Im Privatleben und in der Geschäftswelt sind digitale Prozesse bereits Alltag und basieren überwiegend auf Anwendungen, die in der Cloud laufen. Behörden und Verwaltungen blieben bislang aus Sicherheitsgründen weitgehend ausgeklammert. Doch auch sie wünschen sich die Flexibilität und Effizienz, die neue Cloud-Dienste mitbringen. Damit können sie ihre IT agiler aufstellen und so dem großen Digitalisierungsdruck begegnen, der auf deutschen Behörden lastet: Prozesse sollen beschleunigt werden, zudem wünschen sich Bürger*innen und Unternehmen mehr digitale Angebote. Doch es bleibt die Herausforderung, dass Behörden bei der Cloudifizierung keine Kompromisse bei der Sicherheit eingehen können. Personen- oder Steuerdaten sind hochsensibel und müssen lückenlos geschützt werden. Erst recht gilt das für Staatsgeheimnisse, die als Verschlusssachen eingestuft werden. Zudem gibt es das Thema der digitalen Souveränität.
Der Wert der digitalen Souveränität wird klar, wenn man sich das Gegenteil vorstellt, nämlich digitale Abhängigkeit – etwa von bestimmten Anbietern, die einen Wechsel zu einem anderen Anbieter erschweren, oder auch von den international dominanten IT-Unternehmen. Problematisch kann das zum Beispiel dann werden, wenn Anbieter unter US-Gesetzgebung arbeiten, deren Einfluss auf die Datensicherheit mindestens unklar ist. Aus diesen und ähnlichen Gründen entsprachen herkömmliche Cloud-Lösungen, etwa die der Hyperscaler, oft nicht den Anforderungen von Behörden und sicherheitssensiblen Unternehmen. Souveräne Cloud-Angebote hingegen wollen genau dies ändern. Digitale Souveränität macht also durchaus einen zentralen Unterschied für Behörden und Verwaltungen aus.
Zunächst einmal muss als Grundvoraussetzung natürlich das Sicherheitslevel stimmen. Jede Cloud-Lösung, die für Behörden in Frage kommt, sollte mit hochsicherer Verschlüsselungstechnologie arbeiten. Sie sollte modular sein und verschiedene Betriebsmodelle umfassen und kombinieren – von „on premise“ bis „as a service“. Zum Beispiel können besonders schützenswerte Daten in der eigenen IT-Infrastruktur liegen, während andere Anwendungen komplett ausgelagert werden. Die Standardisierung von Ressourcen in sogenannten Containern und deren Orchestrierung in Kubernetes sorgen dann dafür, dass alle Teile der Cloud-Infrastruktur nahtlos ineinandergreifen. Für Behörden ist darüber hinaus wichtig, dass die Infrastruktur sowohl nach IT-Grundschutz und dem Cloud-Kriterienkatalog C5 des Bundesamts für Sicherheit in der Informationstechnik (BSI) zertifiziert als auch für Verschlusssachen zugelassen werden kann. Ein weiterer wichtiger Punkt ist die Verwendung von Open-Source-Bausteinen.
Dabei geht es vor allem um Transparenz und Nachprüfbarkeit. Eine proprietäre Software, die vom Anbieter geheim gehalten wird, ist für die Cloud-Kunden wie eine Black Box. Ob sie wirklich sicher ist oder nicht, kann niemand außer dem Anbieter beurteilen. Darauf kann sich keine Behörde in sicherheitssensiblen Bereichen einlassen. Open-Source-Software hingegen ist frei zugänglich und kann von jedem jederzeit überprüft werden. Aus diesem Grund beteiligen wir bei secunet uns übrigens schon lange an Open-Source-Technologie und leisten Beiträge zu deren Weiterentwicklung – auch jenseits der Cloud.
Wir werden den Kunden ein unabhängiges Cloud-Angebot aus einer Hand bieten, das zudem sehr breit aufgestellt ist, so dass es unterschiedlichste Kundenanforderungen hinsichtlich des Technologie-Stacks wie auch des Betriebsmodells bedienen kann. Zudem ist es darauf angelegt, alle Sicherheitsniveaus von DSGVO-konform bis hin zur hohen Geheimhaltungsstufe GEHEIM abzudecken. Das Portfolio wird eine Kombination aus deutschen Public- und Private-Cloud-Angeboten in den Bereichen Infrastructure as a Service (IaaS), Platform as a Service (PaaS) sowie Software as a Service (SaaS) umfassen. Die Basis der secunet Cloud ist bereits heute verfügbar: Unsere sicherheitsgehärtete Cloud-Plattform SecuStack haben wir im Jahr 2018 vorgestellt. Im Jahr 2022 haben wir den Cloud-native-Spezialisten SysEleven akquiriert, der besondere Expertise bei der Orchestrierung standardisierter Container mittels Kubernetes sowie eine eigene Infrastruktur mit Rechenzentren in Deutschland mitbringt. Das darauf basierende Public-Cloud-Angebot hat sich bereits bei mehreren Hundert Kunden bewährt. Das secunet Cloud-Portfolio wird nun Baustein für Baustein über die nächsten ein bis zwei Jahre ausgebaut. Die Bausteine sind modular und interoperabel, deshalb sprechen wir von einem Ökosystem. Als nächste Meilensteine peilen wir die allererste Zulassung eines Cloud-Stacks für Verschlusssachen durch das BSI an, und zwar bis einschließlich GEHEIM, sowie ein Testat nach C5.
Unser Angebot ist als Hybrid-Cloud-Ökosystem konzipiert, das auf sichere Weise Lösungen von Partnern einbeziehen und zu resilienten Multi-Cloud-Angeboten verbinden kann. Dabei können sogar Lösungen von Hyperscalern eine Rolle spielen, etwa in weniger sicherheitssensiblen Bereichen. So entsteht optimale Wahlfreiheit für die Kunden – aber auf einem hohen Sicherheitslevel und mit großer Transparenz.
Wir sichern seit über 25 Jahren besonders schützenswerte digitale Infrastrukturen, zum Beispiel in Ministerien und Sicherheitsbehörden. Dabei haben wir ein einzigartiges Know-how rund um hochwertige Verschlüsselungstechnologie aufgebaut, das nun die Grundlage für die secunet Cloud bildet. Zudem bezieht unser Cloud-Angebot etablierte secunet Lösungen ein: So ermöglichen wir Kunden mit unserer Hochsicherheitslösung SINA, die in Behörden und der öffentlichen Verwaltung den De-facto-Standard für sichere Netzwerke und Arbeitsplätze darstellt, auch die Zugangspunkte zur Cloud abzusichern. Somit sind wir gewissermaßen in der Lage, eine gesamte IT-Infrastruktur aus einer Hand anzubieten.
Rund um die souveräne Cloud ist in den letzten Jahren eine innovative Branche entstanden, die der Gesellschaft etwas Entscheidendes anbieten kann. Nun ist der Zeitpunkt gekommen, um – bei allem nötigen Wettbewerb – Synergien zu nutzen, die Open-Source-Community zu stärken und die Technologieentwicklung dadurch weiter voranzutreiben. Zudem sollten die Akteure der neuen Branche bisweilen mit einer Stimme sprechen, damit sich das Wissen über die souveräne Cloud verbreitet. Dies sind die Ziele des neuen Vereins. ALASCA steht für „Alliance for Sovereign Cloud Infrastructures“. secunet ist eines der sieben Gründungsmitglieder. Der Verein steht weiteren europäischen Unternehmen offen, die den Leitgedanken von Open Source im Cloud-Umfeld sowie digitaler Souveränität leben.
Die Cloud wird dann ein selbstverständlicher, zentraler Bestandteil der Behörden-IT geworden sein. IT-Verantwortliche werden ganz unterschiedliche Cloud-Angebote nach den jeweiligen Technologie- und Sicherheitsanforderungen auswählen und in die bestehende Multi-Cloud integrieren. Das Nutzererlebnis wird dennoch nahtlos sein. Darüber hinaus werden in einigen Jahren auch viele IT-Sicherheitsprodukte, die heute noch auf Hardware-Boxen basieren, „as a service“ verfügbar sein. Die Cloud-Transformation ist vollständig, wenn sie alle Bereiche von Staat, Wirtschaft und Gesellschaft durchdringt.
Norbert Müller leitet bei secunet den Geschäftsbereich Cloud Solutions. Zuvor war er maßgeblich an dem erfolgreichen Ausbau der Zusammenarbeit von secunet mit der öffentlichen Verwaltung im Hinblick auf klassische Cybersicherheit beteiligt.
Haben Sie Fragen oder Anmerkungen zu diesem Artikel? Dann kontaktieren Sie uns über das nebenstehende Kontaktformular!
secuview ist das Online-Magazin von secunet, Deutschlands führendem Cybersecurity-Unternehmen. Hier finden Sie Neuigkeiten, Trends, Standpunkte und Hintergrundinformationen aus der Welt der Cybersicherheit für Behörden und Unternehmen. Ob Cloud, IIoT, Home Office, eGovernment oder autonomes Fahren – ohne Sicherheit kann es keine Digitalisierung geben.
Zusätzlich zum Online-Magazin erscheint secuview zweimal jährlich als Zeitschrift, die Sie in gedruckter Form kostenfrei abonnieren oder als PDF herunterladen können.
secuview ist das Online-Magazin von secunet, Deutschlands führendem Cybersecurity-Unternehmen. Ob Cloud, IIoT, Home Office, eGovernment oder autonomes Fahren – ohne Sicherheit kann es keine Digitalisierung geben.