Ich hatte hier im Blog ja häufiger über das Thema Cloud, Datensicherheit und Abhängigkeiten berichtet. Deutschland und Europa macht sich von einigen wenigen Big Playern abhängig. Welche Mindestvoraussetzungen braucht eine Behörden-Cloud, welche die digitale Souveränität sichert? Im Umfeld der OSB Alliance hat sich eine Expertengruppe gebildet, um die mindesten notwendigen und schon heute durch deutsche und europäische Cloud- und Software-Anbieter erfüllbaren Bedingungen zusammenzustellen, die den rechtssicheren Einsatz von Cloud-Computing durch die öffentliche Hand gewährleisten.
Anzeige
Hintergrund sind eigentlich mehrere Ereignisse. So gab es das Urteil der Vergabekammer Baden-Württemberg von Mitte Juli 2022, siehe Artikel Vergabekammer Baden-Württemberg schließt Anbieter eines US-Cloud-Diensts von Angebot aus und das Revisionsurteil, siehe US-Cloud-Verbotsbeschluss der Vergabekammer Baden-Württemberg verworfen. Weiterhin gab es eine Verlautbarung der deutschen Datenschutzkonferenz zu Microsoft 365 (siehe Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht Datenschutzkonform und die weiteren Artikel in der Linkliste am Artikelende).
Die auf Basis einer IFG-Anfrage erstmals veröffentlichten "Roten Linien" des BSI (Rote Linien des BSI für Cloud-Angebote für die öff. Verwaltung) liefern Anhaltspunkte, aber noch keine konkreten Antworten. Im Umfeld der OSB Alliance hat sich eine Expertengruppe gebildet, um die mindestens notwendigen und schon heute durch deutsche und europäische Cloud- und Software-Anbieter erfüllbaren Bedingungen zusammenzustellen, die den rechtssicheren Einsatz von Cloud-Computing durch die öffentliche Hand gewährleisten.
Denn Bund, Länder und Gemeinden stehen vor massiven und drängenden Aufgaben im Bereich der Digitalisierung. Zu ihrer Lösung werden erheblich effizientere Betriebs- und Bereitstellungsmodelle für Informationstechnologie benötigt. Cloud-Computing ermöglicht den dazu notwendigen Paradigmenwechsel, der derzeit weltweit von Verwaltungen sowie in der Wirtschaft vollzogen wird. Denn die Nutzung von Cloud-Angeboten erlaubt es, Infrastruktur, Plattformen, Software und andere Teile digitaler Infrastruktur zuverlässig "aus der Steckdose" zu beziehen und verbrauchsabhängig zu bezahlen, ohne sich beispielsweise um Fragen der Skalierung kümmern zu müssen.
Die öffentliche Hand ist deswegen grundsätzlich gut beraten, Cloud-Angebote zu nutzen, wo immer es sinnvoll möglich ist. Allerdings bestehen dabei für die öffentliche Hand in besonderem Maße Anforderungen an den Schutz von Daten sowie an die nachhaltige Sicherstellung von Betriebs- und Gestaltungsfähigkeit digitaler Infrastrukturen.
Das Papier der OSB Alliance nennt und erklärt die rechtssicheren und digitale Souveränität schützenden Kriterien und soll Entscheiderinnen und Entscheidern der öffentlichen Hand bei der Auswahl von Cloud-Angeboten unterstützen. Die OSB hatte mich bereits vor längerer Zeit diesbezüglich informiert – ich stelle nachfolgend die Positionen aus dem Papier hier im Blog ein.
Schutz von Daten, Diensten und Infrastruktur
Der Staat muss persönliche Daten von Bürgerinnen und Bürgern ebenso wie eigene vertrauliche Informationen wirkungsvoll vor unerlaubtem Zugriff schützen. Dazu muss er jederzeit die Kontrolle darüber bewahren, wer, wann und unter welchen Umständen auf welche Daten zugreifen darf.
Zusätzlich müssen wirtschaftliche Abhängigkeiten und die Gefahr daraus resultierender politischer Zwänge vermieden werden, damit der Staat auch in Krisen- oder Katastrophenfällen resilient ist und die kontinuierliche Verfügbarkeit elementarer staatlicher Funktionen sicherstellen kann. Dazu muss die Einsatzfähigkeit wichtiger digitaler Infrastrukturen und Dienste unabhängig von den Interessen nicht oder nur schwer beeinflussbarer Staaten oder Unternehmen gewährleistet, funktional kontrolliert und an neue Bedürfnisse angepasst werden können. Diese beiden Fähigkeiten zur Kontrolle von Datenflüssen sowie zur Nutzung und Gestaltung von Informationstechnologie bilden gemeinsam die digitale Souveränität einer Organisation, einer Einzelperson oder von ganzen Staaten.
Digitale Souveränität schaffen und stärken
Schon heute bestehen auch ohne den Einsatz von Cloud-Computing zu bestimmten Anbietern wie etwa zu Microsoft bei Funktionen der Arbeitsplatzproduktivität kritische Abhängigkeiten, durch die erhebliche Schmerzpunkte im Bereich digitaler Souveränität entstanden sind. Diese Schmerzpunkte wurden schon 2019 im Abschlussbericht der im Auftrag des Bundesministeriums des Innern, für Bau und Heimat beauftragten PwC-Studie „Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern" ausführlich dargestellt.
Über diese bereits bei klassischer IT vorhandenen Abhängigkeiten hinaus besteht beim Cloud-Computing die Gefahr zusätzlicher und deutlich weitreichender Abhängigkeiten, etwa weil Cloud-Betreiber die Regeln zum Zugriff auf Daten oder für die Erweiterung der eigenen Angebote durch Dritte eigenständig festlegen und später immer wieder ändern können. Weiter sinkt bei der Verwendung fremder Infrastrukturen die Möglichkeit zur Kontrolle von Datenflüssen. Die Nutzung von Cloud-Computing macht es deswegen zwingend erforderlich, diese Gefahren einzuschätzen und bewusst damit umzugehen, um später nicht unerwartet mit wirtschaftlich, technologisch oder gar politisch teuer zu bezahlenden Abhängigkeiten konfrontiert zu sein. Nicht zuletzt deswegen wurde eine deutliche Stärkung der digitalen Souveränität Deutschlands zum wichtigen Bestandteil des 2021 beschlossenen Koalitionsvertrages der aktuellen Bundesregierung.
In diesem Spannungsfeld aus gewaltigen Potentialen von Cloud-Computing auf der einen und der Gefahr erheblicher Abhängigkeiten mit möglicherweise dramatischen Konsequenzen auf der anderen Seite müssen Staat und Verwaltung nun einen Weg finden, der die Nutzung der Potentiale von Cloud-Computing so gut wie möglich erlaubt und gleichzeitig den Erfordernissen digitaler Souveränität, also an Kontrollfähigkeit, Resilienz, Handlungs- und Gestaltungsfähigkeit, Rechnung trägt. Ein wichtiges Instrument dazu ist die Definition von Mindestanforderungen, also von mindestens einzuhaltenden Eigenschaften von Cloud-Diensten1, welche die Kontroll- und Gestaltungsfähigkeit des Staates jederzeit sicherstellen.
Der Umgang mit und die Einhaltung von solchen Mindestanforderungen führen auch zu einer Verbesserung der digitalen Kompetenz und Leistungsfähigkeit sowie der digitalen Souveränität der Gesellschaft als Ganzes. Gleichzeitig führt die nachweisbare Einhaltung solcher Mindestanforderungen, etwa durch eine Zertifizierung durch vertrauenswürdige Instanzen wie dem BSI, zu einem gesteigerten Vertrauen bei Bürgerinnen, Bürgern und Behörden.Das vorliegende Papier stellt – ohne Anspruch auf Vollständigkeit – mindestens notwendige und schon heute durch deutsche und europäische Cloud- und Software-Anbieter erfüllbare Bedingungen für den Einsatz von Cloud-Computing durch die öffentliche Hand zusammen und soll damit als Unterstützung von Entscheiderinnen und Entscheidern der öffentlichen Hand bei der Auswahl von Cloud-Angeboten dienen. Die vorgestellten Mindestanforderungen nehmen zentrale Teilaspekte des Software-Stacks in den Blick. Verwaltungseinheiten der öffentlichen Hand können auch weitere, hier nicht benannte Teile des Hard- und Software-Stacks mit Blick auf Kontrollfähigkeit, Resilienz, Handlungs- und Gestaltungsfähigkeit überprüfen. Das vorliegende Papier soll auch als Diskussionsgrundlage dienen und einen konstruktiven Austausch über die hier diskutierten Fragen ermöglichen.
Sicherheitsanforderungen
Sicherheit spielt beim Cloud-Computing eine zentrale Rolle und erfordert unter anderem die kompromisslose Einhaltung von Mindeststandards. Die Definition und Auslegung der entsprechenden Standards darf dabei nicht dem Anbieter allein überlassen werden, auch wenn der Funktionsumfang einer Lösung und die vermeintliche, deklarierte Expertise des Anbieters eventuell dazu einladen würden. Ebenso darf die Einhaltung von Sicherheitsanforderungen nicht als ein rein vertragliches Thema behandelt werden. Sollten Teile einer Cloud-Infrastruktur außerhalb der Europäischen Union (EU) betrieben oder von einem Unternehmen außerhalb der EU bereitgestellt werden, sind diese Anforderungen noch wichtiger, sonst ist die Cloud-Nutzung für die deutsche Verwaltung, ohne dass die Einhaltung von Mindeststandards sichergestellt ist, nicht denkbar. Dazu muss unter anderem jederzeit eine unabhängige, unangekündigte Prüfung der Einhaltung von Sicherheitskriterien stattfinden können. Weiter sind mindestens die folgenden Anforderungen durch Cloud-Anbieter umzusetzen:
- Cloud-Lösungen bestehen aus komplexen Kombinationen verschiedener Software-Komponenten, die mit so genannten „Software Bill of Materials" (SBOM) vollständig dokumentiert und für Anwenderorganisationen vollständig transparent gemacht werden müssen. Es muss jederzeit möglich sein, anhand der SBOM festzustellen, welche Software-Komponenten in welchen Versionen der Betreiber zur Zeit nutzt und ob gegebenenfalls Updates zur Korrektur bekannter Sicherheitsprobleme vorliegen und diese bereits in das Cloud-Angebot integriert wurden.
- Typischerweise arbeiten Entwickler und DevOps-Personal bei Betrieb und Weiterentwicklung von Cloud-Diensten international auf komplexe Weise zusammen. Auf Seiten des Anbieters kann dabei gegebenenfalls nicht ausgeschlossen werden, dass Mitarbeiterinnen und Mitarbeiter aufgrund der Einwirkung fremder Gerichtsbarkeiten (z.B. auf Basis des US-amerikanischen CLOUD Act) oder durch unzulässige Beeinflussung auf den Source-Code der Cloud einwirken und Schadsoftware oder Hintertüren einbauen. Es muss daher etwa durch die Möglichkeit von Quellcodeanalysen ausgeschlossen werden können, dass Schadsoftware ohne Kenntnis der Kundinnen und Kunden eingespielt werden kann, bzw. vorhanden ist.
- Ohne den jederzeit möglichen Einblick in den Source-Code der Softwarekomponenten, mit denen ein Cloud-Dienst realisiert ist, kann der betreffende Dienst nicht als sicher angesehen werden. Die dazu notwendige Möglichkeit der unabhängigen Prüfung darf nicht einseitig durch den Anbieter oder durch Dritte in seinem Auftrag wahrgenommen werden, sondern muss für Kundinnen und Kunden jederzeit selbst durchführbar sein. Es ist deswegen für alle Bestandteile der Cloud jeweils eine Lösung zu bevorzugen, die Open Source ist.
- Der eingesetzte Source-Code darf nicht von dem zur Prüfung zugänglich gemachten Source-Code abweichen. Die Gleichheit der eingesetzten Versionsstände ist beispielsweise mittels eines Checksummen-Vergleichs zu attestieren.
- Kritische Teile der Cloud-Lösung wie das Nutzermanagement, die Zertifikatsverwaltung und -ausstellung sowie das Schlüsselmanagement sind mittels nachzuweisender architektureller Sicherheitsmaßnahmen, wie sie z.B. als Confidential Computing beschrieben werden, zusätzlich abzusichern.
Resilienz und Widerstandsfähigkeit
Ein zentraler Aspekt von Resilienz ist die operative Souveränität, also die Fähigkeit, IT-Infrastruktur unabhängig von Dritten betreiben, sicher zu halten und an aktuelle Anforderungen anpassen zu können.
- Sofern für den Betrieb Mitarbeiterinnen und Mitarbeiter eingesetzt werden, die nicht ausschließlich lokaler Gesetzgebung verpflichtet sind, besteht die Gefahr, dass diese auf Grund von Gesetzen wie dem US-amerikanischen CLOUD Act verpflichtet sein können, auf Anweisung der jeweiligen Regierungen oder Rechtssysteme Dritten Zugriff auf Daten zu ermöglichen oder den Betrieb der gesamten Infrastruktur zu gefährden. Es dürfen deswegen nur Mitarbeiterinnen und Mitarbeiter eingesetzt werden, die ausschließlich lokaler Gesetzgebung unterstehen.
- In der zum Betrieb von Cloud-Services verwendeten Software können Funktionen enthalten sein, die nach Aktivierung den Zugriff auf Daten ermöglichen oder den Betrieb der Infrastruktur gefährden (so genannte „Kill Switches"). Der Nachweis solcher Funktionen ist ohne Zugriff auf den Quellcode praktisch unmöglich, dieser ist deswegen zwingend zu fordern.
- Es muss sichergestellt werden, dass Software-Aktualisierungen, insbesondere solche zur Korrektur sicherheitsrelevanter Probleme, auch dann zur Verfügung gestellt werden können, wenn dies nicht mehr dem Willen des ursprünglichen Herstellers oder des Staates entspricht, in dessen Rechtssystem sich der betreffende Hersteller befindet.
- Schließlich müssen Anpassungen an neuere Anforderungen oder Schnittstellen auch unabhängig vom ursprünglichen Hersteller möglich sein. Dies wird am besten durch die Nutzung von Open-Source-Code sichergestellt.
Rechtliche Anforderung
Bei der Beschaffung von Cloud-Services durch die öffentliche Verwaltung müssen insbesondere die folgenden rechtlichen und vertraglichen Eigenschaften der jeweiligen Angebote sichergestellt werden:
- Sämtliche verarbeiteten Daten (wie Nutzerdaten, Log-Dateien, Abrechnungsdaten, etc.) müssen Anwenderinnen und Anwendern durch den Cloud-Anbieter jederzeit in Echtzeit und / oder im Rahmen eines zertifizierten „Takeout"-Verfahrens zur Verfügung gestellt werden können. Zur Nachvollziehbarkeit, Zertifizierung und jeder anderen Bewertung im Bereich Datenschutz und Datensicherheit ist ebenfalls erforderlich, dass die Software und deren spezifischer Code quelloffen und auditierbar sind.
- Der Cloud-Anbieter muss sicherstellen, dass die gesamte Datenhaltung und die Technik ihrer Verarbeitung portabel und mit quelloffenen Software-Stacks auf anderen IaaS-Plattformen einsetzbar ist. Dies kann z.B. durch quelloffene Standards bei Dateiformaten und quelloffener Darstellung der algorithmischen Verarbeitung umgesetzt werden. Es muss technisch und organisatorisch möglich sein, die Datenverarbeitung jederzeit zwischen Datenräumen beliebiger Anbieter transportabel zu machen. Datenräume in diesem Sinne basieren auf Open Source Software und der Möglichkeit, auf beliebigen IaaS Plattformen lauffähig zu sein.
- Die von einem Cloud-Anbieter bzw. einem Subunternehmer implementierten technischen und organisatorischen Maßnahmen (sog. TOMs) müssen – neben den klassischen Schutzzielen an die allgemeine Daten- und Informationssicherheit (unter anderem Vertraulichkeit, Verfügbarkeit und Integrität von Daten, wie sie z.B. auch in Art. 32 DSGVO benannt sind) – auch Maßnahmen in Bezug auf Quelloffenheit und Transportabilität enthalten. Verträge mit einem Cloud-Anbieter sollten nur dann abgeschlossen werden dürfen, wenn Quelloffenheit und Transportabilität der Daten innerhalb gesicherter Datenräume gegeben ist und der Cloud-Anbieter diesbezüglich vertragliche Zusagen macht.
- Alle Daten „at rest" oder „in flight" müssen jederzeit nachvollziehbar (mit quelloffenen Algorithmen) und zertifizierbar bzgl. der Kriterien der Sicherheit und Portabilität verschlüsselt werden. Gleichzeitig ist sicherzustellen, dass über algorithmische Vorkehrungen gesicherte Wege bestehen, Daten in anonymisierter Form oder anonym konvertiert für Auswertungen etc. zu verwenden. Denn zu keinem Zeitpunkt sollten Daten, die besonderen Compliance-Anforderungen unterliegen (wie z.B. der DSGVO) in unsicheren Kontexten bearbeitet werden. Die technische Realisierung und Umsetzung der eingesetzten Verschlüsselungs- und Pseudonymisierungstechnologien ist nachvollziehbar und auditierbar nachzuweisen.
- Anbieter sind zu verpflichten, die Rechte von Bürgerinnen und Bürgern bezüglich des Umgangs mit personenbezogenen Daten zu achten und nachvollziehbare Wege für die Erfüllung von Betroffenenrechten (wie z.B. Einsicht, Löschung, Recht auf Berichtigung, Recht auf Löschung) nachvollziehbar bzgl. Verarbeitung, Umsetzung und Speicherort umzusetzen. Dazu müssen offene Standards und quelloffene Software verpflichtend gemacht werden.
Autoren:
- Marius Feldmann, Cloud & Heat
- Peter Ganten, Vorstandsvorsitzender der OSB Alliance
- Bernhard Hecker, Sprecher der WG Public Affairs der OSB Alliance
- Stefan Herold, Schwarz IT
- Stephan Ilaender, PlusServer
- Frank Karlitschek, Mitglied des Vorstands der OSB Alliance
- Kai Martius, secunet
- Rainer Sträter, IONOS
Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht Datenschutzkonform
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Microsoft 365 und der Datenschutz, wie geht es weiter?
OSB-Alliance warnt: Die Microsoft Cloud gefährdet unsere digitale Souveränität
Microsoft rollt "EU Data Boundary" für die Europa-Cloud ab 2023 aus
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Vergabekammer Baden-Württemberg schließt Anbieter eines US-Cloud-Diensts von Angebot aus
US-Cloud-Verbotsbeschluss der Vergabekammer Baden-Württemberg verworfen
Deutsches Außenministerium setzt auf Microsoft 365
2015
Unglaublich….
Endlich kommt positive Bewegung in die Sache …
Schlussendlich werden Microsoft Produkte aus Datenschutz Sicht für alle besser … oder Alternativen werden mittelfristig deutlich gefördert …
WinWin für alle.
Die spinnen…
Es stellt sich für mich die Frage wieso die öffentliche Hand überhaupt "Cloudangebote" nutzen muss. Die "Cloud" ist doch im Prinzip auch nur eine Serverinfrastruktur die von Fremdfirmen betrieben wird.
Es kann doch nicht sein dass die öffentliche Hand die von Gebühren und Steuern finanziert wird es nicht auf die Kette bekommt ein eigenes Rechenzentrum zu betreiben. Es muss ja nicht jede Behörde ihr eigenes Süppchen kocht das könnte man vereinheitlichen um es kostengünstiger zu machen. In Zeiten von Virtualisierung kann es doch prima logisch getrennt auf gemeinsamer Infrastruktur betrieben werden. So ist auch sichergestellt dass eben niemand die Daten der Bürger hat außer staatlichen Stellen. So kann auch sichergestellt werden dass die Daten sicher sind bei Ausfällen einzelner Rechenzentren, es läuft auf anderen Rechnern fast nahtlos weiter.
Egal was für Regeln und Verträge gemacht werden, Fremdfirmen sind nicht zu 100 % kontrolliert werden ob sie das auch einhalten.
"Es kann doch nicht sein dass die öffentliche Hand die von Gebühren und Steuern finanziert wird es nicht auf die Kette bekommt ein eigenes Rechenzentrum zu betreiben. "
Glaubst Du, dass die USA das zulassen werden? Eine US freie Cloud wird es nicht geben.
> Eine US freie Cloud wird es nicht geben.
100% Zustimmung.
Auch irgendwelche "EU-Software" ohne Microsoft-, Apple- oder Google Abschnorchel- und mögliche remote Stilllegungs-Mechanismen wird es nicht geben.
Auch ein "EU-Internet" ohne Datenausleitungs-Blackboxen z.B. bei DE-CIX an die NSA usw. wird es nicht geben.
Die Naivität mancher "andergläubiger" Zeitgenossen ist gleichermassen bewundernswert wie auch erschreckend.
Und die Lösung? Alles dackelt in die gleiche Richtung, weil alternativlos und Berater xyz das so vorschlägt? Zumindest ist es mal ein Papier, wo man die Wirklichkeit dran spiegeln kann, um dann zu versuchen, die Entwicklung in eine bessere Richtung zu drücken.
Eigentlich sollte Weihnachten noch ein Positionspapier eines Ex-Generaldirektors der EU-Kommission hier im Blog veröffentlicht werden. Habe aber noch keine Freigabe – der Artikel kommt aber irgendwann. Zumindest wird mal hinterfragt, ob wir auf einem "guten Weg" mit der aktuellen Entwicklung sind. Die Blog-Beiträge der letzten Monate in Sachen MS 365 spiegeln doch den Zwiespalt. Ich denke, die Marktmacht Europas wird groß genug sein, um US-Hersteller in gewisse Richtungen zu bewegen. Aber Europa bräuchte einen Plan – inho …
Es gibt keine Lösung. Die Mausefalle ist zu.
Die "westliche Welt" hat sich über Jahrzehnte hinweg in die totale Abhängigkeit von US-Firmen begeben.
Jegliche Bestrebungen, diese Abhängigkeit wirklich und nachhaltig zu ändern, werden im Sande verlaufen oder von aussen torpediert werden.
Leider.
"Der öffentliche Sektor wäre gut beraten … Cloud Angebote zu nutzen." übersetzt sich zu "Der öffentliche Sektor wäre gut beraten sich die Infrastruktur von Privaten Anbietern bauen zu lassen, die eigenen Kompetenzen abzubauen und diese dann zurück zu mieten."
In was für einer Ökonomie leben wir da grad so? Wie war das nochmal mit dem Verkaufen desÖPNV, Wasserwerke, Strom, Krankenhäuser, etcpp.? Wo ist das nochmal gut gegangen und wurden die Versprechungen eingehalten? Wo musste der Staat die ausgesaugten Unternehmen nicht auch noch teuer zurückkaufen um die Basis Infrastruktur wieder zu sichern?
Die Idee gab es auch mal im Immobiliensektor für staatliche Gebäude. Das hübscht den Haushalt für ein paar Tage auf. Da der Staat aber auch die Gebäude nicht verzichten kann und keinen Einfluss mehr auf Intandhaltungskosten, Betrieb, Miete hat und die umgebende Wirtschaftsordnung Kapitalismus heißt … Was könnte dabei schon schief laufen?
Mal ganz ab davon. Große Rechenzentren, die staatliche Dienste bereitstellen, mögen ökonomisch im Normalbetrieb vielleicht sinnvoll sein. Ausfallsicherer sind diversifizierte Strukturen unterschiedliche Betriebsformen und Netzstrukturen.
Ich würde das immer von Fall zu Fall entscheiden. Wenn ich an eine Software für Steuern, für Rentenversicherung etc. denke, die über viele Stellen funktionieren und möglicherweise skaliert werden muss, könnte sich die Cloud aus technischer Sicht schon anbieten. Es setzt ja auch nicht jeder seinen Webserver selbst auf, sondern geht zu einem Hoster.
Aber im Moment sind wir (zumindest von mir gefühlt) doch nicht auf dem Ast, dass da wirklich bewertet und auch strategisch gedacht und agiert wird.
Stand jetzt kann kein MS Produkt dieses Mindeststandards erfüllen, vieles ist auch rein theoretisches Wunschdenken, Alleine die Verbindung zwischen Quelloffen und Killswitch ist lachhaft. Der Killswitch wird sicher nicht im Standardcode sein, sondern einfach bei Bedarf eingespielt, da nutzt einem die Prüfung des Codes vorher nichts, sofern man überhaupt das Know How hat den Code in Gänze zu verstehen der vor einem liegt.
Cloud ist und bleibt die Infrastruktur eines anderen, man sollte die Hersteller eher dazu verpflichten jedes Cloud Produkt auch On Premise anzubieten zu müssen um jederzeit die digitale Souveränität darüber zu behalten.
Auch das die Cloud 24/7 verfügbar sein muss wird im öffentlichen Sektor meist einfach hingenommen, das die Admins aber nur 8 Stunden Arbeiten und in der Praxis überhaupt nicht in der Lage sind 2/3 dieser Zeit das Konstrukt zu überwachen…..:geschenkt.
Als OCloud-Kunde finde ich es sehr wichtig, dass sich auch die öffentliche Hand mit den Mindestanforderungen für die Nutzung von Cloud-Angeboten auseinandersetzt. Denn Cloud-Computing bietet zahlreiche Vorteile wie Skalierbarkeit, Flexibilität und Kosteneffizienz, die auch für die öffentliche Hand von großem Nutzen sein können.
Gleichzeitig ist es jedoch auch wichtig, dass die Sicherheit und der Datenschutz gewährleistet sind. Daher sollten Mindestanforderungen für die Nutzung von Cloud-Angeboten definiert werden, um einen einheitlichen Standard zu schaffen und potenzielle Risiken zu minimieren.
Als Cloudhoster legt OCloud großen Wert auf die Sicherheit und den Datenschutz. Unsere Cloud-Lösungen erfüllen alle relevanten Standards und Bestimmungen, um eine sichere und vertrauenswürdige Nutzung zu gewährleisten. Wir empfehlen daher allen öffentlichen Einrichtungen, sich für einen zuverlässigen und sicheren Cloudhoster wie OCloud zu entscheiden, um die Mindestanforderungen für die Nutzung von Cloud-Angeboten zu erfüllen.