Allgemein

Sicherheit in der Behörden-Cloud / ENISA Bericht

Als virulentes Schlagwort macht Cloud Computing auch vor Behörden und Verwaltungen nicht Halt. Längst hat die öffentliche Hand die Potentiale des Cloud Computings zur Einsparung von Kosten (Lizensierung, Software- und Hardwarewartung, Sicherstellung der IT-Compliance, Betrieb von Rechenzentren/Serverstandorten etc.) für sich entdeckt. Vor dem Hintergrund der dem echten Cloud Computing zugrunde liegenden weltweit verstreuten Datenverarbeitung ist fraglich, ob Verwaltungsverfahren überhaupt in die Cloud ausgelagert werden können (dazu vertiefend Heckmann, Cloud Computing in der öffentlichen Verwaltung? Rechtliche Grenzen für eine Lockerung staatlicher Datenherrschaft, in: Innovationen im und durch Recht, Hill/Schliesky (Hrsg.), Nomos Verlag, 2010, S. 97, 100).

Welche (Rest-) Risiken für explizite Rechtsgüter soll oder darf man bei der IT-Nutzung eingehen? Wer entscheidet über diese Risikoabwägung, und vor allem: nach welchen Maßstäben? Diese grundlegenden Fragen sind dabei für die öffentliche Hand von besonderem Interesse, um nicht ins „Fog Computing“ abzugleiten (hierzu auch Heckmann, Fog Computing: IT auf gut Glück nutzen?, government2020.de).

In einem Bericht, der sich an Führungskräfte an öffentlichen Stellen richtet, die eine sicherheits- und stabilitätsorientierte Entscheidung darüber treffen müssen, wie und ob ihre Behörde überhaupt an Cloud Computing teilnehmen soll, hat sich nun auch die ENISA, EU-Agentur für „Internetsicherheit“, mit diesen Fragen befasst.

Das Hauptziel des Berichts ist es, staatliche Stellen auf ihrem Cloud-basierten Weg bei der risikobewussten Entscheidungsfindung in Bezug auf die Datensicherheit, die Zuverlässigkeit der Dienstleistungen und die Einhaltung von gesetzlichen Vorschriften zu unterstützen. Er stellt auch die Vor- und Nachteile im Hinblick auf Sicherheit und Zuverlässigkeit von gemeindespezifischen, privaten und öffentlichen Cloud-Computerdiensten für Körperschaften des öffentlichen Rechts heraus.

„Der neue Bericht bietet der höheren Führungsebene ein Modell zur Entscheidungsfindung, um aus dem Blickwinkel der Sicherheit und Zuverlässigkeit die beste Cloud-Lösung zu bestimmen“, so  Daniele Catteddu, der Verfasser des Berichts. Der Bericht erklärt im Einzelnen die verschiedenen Schritte des Entscheidungsfindungsmodells und wendet das Modell auf vier Muster-Dienstleistungen an (elektronische Gesundheitsdienste, elektronische Verwaltungsverfahren, E-Mail und Anwendungen im Personalwesen). Die Analyse und die Schlußfolgerungen basieren hauptsächlich auf drei Szenarien, die den Übergang einer Gesundheitsbehörde und einer Gemeindeverwaltungsbehörde  zu Cloud Computing sowie die Schaffung einer staatlichen Cloud-Infrastruktur beschreiben (vgl. ENISA Pressemitteilung v. 17.1.2011).

Nach Auffassung der ENISA stellen private und gemeindespezifische Clouds offenbar die besten Lösungen für den Bedarf von staatlichen Verwaltungsbehörden dar,wenn diese das höchste Maß der Datensteuerung anstreben. Wenn eine private oder gemeindespezifische Cloud nicht die nötige kritische Masse erreicht, werden die meisten Vorteile des Cloud-Modells im Hinblick auf Sicherheit und Zuverlässigkeit nicht in die Praxis umgesetzt.

Diese Bewertung der ENISA belegt, dass Cloud Computing Dienstleistungen von kleinen und mittelständischen Unternehmen für die öffentliche Hand neue Märkte erschließen können- jedenfalls dann, wenn es gelingt, sie sicher, rechtskonform und vertrauenswürdig zu gestalten.

Mehr zum Thema:

Heckmann, Cloud „made in Germany“ als Vertrauensgarant, Legal Tribune ONLINE v. 15.11.2010;

Maisch, Cloud Computing: Datenschutz in der Wolke, jurisAnwZert IT-Recht 15, 2009, Anm. 4.