Zwischen Open Source und Open Standards

Digitale Souveränität und IT-Security im öffentlichen Sektor Zwischen Open Source und Open Standards

27.08.2020 Von Horst Robertz

Anbieter zum Thema

GISA GmbH

Liferay GmbH

mgm technology partners GmbH

VMware Global Inc Zweigndl. Deutschland

Das Thema digitale Souveränität nimmt Behörden in die Pflicht. Im Mittelpunkt der Diskussionen um die Modernisierung der IT steht oft die Wahl zwischen eigenem Rechenzentrum und der Cloud. Leichter beantworten lässt sich indes die Frage, ob offene Standards, kommerzielle oder quelloffene Software in öffentlichen Einrichtungen zum Einsatz kommen sollte.

Öffentliche Einrichtungen werden immer angreifbarer – doch sind Politik und Verwaltung diesen Angriffen nicht schutzlos ausgeliefert
(© gaspr13)

„Wir müssen wieder Vertraulichkeit im Netz garantieren können und als Deutsche und Europäer unsere digitale Souveränität zurückgewinnen. Dafür werden wir viel Geld ausgeben müssen.“

Die Worte von Alexander Dobrindt, Ex-Bundesminister für Verkehr und digitale Infrastruktur, aus dem Jahr 2013 haben bis heute nichts an Aktualität verloren. Es geht um Selbstbestimmung im digitalen Raum, um eigenständige und unabhängige Handlungsfähigkeit, um die Freiheit von Daten. Das Thema digitale Souveränität bewegt Politik, Wirtschaft und Gesellschaft.

Politik und Behörden im Fadenkreuz

Doch zeigten sich in den vergangenen Jahren hauptsächlich Unternehmen engagiert, so investieren nun zunehmend auch Einrichtungen der öffentlichen Hand in die digitale Souveränität. Das gilt vor allem für den Teilbereich der IT-Sicherheit.

Kein Wunder: Nach Informationen vom Bundesamt für Verfassungsschutz (BfV), Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) richten sich Angriffe seit geraumer Zeit vermehrt auch gegen Behörden und politische Institutionen.

Diese Attacken finden „auf hohem technischem Niveau statt und gefährden daher massiv die Informationssicherheit in diesen Bereichen“, mahnt das Bundesministerium des Innern, für Bau und Heimat auf seiner Webseite. Im Fadenkreuz der Cyberkriminalität stünden auch das Auswärtige Amt und seine Auslandsvertretungen, das Bundesfinanzministerium, das Bundesministerium für Wirtschaft und Energie, Dienststellen der Bundeswehr und sogar das Bundeskanzleramt – Einrichtungen, die allesamt in die Kategorie Kritische Infrastrukturen (KRITIS) fallen.

Dabei handelt es sich um Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden, so das BSI. Betreiber von KRITIS besitzen ein besonders hohes Schadenspotenzial in Bezug auf die Gesellschaft.

Doch die Absicherung von IT-Systemen, die von KRITIS-Betreibern eingesetzt werden, ist in der Regel hoch komplex und noch dazu gesetzlich genau geregelt. Das IT-Sicherheitsgesetz von 2015 beispielsweise „schreibt KRITIS-Betreibern vor, IT-Sicherheit nach dem Stand der Technik umzusetzen und erhebliche IT-Sicherheitsvorfälle an das BSI zu melden,“ so das Bundesamt für Sciherheit in der Informationstechnik (BSI).

Somit stellt sich für viele öffentliche Einrichtungen schon aus Sicherheitsgründen immer öfter die Frage, wo ihre Daten besser aufgehoben sind: in einem eigenen Rechenzentrum – für dessen Sicherheit mit teils hohen Investitionen gesorgt werden muss – oder bei einem externen Cloud-Anbieter. Und mitunter lohnt es sich für Behörden auch, über Cloud-Angebote als Ergänzung zum On-Premises-Datacenter nachzudenken. Entscheidend dabei ist unter anderem, dass sich trotz hoher Sicherheitsmaßnahmen Anwendungen rasch erneuern und neue Applikationen zügig entwickeln lassen – Anforderungen, in denen üblicherweise die Cloud ihre Vorteile ausspielen kann.

Trennung von Daten und Anwendungen

Ein weiterer entscheidender Punkt für die IT-Sicherheit: Moderne Multi-Tier-Anwendungen erlauben eine strikte Trennung der Datenhaltung von Anwendungen. Das ermöglicht es IT-Verantwortlichen von hybriden IT-Infrastrukturen, sensible Daten im eigenen Rechenzentrum zu halten und einzelne Dienste oder komplette Anwendungen trotzdem individuell und flexibel von externen Dienstleistern in Anspruch zu nehmen.

Eine Vorgehensweise, welche die Digitalisierung in der Öffentlichen Verwaltung einerseits merklich beschleunigt, allerdings auch eine Modernisierung von Anwendungen und Abläufen für neue Technologien wie etwa die Containerisierung voraussetzt.

Open Standards oder Open Source?

Um die Abhängigkeit von einem einzigen Soft- oder Hardware-Hersteller – Stichwort Lock-in – ad acta zu legen und agile Geschäftsprozesse zu fördern, vertrauen Einrichtungen der öffentlichen Hand oft auf quelloffene Software. Eine grenzenlose IT-Freiheit ist allerdings auch damit keineswegs garantiert. Oft entsteht dadurch eine neue Abhängigkeit – bestenfalls von einzelnen Programmierern des Open-Source-Projekts.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung in der Verwaltung

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Stand vom 30.10.2020

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Richtig unabhängig agieren Behörden allerdings erst, wenn sie sich auf offene Standards verlassen können. Oft ist sogar erst eine robuste, zeitgemäße Infrastruktur auf Basis offener Standards die technische Voraussetzung dafür, Open-Source-Initiativen anstoßen zu können.

Auch dafür sind die teils komplexen und sehr sicherheitsrelevanten IT-Anforderungen in Behörden nicht selten der Grund. Dass sich Open Standards bei der Modernisierung von IT-Topologien in öffentlichen Einrichtungen langsam durchsetzen, zeigt beispielsweise die Bundes-Cloud. Das Projekt soll Behören und öffentlichen Instituten einen sicheren Zugriff auf relevante Daten gewähren und so in Zukunft als zentrale Plattform für den sicheren Datenaustausch fungieren.

Ob in Unternehmen oder in Öffentlichen Verwaltungen: Wichtig für eine Einführung dezentral gemanagter Services ist es, sich Gedanken über die zugrundeliegende IT-Umgebung zu machen. Ideal ist eine bewährte Infrastruktur, wie beispielsweise die VMware Cloud Foundation, die es ermöglicht, jede Art von Applikationen auf sämtlichen Clouds wie Private-, Hybrid- oder Public-Cloud zu entwickeln, zu betreiben, abzusichern und zu managen.

Der Vorteil: Alle Anwendungen – seien es herkömmliche, Cloud-native oder SaaS-Anwendungen – können auf jedem Endgerät laufen. So steht eine komplette technologische Basis für Behörden zur Verfügung, um Anwendungen zu modernisieren.

Schlüsseltechnologie Container-Technologie

Eine Plattform auf Basis von Container-Technologie wie Kubernetes – basierend auf Open Source – ist die Schlüsseltechnologie für die Anwendungsentwicklung. Denn gerade jetzt sollte der öffentliche Bereich auf die schnelle und agile Entwicklung von Anwendungen setzen, Stichwort Corona-Warn-App.

Auch zahlreiche andere behördliche Dienstleistungen und Anwendungen für Rente, Steuer oder das Kindergeld sollten unkompliziert und digital für alle Bürger verfügbar sein. Container-Technologie vereint das Beste aus zwei Welten, der Welt der IT-Operations und der Welt der Entwickler.

Denn die Arbeit mit containerisierten Workloads und Services erlaubt die App-Entwicklung für Cloud- und On-Premises-getriebene IT-Infrastrukturen und hat das Potenzial, eine ähnlich revolutionäre Entwicklung anzustoßen wie Virtualisierung oder Java. Denn während monolithische Anwendungen eine Time-to-Market von mehreren Jahren haben, können moderne, Cloud-native Apps in wenigen Wochen entwickelt und ausgerollt werden. Und beenden so den Rückstau in der Anwendungsentwicklung, der letztlich Stillstand bedeutet.

Handlungsempfehlungen und Fazit

Behörden benötigen eine stabile und sichere IT-Infrastruktur, um mit den Anforderungen der Digitalisierung Schritt halten zu können. Hier stellt sich die Frage, ob sich die Investitionen in ein eigenes Rechenzentrum lohnen oder ob der Weg in die Cloud nicht auch für öffentliche Einrichtungen sinnvoll ist.

Die Erfahrung zeigt, dass diese Services häufig schneller und kostengünstiger von externen Dienstleistern bezogen werden können, als aus dem eigenen Rechenzentrum. Die über Open Source und Open Standards gewährleistete Handlungsfreiheit ist ein wichtiger Aspekt in der Diskussion um die digitale Souveränität. Und um unterschiedliche Cloud-Technologien zu vereinen, haben sich Lösungsansätze auf Basis von Kubernetes bewährt. Unter dem Aspekt der individuellen Ansprüche zu Sicherheit und Kontrolle über die Daten, sei es aus technischer wie auch aus regionaler Sicht, können jeweils zugeschnittene Ansätze auf Basis robuster Standards als „Stand der Technik“ realisiert werden.

(ID:46798425)