Was Ämter bei der Online-Kommunikation beachten müssen

eGovernmentWelche Voraussetzungen müssen Ämter in Europa erfüllen, um Cloud Computing nutzen zu dürfen?

Zu beachten ist, dass es innerhalb der EU-Länder verschiedene Regeln für Verwaltungen und Regierungen gibt. Zwei Varianten sind möglich: Manche Länder stellen ihre Cloud-Dienste selbst durch eigene Behörden, wie z.B. in Deutschland das Bundesverwaltungsamt für Ministerien. In anderen Ländern hingegen erfolgt die über Outscourcing, indem die IT-Dienste von externen Dienstleistern eingekauft werden. Auch in Deutschland ist dies der Fall, beispielsweise wenn die Regierung SAP und T-Systems Cloud nutzt.

Auf nationaler Ebene hat das Bundesamt für Sicherheit in der Informationstechnik (BSI), und auf europäischer Ebene die ENISA, einen Katalog zusammengestellt, in dem festgehalten ist, worauf Öffentliche Verwaltungen beim Cloud Computing achten sollten.

Das Wichtigste ist sicher, dass man einen nationalen Cloud-Anbieter wählt. Denn im Augenblick ist es noch so, zumindest wenn man die Anforderungen jetzt auf Deutschland bezieht, dass nur ein in Deutschland ansässiger Provider Verwaltungen garantieren kann, dass die deutschen Datenschutzbestimmungen und IT-Sicherheitsanforderungen erfüllt sind. Denn ein Anbieter aus Übersee könnte die Bedingungen, dass Finanzdaten, Gesundheitsdaten oder Steuerdaten wirklich im Land bleiben, nicht erfüllen. Also einfache Aussage: nur nationale Cloud-Anbieter können die gesetzlichen Vorgaben erfüllen.

Doch das ist nicht alles:

1. Der Kunde muss auf die Geschäftsbedingungen achten, z. B. auf die Service Level Agreements (SLA). Dort sollten explit umfassende Regelungen für den Datenschutz und die IT-Sicherheit enthalten sein. Es muss geklärt werden, inwieweit die in den SLAs genannten Paragrafen den eigenen Interessen entsprechen.

2. Es gibt Cloud-Computing-Anbieter, die auch Audits und Zertifizierungen vorweisen können. Noch nicht viele Dienste haben sie, aber wenn Zertifizierungen vorhanden sind, ist das in jedem Fall ein wichtiges Qualitätsmerkmal.

Zusammengefasst hat diese Punkte Dr. Udo Helmbrecht, der geschäftsführenden Direktor der Europäischen Agentur für Netz- und Informationssicherheit (ENISA). Laut Helmbrecht ist es die Aufgabe der ENISA, Regierungen, Behörden und die Europäische Kommission in Sachen IT-Sicherheit und Gesetzgebung zu beraten. Zusätzlich veröffentlicht ENISA für die Mitgliedsländer der EU jährlich ungefähr 30 Studien zum Thema Cloud Computing, Privacy, Kryptografie und Gefahren im Internet in Bezug auf deren Entwicklung und künftige Trends.