Skalierbarkeit, Ressourcen sparen, Resilienz – viele Gründe sprechen für die Cloud-Transformation der öffentlichen Verwaltung. Doch wie gehen Behörden dabei am besten vor? Welche Rolle Kooperationen spielen und wie die Souveränität bei der Cloud-Nutzung gestärkt werden kann, erklären Vertreter des ITZBund, der Bundesagentur für Arbeit (BA), von govdigital und SUSE.
Clemens Wunder, Leiter des Cloud Centers of Excellence (CCoE) der BA, beschreibt die Entwicklung der Cloud-Strategie der Behörde. Seit Langem betreibe die BA eine private Cloud, habe aber festgestellt, dass dies mit erheblichem Aufwand verbunden sei. Am Markt könnten die Produkte womöglich „besser oder billiger“ eingekauft werden. Nicht zuletzt angesichts des demografischen Wandels sollen Mitarbeitende gezielt in jenen Bereichen eingesetzt werden, die nicht extern beschaffbar sind. Eine Software für die Vermittlung von Arbeitslosen gebe es beispielsweise auf dem Markt nicht – „die müssen wir selbst bauen und auch selbst pflegen“, veranschaulicht Wunder.
Einfluss von Trumps Wahl
Um einen geeigneten Cloud Provider zu wählen, betrachte die BA jeden Anwendungsfall. Der Leiter des Cloud-Zentrums vergleicht das Vorgehen mit einer Murmelbahn: Oben steige die Murmel ein, dann folgten mehrere Entscheidungspunkte und Abzweigungen, bis die Murmel schließlich bei einem der Provider herauskomme. Die Wahl Trumps zum US-Präsidenten habe „natürlich“ Auswirkungen auf die „Murmelbahn“, bestätigt Wunder auf Nachfrage. Ihm zufolge werden Fälle, die nur bei einem der Hyperscaler realisiert werden können, über zusätzliche Infrastrukturen abgesichert. Trotzdem tendiere man zu europäischen Anbietern bei Produkten, bei denen es „um Vertrauen und Daten geht“.
Das ITZBund, der zentrale IT-Dienstleister des Bundes, verfolgt eine ähnliche Strategie. Manche Dienste, etwa die E-Akte, würden weiterhin in der Bundescloud laufen, versichert Marco Gräf, Abteilungsleiter Applikationsbetrieb und Cloud. Gleichzeitig betont er: „Wir möchten uns frei machen von dem Brot- und Buttergeschäft. Das wollen wir einkaufen.“ Hierfür setze die Behörde auf Dienste der IONOS und der AWS, einem der drei US-amerikanischen Hyperscaler. Auch hier werden die Cloud-Produkte vor ihrer Nutzung veredelt, um Sicherheitsanforderungen gerecht zu werden.
Wechselfähig bleiben
Darüber hinaus nutzt das ITZBund für mehr Resilienz einen Container-Service, der den Wechsel zwischen verschiedenen Cloud-Stacks ermöglicht. So geht auch das Unternehmen SUSE vor: „Wir sorgen immer dafür, dass wir eine Plattform darunter haben, die eine Wechselfähigkeit ermöglicht – und das auf Basis von Open Source“, berichtet Holger Pfister, General Manager bei SUSE für den deutschsprachigen Raum. Aus seiner Sicht gibt es „nicht wirklich eine Cloud“, sondern nur „einen Rechner, der jemand anderem gehört“. Und „wenn der Rechner jemand anderem gehört, dann muss ich mir überlegen, was ich mache, wenn ich in den Rechner einziehe und was es für Implikationen hat“, hält Pfister fest.
Martin Schallbruch, CEO der Genossenschaft govdigital, stellt die Vorteile von Cloud-Technologien für die IT-Sicherheit heraus: Nach wie vor existierten in Deutschland viele kleine, „kaum abzusichernde“ Betriebsstätten. Diese Struktur sei schlicht „nicht zu verteidigen“, sagt Schallbruch. Stattdessen müssten größere Strukturen aufgebaut werden, die „überhaupt professionell managebar“ seien. Manche Mitglieder der govdigital machten ihren kommunalen Kunden ein solches Angebot, also den Betrieb für sie zu übernehmen. Als Beispiel nennt Schallbruch die ekom21 aus Hessen. Der IT-Dienstleister greife dafür wiederum auf Angebote der govdigital zurück. Auch aufgrund der zunehmenden Cyber-Angriffe auf Kommunen sei deren Bereitschaft höher, ein „Stück zurückzutreten“ und das IT-Management „in die Hände von Profis“ zu geben, bekräftigt der CEO.
Zukunftsvision Betriebsplattform
Das langfristige Ziel der Genossenschaft ist der Aufbau einer gemeinsamen Betriebsplattform. Eine „gemeinschaftlich zu betreibende, zu verwaltende und zu steuernde Infrastruktur“ erlaube es, Applikationen in Zukunft sicherer zu betreiben und schneller in die Fläche zu bringen. So könne der Staat zudem „agiler reagieren, wenn es darauf ankommt, beispielsweise in Krisensituationen“, ist Schallbruch überzeugt. Besonders wichtig seien dabei gemeinsame rechtliche Rahmenbedingungen und eine einheitliche Organisation.
Marco Gräf sieht dies ähnlich: „Wir reden immer von Cloud-Produkten, aber eigentlich geht es darum, Services zu zentralisieren und anderen zur Verfügung stellen“, macht er deutlich. Lösungen wie die
BundID, die vom Bund betrieben, aber für die Länder bereitgestellt wird, haben aus Gräfs Sicht Modellcharakter. Wie Schallbruch wünscht er sich, dass die Grenzen zwischen Kommunen, Ländern und Bund aufgehoben werden und man sich gegenseitig unterstützen kann, denn: „Wir haben alle die gleichen Probleme.“
Noch keine Option
Mit der Deutschen Verwaltungscloud (DVC), die am 1. April in den produktiven Betrieb startete, wird ein Schritt in diese Richtung gemacht. Fortan können öffentliche IT-Dienstleister Cloud Services über das Portal anbieten – und auch buchen. Das ITZBund darf jedoch aktuell „aufgrund eines Regulariums“ selbst keine Angebote in der DVC einstellen. Diese Hürde müsse die nächste Bundesregierung beseitigen, meint Gräf. Auch für Clemens Wunder ist die DVC derzeit keine Option: „Wir betreiben die IT für 117.000 Mitarbeitende. Wenn wir jetzt reingingen, würden wir das Projekt überfordern.“ Trotzdem sei die BA in den Gremien der DVC vertreten und unterstütze, wo es gehe. Wenn in „zwei oder drei Jahren“ die Basis stabil genug sei, damit die BA mit allen Jobcentern Services in der Deutschen Verwaltungscloud laufen lassen könne, „sind wir gerne dazu bereit“, erklärt Wunder. In der Zwischenzeit hat die BA einen anderen Weg eingeschlagen – und ist dabei nicht allein.
Gemeinsam mit der Deutschen Rentenversicherung Bund (DRV Bund) und der Deutschen Gesetzlichen Unfallversicherung (DGUV) veröffentlichte die BA im Januar 2024 eine Ausschreibung für einen Multicloud Broker, die im Dezember 2024 an das Unternehmen Computacenter vergeben wurde. „Wir haben uns Verbündete gesucht und nach dem kleinsten gemeinsamen Nenner geguckt“, erinnert sich Wunder. Zu dritt hätten die Behörden eine „nennenswerte Größe“ erreicht, mit welcher sie auf dem Markt wahrgenommen worden seien. Das sei nicht selbstverständlich: „Die Anforderungen, die wir definieren, werden teilweise von den Providern, gerade von den großen, einfach ignoriert. Die ändern ihre Systeme nicht“, erläutert der Leiter des Cloud Centers. Durch den Zusammenschluss der Sozialversicherer hätten sie mehr erreichen können.
Ohne gesetzlichen Auftrag
Doch die Idee sei nicht von allen positiv aufgenommen worden: Immer wieder habe Wunder erklären müssen, warum die BA als Federführerin eine Ausschreibung für die Rente und die DGUV mache. „Wo ist der gesetzliche Auftrag dafür?“, sei er gefragt worden. Doch seine Kollegen und er seien standfest geblieben. „Es bringt nichts, wenn es jeder allein macht. Wir müssen diese Allianzen gründen, wir müssen gucken, wo es zusammenpasst und nach vorne gehen“, bekräftigt er.
Menschen in ähnlichen Situationen rät Wunder: „Machen, sich den Herausforderungen stellen, anstatt unten am Berg zu stehen und hochzuschauen. Einfach mal losrennen und gucken, wie weit man kommt.“ Schallbruch empfiehlt, sich nicht von Juristinnen und Juristen „einschüchtern zu lassen“. Wunder ergänzt: „Und von den Datenschützern.“ Holger Pfister weiß, dass Widerstand gegen Veränderungen eine normale menschliche Reaktion ist: „Jeder findet Cloud super, bis er seine Arbeitsweise ändern muss.“ Er appelliert an Führungskräfte, mit solchen Bedenken ernst umzugehen. Die Transformation ist
„einfach ein langer Prozess“, gibt er zu.
