Aktuelles

SAP und Microsoft basteln an Behörden-Cloud

srcset="https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?quality=50&strip=all 2500w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Reichstag.jpg?resize=444%2C250&quality=50&strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px">Die Ampelregierung will mit einer Behörden-Cloud endlich die lahmende Digitalisierung der Verwaltung in Schwung bringen. Doch die Beteiligung Microsofts dürfte weiter für Diskussionen sorgen. MariaKovaleva – shutterstock.com Mit IT-Lösungen für den Public Sector lässt sich hierzulande viel Geld verdienen, wie zuletzt immer wieder Schlagzeilen über milliardenschwere langfristige Rahmenverträge gezeigt haben. Die lukrativen Geschäfte wandern derzeit zunehmend in Richtung Cloud. Einziger Spielverderber dabei: die Regulatorik. Angesichts scharfer Bestimmungen hinsichtlich Datenschutz und dem Betrieb souveräner IT-Infrastrukturen tun sich viele Behörden nach wie vor schwer mit dem Schritt in die Cloud. Doch das soll sich nun ändern.   SAP will verteilt über die nächsten zehn Jahre über zwei Milliarden Euro in die Entwicklung hochsicherer, lokaler und regulatorisch konformer Cloud-Angebote investieren. Dabei gehe es vor allem um die Entwicklung von Schlüsseltechnologien, die auf die Bedürfnisse des öffentlichen Sektors und stark regulierter Industrien zugeschnitten sind, heißt es in einer Mitteilung des Softwarekonzerns. Das erweiterte Produktportfolio solle die besonderen Anforderungen von Kunden in den Bereichen Autonomie und Datenkontrolle erfüllen.  width="1600" height="900" sizes="(max-width: 1600px) 100vw, 1600px">SAP sei auch in stark regulierten Branchen für seine Kunden da, betonte SAP-Vorstandsmitglied Thomas Saueressig.SAP „Wir sind für unsere Kunden da – auch in stark regulierten Branchen und im öffentlichen Sektor“, erklärt Thomas Saueressig, Mitglied des Vorstands der SAP SE, Customer Services & Delivery. Mit dem milliardenschweren Investment in Sovereign-Cloud-Angebote setze SAP ein klares Zeichen. „Innovationskraft und digitale Souveränität gehen Hand in Hand. Um das zu realisieren, planen wir moderne und hochsichere Lösungen bereitzustellen“, so der SAP-Manager. Trotz verschärfter Regelungen zum Schutz sensibler Daten seien moderne Technologien wie Cloud unverzichtbar für Fortschritt und Wettbewerbsfähigkeit, heißt es von Seiten des größten deutschen Softwareherstellers. Souveränität in verschiedenen Stufen … SAP will künftig offenbar unterschiedliche Lösungen anbieten, was den Souveränitäts- und Sicherheitsgrad anbelangt. Ziel sei es SAP zufolge, „mit dem gesamten Lösungsportfolio verschiedene Stufen von Souveränität in den Bereichen Daten, Betrieb und Regulatorik anzubieten und dabei dem erhöhten Sicherheitsbedarf und dem nötigen Sicherheitsgrad von Kunden nachzukommen“.  Über die Tochter Delos Cloud GmbH möchte SAP dem öffentlichen Dienst in Deutschland ab 2025 eine nach eigenen Angaben „vollumfänglich souveräne Cloud-Plattform“, basierend auf der Hyperscaler-Technologie Microsoft Azure zur Verfügung stellen. Entsprechende Kooperationsvereinbarungen zwischen SAP, Delos Cloud, Microsoft und Arvato Systems seien bereits unterzeichnet worden. Damit werde die Zusammenarbeit der Unternehmen bei der Bereitstellung der Cloud-Plattform für den öffentlichen Sektor in Deutschland verbindlich vereinbart und das souveräne Angebot von Delos Cloud nachhaltig sichergestellt, heißt es. … mit Microsoft … Die Delos-Cloud soll gemäß den regulatorischen Vorgaben des Bundes in Bezug auf Daten, Betrieb und Regulatorik souverän sein und werde als souveränes Cloud-Angebot die staatlichen Vorgaben hinsichtlich Datenschutz, IT-Sicherheit und Geheimschutz vollumfänglich erfüllen, versprechen die SAP-Verantwortlichen. Als deutsche Eigentümerin der Infrastruktur übernehme die Delos Cloud GmbH sowohl den Plattform-Betrieb als auch die Lizenzierung ihrer Produkte. Sensible Verwaltungsdaten, darunter auch als VS-NfD eingestufte Daten (VS-NfD = Verschlusssache – Nur für den Dienstgebrauch), würden ausschließlich in deutschen Rechenzentren ohne Zugriff von Microsoft verarbeitet. Die Rechenzentren würden von sicherheitsüberprüftem Personal in Deutschland betrieben. Wie Microsoft seine Europa-Cloud bauen will: Mehr souveräne Cloud für Europa? Microsoft erweitert EU-Datengrenze DSGVO vs. US-Geheimdienste: Microsoft will Kundendaten in der EU besser schützen Kern des Angebots der Delos Cloud bilden verschiedene SAP- und Microsoft-Dienste. Im ersten Halbjahr 2025 sollen Microsoft Foundational Services, im zweiten Halbjahr dann Microsoft Mainstream Services sowie Microsoft Office 365 zur Verfügung stehen. Die SAP-Dienste würden schrittweise bis 2026 auf der Cloud-Plattform bereit stehen. SAP betonte darüber hinaus, dass die Plattform technologie- und anbieterneutral sein werde. Demzufolge würden ausdrücklich auch Open-Source-Lösungen und Eigenentwicklungen der Kunden unterstützt. … und ohne Microsoft Neben Delos Cloud plant SAP ein weiteres vollständig eigenes Cloud-Angebot mit souveränen Eigenschaften, allerdings ohne die Beteiligung von Hyperscalern. Darüber würden SAP-basierte Plattform- und Softwaredienste für regulierte Industrien und den öffentlichen Sektor bereitstellt, lässt der Softwarekonzern verlauten. Das Angebot richte sich ebenfalls an die öffentliche Verwaltung, regulierte Industrien sowie weitere Neu- und Bestandskunden mit erhöhter Schutzanforderung. Erste VS-NfD-zertifizierte Cloud-Infrastrukturservices sollen noch in diesem Jahr auf dem deutschen Markt verfügbar sein und sukzessive bis zum ersten Quartal 2026 ausgebaut werden.  Von einer Bereitstellung von Microsoft-Services ist im Zusammenhang mit der SAP-eigenen Cloud an dieser Stelle allerdings keine Rede. Genauso wenig davon, wie eine Verknüpfung zwischen den Infrastrukturen aussehen könnte. Wer Microsofts Softwareservices nutzen möchte, wird auch künftig in irgendeiner Form auf Microsofts Cloud-Infrastruktur angewiesen sein.  Doch das ist nach wie vor hoch umstritten. In einem offenen Brief warnte die Open Source Business (OSB) Alliance erst Ende Juni dieses Jahres vor übereilten Schritten in Richtung Delos-Cloud und sprach von weiterhin bestehenden starken datenschutzrechtlichen, vergaberechtlichen, sicherheitstechnischen, und strategischen Bedenken gegen deren Einsatz. US-Recht: Gefahr von Datenabflüssen immer gegeben Das US-amerikanische Recht könne US-Unternehmen zur Herausgabe von persönlichen Daten zwingen, so die Vertreter der OSB Alliance. Daran ändere weder das „EU-US Data Privacy Framework“ etwas, noch der Versuch, über die Gründung von deutschen Tochterunternehmen wie Delos die Bedenken zu zerstreuen. „Denn Delos verwendet letztlich Microsoft-Software“, steht in dem Brief. Daher bleibe immer die Gefahr bestehen, dass zu Beispiel über Wartungsschnittstellen oder Telemetrie-Erfassung persönliche Daten abfließen oder von außen auf diese Daten zugegriffen wird – „ohne dass die Verwaltung davon etwas mitbekommt“. Offener Brief an IT-Planungsrat: OSB Alliance macht Front gegen Azure-Cloud-Pläne des Bundes Verschiedene politische Gremien hätten immer wieder auf diese datenschutzrechtlichen Probleme hingewiesen, so die Open-Source-Verfechter, zum Beispiel eine Untersuchung der wissenschaftlichen Dienste des Bundestages vom Januar 2024. Im März 2024 habe der EU-Datenschutzbeauftragte verkündet, dass die EU-Kommission Microsoft 365 rechtswidrig genutzt und die Daten der EU-Bürgerinnen und -Bürger nicht ausreichend geschützt habe. Alle Datentransfers seien bis Dezember 2024 auszusetzen, so sein Urteil.  Microsoft selbst habe gegenüber schottischen Sicherheitsbehörden zugeben müssen, dass sie nicht garantieren könnten, dass sensible Daten auch wirklich in Großbritannien bleiben. „Das Versprechen der Datensouveränität von Microsoft ist damit nichts als dünne Luft“, lautet daher das Fazit der OSB Alliance. Letztendlich verschließe die Politik ihre Augen vor den ungelösten Problemen und versuche sich die Delos-Cloud souveräner zu reden, als sie ist. Bundesregierung will Delos-Cloud prüfen – Ergebnis offen Zwar hatte sich der IT-Planungsrat mit den Bundesländern im Sommer 2024 gegen den Einsatz der Delos-Cloud entschieden. Auf Bundesebene scheinen indes die Vorbereitungen weiter in diese Richtung zu laufen, worauf auch die SAP-Ankündigung schließen lässt. „Die Prüfungen und Befassung mit der Delos Cloud sind notwendig, da Microsoft angekündigt hatte, die in der Bundesverwaltung „on-premise“ genutzten Microsoft-Produkte zukünftig vorrangig oder ausschließlich als eigene Cloud-Angebote fortentwickeln zu wollen (sog. Cloud-First-Strategie)“, hieß es Anfang September 2024 in einer Antwort der Bundesregierung auf eine Anfrage von Abgeordneten aus der Gruppe “Die Linke”.  Das Gerangel um das Delos-Projekt geht also offensichtlich weiter. Ob und inwieweit die Anforderungen der Bundesverwaltung zu Souveränitätsgesichtspunkten, Informationssicherheit, Daten- und Geheimschutz mit der geplanten Delos Cloud erfüllt werden, sei aktuell Gegenstand von Prüfungen des Bundes im ressortübergreifenden Vorhaben MSSC, hieß es von Regierungsseite. Das Ergebnis sei offen. Die Gespräche mit Microsoft hätten jedoch gezeigt, „dass eine funktionale Weiterentwicklung der Services im Bereich des IT-Arbeitsplatzes (z. B. Microsoft Exchange) den Azure Technologie-Stack erforderlich macht“. Sofern diese Services weiter in der Verwaltung genutzt würden, sei davon auszugehen, dass der Bedarf an Cloud-Leistungen diesbezüglich wächst.  Auch andere US-amerikanische Softwarekonzerne versuchen sich an speziellen Cloud-Konstruktionen, um die strengen DSGVO-Regularien zu erfüllen Oracle verspricht seinen Kunden mit der EU Sovereign Cloud eine DSGVO-konforme Cloud. Die Infrastruktur sei von Oracles Public Cloud getrennt und werde von einer separaten Firma in der EU betrieben. Der US-Konzern arbeitet außerdem eng mit dem BSI zusammen. Die Sicherheitsbehörde soll die Möglichkeit bekommen, alle Produkte und Services genau auf ihre IT-Sicherheit abzuklopfen. Damit will Oracle sein Behördengeschäft hierzulande ankurbeln. AWS hat im Herbst 2023 seine European Sovereign Cloud angekündigt. Die entsprechende Infrastruktur befinde sich in Europa und werde auch dort betrieben, hieß es. Die Cloud laufe darüber hinaus physisch und logisch von der übrigen Public Cloud von AWS getrennt. Anfang Oktober 2023 hat Google die Eröffnung seines ersten selbst betrieben Cloud-Rechenzentrum in Deutschland bekannt gegeben. Daniel Holz, Vice President EMEA North bei Google Cloud, bezeichnete die Anlage in Hanau als einen Meilenstein. Damit könne man deutschen Kunden künftig mehr Servicequalität bieten. Holz verwies außerdem auf Aspekte wie Datensicherheit und Datensouveränität. Salesforce will mit einer eigens eingerichteten EU-Cloud, der Hyperforce EU Operating Zone, Datenschutzbedenken seiner Kunden aus dem Weg räumen. Damit ließen sich alle Regeln der DSGVO einhalten, verspricht der Anbieter. Die Bedenken der OSB Alliance teilen die Regierungsvertreter indes nur bedingt. „Die Kritik an der Public Cloud von Microsoft führt aus Sicht der Bundesregierung nicht zu einer Infragestellung der Delos Cloud“, heißt es in der Antwort auf eine Anfrage der Partei Die Linke. Allerdings stehe eine Nutzung von Microsofts Cloud-Technologie unter dem Vorbehalt der Ergebnisse des vom IT-Rat beauftragten Prüfprojekts. Staatssekretär Markus Richter scheint derweil auf die Delos-Cloud zu setzen: „Ich begrüße den Abschluss der angekündigten Kooperationsvereinbarungen zur Technologiepartnerschaft als wichtige Voraussetzung für die erfolgreiche Umsetzung und weitere Zusammenarbeit im bedeutsamen MSSC-Projekt“, zitiert SAP den Bundes-CIO.  Microsoft-Cloud im Delos-Mantel Die Nutzung von Cloud-basierter proprietärer Software stelle nicht zwangsläufig ein Risiko für die digitale Souveränität dar, betont die Regierung. „Handlungsbedarf besteht erst, wenn sich hieraus unerwünschte Abhängigkeiten ergeben.“ Doch die sind aus Sicht von Kritikern längst gegeben. Anke Domscheit-Berg von der Linkspartei bezeichnete die SAP-Lösung gegenüber netzpolitik.org als „eine Microsoft-Cloud im Delos-Mantel“. Damit würden die ohnehin großen Abhängigkeiten der öffentlichen Verwaltung von Microsofts proprietärer Software weiter wachsen. Die Linken-Politikerin Anke Domscheit-Berg bezeichnet das SAP-Angebot als Microsoft-Cloud im Delos-Mantel.Olaf Kostritz Außerdem schränke die Ampelkoalition mit den Delos-Cloud-Plänen ihren Handlungsspielraum für den Einsatz von Open-Source-Alternativen massiv ein, kritisiert die Politikerin. Es werde zunehmend schwieriger, offene Software-Alternativen in die Verwaltung zu integrieren, so Domscheit-Berg.   Auch die OSB-Alliance-Vertreter verweisen auf die ursprünglichen Pläne der Regierung. Diese habe sich bei ihrem Start verpflichtet, für öffentliche IT-Projekte offene Standards festzulegen. Entwicklungsaufträge sollen grundsätzlich als Open Source beauftragt und die entsprechende Software öffentlich gemacht werden. „Auf Basis einer Multi-Cloud-Strategie und offener Schnittstellen sowie strenger Sicherheits- und Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf“, zitieren die Open-Source-Verfechter aus dem Koalitionsvertrag. Das Vorgehen des Kanzleramtes und der Vorstoß im IT-Planungsrat hätten damit jedoch wirklich gar nichts mehr zu tun. 

Der ganze Artikel ist im Newsticker der Computerwoche nachzulesen.

20.09.2024