Interview mit CIO Marc Schieder (Dracoon)

0
1329

Bei der Auslagerung von IT in die Cloud sind deutsche Unternehmen und Behörden lange vergleichsweise zurückhaltend geblieben. Dabei können zentral bereitgestellte Dienste ein Plus an Wirtschaftlichkeit und Sicherheit bringen – das passende Betriebs-Modell vorausgesetzt. Über Potenziale für die öffentliche Verwaltung sprach der Behörden Spiegel mit Marc Schieder, CIO beim deutschen Cloud-Anbieter Dracoon.

Behörden Spiegel: Das ITZBund hat den Betrieb der sog. Bundescloud mit ersten Diensten, insbesondere für den Datenaustausch aufgenommen. Ist das ein Modell, das sich auch auf die Länder oder Kommunalverbünde übertragen lässt?

Schieder: Ja, natürlich. Dracoon wurde ja konzipiert für den hochsicheren Dateiaustausch inklusive Ende-zu-Ende-Verschlüsselung und ein konsolidierter Betrieb für Bund, Länder und Kommunen über die Dienstleistungszentren wäre natürlich wünschens- und erstrebenswert. Ein zentrales Software-as-a-Service Angebot für die verschiedenen Bereiche bringt sehr viele Betriebsvorteile und letztlich auch Sicherheitsvorteile: Geschwindigkeit, Wartbarkeit, zentrale Kontrolle etc. Mit dem letzten “Bundeshack” hat man auch gesehen, das entsprechende Sicherheit einzuziehen ist und diese Sicherheit kann nur durch eine saubere Verschlüsselung gewährleistet werden. Das wäre sicherlich ein sinnvolles Betriebsmodell für Dienstleistungszentren.

Behörden Spiegel: Könnte man zugespitzt sagen, dass das Private-Cloud-Modell für Behörden immer die bessere Lösung ist?

Schieder: Ich würde eher vom Hybrid-Cloud-Modell sprechen. Das heißt: zentraler Betrieb, aber dedizierte Technologien oder Ressourcen von den Behörden und Kommunen können wahlfrei zusätzlich vor Ort oder im eigenen Datacenter betrieben werden, z. B. was Storage, Identity oder Key Management im Bereich Verschlüsselung angeht.

Behörden Spiegel: Wäre es nicht am sichersten, auf den Komfort der Cloud ganz zu verzichten und Daten wie bisher intern per Mail oder über Fileserver auszutauschen?

Schieder: Das ist sicherlich nicht empfehlenswert. Silostrukturen müssen abgeschafft werden. Sie sind weder wartbar, noch absicherbar. Ein zentraler Service, der Ende-zu-Ende-Verschlüsselung clientseitig einzieht, bringt massive Vorteile. Mehr Sicherheit ergibt sich auch durch das zusätzliche Aufschalten eines SOC, also eines Security Operations Centers, in dem zentral alle Angriffsvektoren weggefiltert werden. Dazu kommt ein zentraler Maleware Scan, der an SIEM-Systeme andockt, wodurch Angriffsvektoren mitigiert werden können. Ein zentrales Software-Service-Modell mit Hybrid-Ansatz, bei dem ich letztendlich die Souveränität über gewisse Komponenten behalten kann, bietet wirtschaftlich und sicherheitstechnisch unserer Ansicht nach das beste Betriebsmodell. Die IT-Sicherheit bekommen sie dabei praktisch wie den Strom aus der Steckdose geliefert.Dracoon hat jetzt als erster Service in Deutschland die EU-DSGVO-Zertifizierung über die EuroPriSe erhalten. Es wurde alles durchleuchtet: Source Code, Prozesse, Betriebsmodelle. Wir sind damit die erste deutsche Softwarefirma, die einen “DSGVO-Ready”-Service aus der Cloud anbieten kann.

Behörden Spiegel: Auf welche konkreten Eigenschaften müssen insbesondere kleinere Behörden bei Cloud-Lösungen für den Datenaustausch im Hinblick auf IT-Sicherheit und Datenschutz achten?

Schieder: Die DSGVO gibt ja viele Dinge schon vor: Transparenz, Nachhaltigkeit, Schutz der personenbezogenen Daten. Ich kenne keinen Cloud-Service außer Dracoon, der komplett für diese Reise gebaut wurde. Dabei gibt es ja keine exakte Norm, die zu erfüllen ist, sondern es müssen Prozesse eingerichtet werden, wie verarbeitete personenbezogene Daten geteilt und gesichert werden und letztendlich auch verweisen, auslaufen oder gelöscht werden. Dracoon hat hier alle Voraussetzungen berücksichtigt. Da können wir auch fallbezogen jeden Punkt einzeln durchgehen und aufzeigen, wie wir auch kleine Kommunen dabei unterstützen können, nachhaltig und nach dem Datenschutzgesetz zu agieren. Wünschenswert wäre es allerdings, wenn wir davon wegkämen, dass wir einzeln auf die Städte und Kommunen zugehen müssen. Es sollten Services von oben zentral betrieben werden, sodass sie zum Beispiel von einem Bürgermeister einfach konsumiert werden können, wenn er entsprechend zertifiziert arbeiten und all diese Mehrwerte in die Geschäftsprozesse bringen möchte.