Cloud-Einsatz in der öffentlichen Verwaltung – was ist zu beachten?

Cloudbasierte IT-Umgebungen sind im Prinzip dadurch gekennzeichnet, dass zum einen hochstandardisierte Protokolle und Datenformate verwendet werden und zum anderen der Betreiber dieser Systeme nicht mehr im eigenen Haus angesiedelt sein muss. Grosse externe Dienstanbieter wie Microsoft, Apple, Amazon, Google usw., aber auch mittelständische und kleine Anbieter sind heute je nach Kundenanforderungen in der Lage, solche Dienste mit entsprechenden Dienstgüte- und Sicherheitsvereinbarungen extern anzubieten. Im Rahmen dieses Leistungskatalogs können Kunden dann standardisierte IT-Dienste von der Bereitstellung virtueller Computer-Hardware bis hin zum Betrieb vollständiger Anwendungssysteme beziehen – je nach Ausprägung in öffentlich zugänglichen oder spezifisch für den Kunden betriebenen Cloud-Umgebungen oder in kundenspezifischen hybriden Mischformen.

Für Kunden kann dies eine Flexibilisierung der betrieblichen Fixkosten, die Partizipation an der «Economy of Scale» des Anbieters und die Freisetzung interner Kapazität für die Konzentration auf das eigene Kerngeschäft bedeuten. Für die Anbieter liegen die Vorteile gegenüber dem reinen Softwarelizenzverkauf vor allem in der stärkeren Kundenbindung. Auf der anderen Seite entstehen für den Kunden jedoch neue Risiken, von der Abklärung der rechtlichen Situation bei Datenzugriffen durch Dritte im In- oder Ausland über die Abschätzung der Abhängigkeitsrisiken vom jeweiligen Cloud-Anbieter bis hin zu Bedenken bezüglich Informationssicherheit und Verfügbarkeit im Krisenfall.

Rahmenbedingungen sorgfältig abklären
Die öffentliche Verwaltung muss angesichts der Marktdominanz der Cloud-Technologie ebenfalls abschätzen, welche Formen der Cloud-Nutzung zukünftig vorzusehen sind. Hierbei spielen der Anspruch der Digitalisierung der eigenen Dienste gegenüber Bürgerinnen und Bürgern (Strategie, Gesetze etc.) auf kantonaler und Bundesebene, «Open Data»-Anforderungen im Rahmen des Öffentlichkeitsprinzips, wachsende Forderungen nach elektronischer Vernetzung der Behörden untereinander sowie die laufende bzw. geplante Bereitstellung zentraler e-Dienste (e-ID, elektr. Patientendossier, e-Voting etc.) eine wesentliche Rolle. Jedoch müssen vor einer technisch orientierten Migration von Diensten der öffentlichen Verwaltung diverse offene Fragen (je nach Ausgangslage im jeweiligen Departement) geklärt werden, insbesondere:Welches sind die Anwendungsfälle, welche vom Nutzen der Cloud-Technologie und den Vorteilen stark profitieren?

• Sind die Anwendungen und Topologien «cloud-ready»?
• Wie kann die Lieferantenabhängigkeit von den grossen Cloudprovidern vermindert werden?
• Wie kann die erhöhte Komplexität beherrscht werden?
• Wann ist der richtige Zeitpunkt für eine Umstellung?
• Heisst Cloud automatisch Auslagerung (und wohin)?
• Welche rechtlichen und datenschutzbezogenen Fragen gibt es und können diese überhaupt bzw. «eindeutig genug» geklärt werden?
• Welche neuen Risiken entstehen bzw. welche Risiken werden vergrössert und welche Gegenmassnahmen sind möglich und machbar?
• Was muss in welcher Reihenfolge abgeklärt, vorbereitet und umgesetzt werden?
• Welche eigenen Abläufe, Prozesse usw. verändern sich und wie (sehr)?
• Was kosten das Projekt, der Umstieg und der spätere Betrieb?

Um diese Fragen in ausreichender Tiefe beantworten zu können, ist es sinnvoll und notwendig, auch in der öffentlichen Verwaltung im Rahmen begrenzter und gut kontrollierter Pilotvorhaben die rechtlichen, organisatorischen, wirtschaftlichen und technischen Grundlagen zur Beantwortung dieser Fragen zu legen. Beispiele aus Sicht der Bedag Informatik AG sind u. a. der Einsatz der Microsoft-Cloud-Umgebung «Azure» (Skalierung, starke Benutzer-Authentisierung usw.), aber auch die Bereitstellung zusätzlicher Rechenkapazität bei Bedarf (Wahl- und Abstimmungslösung BEWAS) oder die zentrale Konfiguration, Kontrolle und Verwaltung komplex orchestrierter Cloud-Dienste (Kubernetes «Proof of Concept»). Zu bedenken gilt es auch, dass öffentliche Verwaltungen, im Gegensatz zu beispielsweise einem Konsumgütershop, viel geringere Leistungsspitzen aufweisen und deswegen private Cloud-Ansätze durchaus sehr wirtschaftlich sein können.

Dennoch werden auch nach solchen erfolgreichen Pilotversuchen Entscheidungsunsicherheiten verbleiben. Hierbei gibt es (wie meistens) keine klaren «Ja/Nein»-Entscheide, sondern nur den Weg der Definition und Umsetzung einer angemessenen Lösung. An der Cloud-Technologie (private, hybrid, public) führt dabei längerfristig (fast) kein Weg vorbei, aber bei Umsetzung, Einführung und Betrieb gibt es grossen Spielraum. Die Frage ist also nicht, ob man sich überhaupt mit der Cloud beschäftigt, und ebenso wenig ist es ein «Entweder ganz oder gar nicht»-Entscheid. Es gibt aber auch keinen Grund, sich unnötig selbst unter Zeitdruck zu setzen und dadurch die Qualität der Evaluation zu gefährden. Es besteht ein gewisser Zeitdruck für die ersten Schritte, aber mehr auch (noch) nicht.

Aus den Erfahrungen anderer lernen
Eine Evaluation muss nicht «von Grund auf» neu vorgenommen kann – stattdessen kann man von früheren Versuchen und Erkenntnissen profitieren. Typische Fehlüberlegungen und Erkenntnisse bei der Cloud-Einführung sind insbesondere:

• Es geht in der Regel nicht um ein reines IT-Projekt, da sich u. a. die Arbeitsweisen und Prozesse der Departemente/Abteilungen verändern.
• Es geht nicht um die (reine) Frage der gewählten Technologie oder des Anbieters («Microsoft» ist keine Strategie).
• Der Erfolg ist kritisch abhängig von der Definition eigener «Hausaufgaben» und deren sorgfältiger Erledigung.
• Die Komplexität des Projekts und seiner Umsetzung wird oft unterschätzt.
• Die Kosten für Planung, Umsetzung, Pilotierung, Schnittstellen, Schulung und Beteiligung der Betroffenen, Betrieb, Überwachung, Pflege, Weiterentwicklung, Ablösung alter Systeme und Prozesse usw. sind meist höher (und versteckter) als gedacht.
• Es ist eine «Operation am offenen Herzen» (gleichbleibende Sicherheit und Dienstqualität während des Projekts und bei der Umsetzung und Einführung).

Departementen, die jetzt oder in absehbarer Zukunft über die Einführung von Cloud-Diensten oder die Migration bestehender Dienste in eine Cloud-Lösung nachdenken, sollten daher zunächst einmal gut informiert sein und bleiben (inklusive in Bezug auf die Auswirkungen auf die eigene Arbeit), bei Unklarheiten aktiv nachfragen und sich nicht blenden oder hetzen lassen. Weiterhin ist es angesichts der Komplexität der Materie sicher sinnvoll, sich zu «verbünden» und aktiv Hilfe, Know-how und verlässliche Partner mit entsprechendem Vorwissen suchen. Gerade die Bedag Informatik AG ist hier qualifiziert und jederzeit bereit, als Diskussionspartner und verlässlicher Berater für die öffentliche Verwaltung zu agieren. Im nächsten Schritt ist es sinnvoll, geeignete Anwendungen auszuwählen und aussagekräftige Pilot-Umsetzungen zu planen, umzusetzen und (fair) zu bewerten, die dann ggf. bei Erfolg des Pilotprojekts schrittweise ausgedehnt werden können.

Wenn die Anwendungen dann bereit sind für die Cloud, kann die öffentliche Verwaltung sich auf die Erfahrung der Bedag verlassen. Je nach erforderlichen Lastspitzen, Datenschutzanforderungen, Bandlast usw. wird die Bedag diese Anwendung in Public-, Hybrid- oder Private-Cloud-Umgebungen betreiben und so die Verwaltung entlasten, damit diese sich nicht auch noch um Fragen des Cloudbrokering kümmern muss.

Da sich durch die Einführung bzw. die Nutzung von Cloud-Umgebungen sehr wahrscheinlich auch Veränderungen an den gewohnten Arbeitsabläufen und Organisationsstrukturen ergeben, ist es ebenfalls wichtig, jederzeit klare interne und bei Bedarf externe Entscheidungs- und Kommunikationswege festzulegen und einzuhalten, um möglichst ohne Reibungsverluste alle Mitarbeitenden und Kunden auf die spannende Reise in die Cloud mitnehmen und von den offensichtlichen Vorteilen der Cloud-Technologie profitieren zu können, ohne die nötigen Anforderungen der Rechtssicherheit, Leistungsfähigkeit, Verfügbarkeit, Nachvollziehbarkeit und technischen Sicherheit zu vernachlässigen, ohne die die öffentliche Verwaltung nicht funktionieren kann und darf.

Dr. Hannes Lubich, Verwaltungsrat der Bedag Informatik AG