentwicklung, der letztlich Stillstand bedeutet.

Handlungsempfehlungen und Fazit

Behörden benötigen eine stabile und sichere IT-Infrastruktur, um mit den Anforderungen der Digitalisierung Schritt halten zu können. Hier stellt sich die Frage, ob sich die Investitionen in ein eigenes Rechenzentrum lohnen oder ob der Weg in die Cloud nicht auch für öffentliche Einrichtungen sinnvoll ist.

Die Erfahrung zeigt, dass diese Services häufig schneller und kostengünstiger von externen Dienstleistern bezogen werden können, als aus dem eigenen Rechenzentrum. Die über Open Source und Open Standards gewährleistete Handlungsfreiheit ist ein wichtiger Aspekt in der Diskussion um die digitale Souveränität. Und um unterschiedliche Cloud-Technologien zu vereinen, haben sich Lösungsansätze auf Basis von Kubernetes bewährt. Unter dem Aspekt der individuellen Ansprüche zu Sicherheit und Kontrolle über die Daten, sei es aus technischer wie auch aus regionaler Sicht, können jeweils zugeschnittene Ansätze auf Basis robuster Standards als „Stand der Technik“ realisiert werden.

(ID:46798425)