Ob der Scan einer Geburtsurkunde, der Fingerabdruck für den Reisepass oder die digitalisierte Akte – in der öffentlichen Verwaltung fallen immer mehr Daten an. Während Bund und Länder diese üblicherweise in selbst betriebenen Rechenzentren ablegen, rücken vielerorts die Cloud-Systeme kommerzieller Anbieter in den Fokus. Damit könnten Behörden und Ämter erheblich Kosten einsparen, so das Versprechen der Cloud-Anbieter.
Die gängigste Technologie ist die Public Cloud. Zu den größten Anbieter zählen hier Microsoft, Amazon und Google. Anders als der Name suggeriert, sind Public Clouds nicht öffentlich im Sinn von „frei zugänglich“. Vielmehr soll die Bezeichnung deutlich machen, dass Unternehmen und Behörden für ihre Dienste und Daten die Cloud-Provider nutzen können.
Hinter der Frage „Cloud oder nicht Cloud“ steht also die eigentliche Frage danach, wem die Verwaltungsbehörden die Daten von Bürger:innen und Unternehmen anvertrauen – und damit auch die Verwaltung ihrer IT-Infrastruktur, ihrer Betriebssysteme und Dienste.
Hohe Kosten für Lizenzen
Als großer Vorteil einer Public Cloud gilt gemeinhin die Kosteneffizienz. Denn Kunden bezahlen nur für das, was sie auch nutzen. Und sie nutzen nur das, was sie benötigen, etwa einen kurzfristig höheren Bedarf an Rechenleistung oder Speicherkapazität. Trotzdem sind die Kosten nicht immer ohne weiteres kalkulierbar, da die Hersteller ihre Preise selbst bestimmen. Erst kürzlich gab Microsoft bekannt, den KI-Assistenten Copilot in einigen Ländern im Bundle mit Microsoft 365 anbieten zu wollen und seinen Kunden dafür einen höheren Preis in Rechnung zu stellen.
Darüber hinaus verursachen Softwarelizenzierungen den Wechsel von einem Public-Cloud-Provider zu einem anderen hohe Kosten. Den Wechsel erschweren aber auch Softwarelizenzierungen. Erst vorgestern leitete die Federal Trade Commission in den USA eine Untersuchung gegen Microsoft ein: Das Unternehmen missbrauche seinen Einfluss auf den Markt für Produktivitätssoftware, so der Vorwurf. Aufgrund von Lizenzbedingungen könnten Kunden ihre Daten nicht von Microsofts Cloud-Dienst Azure auf die Plattformen anderer Anbieter umziehen.
Zur Cloud gezwungen
Verwaltungen gehen mitunter nicht freiwillig in die Cloud, sondern werden von Unternehmen mehr oder weniger dazu gezwungen. So stellte Microsoft seine Produkte um, sodass diese nurmehr als Cloud-Anwendung verfügbar sind. Das gilt etwa für die Bürosoftware Office 365, die ab dem Jahr 2029 nicht mehr als lokale Installation bereitstehen.
Damit Bundesbehörden die Software weiter nutzen können, verfasste Bundes-CIO Markus Richter mit der Delos Cloud GmbH ein Memorandum of Understanding (MoU). Danach soll die SAP-Tochter Delos in der Verwaltungscloud-Strategie des Bundes eine zentrale Rolle einnehmen. Delos baut seine Cloud-Plattform auf Microsoft Azure und Microsoft 365 auf.
Diese Entscheidung erfährt Kritik. Denn Microsoft ist berüchtigt dafür, mit seinem proprietären Software-Angebot Kunden eng an sich zu binden. In ihrer kartellrechtlichen Untersuchung bezeichnet die FTC Microsofts Marktmacht inzwischen als „problematisch“.
Microsoft, aber ohne Delos
Einige Bundesländer sehen Richters Entscheidung offenbar kritisch. Im Sommer erteilte der IT-Planungsrat der Delos-Cloud in einer Sondersitzung eine Absage. Die meisten Länder bleiben nach wie vor zurückhaltend und warten ab, was die Prüfung des Angebots ergibt. Die soll noch bis Ende 2026 laufen. Erst danach lasse sich die „Wirtschaftlichkeit, Leistungsfähigkeit oder Erwartungskonformität“ sinnvoll bewerten, so das Land Niedersachsen gegenüber netzpolitik.org. Lediglich Berlin gibt dem Projekt seine volle Rückendeckung, so die Rückmeldung aus der Senatskanzlei Berlin.
Gleichzeitig begeben sich einige Länder in die Microsoft-Cloud. Niedersachsen und das Saarland nutzen die Videokonferenzlösung Microsoft Teams. Außerdem setzen sie, wie auch Bremen, für einen Teil der Arbeitsplätze innerhalb der eigenen Landesverwaltungen auf Microsoft Office. Dass sie damit in Microsofts Abhängigkeit geraten, sehen die Länder durchaus. Das Niedersächsische Innenministerium etwa schreibt, dass bei der Beschafftung von Software „Lock-in-Effekte möglichst zu vermeiden“ seien, dies jedoch nur ein Kriterium von vielen sei.
Stattdessen seien Angebote am Markt vor allem nach „ihrer Wirtschaftlichkeit zu bewerten“, Alternativangebote brächten „oftmals nicht das gewünschte technologische und funktionelle Niveau“ mit. Außerdem sei es Aufgabe des Bundes und der EU, digitale Souveränität sicherzustellen.
Auf mehreren Wolken schweben?
Dass der Bund und einige Länder den Vendor-Lockin-Effekt in Kauf nehmen, widerspricht der Strategie des Bundes zur Stärkung der digitalen Souveränität. Demnach sind IT-Produkte daran zu messen, ob sie die Kriterien „Wechselmöglichkeit“, „Gestaltungsfähigkeit“ und „Einfluss auf Anbieter“ erfüllen. Teil dieser Strategie ist wiederum die Deutsche Verwaltungscloud-Strategie (DVS), die gleichzeitig die Multi-Cloud-Strategie aus dem Koalitionsvertrag von 2021 umsetzen soll. Bayern, Berlin, Hessen, NRW, das Saarland, Sachsen und Sachsen-Anhalt stehen hinter der Strategie, die digitale Souveränität zu stärken, so das Ergebnis unserer Anfrage bei den Ländern. Ein Ziel ist es demnach, „Abhängigkeiten von einzelnen Anbietern“ abzubauen.
Der Multi-Cloud-Ansatz setzt auf mehrere Provider. Landesverwaltungen nutzen mehrere Cloud-Lösungen parallel und machen sich so weniger abhängig von einem einzigen Cloud-Anbieter. Allerdings zeigt der Fall Microsoft exemplarisch, dass Abhängigkeiten auch in einer Multi-Cloud-Strategie bestehen, wenn viele Verwaltungen standardmäßig Microsofts Cloud-Anwendungen einsetzen.
Nach der Deutschen Verwaltungscloud-Strategie sollen Cloud-Services von Microsoft perspektivisch in die Deutsche Verwaltungscloud (DVC) aufgenommen werden können. Die DVC befindet sich derzeit noch im Aufbau und ist als Marktplatz für Cloud-Lösungen verschiedener Anbieter konzipiert. Bund, Länder und Kommunen sollen hier Angebote frei wählen und unkompliziert wechseln können. Zur Wahl stehen dann Speicherkapazitäten, Office- und Backup-Lösungen und andere andere Cloud-Services.
Thüringens Open-Source-Cloud
Während der Bund die Delos-Cloud bewirbt, beschreiten einige Länder auch eigene Wege. Niedersachsen und NRW nutzen unter anderem die Public Cloud des deutschen Anbieters Ionos. Baden-Württemberg setzt dagegen auf eine eigene Cloud-Infrastruktur, die auf einer Open-Source-Cloud basiert und die das Landesrechenzentrum BITBW betreibt. Brandenburg bezieht IT-Leistungen vom landeseigenen IT-Dienstleister, der zudem eine „kompetenter Cloudprovider“ sei, so das Brandenburgische Innenministerium auf Anfrage von netzpolitik.org.
Einen Schritt weiter geht Thüringen. Das Land entwickelt eine eigene Verwaltungscloud im Thüringer Landesrechenzentrum, das Projekt stehe kurz vor dem Abschluss, heißt es aus dem Finanzministerium. Dabei handelt es sich um eine Private Cloud, die auf Open-Source-Software basiert. Privat ist sie, weil die Cloud-Umgebung ausschließlich für das Land Thüringen betrieben wird. Mit seiner Verwaltungscloud orientiert sich Thüringen an der Deutschen Verwaltungscloud-Strategie. Das Land ist überzeugt: „Der Betrieb der DVC mit öffentlich-rechtlichen IT-Dienstleistern wie auch eigene sichere Netze reduzieren Risiken für IT-Sicherheit, Datenschutz und Geheimschutz.“
Auch Berlin erwägt eine private Cloud und die Möglichkeiten des Sovereign Cloud Stacks (SCS). Der SCS will es Cloud-Betreibern mit Hilfe offener Software ermöglichen, entsprechende Infrastrukturen unabhängig von bestimmten Anbietern aufzubauen.
Warum überhaupt in die Cloud?
Doch warum überhaupt in die Cloud, fragt etwa Schleswig-Holstein. Gegenüber netzpolitik.org bewertet das Land den Einsatz der Cloud-Technologie kritisch. Dieser lohne sich nur dann, wenn sich deren Vorteile für die Verwaltung auch auszahlten, wie etwa die flexible Nutzung von Infrastruktur. Dem stünden aber zugleich erhebliche Nachteile gegenüber, wie die Abhängigkeit von bestimmten Herstellern, was dem Ziel der digitalen Souveränität widerspreche. „Weder die Microsoft-Cloud noch die Delos Cloud sind dazu in der Lage“, heißt es aus der Staatskanzlei in Kiel.
Der überwiegende Teil der IT-Produktion in Schleswig-Holstein befindet sich in eigenen Rechenzentren des IT-Dienstleisters Dataport. Den klassischen Betrieb von Rechenzentren will das Land ergänzen um Komponenten der DVC und die Nutzung des Sovereign Cloud Stack. Nur so seien ein sicherer und souveräner Betrieb sowie „ein digital souveräner Umgang mit sensiblen Daten von Bürger:innen, Unternehmen und der Wissenschaft“ möglich. Gängige Softwarehersteller könnten das nicht garantieren. Sie entzögen den Kunden den Betrieb, die Datenhaltung und die Software.
Es wäre schön, wenn die geneigte Leserschaft auch erfahren könnte, welche OSS für die Clouds der souveränen Länder zum Einsatz kommt.
Die entsprechenden Länder haben in ihren schriftlichen Antworten dazu keine näheren Angaben gemacht.