Cloud-Kriterien für Behörden

Der Rat der IT-Beauftragten der Bundesregierung erstellte einen Kriterienkatalog für Behörden, unter welchen Umständen diese Cloud-Dienste einsetzen dürfen. In diesem Katalog sind Mindestanforderungen zu Datenschutz, IT-Sicherheit und Interoperabilität in der Cloud aufgelistet. Erfüllen Behörden die durchaus strengen Regeln, dürfen auch sie künftig Cloud-Dienste der Privatwirtschaft nutzen.

So müssen beispielsweise schützenswerte Informationen zur IT-Infrastruktur oder zu Geschäfts- und Betriebsgeheimnisse ausschließlich in deutschen Rechenzentren verarbeitet werden. Der infrage kommende Cloud-Anbieter muss außerdem eine Vertraulichkeitsvereinbarung unterschreiben, mit der er sich verpflichtet, dass die Daten „nicht in den Bereich fremdstaatlicher Offenbarungspflichten und Zugriffsmöglichkeiten gelangen“. Das wird für die US-Cloud-Unternehmen wie Google, Microsoft und Amazon zur Herausforderung. Denn sie sind gemäß des Patriot Acts dazu verpflichtet, Informationen an das Federal Bureau of Investigation (FBI) und an die National Security Agency weiter zu geben, wenn diese staatlichen Behörden sie einfordern.

Für Amts- und Privatgeheimnisse müssen zudem besondere organisatorische und technische Maßnahmen vorhanden sein, die sicherstellen, dass keine Daten in die Hände von unbefugten Dritten gelangen. Darüber hinaus muss bei der Auswahl der Cloud-Dienste sowohl auf die Migrationskosten geachtet werden als auch darauf, dass die Cloud auf offenen Standards basiert. Letzteres dient dazu, einen Anbieterwechsel leicht zu machen.

Hans-Georg Engelke, der neue Beauftragte der Bundesregierung für Informationstechnik und Vorsitzende des IT-Rats, sieht jedoch keinen Widerspruch im Kriterienkatalog zur eigenen, geplanten „Bundescloud“. Der IT-Direktor im Bundesinnenministerium, Martin Schallbruch, hingegen warnt vor dem Outsourcing der IT. Seiner Meinung nach haben User von Microsoft Office 365 bereits die Kontrolle über weitgreifende IT-Funktionen verloren.