Cloud-StrategieBundeskanzleramt verwirft Deutsche Verwaltungscloud

In einem offenen Brief hat sich die Open Source Business Alliance (OSB) an die Mitglieder des IT-Planungsrates gewendet und fordert sie auf, keine überhasteten Verträge mit der Delos-Cloud zu beschließen. Der IT-Planungsrat, in dem die Digitalisierungsverantwortlichen der Bundesländer und des Bundes vertreten sind, trifft sich am heutigen Donnerstag (27. Juni 2024) zu einer Sondersitzung. Hintergrund der Resolution ist der überraschende Plan des Bundeskanzleramtes, auf die „souveräne Cloud für den öffentlichen Dienst“ von Delos, einem Zusammenschluss von Microsoft und SAP, zu setzen. Die OSB-Alliance spricht in einer Pressemitteilung von einem vom Kanzleramt ausgehenden „massiven Druck auf die Länder, damit diese unverzüglich Cloud-Verträge mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud, abschließen“. 

Deutsche Verwaltungscloud befindet sich im Aufbau

Das Vorgehen des Bundeskanzleramtes ist ungewöhnlich und widerspricht tatsächlich allen bisherigen Vereinbarungen und Aktivitäten, die im Kontext der Deutschen Verwaltungscloud (DVC) getroffen wurden und in den vergangenen Jahren geschehen sind. Zum einen sieht der Koalitionsvertrag der Bundesregierung eine Cloud der öffentlichen Verwaltung vor, die auf „einer Multi-Cloud-Strategie und offenen Schnittstellen sowie strengen Sicherheits- und Transparenzvorgaben“ basiert. Zum anderen hat der IT-Planungsrat bereits die FITKO und govdigital mit der Umsetzung der DVC beauftragt, die sich längst im Aufbau befindet. Die Multi-Cloud-Strategie sieht wohl eine Teilnahme großer IT-Unternehmen, so genannter Hyperscaler, vor, zu denen auch Delos zählt, hat sich aber zu keinem Zeitpunkt für nur einen Player ausgesprochen.

Die OSB-Alliance beklagt nun, dass durch die Initiative des Bundeskanzleramtes „offenbar schnell Fakten geschaffen werden sollen, nach denen es dann kein Zurück mehr gibt“, und führt datenschutzrechtliche, vergaberechtliche, sicherheitstechnische und strategische Bedenken an, weshalb der Regierungsvorstoß „im krassen Gegensatz zu dem steht, wofür die Bundesregierung angetreten ist“. Es hat den Anschein, als solle die komplette digitale Souveränität, um die sich die DVC bemüht, über Bord geworfen werden.

Datenschutzrechtliche Bedenken

Seit vielen Jahren ist bekannt, dass das cloudbasierte Microsoft Office 365 auch persönliche Daten außerhalb der territorialen Grenzen der EU in Richtung USA abfließen lässt. Das US-amerikanische Recht wiederum sieht im Patriot Act vor, dass US-amerikanische Unternehmen wie eben Microsoft zur Herausgabe von persönlichen Nutzerdaten gezwungen werden können. Das wiederum widerspricht der europäischen Datenschutz-Grundverordnung (DSGVO). Weder das „EU-US Data Privacy Framework“ noch die Gründung von Tochterunternehmen auf europäischem oder deutschem Gebiet können die datenschutzrechtlichen Bedenken grundsätzlich zerstreuen. 

Die eingesetzte Software und die Schnittstellen seien weder offen noch unabhängig zu überprüfen, wendet die OSB-Alliance ein. Unlängst erst hatte die Datenschutzkonferenz der Länder festgestellt, dass Microsoft bislang keinen Beweis über die Datenschutzkonformität seiner Produkte erbringen konnte. Ob Wartungs- oder Telemetriedaten in Richtung USA abfließen, sei ungewiss und geschehe jedenfalls ohne Wissen der Verwaltung. „Der IT-Planungsrat verschließt vor den ungelösten Problemen die Augen und versucht sich die Delos-Cloud souveräner zu reden, als sie ist“, kritisiert die OSB-Alliance.

Schwere Sicherheitsvorfälle bei Microsoft

Darüber hinaus werden immer wieder schwere Sicherheitsvorfälle bei Microsoft bekannt, dessen intransparenter Umgang mit solchen Pannen von Sicherheitsexperten kritisiert wird. Erst im April 2024 ist es zu einer schweren Sicherheitspanne auf dem Azure-Server gekommen, wobei „Mitarbeitende des Bing-Teams sensiblen Code, Anmeldedaten und weitere interne Daten des Konzerns über einen öffentlich zugänglichen Azure-Server freigaben, der nicht durch Kennwörter geschützt war“, heißt es in einer Mitteilung von Deutschland sicher im Netz (DsiN). Im Sommer 2023 ereignete sich ein besonders aufsehenerregender Vorfall, als ein Master-Key für Azure entwendet wurde. Sogar die amerikanische Bundesbehörde für IT-Sicherheit CISA sprach damals von einem vielfachen Versagen bei der Cyber-Sicherheit und einer „Kaskade vermeidbarer Fehler“.

Zudem macht die OSB-Alliance auf vergaberechtliche Probleme aufmerksam. Es gäbe keine rechtskonforme Grundlage für den überhasteten Vertragsabschluss mit Delos durch die Bundesländer. Bestehende Rahmenverträge sähen dies nicht vor. Falls es tatsächlich zu einem entsprechenden Beschluss des IT-Planungsrates kommt, würde ein nachhaltiger strategischer Fehler begangen, weil so eine noch größere Abhängigkeit von der Microsoft-IT entsteht. „Jetzt soll über die unzähligen rechtlichen und sicherheitstechnischen Probleme schnell hinweggesehen werden, damit die Verträge abgeschlossen werden können – die US-Amerikaner sind ja unsere Verbündeten, was soll da schon passieren?“, fragt die OSB-Alliance vor dem Hintergrund der anstehenden US-Wahl.

Bärendienst für die europäischen IT-Industrie

Der europäischen IT-Wirtschaft wird damit jedenfalls ein Bärendienst erwiesen. Längst stehen souveräne Alternativen bereit wie die Private Cloud, die das ITZBund mit dem deutschen IT-Anbieter Ionos derzeit aufbaut (wir berichteten). Auch Unternehmen wie Schwarz IT, Secunet und die Deutsche Telekom entwickeln hochsichere und wettbewerbsfähige Lösungen. Zu Recht fragt die OSB-Alliance: „Warum werden diese souveränen Open-Source-Lösungen in dem Moment, wo sie anfangen, Schwungkraft zu entwickeln und erfolgreich zu werden, auf das Abstellgleis geschoben, damit eine so problembehaftete Microsoft-Lösung wie die Delos-Cloud zum Zuge kommen kann?“

Dem Vernehmen nach herrscht unter den Bundesländern eine große Uneinigkeit. Einige könnten sich auf der heutigen Sondersitzung des IT-Planungsrates für den Vertragsabschluss mit Delos aussprechen, andere, wie etwa Schleswig-Holstein, wollen mit einem eigenen Alternativvorschlag auftreten. Wie es aber überhaupt zu der jetzigen Situation kommen konnte, wer bei wem so erfolgreich antichambriert hat, sodass nicht nur der Koalitionsvertrag, sondern auch alle Ambitionen hinsichtlich Open Source, digitaler Souveränität und Resilienz schlagartig nichts mehr wert sind, das bleibt die große Frage.