Cloud-StrategieBundeskanzleramt verwirft Deutsche Verwaltungscloud

[27.06.2024] Mit einem ungewöhnlichen Schritt brüskiert das Kanzleramt alle Initiativen rund um die Deutsche Verwaltungscloud und drängt die Bundesländer zu einem Vertragsabschluss mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud.
Ministerien und Ämter des Freistaats Bayern können künftig Anwendungen aus der  Kubernetes-Cloud nutzen.

Begräbt das Bundeskanzleramt die Deutsche Verwaltungscloud?

(Bildquelle: 123RF.com)

In einem offenen Brief hat sich die Open Source Business Alliance (OSB) an die Mitglieder des IT-Planungsrates gewendet und fordert sie auf, keine überhasteten Verträge mit der Delos-Cloud zu beschließen. Der IT-Planungsrat, in dem die Digitalisierungsverantwortlichen der Bundesländer und des Bundes vertreten sind, trifft sich am heutigen Donnerstag (27. Juni 2024) zu einer Sondersitzung. Hintergrund der Resolution ist der überraschende Plan des Bundeskanzleramtes, auf die „souveräne Cloud für den öffentlichen Dienst“ von Delos, einem Zusammenschluss von Microsoft und SAP, zu setzen. Die OSB-Alliance spricht in einer Pressemitteilung von einem vom Kanzleramt ausgehenden „massiven Druck auf die Länder, damit diese unverzüglich Cloud-Verträge mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud, abschließen“. 

Deutsche Verwaltungscloud befindet sich im Aufbau

Das Vorgehen des Bundeskanzleramtes ist ungewöhnlich und widerspricht tatsächlich allen bisherigen Vereinbarungen und Aktivitäten, die im Kontext der Deutschen Verwaltungscloud (DVC) getroffen wurden und in den vergangenen Jahren geschehen sind. Zum einen sieht der Koalitionsvertrag der Bundesregierung eine Cloud der öffentlichen Verwaltung vor, die auf „einer Multi-Cloud-Strategie und offenen Schnittstellen sowie strengen Sicherheits- und Transparenzvorgaben“ basiert. Zum anderen hat der IT-Planungsrat bereits die FITKO und govdigital mit der Umsetzung der DVC beauftragt, die sich längst im Aufbau befindet. Die Multi-Cloud-Strategie sieht wohl eine Teilnahme großer IT-Unternehmen, so genannter Hyperscaler, vor, zu denen auch Delos zählt, hat sich aber zu keinem Zeitpunkt für nur einen Player ausgesprochen.

Die OSB-Alliance beklagt nun, dass durch die Initiative des Bundeskanzleramtes „offenbar schnell Fakten geschaffen werden sollen, nach denen es dann kein Zurück mehr gibt“, und führt datenschutzrechtliche, vergaberechtliche, sicherheitstechnische und strategische Bedenken an, weshalb der Regierungsvorstoß „im krassen Gegensatz zu dem steht, wofür die Bundesregierung angetreten ist“. Es hat den Anschein, als solle die komplette digitale Souveränität, um die sich die DVC bemüht, über Bord geworfen werden.

Datenschutzrechtliche Bedenken

Seit vielen Jahren ist bekannt, dass das cloudbasierte Microsoft Office 365 auch persönliche Daten außerhalb der territorialen Grenzen der EU in Richtung USA abfließen lässt. Das US-amerikanische Recht wiederum sieht im Patriot Act vor, dass US-amerikanische Unternehmen wie eben Microsoft zur Herausgabe von persönlichen Nutzerdaten gezwungen werden können. Das wiederum widerspricht der europäischen Datenschutz-Grundverordnung (DSGVO). Weder das „EU-US Data Privacy Framework“ noch die Gründung von Tochterunternehmen auf europäischem oder deutschem Gebiet können die datenschutzrechtlichen Bedenken grundsätzlich zerstreuen. 

Die eingesetzte Software und die Schnittstellen seien weder offen noch unabhängig zu überprüfen, wendet die OSB-Alliance ein. Unlängst erst hatte die Datenschutzkonferenz der Länder festgestellt, dass Microsoft bislang keinen Beweis über die Datenschutzkonformität seiner Produkte erbringen konnte. Ob Wartungs- oder Telemetriedaten in Richtung USA abfließen, sei ungewiss und geschehe jedenfalls ohne Wissen der Verwaltung. „Der IT-Planungsrat verschließt vor den ungelösten Problemen die Augen und versucht sich die Delos-Cloud souveräner zu reden, als sie ist“, kritisiert die OSB-Alliance.

Schwere Sicherheitsvorfälle bei Microsoft

Darüber hinaus werden immer wieder schwere Sicherheitsvorfälle bei Microsoft bekannt, dessen intransparenter Umgang mit solchen Pannen von Sicherheitsexperten kritisiert wird. Erst im April 2024 ist es zu einer schweren Sicherheitspanne auf dem Azure-Server gekommen, wobei „Mitarbeitende des Bing-Teams sensiblen Code, Anmeldedaten und weitere interne Daten des Konzerns über einen öffentlich zugänglichen Azure-Server freigaben, der nicht durch Kennwörter geschützt war“, heißt es in einer Mitteilung von Deutschland sicher im Netz (DsiN). Im Sommer 2023 ereignete sich ein besonders aufsehenerregender Vorfall, als ein Master-Key für Azure entwendet wurde. Sogar die amerikanische Bundesbehörde für IT-Sicherheit CISA sprach damals von einem vielfachen Versagen bei der Cyber-Sicherheit und einer „Kaskade vermeidbarer Fehler“.

Zudem macht die OSB-Alliance auf vergaberechtliche Probleme aufmerksam. Es gäbe keine rechtskonforme Grundlage für den überhasteten Vertragsabschluss mit Delos durch die Bundesländer. Bestehende Rahmenverträge sähen dies nicht vor. Falls es tatsächlich zu einem entsprechenden Beschluss des IT-Planungsrates kommt, würde ein nachhaltiger strategischer Fehler begangen, weil so eine noch größere Abhängigkeit von der Microsoft-IT entsteht. „Jetzt soll über die unzähligen rechtlichen und sicherheitstechnischen Probleme schnell hinweggesehen werden, damit die Verträge abgeschlossen werden können – die US-Amerikaner sind ja unsere Verbündeten, was soll da schon passieren?“, fragt die OSB-Alliance vor dem Hintergrund der anstehenden US-Wahl.

Bärendienst für die europäischen IT-Industrie

Der europäischen IT-Wirtschaft wird damit jedenfalls ein Bärendienst erwiesen. Längst stehen souveräne Alternativen bereit wie die Private Cloud, die das ITZBund mit dem deutschen IT-Anbieter Ionos derzeit aufbaut (wir berichteten). Auch Unternehmen wie Schwarz IT, Secunet und die Deutsche Telekom entwickeln hochsichere und wettbewerbsfähige Lösungen. Zu Recht fragt die OSB-Alliance: „Warum werden diese souveränen Open-Source-Lösungen in dem Moment, wo sie anfangen, Schwungkraft zu entwickeln und erfolgreich zu werden, auf das Abstellgleis geschoben, damit eine so problembehaftete Microsoft-Lösung wie die Delos-Cloud zum Zuge kommen kann?“

Dem Vernehmen nach herrscht unter den Bundesländern eine große Uneinigkeit. Einige könnten sich auf der heutigen Sondersitzung des IT-Planungsrates für den Vertragsabschluss mit Delos aussprechen, andere, wie etwa Schleswig-Holstein, wollen mit einem eigenen Alternativvorschlag auftreten. Wie es aber überhaupt zu der jetzigen Situation kommen konnte, wer bei wem so erfolgreich antichambriert hat, sodass nicht nur der Koalitionsvertrag, sondern auch alle Ambitionen hinsichtlich Open Source, digitaler Souveränität und Resilienz schlagartig nichts mehr wert sind, das bleibt die große Frage.

Helmut Merschmann




Weitere Meldungen und Beiträge aus dem Bereich: IT-Infrastruktur Politik
Konferenzbühne mit dunklem Hintergrund, darauf ein Speaker im Anzug mit Mikro in der Hand.

SEMIC-Konferenz: Kooperation für ein interoperables Europa

[12.07.2024] Auf der diesjährigen SEMIC-Konferenz, die unter dem Motto „Interoperable Europe: From Vision to Reality“ in Brüssel stattfand, stellte Staatssekretär Markus Richter seine Vision eines interoperablen Europas vor. Dieses fußt auf einer engen Zusammenarbeit der EU-Mitgliedstaaten im Digitalisierungsbereich. mehr...

Gruppe von jungen Schulkindern sitzt vor einem Laptop, dahinter eine Lehrerin.

Bundesrat: Mehr Druck beim DigitalPakt 2.0

[11.07.2024] Mit dem DigitalPakt Schule hat der Bund Länder und Kommunen bei Investitionen in die digitale Bildungsinfrastruktur unterstützt – bis Mai dieses Jahres. Nun verhandeln Bund und Länder über die Anschlussfinanzierung. Im Bundesrat sprachen sich die Länder für eine verlässliche Fortführung bis 2030 aus. mehr...

Cover des PD-Strategiepapiers "Der Weg zur öffentlichen hand von morgen"

PD: Reformagenda für den Public Sector

[09.07.2024] In einem Strategiepapier entwirft das Beratungsunternehmen PD ein Zielbild für den Public Sector von morgen. Um den Public Sector zukunftsfähig zu machen, reichen demnach Einzelmaßnahmen nicht aus. Daher will PD vier große Reformbereiche mit einem umfassenden Ansatz adressieren. mehr...

Porträtfoto von Dr. Fabian Mehring.
interview

Digitales Bayern: Der Sound der Zukunft

[05.07.2024] Bayern segelt auf Innovationskurs, sagt Fabian Mehring. Kommune21 sprach mit dem Digitalminister des Freistaats über die Reorganisation seines Ressorts, seine Pläne für einen innovativen Staat und die Rolle der Kommunen dabei. mehr...

Cover des eGovernment Benchmark Report 2024

eGovernment Benchmark 2024: Nutzerzentrierung ist der Schlüssel

[05.07.2024] Laut dem jüngsten eGovernment-Benchmark-Report der Europäischen Kommission haben die europäischen Staaten bei der Bereitstellung digitaler Behördendienste stetige Fortschritte gemacht. Raum für Optimierungen gibt es insbesondere bei grenzüberschreitenden Diensten und bei Dienstleistungen, die von regionalen und kommunalen Behörden erbracht werden. mehr...

Porträtfoto Dörte Schall

Rheinland-Pfalz: Neue Digitalministerin ernannt

[03.07.2024] Neue Ministerin für Arbeit, Soziales, Transformation und Digitalisierung in Rheinland-Pfalz wird Dörte Schall. Der bisherige CIO/CDO der Landesregierung, Fedor Ruhose, soll Chef der Staatskanzlei werden. mehr...

Thüringer Landes-CIO Hartmut Schubert im dunklen Anzug am Rednerpult, im Hintergrund eine blaue Wand.

Thüringen: Zehn Millionen Euro für kommunale Digitalisierung

[02.07.2024] Das Land Thüringen will die kommunale Digitalisierung mit zehn Millionen Euro fördern. Das geht aus der neuen Thüringer E-Government-Richtlinie hervor, die jetzt offiziell veröffentlicht wurde. Gefördert werden unter anderem digitale Fachverfahren und Schnittstellen, IT-Sicherheits-Maßnahmen und die interne Prozessoptimierung. mehr...

Cover des Jahresberichts 2023 des Sächsischen NKR.

Bürokratieabbau: Jahresbericht des Sächsischen Normenkontrollrats

[01.07.2024] Mit der Erfüllungsaufwandsdarstellung neuer Regelungen soll der Sächsische Normenkontrollrat zu mehr Transparenz beitragen und Erkenntnisse zum Bürokratieabbau in Sachsen wie auch im bundesweiten Vergleich liefern. Nun liegt der Jahresbericht für 2023 vor. mehr...

Gruppenfoto: Teilnehmende der IT-Planungsrats-Klausurtagung auf der Außentreppe eines Gebäudes.

IT-Planungsrat: Weichenstellung für modernen Föderalismus

[20.06.2024] Als zentrales Steuerungsgremium für die Digitalisierung der Verwaltung gestaltet der IT-Planungsrat den organisatorischen, rechtlichen und finanziellen Rahmen der Verwaltungsdigitalisierung. In seiner letzten Sitzung traf das Gremium weitreichende Beschlüsse, die bei der Umsetzung zu mehr Tempo und Effizienz führen sollen. mehr...

In blaues Licht getauchte Bühne mit rund 20 leger gekleideten Personen, die Urkunden präsentieren.

Schleswig-Holstein: Innovative Open-Source-Lösungen für die Verwaltung

[20.06.2024] Die Landesregierung Schleswig-Holstein will digitale quelloffene Lösungen für Arbeits- und Verwaltungsprozesse fördern. Nun wurden auf dem Waterkant Festival Kiel fünf Open-Source-Projektideen ausgezeichnet, die noch in diesem Jahr in die Umsetzung starten sollen. mehr...

Weiße Puzzleteile auf weißem Hintergrund.

Registermodernisierung: Was bedeutet der Verzicht auf etablierte Standards?

[19.06.2024] Der Bund hat entschieden, bei der Registermodernisierungskomponente NOOTS nicht auf den etablierten Protokollstandard OSCI zu setzen – stattdessen soll etwas völlig neues entwickelt werden. Der Databund sieht darin eine Fehlentscheidung, die hohe Millionenbeträge verschlingt und die Verwaltungsmodernisierung um Jahre zurückwirft. mehr...

Symbolbild: ein unsortierter Haufen weißer Paragrafenzeichen, dazwischen ein hellblaues.

Rheinland-Pfalz: IT-Staatsvertrag wird ratifiziert

[18.06.2024] Um die Verwaltungsdigitalisierung besser unterstützen zu können, soll der Zweite IT-Änderungsstaatsvertrag die IT-Zusammenarbeit zwischen Bund und Ländern weiter stärken. Insbesondere die Rolle der FITKO als zentrale Umsetzungseinheit soll weiterentwickelt und gestärkt werden. Nun hat Rheinland-Pfalz den Weg zur Ratifizierung frei gemacht. mehr...

Das Bild zeigt Thomas Popp, CIO des Freistaats Sachsen.

Sachsen: NIS2-Richtlinie umgesetzt

[17.06.2024] Der Sächsische Landtag hat ein neues Gesetz verabschiedet, das die Anforderungen der europäischen Cyber-Sicherheitsrichtlinie NIS2 umsetzt. Behörden müssen nun erweiterte Maßnahmen zur Informationssicherheit einhalten und einen umfassenden Schutz gewährleisten. mehr...

Das Bild zeigt Kristina Sinemus, Ministerin für Digitalisierung und Innovation in Hessen.

OZG 2.0: Hessen begrüßt Einigung

[17.06.2024] Die hessische Digitalministerin Kristina Sinemus begrüßt die Zustimmung des Bundesrats zur Novelle des Onlinezugangsgesetzes. Insbesondere die Weiterentwicklung des Bürgerkontos zur DeutschlandID stößt in Hessen auf Zustimmung. mehr...