Cloud-Lösungen in der Architekturrichtlinie des Bundes

Um die Rahmenbedingungen für IT- und Digitalisierungsvorhaben für die Bundesverwaltung festzulegen, existiert bereits seit einigen Jahren die Architekturrichtlinie für die IT des Bundes. 

Im Folgenden haben wir die Vorgaben hinsichtlich des Themas Cloud-Computing zusammengefasst und möchten damit einen kompakten Überblick über die Anforderungen an den Einsatz von (Public)-Cloud-Technologien im öffentlichen Sektor bieten. Darüber hinaus teilen wir unsere Erfahrungen und Handlungsempfehlungen aus der Praxis. 

Herausgegeben von der Arbeitsgruppe IT-Architektur Bund liegt die Richtlinie aktuell in der Version 6.1 vor und gilt für die gesamte unmittelbare und mittelbare Bundesverwaltung. Die Richtlinie teilt sich in vier Bereiche auf: allgemeine Vorgaben (AV), geschäftliche Vorgaben (GV), funktionale Vorgaben (FV) und technische Vorgaben (TV).

Allgemeine Vorgaben zum Thema Cloud

Um die Vorgaben des Bundes richtig einordnen zu können, ist es wichtig, die vier Formulierungen für Verbindlichkeitsgrade zu kennen:

• Muss: eine verbindliche Festlegung.

• Soll: eine verbindliche Aussage, von der aus wesentlichen Gründen abgewichen werden kann (inkl. Dokumentationspflicht).

• Kann: eine zulässige Option.

• Darf nicht: ein absolutes Verbot. 

Cloud Computing soll bevorzugt genutzt werden. 

In AV-10 (Kopplung, Komplexität, Modularität, Wiederverwendbarkeit und Cloud Computing) erklärt der Bund den Einsatz von Cloud-Technologien quasi als gesetzt – Abweichungen davon müssen entsprechend gut begründet und dokumentiert sein. In derselben Vorgabe erklärt die Richtlinie weiterhin, dass die Cloud als “prioritäre Infrastruktur- und Plattformkomponente für die Bereitstellung und Nutzung von IT-Lösungen” dienen soll. Auf Anwendungsseite sieht es ähnlich aus, Cloud-kompatible Anwendungen erhalten in Beschaffung und Anwendungsentwicklung den Vorzug. Kurz und knapp würde man das vermutlich mit einer “Cloud-First”-Strategie übersetzen.

Erfreulich festzustellen ist, dass die Architekturrichtlinie explizit darauf hinweist, dass die Einführung von Cloud-Technologien Auswirkungen auf bestehende Betriebs- und Organisationskonzepte haben wird – und man entsprechende Anpassungen prüfen sollte. Das entspricht voll und ganz unserer Erfahrung, dass Cloud-Transformationen nicht ohne einen organisatorischen Wandel funktionieren können. 

Etwas komplizierter wird es dann schon bei der Frage, welche Cloud-Lösungen für die Verwaltungen infrage kommen. Denn die Richtlinie fordert, dass die Lösungen die Standards der Deutschen Verwaltungscloud-Strategie (DVS), Gaia-X, Sovereign Cloud Stack (SCS) oder der Bundescloud einhalten sollen. Außerdem müssen bei Vertragsabschlüssen die ergänzenden Vertragsbedingungen Cloud (EVB-IT Cloud) angewendet werden. Damit wir unsere Leitfrage bzgl. des richtlinienkonformen Einsatzes der Public Cloud also beantworten können, kommen wir nicht um eine Analyse der einzelnen referenzierten Dokumente herum. Hier eine stark vereinfachte Zusammenfassung:

• DVS: Nach unserer Interpretation gibt die Strategie die Nutzung von typischen Public-Cloud-Anbietern, z. B. AWS oder Azure, nicht her, da alle Lösungen “im Sinne einer Private Cloud” “bei den öffentlichen IT-Dienstleistern des Bundes, der Länder oder der Kommunen” betrieben werden müssen. Es gibt zwar eine Erwähnung der Public Cloud, diese wird jedoch nur als optionale Anbindung gefordert und nicht explizit als Betriebsszenario unterstützt (s. das offizielle Dokument zur DVS).

• Gaia-X: Der Gaia-X-Anforderungskatalog für CSP (Cloud Service Provider) ist ein ziemlich umfangreiches Dokument, welches die Themen Sovereignty & Compliance, Security, Interoperability, Data Protection & Privacy, Transparency, Portability, Fair Market Conditions, Service Performance & Assurance und Contractual & Technical Requirements abdeckt. Bei einem Blick auf die rechtlichen Anforderungen fällt auf, dass beispielsweise das Kriterium 5.1.4. fordert, dass sich der Hauptsitz des CSPs in einem EU-Mitgliedsstaat befinden muss. Diese Forderung deckt, Stand heute, keiner der Hyperscaler im Standard ab, sodass eine “klassische” Nutzung ohne Sonderlösungen dem Katalog nicht entspricht.

• SCS: Der Sovereign Cloud Stack ist ein Framework und eine technische Referenzimplementierung, die darauf abzielt, souveräne Cloud-Infrastrukturen aufzubauen. Für die Beantwortung unserer Leitfrage wird jedoch schnell klar, dass die Hyperscaler diesem Framework heute nicht folgen und entsprechend auch nicht auf der Seite der konformen Cloud-Provider aufgeführt werden.

• Bundescloud: Die Bundescloud ist kein klassischer Standard oder Anforderungskatalog, sondern ein Service-Provider, der aus den Rechenzentren des ITZ-Bundes heraus Cloud-Services anbietet. Insofern kann ein Public-Cloud-Provider diesem nicht entsprechen, da die Bundescloud aktuell keine Public-Cloud-Dienste nutzt und auch keine Schnittstelle dahin anbietet. Damit erfüllt sie übrigens oben genannte Anforderung Nr. 6 aus dem DVS nicht.

Es lässt sich also festhalten, dass die Nutzung von Public-Cloud-Services Stand heute nicht unmittelbar mit der Architekturrichtlinie des Bundes vereinbar ist. Zwar ist die Formulierung durch das “Sollen” nicht abschließend, es kann aber festgehalten werden, dass die Nutzung von Public-Cloud-Services aktuell zwar nicht verboten ist, jedoch auch nicht unterstützt wird.

Digitale Souveränität und Public Cloud: Passt das zusammen?

Ein Blick auf die Standards und die Referenz-Richtlinien lässt vor allem ein Schlüsselwort in den Vordergrund rücken: digitale Souveränität. Die FITKO (Förderale IT-Kooperation) definiert den Begriff als “die Fähigkeit von Institutionen, ihre Rolle in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können.” Wichtig sind hier neben Compliance- und Security-Anforderungen auch einfache Wechselmöglichkeiten und ein Einfluss auf die Angebote der IT-Anbieter. 

Unserer Auffassung nach sind einige der Anforderungen, etwa eine Zertifizierung nach IT-Grundschutz oder die Einhaltung der C5-Richtlinie, auch mit (amerikanischen) Hyperscalern möglich. Andere wiederum bauen enorm große Hürden auf, die den Einsatz der “gängigen” Public-Cloud-Lösungen amerikanischer Hersteller bei genauer Auslegung verhindern. Dazu zählen zum Beispiel ein auf Deutschland beschränkter Point of Production und Point of Service. 

Laut Aussagen der FITKO gibt es zwar bereits einige lokale Cloud-Ansätze wie etwa die Niedersächsische Bildungscloud, DVZ.DIGITAL (Datenverarbeitungszentrum Mecklenburg- Vorpommern) oder die Thüringer Datenaustauschplattform, aber eben keine gemeinsam genutzte Lösung, die eine gemeinsame Zusammenarbeit erschwert. Aus diesem Grund soll es mit der Deutschen Verwaltungscloud eine gemeinsame Lösung geben, die sich aktuell im Aufbau befindet und die auch den Einsatz externer bzw. Public-Cloud-Komponenten ermöglicht. Wann und ob dieses Projekt fertiggestellt, funktionsfähig und skalierbar sein wird, können wir an dieser Stelle nicht bewerten.

Die Einschränkungen durch die DVS und andere Richtlinien dürften auch der Grund sein, warum beispielsweise AWS 7,8 Milliarden Euro in den Aufbau seiner European Sovereign Cloud investiert. Markus Richter, CIO des Bundes, äußerte sich zum Vorhaben von Amazon wie folgt: “Mit der Deutschen Verwaltungscloud-Strategie und dem Vertragsstandard EVB-IT Cloud wurden die Grundlagen für die Cloud-Nutzung in der Verwaltung geschaffen. Ich freue mich sehr, gemeinsam mit AWS Souveränität im Sinne unserer Cloud-Strategie praktisch und partnerschaftlich umzusetzen.”

Geschäftliche und funktionale Vorgaben in puncto Cloud

Weder bei den geschäftlichen noch funktionalen Vorgaben finden Cloud-Technologien eine explizite Erwähnung. Themen wie Projekt- und Prozessmanagement, Daten-Governance, IAM und Security können natürlich losgelöst von Cloud-Vorhaben betrachtet werden. Allerdings würden wir stark empfehlen, die Cloud so grundlegend in der Organisation zu verankern, dass sie auch bei diesen Themen immer mitgedacht werden muss, um etwaige Vorteile auch tatsächlich nutzen zu können. 

Technische Vorgaben zu Cloud-Technologien

Auf technischer Seite spielen Cloud-Lösungen selbstverständlich wieder eine Rolle. Um die Abhängigkeit von Herstellern zu reduzieren, empfiehlt die Richtlinie (TV-01, “soll”-Klausel) den Einsatz standardisierter Umgebungen sowie quelloffene Entwicklungswerkzeuge. Außerdem sollen Entwicklungsprozesse auf Basis von Continuous Delivery und Continuous Deployment den Standard für die Bereitstellung von Lösungen bilden. 

In puncto Betrieb (TV-10) gibt es wenig überraschend die meisten Anforderungen an Cloud-Lösungen. So müssen die Betriebsumgebungen einige Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft einhalten (Inhouse First, Lock-in, Kauf First) einhalten, insbesondere um den sicheren Einsatz zu gewährleisten. Gleiches gilt für die Basis- und Standardanforderungen des Prozess-Bausteins OPS 2.2 des IT-Grundschutz Kompendiums sowie die Mindeststandards des BSI zum Nutzen externer Cloud-Lösungen. 

Die Vorgaben bezüglich des Einkaufes beziehen sich dabei auf einen Beschluss aus dem Jahre 2015, der unserer Ansicht nach nicht mehr zeitgemäß ist und Innovationen unnötigerweise erschwert. Besonders der Punkt “Kauf First”, der eine Kaufoption Subscription-Modellen vorzieht, passt unserer Meinung nach nicht zur Realität heutiger IT-Services und -Geschäftsmodelle und findet sich in Projekten außerhalb des öffentlichen Dienstes so nicht wieder. 

Die Architekturrichtlinie hat auch die Konsolidierung von IT-Lösungen auf ihrer Agenda. Wenn Verwaltungen die Betriebsumgebungen von konsolidierungsrelevanter IT evaluieren, ist es erforderlich, die Vorgaben für die Bundescloud zu berücksichtigen.  

Unter die Soll-Kriterien fällt auch auf der Betriebsseite erneut die Einhaltung der Standards der Deutschen Verwaltungscloud-Strategie und die Kompatibilität mit Gaia-X, insbesondere der Standards für Cloud Service Provider und “data sharing with data spaces”. 

Fazit

Auch auf Bundesebene stehen die Weichen unserer Meinung nach ganz klar in Richtung Cloud-nativer Technologien, wenn auch mit der üblichen Vorsicht deutscher Behörden, die sich in etwas inkonsistenten Aussagen “Cloud soll genutzt werden” vs. “Kauf-First, Point of Service in Deutschland, keine Public Cloud” widerspiegelt. Die Angst vor einem Lock-in und einer Abhängigkeit gegenüber den amerikanischen Hypserscalern ist nach wie vor groß, was die mangelnde Geschwindigkeit der Digitalisierungsvorhaben zumindest teilweise erklären dürfte. Klar ist allerdings: Die Cloud ist “alternativlos”, das bestätigt auch die Architekturrichtlinie für die IT des Bundes. 

Bleibt abzuwarten, wie schnell die Entwicklung im öffentlichen Sektor in den nächsten Jahren fortschreiten wird. In Anbetracht des immer gravierender werdenden Fachkräftemangels, der die Verwaltung hart treffen wird, und den nun in den Startlöchern stehenden Sovereign-Cloud-Angeboten der großen Player AWS, Microsoft und Google/T-Systems sind wir optimistisch, dass endlich Schwung in die Cloud-Nutzung des Public Sectors kommen wird. Ebenso bieten die stärker werdenden europäischen Angebote wie OVH, IONOS und Co. ebenfalls Möglichkeiten für die IT des Bundes an. Zwar sind viele der EU-Angebote eher noch auf einer “Kubernetes as a Service”-Ebene unterwegs, die tatsächlichen Problemstellungen auf Applikationsseite im öffentlichen Bereich könnten allerdings auch damit schon verbessert werden.