ENISA, die EU-Agentur für “Internetsicherheit”, hat einen neuen Bericht über staatliches Cloud Computing veröffentlicht. Der Bericht richtet sich an Führungskräfte an öffentlichen Stellen, die eine sicherheits- und stabilitätsorientierte Entscheidung darüber treffen müssen, wie und ob ihre Behörde überhaupt an Cloud Computing teilnehmen soll. Das Hauptziel des Berichts ist es, staatliche Stellen auf ihrem Cloud-basierten Weg bei der risikobewussten Entscheidungsfindung in Bezug auf die Datensicherheit, die Zuverlässigkeit der Dienstleistungen und die Einhaltung von gesetzlichen Vorschriften zu unterstützen. Er stellt auch die Vor- und Nachteile im Hinblick auf Sicherheit und Zuverlässigkeit von gemeindespezifischen, privaten und öffentlichen Cloud-Computerdiensten für Körperschaften des öffentlichen Rechts heraus.
“Der neue Bericht bietet der höheren Führungsebene ein Modell zur Entscheidungsfindung, um aus dem Blickwinkel der Sicherheit und Zuverlässigkeit die beste Cloud-Lösung zu bestimmen”, so Herr Daniele Catteddu, der Verfasser des Berichts. Der Bericht erklärt im Einzelnen die verschiedenen Schritte des Entscheidungsfindungsmodells und wendet das Modell auf vier Muster-Dienstleistungen an (elektronische Gesundheitsdienste, elektronische Verwaltungsverfahren, E-Mail und Anwendungen im Personalwesen). Die Analyse und die Schlussfolgerungen basieren hauptsächlich auf drei Szenarien, die den Übergang einer Gesundheitsbehörde und einer Gemeindeverwaltungsbehörde zu Cloud Computing sowie die Schaffung einer staatlichen Cloud-Infrastruktur beschreiben.
Die Agentur zieht die Schlussfolgerung, dass private und gemeindespezifische Clouds offenbar die besten Lösungen für den Bedarf von staatlichen Verwaltungsbehörden darstellen, wenn diese das höchste Mass der Datensteuerung anstreben. Wenn eine private oder gemeindespezifische Cloud nicht die nötige kritische Masse erreicht, werden die meisten Vorteile des Cloud-Modells im Hinblick auf Sicherheit und Zuverlässigkeit nicht in die Praxis umgesetzt.
Der Geschäftsführende Direktor der Agentur, Prof. Udo Helmbrecht, kommentiert: “Die öffentliche Cloud bietet ein sehr hohes Mass an Verfügbarkeit von Leistungen und ist am kostengünstigsten. Dennoch sollte sich ihre Nutzung zum gegenwärtigen Zeitpunkt auf nicht heikle und unbedenkliche Anwendungen beschränken, und zwar im Kontext einer gut definierten Adaptierungsstrategie mit einer klaren Ausstiegsstrategie.”
Der Bericht gibt Regierungsbehörden und staatlichen Stellen verschiedene Empfehlungen, darunter folgende:
-
Staatsregierungen und EU-Institutionen sollten das Konzept einer EU-Regierungs-Cloud untersuchen.
-
Cloud Computing wird bald mit seinen Dienstleistungen einer bedeutenden Zahl von EU-Bürgern, kleinen und mittelständischen Unternehmen und Körperschaften des öffentlichen Rechts zur Verfügung stehen. Die Staatsregierungen sollten daher eine Cloud-Computing-Strategie vorbereiten und die Rolle untersuchen, die Cloud Computing im Hinblick auf den Schutz von empfindlichen Informationsstrukturen (Critical Information Infrastructure Protection, CIIP) spielen wird.
-
Eine staatliche Cloud-Computing-Strategie sollte die Auswirkungen von nationaler/supranationaler Interoperabilität und von gegenseitigen Abhängigkeiten sowie von kaskadierenden Störfällen berücksichtigen und die Betreiber von Clouds in die Berichterstattungs-Programme nach NAKNAK 4 und 13 der neuen Rahmenverordnung zur Telekommunikation einbinden.
Der vollständige Bericht und alle Empfehlungen sind hier zu finden: http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds/