Der Appell eines CIOs einer großen Behörde auf dem jüngsten Govtech-Gipfel an die Cloud-Anbieter war eindeutig: Sie mögen nicht aufgeben, denn 90 Prozent der Technologien, die er gerne einsetzen würde, seien SaaS- oder Cloud-basiert. Der Hunger auf die Cloud ist also auch im Bereich der deutschen Verwaltung und bei Behörden vorhanden. Bis zur Umsetzung sind allerdings noch einige Hürden zu nehmen.
Den lokalen Nachholbedarf zeigt das europaweite Digitalranking, bei dem Deutschland gerade mal einen Rang im Mittelfeld einnimmt. Dabei möchten die CDOs und CIOs von den Vorteilen der Cloud hinsichtlich Agilität und Effizienzgewinn ebenso profitieren wie ihre Counterparts in der freien Wirtschaft. Es herrscht Einigkeit darüber, dass das Tempo der Digitalisierung der öffentlichen Verwaltung steigen muss. Nicht nur mehr Anwenderfreundlichkeit durch die Schaffung digitaler Abläufe steht für die Bürger und Bürgerinnen im Raum, sondern ebenso der moderne Arbeitsplatz für die Mitarbeitenden und reduzierte Komplexität der IT-Infrastrukturen, die leichter verwaltbar gestaltet werden müssen, um dem Kostendruck zu begegnen. Die Hauptsorge in der öffentlichen Verwaltung im Zuge der Digitalisierung ist allerdings nach wie vor die Sicherheit. Angesichts der Sensitivität der Daten sind diese Bedenken bei den Organisationen des öffentlichen Sektors in der Regel hoch.
Die unlängst veröffentlichte nationale Sicherheitsstrategie greift unter anderem den Aspekt der Cybersicherheit auf und erkennt an, dass der Cyberrechtsraum in Deutschland und Europa gestärkt werden muss. Den Spagat, Digitalisierungs- und Sicherheitsinitiativen zu verbinden und eine sichere Transformation in die Cloud zu schaffen, ist nun die Chance für den öffentlichen Sektor aufzuholen und von der Industrie, die in der letzten Dekade Erfahrungswerte sammeln konnte, zu lernen. Die Kernaussage hierbei ist, dass eine Virtualisierung nicht ohne moderne Architekturansätze für skalierbare Sicherheit gelingen kann. Der Bund und die öffentliche Verwaltung haben jetzt die Chance den Gestaltungsraum zu nutzen und Cybersicherheit bereits in der Planungsphase von Digitalstrategien zu berücksichtigen.
Bei der Migration in die Cloud von der Wirtschaft lernen
In der Privatwirtschaft werden die Entscheidungen Richtung Cloud längst aufbauend auf dem Triangel „Kosten, Sicherheit & Performanz und Anwenderfreundlichkeit“ gefällt. Nachdem man die Agilität der Cloud nicht erst seit der Pandemie mit den Anforderungen an den flexiblen Arbeitsplatz schätzen gelernt hat, ist man sich hier der Bedeutung des Zusammenspiels der Faktoren bewusst. Herkömmliche IT-Architekturen auf Basis von Rechenzentrum und Netzwerk mit Perimetersicherheit stoßen angesichts der großen Mengen an Datenströmen, die Richtung Cloud gehen, an ihre Grenzen.
Um wettbewerbsfähig zu bleiben, macht sich die Wirtschaft schon seit mehreren Jahren an das Re-Design ihrer IT-Architekturen. Denn wenn sie ihre Infrastrukturen, losgetreten durch die Cloudifizierung, dem Internet öffnen, entstehen neue Fragen wie sich dezentrale Infrastrukturen effizient schützen lassen, ohne Angriffsflächen oder Bottlenecks zu schaffen. Gleichzeitig muss man dem Trend von modernen Arbeitswelten folgen und den Mitarbeitenden hybrides Arbeiten aus dem Büro und/oder dem Homeoffice ermöglichen. Die Performanz und Sicherheit beim Zugriff auf benötigte Anwendungen und Services steht dabei im Mittelpunkt der Diskussion. Wenn sich nun Behörden neu im Internet aufstellen durch moderne Services und Arbeitsumgebungen, dann stehen sie vor ähnlichen Herausforderungen wie Privatunternehmen. Und dort beschäftigen sich bereits 92 Prozent der Unternehmen, die auf die Cloud setzen, laut einer Studie zum Status der Transformation auch mit dem Thema Zero Trust. Die öffentliche Verwaltung tut also gut daran, aus den Fehlern der Industrie zu lernen und Sicherheit von vorneherein mit der Digitalisierung zu verschmelzen.
An die Sicherheit denken
Wenn über Cybersicherheit gesprochen wird, diskutieren wir im öffentlichen Sektor in Deutschland noch viel zu selten moderne Architekturkonzepte. Tatsache ist jedoch, dass mit einer Transformation in die Cloud auch die Sicherheitsinfrastruktur modernisiert werden muss, denn es gilt nicht mehr Netzwerkgrenzen zu schützen, sondern den allgegenwärtigen Datenverkehr der nun potenziell an verschiedensten Orten stattfindet, da von verschiedensten Orten zugegriffen werden kann. Es liegt im Trend, Anwendungen aus dem Rechenzentrum in die Cloud zu migrieren, um sich resilienter aufzustellen – ein Schlagwort, das in der Industrie in Mode gekommen ist, lautet Zero Trust. Es folgt dem Ruf nach gesteigerter Agilität gegen äußere Einflüsse, aber auch dem Vorbeugen gegen Angriffe. Mit den Anforderungen an gesteigerte Resilienz ist die Netzwerk-unabhängige Kommunikation ein Schlüsselfaktor, und dann kommen auch Behörden und öffentliche Einrichtungen nicht mehr an Software-definierter Sicherheit vorbei. Eine solche regelbasierte Sicherheit stellt die Brücke dar, unabhängig und trotzdem sicher mit Anwendungen und Diensten zu kommunizieren.
Hier kommt Zero Trust ins Spiel, ein Sicherheitskonzept, das grundsätzlich allen Diensten, Usern und Geräten misstraut, egal ob sie sich innerhalb oder außerhalb des eigenen Netzwerks befinden. Sämtlicher Datenverkehr wird aufbauend auf Regeln geprüft und alle User, Dienste und Geräte müssen sich authentifizieren und erst technisch verifiziert werden. Nur wer und/oder was die Kriterien erfüllt, bekommt Zugriff auf Daten und/oder Anwendungen. Durch einen sogenannten Sicherheitsbroker werden die IT-Infrastruktur und sensible Daten somit unsichtbar für nicht-autorisierte Nutzer und Geräte. Und was nicht im Internet exponiert ist, kann viel weniger angegriffen werden, was gerade für Behördendaten eine gute Nachricht ist. Dabei müssen vorab Daten nach ihrer Sensibilität kategorisiert werden, um darauf aufbauend Zugriffsrechte zu definieren. Der Lösungsansatz für Sicherheit in modernen Arbeitsumgebungen ist vorhanden – die Digitalisierungsstrategie des Bundes muss nun die Weichen stellen, dass sie auch im öffentlichen Sektor eingesetzt werden kann.
Zenith Live bietet Behörden Austausch mit der Industrie
Die digitale Transformation schreitet in deutschen Unternehmen rasant voran. Von deren Erfahrungswerten können öffentliche Verwaltungen und Behörden profitieren und von vornherein den richtigen Weg einschlagen. Best Practice Beispiele für die sichere digitale Transformation werden vom 27. bis 29. Juni 2023 auf der Zenith Live vorgestellt. Wer Impulse sucht, wie sich Zero Trust als roter Faden durch die Reorganisation von IT-Infrastrukturen und die Migration in die Cloud zieht und wie dabei User (Mitarbeitende und Kunden), Workloads oder IoT- und OT-Umgebungen einbezogen werden, erhält dort Informationen aus erster Hand.
