Cloud-StrategieBundeskanzleramt verwirft Deutsche Verwaltungscloud

[27.06.2024] Mit einem ungewöhnlichen Schritt brüskiert das Kanzleramt alle Initiativen rund um die Deutsche Verwaltungscloud und drängt die Bundesländer zu einem Vertragsabschluss mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud.
Ministerien und Ämter des Freistaats Bayern können künftig Anwendungen aus der  Kubernetes-Cloud nutzen.

Begräbt das Bundeskanzleramt die Deutsche Verwaltungscloud?

(Bildquelle: 123RF.com)

In einem offenen Brief hat sich die Open Source Business Alliance (OSB) an die Mitglieder des IT-Planungsrates gewendet und fordert sie auf, keine überhasteten Verträge mit der Delos-Cloud zu beschließen. Der IT-Planungsrat, in dem die Digitalisierungsverantwortlichen der Bundesländer und des Bundes vertreten sind, trifft sich am heutigen Donnerstag (27. Juni 2024) zu einer Sondersitzung. Hintergrund der Resolution ist der überraschende Plan des Bundeskanzleramtes, auf die „souveräne Cloud für den öffentlichen Dienst“ von Delos, einem Zusammenschluss von Microsoft und SAP, zu setzen. Die OSB-Alliance spricht in einer Pressemitteilung von einem vom Kanzleramt ausgehenden „massiven Druck auf die Länder, damit diese unverzüglich Cloud-Verträge mit Delos, einer in Deutschland betriebenen Variante der Microsoft Azure Cloud, abschließen“. 

Deutsche Verwaltungscloud befindet sich im Aufbau

Das Vorgehen des Bundeskanzleramtes ist ungewöhnlich und widerspricht tatsächlich allen bisherigen Vereinbarungen und Aktivitäten, die im Kontext der Deutschen Verwaltungscloud (DVC) getroffen wurden und in den vergangenen Jahren geschehen sind. Zum einen sieht der Koalitionsvertrag der Bundesregierung eine Cloud der öffentlichen Verwaltung vor, die auf „einer Multi-Cloud-Strategie und offenen Schnittstellen sowie strengen Sicherheits- und Transparenzvorgaben“ basiert. Zum anderen hat der IT-Planungsrat bereits die FITKO und govdigital mit der Umsetzung der DVC beauftragt, die sich längst im Aufbau befindet. Die Multi-Cloud-Strategie sieht wohl eine Teilnahme großer IT-Unternehmen, so genannter Hyperscaler, vor, zu denen auch Delos zählt, hat sich aber zu keinem Zeitpunkt für nur einen Player ausgesprochen.

Die OSB-Alliance beklagt nun, dass durch die Initiative des Bundeskanzleramtes „offenbar schnell Fakten geschaffen werden sollen, nach denen es dann kein Zurück mehr gibt“, und führt datenschutzrechtliche, vergaberechtliche, sicherheitstechnische und strategische Bedenken an, weshalb der Regierungsvorstoß „im krassen Gegensatz zu dem steht, wofür die Bundesregierung angetreten ist“. Es hat den Anschein, als solle die komplette digitale Souveränität, um die sich die DVC bemüht, über Bord geworfen werden.

Datenschutzrechtliche Bedenken

Seit vielen Jahren ist bekannt, dass das cloudbasierte Microsoft Office 365 auch persönliche Daten außerhalb der territorialen Grenzen der EU in Richtung USA abfließen lässt. Das US-amerikanische Recht wiederum sieht im Patriot Act vor, dass US-amerikanische Unternehmen wie eben Microsoft zur Herausgabe von persönlichen Nutzerdaten gezwungen werden können. Das wiederum widerspricht der europäischen Datenschutz-Grundverordnung (DSGVO). Weder das „EU-US Data Privacy Framework“ noch die Gründung von Tochterunternehmen auf europäischem oder deutschem Gebiet können die datenschutzrechtlichen Bedenken grundsätzlich zerstreuen. 

Die eingesetzte Software und die Schnittstellen seien weder offen noch unabhängig zu überprüfen, wendet die OSB-Alliance ein. Unlängst erst hatte die Datenschutzkonferenz der Länder festgestellt, dass Microsoft bislang keinen Beweis über die Datenschutzkonformität seiner Produkte erbringen konnte. Ob Wartungs- oder Telemetriedaten in Richtung USA abfließen, sei ungewiss und geschehe jedenfalls ohne Wissen der Verwaltung. „Der IT-Planungsrat verschließt vor den ungelösten Problemen die Augen und versucht sich die Delos-Cloud souveräner zu reden, als sie ist“, kritisiert die OSB-Alliance.

Schwere Sicherheitsvorfälle bei Microsoft

Darüber hinaus werden immer wieder schwere Sicherheitsvorfälle bei Microsoft bekannt, dessen intransparenter Umgang mit solchen Pannen von Sicherheitsexperten kritisiert wird. Erst im April 2024 ist es zu einer schweren Sicherheitspanne auf dem Azure-Server gekommen, wobei „Mitarbeitende des Bing-Teams sensiblen Code, Anmeldedaten und weitere interne Daten des Konzerns über einen öffentlich zugänglichen Azure-Server freigaben, der nicht durch Kennwörter geschützt war“, heißt es in einer Mitteilung von Deutschland sicher im Netz (DsiN). Im Sommer 2023 ereignete sich ein besonders aufsehenerregender Vorfall, als ein Master-Key für Azure entwendet wurde. Sogar die amerikanische Bundesbehörde für IT-Sicherheit CISA sprach damals von einem vielfachen Versagen bei der Cyber-Sicherheit und einer „Kaskade vermeidbarer Fehler“.

Zudem macht die OSB-Alliance auf vergaberechtliche Probleme aufmerksam. Es gäbe keine rechtskonforme Grundlage für den überhasteten Vertragsabschluss mit Delos durch die Bundesländer. Bestehende Rahmenverträge sähen dies nicht vor. Falls es tatsächlich zu einem entsprechenden Beschluss des IT-Planungsrates kommt, würde ein nachhaltiger strategischer Fehler begangen, weil so eine noch größere Abhängigkeit von der Microsoft-IT entsteht. „Jetzt soll über die unzähligen rechtlichen und sicherheitstechnischen Probleme schnell hinweggesehen werden, damit die Verträge abgeschlossen werden können – die US-Amerikaner sind ja unsere Verbündeten, was soll da schon passieren?“, fragt die OSB-Alliance vor dem Hintergrund der anstehenden US-Wahl.

Bärendienst für die europäischen IT-Industrie

Der europäischen IT-Wirtschaft wird damit jedenfalls ein Bärendienst erwiesen. Längst stehen souveräne Alternativen bereit wie die Private Cloud, die das ITZBund mit dem deutschen IT-Anbieter Ionos derzeit aufbaut (wir berichteten). Auch Unternehmen wie Schwarz IT, Secunet und die Deutsche Telekom entwickeln hochsichere und wettbewerbsfähige Lösungen. Zu Recht fragt die OSB-Alliance: „Warum werden diese souveränen Open-Source-Lösungen in dem Moment, wo sie anfangen, Schwungkraft zu entwickeln und erfolgreich zu werden, auf das Abstellgleis geschoben, damit eine so problembehaftete Microsoft-Lösung wie die Delos-Cloud zum Zuge kommen kann?“

Dem Vernehmen nach herrscht unter den Bundesländern eine große Uneinigkeit. Einige könnten sich auf der heutigen Sondersitzung des IT-Planungsrates für den Vertragsabschluss mit Delos aussprechen, andere, wie etwa Schleswig-Holstein, wollen mit einem eigenen Alternativvorschlag auftreten. Wie es aber überhaupt zu der jetzigen Situation kommen konnte, wer bei wem so erfolgreich antichambriert hat, sodass nicht nur der Koalitionsvertrag, sondern auch alle Ambitionen hinsichtlich Open Source, digitaler Souveränität und Resilienz schlagartig nichts mehr wert sind, das bleibt die große Frage.

Helmut Merschmann




Weitere Meldungen und Beiträge aus dem Bereich: IT-Infrastruktur Politik
Cover „Aktionskonzept Digitalisierung der Berliner Verwaltung für die Wirtschaft 2024-2026”

Berlin: Verwaltungsdigitalisierung für die Wirtschaft

[03.12.2024] Berlin will die Digitalisierung der Verwaltung gezielt auf die Bedürfnisse der Wirtschaft ausrichten. Mit dem Aktionskonzept 2024-2026 sollen digitale Behördendienste ausgebaut, Unternehmen durch DIWI entlastet und die Stadt als Innovationsstandort gestärkt werden. mehr...

Gruppe von Personen in formeller Kleidung, auf einer Treppe zum Gruppenfoto aufgestellt.

NKR: Erstes Bund-Länder-Treffen zum Digitalcheck

[02.12.2024] Der Digitalcheck stößt zunehmend auch auf Interesse in den Bundesländern. Beim ersten Bund-Länder-Treffen in Berlin diskutierten die Teilnehmenden über rechtliche Verankerung, Anwendungsbereiche und weitere Pläne zur Umsetzung. mehr...

Bundesdigitalminister Dr. Volker Wissing und der israelische Botschafter Ron Prosor.

BMDV: Deutschland und Israel starten Digitaldialog

[29.11.2024] Deutschland und Israel verstärken die digitale Zusammenarbeit: Bundesdigitalminister Wissing und Botschafter Prosor haben eine Absichtserklärung unterzeichnet, um den Austausch in Bereichen wie KI, Quantencomputing und Start-up-Kooperationen zu intensivieren. mehr...

Cover der Open-Source-Strategie des Landes Schleswig-Holstein

Schleswig-Holstein: Open-Source-Strategie veröffentlicht

[26.11.2024] Schleswig-Holstein hat seine Open-Innovation- und Open-Source-Strategie vorgestellt. Geplant sind unter anderem konkrete Schritte hin zum digital souveränen IT-Arbeitsplatz der Landesverwaltung und die Beteiligung an der Deutschen Verwaltungscloud. mehr...

Das Bild zeigt Bayerns Digitalminister Fabian Mehring.

Bayern: Neue Digitalisierungsinitiativen

[26.11.2024] Der bayerische Digitalminister Fabian Mehring stellte in München neue Initiativen zur Digitalisierung der Verwaltung vor. Außerdem forderte er ein eigenes Digitalministerium auf Bundesebene, um zentrale Vorhaben gezielt umzusetzen. mehr...

Berlin: Eckpunkte für Digitalcheck

[21.11.2024] Die Eckpunkte für die Einführung eines Digitalchecks hat der Berliner Senat beschlossen. Der Geschäftsbereich der Chief Digital Officer soll jetzt ein Konzept inklusive eines vorgeschalteten Pilotvorhabens erarbeiten. mehr...

Diagramm zur OZG-Rahmenarchitektur

IT-Planungsrat: Der OZG-Rahmenarchitektur einen Schritt näher

[20.11.2024] In seiner Herbstsitzung hat der IT-Planungsrat das in einem breit angelegten und von einem Konsultationsprozess begleitete Vorhaben iterativ erarbeitete Zielbild der OZG-Rahmenarchitektur beschlossen. mehr...

Gröere Gruppe von Personen in formaler Kleidung auf einer Treppe, alle blicken Richtung Kamera.

IT-Planungsrat: Erster Teil der föderalen Digitalstrategie beschlossen

[18.11.2024] Der IT-Planungsrat hat auf seiner 45. Sitzung unter Leitung von Bundes-CIO Markus Richter die Dachstrategie der Föderalen Digitalstrategie für die Verwaltung verabschiedet. Zudem wurde ein Vertragsentwurf für das Nationale Once-Only-Technical-System (NOOTS) beschlossen. mehr...

Bitkom: Forderung nach Umsetzung von Digitalprojekten

[15.11.2024] Der Digitalverband Bitkom hat jetzt die Bundesregierung aufgefordert, vor den Neuwahlen im Februar möglichst viele digitalpolitische Projekte abzuschließen. Bisher sind lediglich 32 Prozent der geplanten Vorhaben realisiert. mehr...

Baden-Württemberg: Änderung der Gemeindeordnung verabschiedet

[08.11.2024] Der Landtag von Baden-Württemberg hat jetzt eine Änderung der Gemeindeordnung verabschiedet, die Kommunen in administrativen Abläufen entlasten und die finanzielle Berichterstattung vereinfachen soll. mehr...

Weißes Paragrafenzeichen (dreidimensional) lehnt an einer blau-grauen Wand

Cybersicherheit: Stellungnahmen zum NIS2-Umsetzungsgesetz

[07.11.2024] Der Bundestagsausschuss für Inneres und Heimat hat sich mit dem Gesetzentwurf der Bundesregierung zur Umsetzung der NIS2-Richtlinie befasst. Vielen Experten geht der Entwurf nicht weit genug. mehr...

Mann (Jürgen Barke) in einem sehr förmlichen dunkelblauen Anzug mit blauem Schlips und weißem Einstecktuch steht vor einer hellen Wand.

Saarland: Mehr Input zur Digitalpolitik

[05.11.2024] Das Saarland tritt dem GovTech Campus Deutschland bei, um die Digitalisierung der Verwaltung voranzutreiben. Durch die Mitgliedschaft will das Land von dem Innovationsnetzwerk profitieren und aktiv an Digitalpolitik und gemeinsamen Projekten mitwirken. mehr...

Personengruppe in förmlicher Kleidung steht auf einer Wiese vor einer historischen Sandsteinfassade.

Normenkontrollräte: Ambitioniert zum Bürokratieabbau

[05.11.2024] Im Rahmen eines Treffens in Stuttgart haben Normenkontrollräte und Clearingstellen eine Erklärung verabschiedet, die eine Reduzierung der Bürokratiekosten um 25 Prozent innerhalb von vier Jahren anstrebt. mehr...

Montage: ein aufgeklappter Laptop, er Monitor enthält Karteischubladen, eine davon ist ausgezogen und ragt aus dem Bildschirm heraus.

Databund: Datenschutzrisiken im MDWG

[05.11.2024] Der Databund hat zu zwei Gesetzesentwürfen des Bundes Stellung genommen, welche die kommunale Verwaltung betreffen. Im MDWG-Entwurf sieht er Verbesserungen für die Migrationsverwaltung, mahnt jedoch Datenschutzrisiken an. Beim eIDAS-Gesetz begrüßt der Verband die Stärkung der Bundesnetzagentur. mehr...

Symbolbild: Blauer Hintergrund, davor Binärcode-Zahlenreihen und ein Ring aus gelben Sternen (EU-Flagge)

Niedersachsen: NIS2-Richtlinie umgesetzt

[04.11.2024] Niedersachsen setzt als eines der ersten Bundesländer die NIS2-Richtlinie der EU zur Cybersicherheit in der Verwaltung um. Die neue Verwaltungsvorschrift, die Benennung einer zuständigen Behörde für Cybersicherheit und die Einrichtung eines Notfallteams sollen die IT-Sicherheit in besonders kritischen Bereichen stärken. mehr...