Mindestanforderungen an die Nutzung von Cloud-Angeboten durch die öffentliche Hand

| |

Bund, Länder und Gemeinden stehen vor massiven und drängenden Aufgaben im Bereich der Digitalisierung. Zu ihrer Lösung werden erheblich effizientere Betriebs- und Bereitstellungsmodelle für Informationstechnologie benötigt. Cloud-Computing ermöglicht den dazu notwendigen Paradigmenwechsel, der derzeit weltweit von Verwaltungen sowie in der Wirtschaft vollzogen wird. Denn die Nutzung von Cloud-Angeboten erlaubt es, Infrastruktur, Plattformen, Software und andere Teile digitaler Infrastruktur zuverlässig „aus der Steckdose“ zu beziehen und verbrauchsabhängig zu bezahlen, ohne sich beispielsweise um Fragen der Skalierung kümmern zu müssen. Die öffentliche Hand ist deswegen grundsätzlich gut beraten, Cloud-Angebote zu nutzen, wo immer es sinnvoll möglich ist. Allerdings bestehen dabei für die öffentliche Hand in besonderem Maße Anforderungen an den Schutz von Daten sowie an die nachhaltige Sicherstellung von Betriebs- und Gestaltungsfähigkeit digitaler Infrastrukturen.

Schutz von Daten, Diensten und Infrastruktur

Der Staat muss persönliche Daten von Bürgerinnen und Bürgern ebenso wie eigene vertrauliche Informationen wirkungsvoll vor unerlaubtem Zugriff schützen. Dazu muss er jederzeit die Kontrolle darüber bewahren, wer, wann und unter welchen Umständen auf welche Daten zugreifen darf.

Zusätzlich müssen wirtschaftliche Abhängigkeiten und die Gefahr daraus resultierender politischer Zwänge vermieden werden, damit der Staat auch in Krisen- oder Katastrophenfällen resilient ist und die kontinuierliche Verfügbarkeit elementarer staatlicher Funktionen sicherstellen kann. Dazu muss die Einsatzfähigkeit wichtiger digitaler Infrastrukturen und Dienste unabhängig von den Interessen nicht oder nur schwer beeinflussbarer Staaten oder Unternehmen gewährleistet, funktional kontrolliert und an neue Bedürfnisse angepasst werden können. Diese beiden Fähigkeiten zur Kontrolle von Datenflüssen sowie zur Nutzung und Gestaltung von Informationstechnologie bilden gemeinsam die digitale Souveränität einer Organisation, einer Einzelperson oder von ganzen Staaten.

Digitale Souveränität schaffen und stärken

Schon heute bestehen auch ohne den Einsatz von Cloud-Computing zu bestimmten Anbietern wie etwa zu Microsoft bei Funktionen der Arbeitsplatzproduktivität kritische Abhängigkeiten, durch die erhebliche Schmerzpunkte im Bereich digitaler Souveränität entstanden sind. Diese Schmerzpunkte wurden schon 2019 im Abschlussbericht der im Auftrag des Bundesministeriums des Innern, für Bau und Heimat beauftragten PwC-Studie „Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern“ ausführlich dargestellt.

Über diese bereits bei klassischer IT vorhandenen Abhängigkeiten hinaus besteht beim Cloud-Computing die Gefahr zusätzlicher und deutlich weitreichender Abhängigkeiten, etwa weil Cloud-Betreiber die Regeln zum Zugriff auf Daten oder für die Erweiterung der eigenen Angebote durch Dritte eigenständig festlegen und später immer wieder ändern können. Weiter sinkt bei der Verwendung fremder Infrastrukturen die Möglichkeit zur Kontrolle von Datenflüssen. Die Nutzung von Cloud-Computing macht es deswegen zwingend erforderlich, diese Gefahren einzuschätzen und bewusst damit umzugehen, um später nicht unerwartet mit wirtschaftlich, technologisch oder gar politisch teuer zu bezahlenden Abhängigkeiten konfrontiert zu sein. Nicht zuletzt deswegen wurde eine deutliche Stärkung der digitalen Souveränität Deutschlands zum wichtigen Bestandteil des 2021 beschlossenen Koalitionsvertrages der aktuellen Bundesregierung.

In diesem Spannungsfeld aus gewaltigen Potentialen von Cloud-Computing auf der einen und der Gefahr erheblicher Abhängigkeiten mit möglicherweise dramatischen Konsequenzen auf der anderen Seite müssen Staat und Verwaltung nun einen Weg finden, der die Nutzung der Potentiale von Cloud-Computing so gut wie möglich erlaubt und gleichzeitig den Erfordernissen digitaler Souveränität, also an Kontrollfähigkeit, Resilienz, Handlungs- und Gestaltungsfähigkeit, Rechnung trägt. Ein wichtiges Instrument dazu ist die Definition von Mindestanforderungen, also von mindestens einzuhaltenden Eigenschaften von Cloud-Diensten1, welche die Kontroll- und Gestaltungsfähigkeit des Staates jederzeit sicherstellen.
Der Umgang mit und die Einhaltung von solchen Mindestanforderungen führen auch zu einer Verbesserung der digitalen Kompetenz und Leistungsfähigkeit sowie der digitalen Souveränität der Gesellschaft als Ganzes. Gleichzeitig führt die nachweisbare Einhaltung solcher Mindestanforderungen, etwa durch eine Zertifizierung durch vertrauenswürdige Instanzen wie dem BSI, zu einem gesteigerten Vertrauen bei Bürgerinnen, Bürgern und Behörden.

Das vorliegende Papier stellt – ohne Anspruch auf Vollständigkeit – mindestens notwendige und schon heute durch deutsche und europäische Cloud- und Software-Anbieter erfüllbare Bedingungen für den Einsatz von Cloud-Computing durch die öffentliche Hand zusammen und soll damit als Unterstützung von Entscheiderinnen und Entscheidern der öffentlichen Hand bei der Auswahl von Cloud-Angeboten dienen. Die vorgestellten Mindestanforderungen nehmen zentrale Teilaspekte des Software-Stacks in den Blick. Verwaltungseinheiten der öffentlichen Hand können auch weitere, hier nicht benannte Teile des Hard- und Software-Stacks mit Blick auf Kontrollfähigkeit, Resilienz, Handlungs- und Gestaltungsfähigkeit überprüfen. Das vorliegende Papier soll auch als Diskussionsgrundlage dienen und einen konstruktiven Austausch über die hier diskutierten Fragen ermöglichen.

Sicherheitsanforderungen

Sicherheit spielt beim Cloud-Computing eine zentrale Rolle und erfordert unter anderem die kompromisslose Einhaltung von Mindeststandards. Die Definition und Auslegung der entsprechenden Standards darf dabei nicht dem Anbieter allein überlassen werden, auch wenn der Funktionsumfang einer Lösung und die vermeintliche, deklarierte Expertise des Anbieters eventuell dazu einladen würden. Ebenso darf die Einhaltung von Sicherheitsanforderungen nicht als ein rein vertragliches Thema behandelt werden. Sollten Teile einer Cloud-Infrastruktur außerhalb der Europäischen Union (EU) betrieben oder von einem Unternehmen außerhalb der EU bereitgestellt werden, sind diese Anforderungen noch wichtiger, sonst ist die Cloud-Nutzung für die deutsche Verwaltung, ohne dass die Einhaltung von Mindeststandards sichergestellt ist, nicht denkbar. Dazu muss unter anderem jederzeit eine unabhängige, unangekündigte Prüfung der Einhaltung von Sicherheitskriterien stattfinden können. Weiter sind mindestens die folgenden Anforderungen durch Cloud-Anbieter umzusetzen:

  • Cloud-Lösungen bestehen aus komplexen Kombinationen verschiedener Software-Komponenten, die mit so genannten „Software Bill of Materials“ (SBOM) vollständig dokumentiert und für Anwenderorganisationen vollständig transparent gemacht werden müssen. Es muss jederzeit möglich sein, anhand der SBOM festzustellen, welche Software-Komponenten in welchen Versionen der Betreiber zur Zeit nutzt und ob gegebenenfalls Updates zur Korrektur bekannter Sicherheitsprobleme vorliegen und diese bereits in das Cloud-Angebot integriert wurden.
  • Typischerweise arbeiten Entwickler und DevOps-Personal bei Betrieb und Weiterentwicklung von Cloud-Diensten international auf komplexe Weise zusammen. Auf Seiten des Anbieters kann dabei gegebenenfalls nicht ausgeschlossen werden, dass Mitarbeiterinnen und Mitarbeiter aufgrund der Einwirkung fremder Gerichtsbarkeiten (z.B. auf Basis des US-amerikanischen CLOUD Act) oder durch unzulässige Beeinflussung auf den Source-Code der Cloud einwirken und Schadsoftware oder Hintertüren einbauen. Es muss daher etwa durch die Möglichkeit von Quellcodeanalysen ausgeschlossen werden können, dass Schadsoftware ohne Kenntnis der Kundinnen und Kunden eingespielt werden kann, bzw. vorhanden ist.
  • Ohne den jederzeit möglichen Einblick in den Source-Code der Softwarekomponenten, mit denen ein Cloud-Dienst realisiert ist, kann der betreffende Dienst nicht als sicher angesehen werden. Die dazu notwendige Möglichkeit der unabhängigen Prüfung darf nicht einseitig durch den Anbieter oder durch Dritte in seinem Auftrag wahrgenommen werden, sondern muss für Kundinnen und Kunden jederzeit selbst durchführbar sein. Es ist deswegen für alle Bestandteile der Cloud jeweils eine Lösung zu bevorzugen, die Open Source ist.
  • Der eingesetzte Source-Code darf nicht von dem zur Prüfung zugänglich gemachten Source-Code abweichen. Die Gleichheit der eingesetzten Versionsstände ist beispielsweise mittels eines Checksummen-Vergleichs zu attestieren.
  • Kritische Teile der Cloud-Lösung wie das Nutzermanagement, die Zertifikatsverwaltung und -ausstellung sowie das Schlüsselmanagement sind mittels nachzuweisender architektureller Sicherheitsmaßnahmen, wie sie z.B. als Confidential Computing beschrieben werden, zusätzlich abzusichern.

Resilienz und Widerstandsfähigkeit

Ein zentraler Aspekt von Resilienz ist die operative Souveränität, also die Fähigkeit, IT-Infrastruktur unabhängig von Dritten betreiben, sicher zu halten und an aktuelle Anforderungen anpassen zu können.

  • Sofern für den Betrieb Mitarbeiterinnen und Mitarbeiter eingesetzt werden, die nicht ausschließlich lokaler Gesetzgebung verpflichtet sind, besteht die Gefahr, dass diese auf Grund von Gesetzen wie dem US-amerikanischen CLOUD Act verpflichtet sein können, auf Anweisung der jeweiligen Regierungen oder Rechtssysteme Dritten Zugriff auf Daten zu ermöglichen oder den Betrieb der gesamten Infrastruktur zu gefährden. Es dürfen deswegen nur Mitarbeiterinnen und Mitarbeiter eingesetzt werden, die ausschließlich lokaler Gesetzgebung unterstehen.
  • In der zum Betrieb von Cloud-Services verwendeten Software können Funktionen enthalten sein, die nach Aktivierung den Zugriff auf Daten ermöglichen oder den Betrieb der Infrastruktur gefährden (so genannte „Kill Switches“). Der Nachweis solcher Funktionen ist ohne Zugriff auf den Quellcode praktisch unmöglich, dieser ist deswegen zwingend zu fordern.
  • Es muss sichergestellt werden, dass Software-Aktualisierungen, insbesondere solche zur Korrektur sicherheitsrelevanter Probleme, auch dann zur Verfügung gestellt werden können, wenn dies nicht mehr dem Willen des ursprünglichen Herstellers oder des Staates entspricht, in dessen Rechtssystem sich der betreffende Hersteller befindet.
  • Schließlich müssen Anpassungen an neuere Anforderungen oder Schnittstellen auch unabhängig vom ursprünglichen Hersteller möglich sein. Dies wird am besten durch die Nutzung von Open-Source-Code sichergestellt.

Rechtliche Anforderung

Bei der Beschaffung von Cloud-Services durch die öffentliche Verwaltung müssen insbesondere die folgenden rechtlichen und vertraglichen Eigenschaften der jeweiligen Angebote sichergestellt werden:

  • Sämtliche verarbeiteten Daten (wie Nutzerdaten, Log-Dateien, Abrechnungsdaten, etc.) müssen Anwenderinnen und Anwendern durch den Cloud-Anbieter jederzeit in Echtzeit und / oder im Rahmen eines zertifizierten „Takeout“-Verfahrens zur Verfügung gestellt werden können. Zur Nachvollziehbarkeit, Zertifizierung und jeder anderen Bewertung im Bereich Datenschutz und Datensicherheit ist ebenfalls erforderlich, dass die Software und deren spezifischer Code quelloffen und auditierbar sind.
  • Der Cloud-Anbieter muss sicherstellen, dass die gesamte Datenhaltung und die Technik ihrer Verarbeitung portabel und mit quelloffenen Software-Stacks auf anderen IaaS-Plattformen einsetzbar ist. Dies kann z.B. durch quelloffene Standards bei Dateiformaten und quelloffener Darstellung der algorithmischen Verarbeitung umgesetzt werden. Es muss technisch und organisatorisch möglich sein, die Datenverarbeitung jederzeit zwischen Datenräumen beliebiger Anbieter transportabel zu machen. Datenräume in diesem Sinne basieren auf Open Source Software und der Möglichkeit, auf beliebigen IaaS Plattformen lauffähig zu sein.
  • Die von einem Cloud-Anbieter bzw. einem Subunternehmer implementierten technischen und organisatorischen Maßnahmen (sog. TOMs) müssen – neben den klassischen Schutzzielen an die allgemeine Daten- und Informationssicherheit (unter anderem Vertraulichkeit, Verfügbarkeit und Integrität von Daten, wie sie z.B. auch in Art. 32 DSGVO benannt sind) – auch Maßnahmen in Bezug auf Quelloffenheit und Transportabilität enthalten. Verträge mit einem Cloud-Anbieter sollten nur dann abgeschlossen werden dürfen, wenn Quelloffenheit und Transportabilität der Daten innerhalb gesicherter Datenräume gegeben ist und der Cloud-Anbieter diesbezüglich vertragliche Zusagen macht.
  • Alle Daten „at rest“ oder „in flight“ müssen jederzeit nachvollziehbar (mit quelloffenen Algorithmen) und zertifizierbar bzgl. der Kriterien der Sicherheit und Portabilität verschlüsselt werden. Gleichzeitig ist sicherzustellen, dass über algorithmische Vorkehrungen gesicherte Wege bestehen, Daten in anonymisierter Form oder anonym konvertiert für Auswertungen etc. zu verwenden. Denn zu keinem Zeitpunkt sollten Daten, die besonderen Compliance-Anforderungen unterliegen (wie z.B. der DSGVO) in unsicheren Kontexten bearbeitet werden. Die technische Realisierung und Umsetzung der eingesetzten Verschlüsselungs- und Pseudonymisierungstechnologien ist nachvollziehbar und auditierbar nachzuweisen.
  • Anbieter sind zu verpflichten, die Rechte von Bürgerinnen und Bürgern bezüglich des Umgangs mit personenbezogenen Daten zu achten und nachvollziehbare Wege für die Erfüllung von Betroffenenrechten (wie z.B. Einsicht, Löschung, Recht auf Berichtigung, Recht auf Löschung) nachvollziehbar bzgl. Verarbeitung, Umsetzung und Speicherort umzusetzen. Dazu müssen offene Standards und quelloffene Software verpflichtend gemacht werden.

Autoren:

  • Marius Feldmann, Cloud & Heat
  • Peter Ganten, Vorstandsvorsitzender der OSB Alliance
  • Bernhard Hecker, Sprecher der WG Public Affairs der OSB Alliance
  • Stefan Herold, Schwarz IT
  • Stephan Ilaender, PlusServer
  • Frank Karlitschek, Mitglied des Vorstands der OSB Alliance
  • Kai Martius, secunet
  • Rainer Sträter, IONOS