Was ist eine Cloud?
Die Cloud ist ein Netzwerk von großen Rechenzentren, das über das Internet verschiedene Dienste anbietet, sowohl für den privaten als auch den beruflichen Gebrauch. Dies umfasst Speicherplatz, Rechenleistung, Software und IT-Infrastrukturen.
In der öffentlichen Verwaltung spielt die Integration von Cloud-Technologien eine entscheidende Rolle bei der Digitalisierung. Sie ermöglicht eine effizientere Datenverwaltung, verbesserte Zusammenarbeit und flexiblere IT-Infrastrukturen. Durch die Cloud können Behörden ihre Dienstleistungen digitalisieren und innovative Lösungen für Bürger*innen bereitstellen.
Es gibt jedoch potenzielle Risiken wie Datensicherheit und Compliance-Herausforderungen. Die Vorteile umfassen Skalierbarkeit, Kosteneffizienz und schnellere Bereitstellung von Diensten.
Kurzerklärung zu den wichtigsten Begriffen:
Cloud Computing:
Cloud Computing bedeutet das "Mieten" von Clouds. So können Clouds von Anbietern je nach Nutzung gegen Entgeld genutzt werden, anstatt die physischen Rechenzentren oder Server zu kaufen und zu unterhalten. Das bedeutet, dass die IT-Infrastruktur physisch also außerhalb des Unternehmens in einem Rechenzenter sitzt, die von dem Cloud-Computing-Anwender verwaltet wird.
Cloud-Strategien: Cloud-first, Cloud-only, Cloud-ready
Es gibt drei verschiedene Cloud-Strategien:
Cloud first
Bei dieser Strategie wird die Nutzung von Cloud-Services für neue Projekte und Anwendungen priorisiert. Die Organisation sucht zuerst nach Cloud-basierten Lösungen, vor lokalen Alternativen.
Unternehmen, die eine Cloud-first-Strategie verfolgen, legen Wert darauf, die Vorteile des Cloud Computing, wie Skalierbarkeit, Flexibilität und Kosteneffizienz, als ihre erste Wahl für die Bereitstellung und Verwaltung von IT-Ressourcen zu nutzen.
Cloud ready
Die Strategie Cloud-ready bedeutet, dass ein Unternehmen seine bestehende IT-Infrastruktur so vorbereitet hat, dass sie sich nahtlos in Cloud-Dienste integrieren lässt. Bei diesem Ansatz wird anerkannt, dass einige bestehende Systeme lokal vor Ort verbleiben können, aber sie werden so konzipiert oder angepasst, dass sie mit Cloud-basierten Komponenten und Diensten zusammenarbeiten.
Unternehmen, die einen Cloud-Ready-Ansatz verfolgen, wollen ihre IT-Architektur modernisieren und sie sowohl in lokalen als auch in Cloud-Umgebungen interoperabel und skalierbar machen. Dies ermöglicht eine schrittweise Migration in die Cloud und unterstützt ein hybrides IT-Modell.
Cloud only/Cloud Exclusive/Native
Die Cloud-Only-Strategie, auch bekannt als Cloud Native oder Cloud Exclusive bedeutet, dass ein Unternehmen ausschließlich auf Cloud-Services für die IT-Infrastruktur setzt. Bei diesem Ansatz werden alle IT-Workloads, Anwendungen und Dienste in der Cloud gehostet und verwaltet, und die lokale Infrastruktur wird vollständig abgeschafft.
Unternehmen, die eine reine Cloud-Strategie verfolgen, nutzen das Cloud-Modell in vollem Umfang und legen den Schwerpunkt auf Flexibilität, Skalierbarkeit und die Möglichkeit, sich auf das Kerngeschäft zu konzentrieren, während sie sich bei der Infrastruktur- und Serviceverwaltung auf Cloud-Anbieter verlassen.
Datenmigration in die Cloud:
Datenmigration in die Cloud bezeichnet den Transfer von Daten von lokalen Systemen oder anderen Cloud-Umgebungen zu einem Cloud-Dienst, um von Skalierbarkeit, Flexibilität und Kosteneffizienz zu profitieren. Dieser Prozess erfordert sorgfältige Planung, um einen reibungslosen Übergang sicherzustellen.
Compliance in der Cloud:
Die Einhaltung gesetzlicher Vorschriften, Datenschutzrichtlinien und Unternehmensrichtlinien beim Einsatz von Cloud-Services in der öffentlichen Verwaltung.
Multi-Cloud-Strategien:
Nutzung von Diensten mehrerer Cloud-Anbieter für Flexibilität und Redundanz.
Cloud-Bereitsstellungsmodelle:
Für die Bereitstellungsmodelle herrschen verschiedene Definitionen, je nach Anbieter und Spezialist*in. Eine gängige Unterscheidung sieht jedoch wie folgt aus:
Public Cloud:
Dienste werden von einem Cloud-Anbieter öffentlich bereitgestellt und von verschiedenen Kunden gemeinsam genutzt. Kosteneffizient und skalierbar, jedoch weniger Kontrolle über die Infrastruktur. (Bsp.: Amazon Web Services (AWS), Google Cloud Platform (GCP)).
Private Cloud:
Unternehmen bevorzugen unter Umständen aus Sicherheitsgründen, eine für ihre Organisation exklusive Cloud selbst zu betreiben. Entweder vor Ort oder von einem Drittanbieter gehostet. Bietet mehr Kontrolle und Anpassungsmöglichkeiten, aber kann kostspieliger sein.
Hybrid Cloud:
Eine Kombination aus Public und Private Cloud-Ressourcen. Bestimmte Services werden über externe Anbieter bezogen, während andere Anwendungen mit sensiblen Daten im Unternehmen bleiben. Ermöglicht Flexibilität und Skalierbarkeit, während sensible Daten privat gehalten werden können. Erfordert allerdings getrennte und gut definierte Workflows.
Community Cloud:
Geteilte Infrastruktur von mehreren Organisationen mit gemeinsamen Interessen oder Anforderungen. Bietet spezifische Vorteile für die beteiligten Gemeinschaften. Nicht öffentlich verfügbar, sondern nur für die beteiligten Parteien.
Cloud-Sicherheitsrichtlinie:
Die Cloud-Sicherheitsrichtlinie besteht aus festgelegten Regeln und Best Practices, um die Sicherheit von Daten und Anwendungen in der Cloud zu gewährleisten. Damit werden potenzielle Bedrohungen minimiert und die Vertraulichkeit von Informationen sichergestellt. Die Richtlinie beinhaltet unter anderem die Zugriffskontrolle, Datenverschlüsselung, Notfallwiederherstellung und Netzwerksicherheit.
Datenklassifikationsschema:
Bei der Datenklassifizierung werden Daten nach vereinbarten Kategorien organisiert. Damit ist es einfacher für die IT, die wichtigen oder kritischen Daten leicht zu schützen und zu priorisieren. Zudem können gesetzliche Vorschriften einfacher erfüllt werden. Dies ist nicht nur Teil des Risikomanagements für Clouds, sondern auch bei lokaler Datensicherung. Die Klassifizierung ist durch Automatisierungsmöglichkeiten heutzutage schnell und effizient möglich.
Server-Virtualisierung:
Die Server-Virtualisierung ist eine Technologie, bei der ein physischer Server in mehrere virtuelle Server (auch als virtuelle Maschinen oder VMs bezeichnet) aufgeteilt wird.
Die IT-Infrastruktur wird also nicht physisch erweitert, sondern die vorhandenen Hardware-Ressourcen werden auf mehrere virtuelle Umgebungen aufgeteilt Diese VMs können unabhängig voneinander agieren und verschiedene Betriebssysteme und Anwendungen hosten. Dadurch wird die Ressourcennutzung optimiert, sowie die Skalierbarkeit und die Flexibilität der Verwaltung von Servern.
Hyperscaler:
Hyperscaling bedeutet in etwa übermäßig große Skalierbarkeit und bezieht sich auf Anbieter mit einer bestimmte Organisationsform von Servern.
Bei einem Cloud-Computing-System, das aus sehr vielen Servern mit enormen Rechen- und Speicherressourcen besteht, kann die Anzahl der genutzten Server je nach Bedarf angepasst werden - also skaliert. Dadurch können also einerseits eine große Menge an Zugriffen verarbeitet werden, aber auch geringere Kapazitäten bei entsprechender Auslastung zur Verfügung stellen.
IaaS (Infrastructure as a Service):
IaaS bietet Unternehmen Infrastrukturressourcen über die Cloud On-Demand, beispielsweise für Computing, Speicher, Netzwerke oder Virtualisierung. Dadurch müssen die Unternehmen das Rechenzentrum nicht selbst verwalten, wohl aber das Betriebssystem, Daten oder Mittelsoftwares.
PaaS (Platform as a Service):
PaaS stellt Hardware- und Softwareressourcen bereit um Anwendungen zu entwickeln und zu verwalten, ohne die Infrastruktur oder Plattform selbst verwalten zu müssen. Die Kund*innen verwalten daher selbst ihre Daten, Anwendungen und schreiben den eigenen Code, während die Cloud-Anbieter die Umgebung dafür stellt.
SaaS (Software as a Service):
SaaS bietet eine komplette Clpid-Anwendung für Kund*innen. Die Anwendungen werden vollständig vom Anbieter verwaltet, inklusive Wartung, Updates etc. Kund*innen können einfach online über einen Browser auf die Anwendung zugreifen, ohne etwas zu installieren.
Function as a Service (FaaS)/ Serverless Computing:
Mit FaaS können Funktionen oder Codeabschnitte in der Cloud ausgeführt werden, ohne dass permanente Serverinstanzen bereitgestellt werden müssen.
Container as a Service (CaaS):
CaaS funktioniert ähnlich wie IaaS oder PaaS, allerdings werden Anwendungen mithilfe von Containern entwickelt und bereitgestellt. Die Container beinhalten im Gegensatz zur VM kein eigenes Betriebssystem.
Database as a Service (DBaaS):
Bei DBaaS stehen Cloud-Datenbanksysteme zur Verfügung. Auf diese kann zugegriffen werden ohne dazugehörige Hardware oder Installation.
Air Gap:
Eine Air Gap (wörtlich "Luftspalt") ist ein Sicherheitskonzept für höchste Sicherheitsanforderungen. Dieses beinhaltet die komplette physische und auch logische Isolation der Rechner untereinander und von den Netzwerken. Für die Übertragung von Daten werden transportable Speichermedien genutzt. Dadurch können Rechner nicht über ein Netzwerk angegriffen oder gehackt werden.
C5-Testat:
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verwaltet einen Kriterienkatalog mit Mindestanforderungen an sicheres Cloud-Computing, den BSI Cloud Computing Compliance Criteria Catalogue, ergo C5. Dadurch können Cloud-Anbieter die Informationssicherheit ihrer Services transparent darstellen. Mit dem entsprechenden Testat weisen die Anbieter die Einhaltung dieser Anforderungen nach.
Cloud-Stacks:
Bei Cloud-Stacks sind mehrere Cloud-Computing-Dienste in "Schichten" (Stacks) aktiv, um verschiedene Aspekte der IT-Infrastruktur abzudecken. In diesem Verwaltungssystem können die verschiedenen Cloud-Dienste entsprechend aufgesetzt, angeordnet und angepasst und werden. Diese Cloud-Management-Plattform basiert oft einer Open-Source-Software. Der bekannteste Cloud-Stack ist Apache CloudStack.
Deutsche Verwaltungscloud-Strategie
Die Deutsche Verwaltungscloud-Strategie (DVS) ist eine Initiative der deutschen Bundesregierung zur Stärkung der Digitalen Souveränität der IT der öffentlichen Verwaltung. Die Zusammenarbeit zwischen Bund, Ländern und Kommunen soll gefördert und gemeinsame Standards und offene Schnittstellen etabliert werden.
Es existieren bereits verschiedene Cloud-Lösungen auf den Verwaltungsebenen. Diese sind jedoch nur eingeschränkt interoperabel und kompatibel aufgrund der fehlenden Standardisierung. Die DVS soll außerdem der Abhängigkeit von Anbietenden sowie dem Fachkräftemangel entgegenwirken.
Mehr Informationen finden Sie auf der Website des CIO des Bundes zum Thema Deutsche Verwaltungscloud.
