In Deutschland müssen Bund, Länder und Gemeinden mehr tun, um ihre Digitalisierung voranzutreiben. In den Planungen dazu wird die Cloud-Nutzung eine Hauptrolle spielen. Doch in der Verwaltung sind die Anforderungen an Datenschutz und Unabhängigkeit hoch, weshalb der Einsatz der Public-Cloud-Lösungen von den US-amerikanischen Hyperscaler nur eine begrenzt brauchbare Lösung darstellt.

Die in der Open Source Business (OSB) Alliance organisierten Anbieter einschließlich der neuen "Working Group Cloud" erkennen darin ihre Chance. Im Herbst 2022 haben sie mit ihrem Dokument Mindestanforderungen an die Nutzung von Cloud-Angeboten durch die öffentliche Hand einen ersten Vorschlag unterbreitet und gleich ein breites Echo gefunden. Nun gibt es eine überarbeitete zweite Version, in der die Allianz ihren Ansatz präzisiert.

Im Folgenden lesen Sie die Vorschläge der OSB leicht gekürzt und redaktionell überarbeitet:

1. Sicherheit: Dokumentation mit SBOMs

Sicherheitszertifizierungen des BSI (C5) und künftig auch der EU (EUCS) sollten Mindestvoraussetzungen für Betreiber von Cloud-Angeboten sein. Für eine Prüfung der technischen Sicherheit einer Cloud reicht das aber nicht aus. Da Cloud-Lösungen in der Regel aus komplexen Kombinationen verschiedener Softwarekomponenten bestehen, müssen sie mit einer Software Bill of Materials (SBOMs) dokumentiert und für Anwender transparent gemacht werden. Anhand der SBOMs lässt sich einsehen, welche Softwarekomponenten der Betreiber in welchen Versionen nutzt und ob Updates zur Korrektur bekannter Sicherheitsprobleme vorliegen oder schon eingespielt wurden.

Da Entwickler und das DevOps-Personal in Sachen Betrieb und Weiterentwicklung von Cloud-Diensten oft länderübergreifend zusammenarbeiten, lässt sich kaum ausschließen, dass Dritte aufgrund fremder Gerichtsbarkeiten (US-amerikanischen Cloud Act) den Sourcecode einer Cloud verändern oder Schadsoftware beziehungsweise Hintertüren einbauen. Um das auszuschließen, muss es die Möglichkeit von Quellcode-Analysen geben.

Ein Cloud-Dienst kann nur dann als sicher gelten, wenn Anwender Einblick in den Quellcode der zugrundeliegenden Softwarekomponenten erhalten. Dazu braucht es die Möglichkeit einer unabhängigen Prüfung, die nicht durch den Anbieter oder beauftragte Dritte, sondern nur durch den Kunden selbst vorgenommen werden darf. Die OSB Alliance kommt daher zu dem Schluss, dass für alle Bestandteile einer Cloud immer eine Open-Source-Lösung bevorzugt werden sollte.

Kritische Teile einer Cloud-Lösung, etwa das Nutzermanagement, die Zertifikatsverwaltung und -ausstellung sowie das Schlüsselmanagement sollten mithilfe architekturspezifischer Sicherheitsmaßnahmen zusätzlich abgesichert werden. Diese werden beispielsweise als Confidential Computing beschrieben.

2. Resilienz und Widerstandsfähigkeit

Aus Sicht der OSB Alliance erhöht operative Souveränität die Resilienz. Öffentliche Einrichtungen sollten demnach ihre IT-Infrastruktur unabhängig von Dritten betreiben, absichern und anpassen können. Werden für den Betrieb Mitarbeiterinnen und Mitarbeiter eingesetzt, die nicht ausschließlich der hiesigen lokalen Gesetzgebung verpflichtet sind, besteht die Gefahr, dass sie beispielsweise einem Gesetz wir dem US-amerikanischen Cloud Act folgen müssen. Sie sind dann gezwungen, auf Anweisung einer anderen Regierung oder eines anderen Rechtssystems zu handeln und gegebenenfalls Dritten Zugriff auf Daten zu ermöglichen. Im schlimmsten Fall gefährden sie den Betrieb der gesamten Infrastruktur.

In der zum Betrieb von Cloud-Services verwendeten Software dürfen deshalb keine Funktionen enthalten sein, die den Zugriff auf Daten ermöglichen oder den Betrieb der Infrastruktur gefährden (so genannte Kill Switches). Solche Funktionen nachzuweisen, ist ohne Zugriff auf den Quellcode praktisch unmöglich - weshalb dieser zwingend einsehbar sein muss.

Software-Updates müssen - vor allem wenn sie der Korrektur sicherheitsrelevanter Probleme dienen - auch dann verfügbar gemacht werden können, wenn das nicht dem Willen des ursprünglichen Herstellers oder des Staates entspricht, in dessen Rechtssystem der Anbieter residiert. Zudem müssen Softwareanpassungen und Schnittstellen unabhängig vom ursprünglichen Hersteller möglich sein. Auch hier weist die OSB Alliance darauf hin, dass sich das am ehesten durch die Nutzung von Open Source Code sicherstellen lasse.

Die Allianz verlangt ferner die Entwicklung und Einhaltung von Standards oder standardisierten Schnittstellen, damit die Komplexität des Softwarestacks beherrschbar bleibt. Im Idealfall orientiere sich die Cloud-Lösung an weltweit etablierten, offenen Industriestandards. Last, but not least fordert die Vereinigung, dass Anwendungen unabhängig von der Infrastruktur betrieben werden. Sie müssten auch bei einem Wechsel der zugrundeliegenden Infrastruktur ohne größere Anpassungen weiterbetrieben werden können. Deshalb sei die Verwendung einer universellen Abstraktionsschicht zwischen Anwendungen und Infrastruktur sinnvoll - wozu die OSB Alliance in Kürze einen Vorschlag machen will.

3. Rechtliche Anforderungen

Was rechtliche Anforderungen an die Beschaffung von Cloud-Services durch die öffentliche Verwaltung angeht, müssen nach Auffassung der Allianz sämtliche verarbeiteten Daten - etwa Nutzerdaten, Log-Dateien, Abrechnungsdaten etc. - den Anwendern jederzeit durch den Cloud-Anbieter vorgelegt oder im Rahmen eines zertifizierten "Takeout"-Verfahrens zur Verfügung gestellt werden können. Für Nachvollziehbarkeit, Zertifizierung und Bewertungen im Bereich Datenschutz und -sicherheit muss die Software und deren spezifischer Code quelloffen und auditierbar sein.

Also muss der Cloud-Anbieter sicherstellen können, dass die gesamte Datenhaltung und die Technik der Verarbeitung portabel sind und sich mit quelloffenen Software-Stacks auf anderen IaaS-Plattformen einsetzen lassen. Das kann durch quelloffene Standards bei Dateiformaten und quelloffener Darstellung der algorithmischen Verarbeitung umgesetzt werden. Die Datenverarbeitung muss technisch und organisatorisch jederzeit zwischen den Datenräumen beliebiger Anbieter transportierbar sein, so die Allianz.

Verträge mit einem Cloud-Anbieter sollten nur dann abgeschlossen werden dürfen, wenn Quelloffenheit und Portabilität der Daten innerhalb gesicherter Datenräume gegeben sind und der Anbieter diesbezüglich vertragliche Zusagen macht. Zudem müssen alle Daten at rest oder in flight jederzeit nachvollziehbar (mit quelloffenen Algorithmen) und zertifizierbar verschlüsselt werden. Dabei muss es algorithmische Vorkehrungen geben, dank derer die Daten in anonymisierter Form oder anonym konvertiert für Auswertungen etc. sicher verwendet werden können.

Es gilt zu verhindern, dass Daten, die besonderen Compliance-Anforderungen unterliegen (zum Beispiel der Datenschutzgrundverordnung = DSGVO), in unsicheren Kontexten bearbeitet werden (siehe auch: Deutschlands schlimmste DSGVO-Sünder). Die technische Realisierung und Umsetzung der eingesetzten Verschlüsselungs- und Pseudonymisierungstechniken ist nachvollziehbar und auditierbar nachzuweisen.

Anbieter sollten verpflichtet werden, die Rechte von Bürgerinnen und Bürgern bezüglich des Umgangs mit personenbezogenen Daten zu achten und Wege für die Erfüllung von Betroffenenrechten (wie zum Beispiel Einsicht, Löschung, Recht auf Berichtigung, Recht auf Löschung) nachvollziehbar bezüglich Verarbeitung, Umsetzung und Speicherort umzusetzen. Dazu müssen laut OSB offene Standards und quelloffene Software verpflichtend gemacht werden.

4. Handlungsempfehlungen für Politik und Verwaltung

Zum Schluss rät die Allianz der Politik und der Verwaltung dazu, verbindliche Mindestanforderungen an Cloud-Lösungen in einem für die Wirtschaft nachvollziehbaren, iterativen Prozess festzulegen. Dies sei möglicherweise eine Aufgabe für den IT-Planungsrat als gemeinsames Gremium von Bund und Ländern.

Auch sollten nationale und europäische Anforderungen eng miteinander abgestimmt werden. Sinnvoll ist laut OSB ein gemeinsamer Vergaberahmen in Europa, der die hier aufgeführten Empfehlungen zur Absicherung digitaler Souveränität in Europa berücksichtigt. Demnach müssen die verbindlichen Mindestanforderungen auch in die Beschaffungsprozesse integriert werden, wobei zwischen Muss- und Kann-Bedingungen unterschieden werden könne.

Die OSB Alliance rät auch eine Metrik zu erarbeiten, anhand derer die Kritikalität von Cloud-Diensten bewertet werden könne. Bei besonders kritischen Services müssten dann alle formulierten Anforderungen erfüllt werden - etwa der Betrieb in Deutschland durch Personal mit deutscher Staatsbürgerschaft unter ausschließlichem Einsatz von Open-Source-Software.

Im Rahmen von Beschaffungsprozessen empfehlen die Autoren langfristige Wirtschaftlichkeitsbetrachtungen, die auch Kosten für die Außerbetriebnahme von Cloud-Diensten und den Austausch von Anbietern berücksichtigen (Exit-Kosten). Vor diesem Hintergrund sind Angebote vorzuziehen, bei denen von vornherein klar ist, dass alternative Anbieter den Betrieb eines Cloud-Dienstes fortführen können.

Bei der Auswahl von Cloud-Diensten ist darauf zu achten, dass die Angebote ausschließlich Schnittstellen nutzen und anbieten, für die es Open-Source-Referenz-Implementierungen gibt. Zudem sollten vom Staat beauftragte Individualsoftware-Entwicklungen immer unter einer Open-Source-Lizenz veröffentlicht werden. Werden Standard-Services eingekauft, sind quelloffene Lösungen zu bevorzugen. Auch bei den Förderstrategien des Bundes und der Länder für Forschungs- und Entwicklungsaktivitäten sollten - mit Blick auf die digitale Souveränität - Open-Source-Lösungen berücksichtigt werden. (hv)