Souveräne Cloud: Regierungsdefinition des Begriffs
Digitale Souveränität und Nutzung von Open Source bei Clouds der Bundesverwaltung und der Status der Deutschen Verwaltungs-Cloud-Strategie
Ein sogenannter Multi-Cloud-Ansatz, bei dem Kunden aus einem Portfolio mehrerer Cloud-Anbieter verschiedene Dienstleistungen in Anspruch nehmen, kann Vendor-Lock-In-Effekte verringern und so einen höheren Grad an digitaler Souveränität erreichen
Ihre Definition des Begriffs "souveräne Cloud" legt die Deutsche Bundesregierung in ihrer Antwort (20/15138) auf eine Kleine Anfrage der Gruppe Die Linke (20/15036) dar. "Digitale Souveränität" beschreibt danach "die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können". In diesem Sinne werden als sogenannte souveräne Clouds laut Bundesregierung "alle Clouds verstanden, die es dem Bund erlauben. selbstständig, selbstbestimmt und sicher tätig zu sein". Wie die Bundesregierung ferner ausführt, müssen dabei "gemäß Beschluss IT-Planungsrat zur Digitalen Souveränität" die strategischen Ziele Wechselfähigkeit, Gestaltungsfähigkeit und Einfluss auf IT-Anbieter beachtet werden.
Des Weiteren enthält die Antwort unter anderem die Regierungs-Definitionen der Begriffe "Private Cloud", "On-Premises Cloud", "Föderale Cloud (DVC)", "Third-Party-Cloud", Public-Cloud", "Hybrid-Cloud" und "Multi-Cloud".
Vorbemerkung der Fragesteller
Die Digitalisierung der Bundesverwaltung geht zunehmend einher mit Cloud-basierten Diensten, weil sich häufig Ressourcen effizienter und flexibler nutzen lassen, von Serverkapazitäten bis zur gemeinsamen Nutzung von Open Source Software (OSS). Die Auslagerung von Daten und Arbeitsprozessen auf Clouds steigert jedoch (außer beim Eigenbetrieb) die Abhängigkeit von einzelnen Dienstleistenden, was eine Reihe von Risiken erhöhen kann, z. B. hinsichtlich der Cybersicherheit, Datenhoheit, Funktionssicherheit und Datenschutz und in vielen Konstellationen auch mit Blick auf die digitale Souveränität.
So haben aktuell alle in der Diskussion stehenden Hyperscaler ihren Hauptsitz im EU-Ausland und unterliegen daher spezifischen hoheitlichen Interessen und Rechtsrahmen der jeweiligen Herkunftsländer, die im Konflikt zu den Bedürfnissen der Datenverarbeitung staatlicher Stellen in Deutschland stehen können. Bereits die ersten Wochen der Präsidentschaft von Donald Trump zeigen, dass große Tech-Konzerne mindestens nach Druckausübung bereit sind, die Interessen von Donald Trump offensiv zu unterstützen und dass die Trump-Administration erhöhten politischen und wirtschaftlichen Druck auf internationale Partnerländer ausüben könnte, der mit Drohungen aus sachfremden Bereichen unterstützt wird – z. B. neue Zölle bei Durchsetzung des Digital Markets Acts oder die von J. D. Vance angedrohte Absage militärischer Unterstützung, sollte die EU das Unternehmen X wegen Verstößen gegen den Digital Services Act (DSA) sanktionieren.
Zu starke Abhängigkeiten können daher nach Ansicht der Fragestellenden ein potenziell hohes Sicherheitsrisiko für das Funktionieren der deutschen Bundesverwaltung sein. Deshalb braucht es auch für die Bundesverwaltung die Möglichkeit eines souveränen Cloud Computings. Eine souveräne Cloud wird jedoch unterschiedlich definiert, auch hinsichtlich der Rolle von Open Source Software.
Ein sogenannter Multi-Cloud-Ansatz, bei dem Kunden aus einem Portfolio mehrerer Cloud-Anbieter verschiedene Dienstleistungen in Anspruch nehmen, kann Vendor-Lock-In-Effekte verringern und so einen höheren Grad an digitaler Souveränität erreichen. Mit OSS sind nach Ansicht der Fragestellenden darüber hinaus unabhängige Überprüfungen des Quellcodes und damit mehr Transparenz und mehr Sicherheit und außerdem eine kollaborative Nutzung und Weiterentwicklung möglich. Außerdem entfallen Lizenzkosten auf die Software.
Im November 2020 beschloss der IT-Planungsrat ein Konzeptpapier der Deutschen Verwaltungscloud(DVC)-Strategie (DVS; Beschluss 2020/54). Die darin enthaltenen Empfehlungen für OSS und deren Priorisierung sowohl für die Verwaltungscloud-Architektur als auch für angebotene Cloud-Dienste wurden unter anderem im Oktober 2022 und November 2023 bekräftigt (IT-Planungsrat, Beschlüsse 2022/47 und 2023/50), wobei eine Open-Source-Only-Vorgabe bisher nicht existiert. Eine Voraussetzung für die praktische Umsetzung bilden vor allem die vom Informationstechnikzentrum Bund (ITZBund) betriebene Bundescloud, die in eigenen Rechenzentren läuft und so ein großes Maß an digitaler Souveränität bietet, aber auch andere Cloud-Anbieter in Europa und Deutschland. Gleichzeitig haben US-amerikanische Hyperscaler ein Interesse daran, im Zuge der Migration der Bundesverwaltung in die Cloud in deren Betrieb einzusteigen. Dazu gibt es von Google mit T-Systems ein gemeinsames Angebot auf Basis der Google Public Cloud. Microsoft ist direkt aber auch mit der Delos-Cloud am Markt, die über die SAP-Tochter Delos betrieben wird, Oracle bietet sein Angebot direkt für die Bundesverwaltung an.
Auch Amazon kündigte umfassende Cloud-Angebote für die Bundesverwaltung an. Die Hyperscaler werben dabei mit besonders großem Funktionsumfang und hoher Performance. Für die DVS werden regelmäßig aktualisierte Rahmenwerke veröffentlicht und vom IT-Planungsrat beschlossen, zuletzt Version 2.5.4 vom 11. September 2023 (IT-Planungsrat, Beschluss 2023/50). Ein Kernbestandteil ist neben definierten DVC-Standards das im Januar 2024 gestartete DVC-Umsetzungsprojekt mitsamt Aufbau einer Koordinierungsstelle und eines Cloud-Service-Portals, über das Cloud-Anwendungen unterschiedlicher Cloud-Anbieter durch Bund, Länder und Kommunen bezogen werden können (Multi-Cloud-Strategie).
Neben Bund und einigen Ländern sind daran die Förderale IT-Kooperation (FITKO) und die Genossenschaft govdigital beteiligt. Tatsächlich werden für wesentliche Komponenten der DVC jedoch Drittanbieter beauftragt, beispielsweise hat BTC im Juli 2024 den Zuschlag als "Cloud Broker" erhalten, der den Zugang zu einem Cloud-Portfolio unterschiedlicher Anbieter für das Cloud-Service-Portal ermöglichen soll.
Nach Ansicht der Fragesteller wurden im Widerspruch zu dieser Umsetzungsstrategie und der Priorisierung von OSS im Koalitionsvertrag der (ehemaligen) Koalition der Fraktionen von SPD, BÜNDNIS 90/DIE GRÜNEN und FDP einerseits von der Bundesregierung mit Oracle umfangreiche Rahmenverträge über insgesamt fast 4,8 Mrd. Euro und einer Laufzeit bis 2030 abgeschlossen – vermutlich mit einem erheblichen Anteil für Cloud-Services (Bundestagsdrucksache 20/9641) und andererseits setzten sich Vertreter der
Bundesregierung für einen umfassenden Einsatz der Delos-Cloud ein. Es gab über 40 hochrangige Lobbytreffen, bei denen es explizit um die Delos-Cloud ging und sogar Bundeskanzler Olaf Scholz setzte sich für die Delos-Cloud auf der Ministerpräsidentenkonferenz am 20. Juni 2024 ein (mdb.anke.domscheitberg.de/2024/09/microsoft_lobby/). Die Bundesagentur für Arbeit hat zudem gemeinsam mit der gesetzlichen Rentenversicherung und der deutschen Unfallversicherung ein Cloud-Broker-Portal ausgeschrieben und im Dezember 2024 Computacenter den Zuschlag dafür erteilt, was ebenfalls im Widerspruch zum geplanten Cloud-Service-Portal von govdigital steht, das laut DVS als "zentraler Baustein des Gesamtvorhabens DVC" entwickelt wird (IT-Planungsrat, Beschluss 2023/50).
Eigentlich muss in der Bundesverwaltung stets der Mustervertrag Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) Cloud sowie die entsprechenden AGBs bei allen Cloud-Ausschreibungen, die in den Anwendungsbereich eines Vertragsmusters der EVB-IT fallen, zwingend zur Anwendung kommen (vgl. Antwort zu Frage 17 auf Bundestagsdrucksache 20/12864). Tatsächlich ist dies nach Ansicht der Fragestellenden aber nicht der Fall, wie aus der Antwort zu Frage 57 auf Bundestagsdrucksache 20/14188 hervorgeht.
Aus Sicht der Fragesteller erscheint es daher fraglich, ob die bisherige Multi-Cloud-Strategie ganzheitlich geplant und eingehalten wurde, ob sie den Anspruch der digitalen Souveränität erfüllen kann und ob eine Priorisierung von OSS tatsächlich stattfindet. (Deutsche Bundesregierung: ra)
eingetragen: 03.05.25