„Es führt kein Weg mehr an der Cloud vorbei – wir brauchen eine Souveränität“
Dr. André Schulz (VMware) und Claudio Serrano (IONOS Cloud) im Interview über die Vorteile einer Verwaltungscloud, Open Source, das OZG, Cyberkriminalität und die Souveränität.
VdZ: Wie sieht die Zusammenarbeit zwischen VMware und IONOS aus?
Dr. André Schulz: Zum einen virtualisiert und managt fast die gesamte öffentlichen Verwaltung, vor allem Bund und Länder, ihre IT-Infrastruktur mit VMware, und das oft schon seit Jahrzehnten. Ein anderer Aspekt – und da komme ich zu IONOS – sind die großen amerikanischen Hyperscaler. Hier gibt es bei den deutschen Behörden nach wie vor Bedenken, Bürger- und Verwaltungsdaten in eine öffentliche Cloud zu legen, wenn diese im Ausland steht.
Claudio Serrano: IONOS ist ein deutscher Anbieter und wir sehen uns als nationale Hyperscaler-Alterantive. Wir können innerhalb der nationalen Grenzen eine Spiegelung der Infrastruktur, die die IT-Dienstleister in ihren Rechenzentren haben, in einem abgesicherten Rahmen bieten.
Wo sehen Sie die Vorteile für die Behörden in einer Verwaltungscloud?
Dr. André Schulz: Einerseits haben Kunden ihre Rechenzentren bereits mit VMware virtualisiert und automatisiert, andererseits haben wir mit IONOS einen nationalen Hyperscaler, der die Sicherheit bieten kann, dass Bürger- und Verwaltungsdaten in Deutschland bleiben. Ein enormer Vorteil für die Kunden. Die gleiche Software auch bei seinem Cloud-Provider zu haben, wie das bei IONOS der Fall ist, erleichtert dem Nutzer die Anwendung erheblich. Man kann seinen Workload zwischen dem eigenen Rechenzentrum und dem Cloud-Rechenzentrum flexibel hin und her schieben. Das ist ein enormer Vorteil, der z. B. Lastspitzen ausgleichen kann und nebenbei auch noch Energiekosten einspart. Man kann Daten in die Cloud von IONOS schieben und zum Zeitpunkt geringerer Nutzung wieder in die eigene Private Cloud zurückholen. Außerdem sind IT-Fachkräfte Mangelware auf dem Markt. Gerade für die öffentlichen IT-Dienstleister stellt dies ein enormes Problem dar, weil sie offene Stellen kaum besetzen können. Mit dem bestehenden Personalmangel besteht oft keine Chance, den zunehmenden Workload abzuarbeiten. Durch Nutzung der Ressourcen von Cloud-Providern kann das abgefangen werden.
Claudio Serrano: Der „War of Talents” wird immer größer. Die Problematik könnte durch automatisierte Prozesse gelöst werden – es gibt sehr viel Entwicklungspotenzial, das ein einzelner aber nicht stemmen kann. Hierzu wird Know-how benötigt. Cloud-Computing ist mittlerweile etabliert. Man benutzt es, vereinfacht gesagt, wie Strom aus der Steckdose und bezahlt nur, wenn man es nutzt! IT wird nicht mehr in die Zukunft gekauft, sondern man nutzt das, was man gerade braucht.
Dr. André Schulz: Nehmen wir ein aktuelles Thema: Cyberangriffe. Diese nehmen mehr und mehr zu. Alle öffentlichen Rechenzentren sind daher gefordert, mehr in IT-Sicherheit zu investieren. Das stellt eine enorme finanzielle, personelle und technische Herausforderung für die öffentlichen IT-Dienstleister dar. IT-Sicherheit von einem externen Dienstleister wie IONOS zu nutzen, skaliert natürlich ganz anders. Ein großer IT-Dienstleister kann die Investitionen in die IT-Sicherheit finanziell, personell und technisch besser stemmen als die Vielzahl der kleinen Rechenzentren in den Behörden. Ein typisches Beispiel für die Economics of Scale. Zudem setzt gerade IT-Sicherheit ein tiefes technisches Know-how voraus. Obwohl es ein hohes Maß an Kompetenz in Bund und Ländern gibt, welches auf keinen Fall hinter den Unternehmen zurücksteht, führt der Personalmangel auch hier dazu, dass aus eigenen Kräften die notwendigen Maßnahmen zum Schutz vor Cyberangriffen immer weniger erfüllt werden können.
Claudio Serrano: Ein konkretes Beispiel, welches erst vor Kurzem bei Linux und Android aufgetreten ist, ist die Sicherheitslücke „Dirty Pipe”. Die ermöglicht es Angreifern im Grunde, die komplette Kontrolle zu erlangen. Ein Entwickler von IONOS hat diese Schwachstelle festgestellt und in enger Abstimmung mit dem Linux-Kernel-Team einen Patch bereitgestellt. Dafür braucht man natürlich Fachwissen. Logischerweise ist es einfacher, Sicherheitslücken zu beheben, wenn man dafür Fachleute hat, die sich den ganzen Tag damit beschäftigen.
Für wie sicher schätzen Sie denn die Cloud-Lösung ein?
Claudio Serrano: Hundertprozentige Sicherheit gibt es in der IT nie. Aber – es gibt Verfahren und Strategien, wie man Sicherheit optimiert. Dafür ist das Know-how extrem wichtig. Unsere Mitarbeiter beschäftigen sich jeden Tag damit, Websites vor Angriffen zu schützen. Das ist eine unserer Kernaufgaben. Für unsere Kunden ist die Cloud dagegen meist ein Mittel zum Zweck. Sie sollten sich auf ihre Kernaufgaben wie zum Beispiel die Verbesserung der öffentlichen Verwaltung konzentrieren.
Dr. André Schulz: Wir sehen bei unseren Kunden, sowohl privaten als auch aus dem öffentlichen Bereich, dass dort teilweise 70 oder mehr Sicherheitstools im Einsatz sind. Diese enorme Anzahl an Sicherheitstools muss verwaltet, gemanagt und organisiert werden. Man muss sie regelmäßig updaten – ein enormer Aufwand. Und vor allem müssen diese verschiedenen Sicherheitstools auch technisch miteinander verzahnt werden, damit sie als Ganzes ein mehr an Sicherheit bieten. Bei der Komplexität ist das praktisch nicht mehr machbar. Die meisten Kunden haben dafür weder das Know-how noch die Anzahl an Mitarbeitern, um das umzusetzen. Durch mehr Tools wird daher nicht unbedingt mehr Sicherheit geschaffen – teilweise ist das Gegenteil der Fall. Daher plädieren wir für vollintegrierte Sicherheitslösungen, die die Komplexität reduzieren und das Sicherheitsniveau erhöhen.
Inwiefern könnte das OZG von Cloud- und Open Source-Lösungen profitieren?
Dr. André Schulz: Das OZG hat ganz klare Vorgaben, was die Digitalisierung der Verwaltungsleistungen angeht und das stellt seit Jahren Bund, Länder und Kommunen vor enorme Herausforderungen. Es gibt nur wenige Verfahren, die ausschließlich beim Bund liegen. Die meisten Verwaltungsleistungen für die Bürger liegen allerdings bei den Kommunen. Da müssen Anwendungen neu geschrieben werden. Damit das überhaupt technisch schnell und sicher umsetzbar ist, bieten IONOS und VMware Tools und Verfahren, um Anwendungen zu modernisieren und sie danach auf einer sicheren Plattform zu betreiben.
Claudio Serrano: Durch die Vielzahl der Fachverfahren im öffentlichen Dienst werden unzählige Systeme nebeneinander betrieben: vom Office über die Hundesteuer bis SAP und vieles mehr. VMware und IONOS spezialisieren sich auf ausgewählte Kernkompetenzen und bieten die Infrastruktur für die Behörden statt die Behörden End-to-End alles selbst organisieren zu lassen. So können sich die Behörden auf die Inhalte fokussieren und wir auf die Infrastruktur. Ich glaube, es muss eine Trennung geben. Es gibt niemanden, der ein besseres Know-how hat in der öffentlichen Verwaltung als die öffentliche Behörde selbst. Das heißt, sie müssen sich darum kümmern, wie ihre fachspezifischen Anwendungen umgesetzt werden.
Wie souverän ist eine Verwaltungscloud, wenn die Software und die Infrastruktur von zwei Unternehmen bereitgestellt wird?
Claudio Serrano: Wir sagen dazu ganz klar – es sollte kein Vendor-Lock-in geben. Das bedeutet, dass die Behörde jederzeit in der Lage sein sollte, einfach und schnell den Anbieter zu wechseln ohne vertragliche oder operative Hürden. Damit bleiben die Behörden anwendungssouverän. Das ist mit einer Multi-Cloud-Architektur am besten erreichbar. Damit bleibt der Staat unabhängiger.
Dr. André Schulz: Auch zum Thema Vendor-Lock-in – wir haben eine Multi-Cloud-Plattform, die es ermöglicht, dass Workloads flexibel hin und her geschoben werden können. Das bietet genau diese Unabhängigkeit. Die Kunden sind nicht bei einem Anbieter geblockt.
Bietet insbesondere Open Source noch mehr Unabhängigkeit?
Dr. André Schulz: Man meint ja, dass man mit Open Source dieser Herstellerabhängigkeit entschwinden kann. Auf der anderen Seite steht ein großer Hersteller wie VMware, der eine komplette, vollständig integrierte Plattform mit Multi-Cloud Angeboten bereitstellt. Man könnte auf die Idee kommen die einzelnen Bausteine durch Open Source Komponenten zu ersetzen. Das hört sich schön an und die öffentliche Verwaltung hat auch häufig die Vorstellung, dass das funktioniere. Wenn aber einer dieser Bausteine nicht mehr weiterentwickelt wird, dann steht die gesamte Maschinerie komplett still. Eine singuläre Abhängigkeit wird ersetzt durch eine multiple Abhängigkeit, wodurch noch mehr Risiken entstehen.
Claudio Serrano: IONOS bekennt sich klar zu Open Source. Aber in Sachen Digitalisierung ist oft auch Geschwindigkeit der Schlüssel. Die Frage ist, wie der Anwender schnell cloudbasierte Anwendungen nutzen kann. Und wenn ein Problem auftaucht, dann brauche ich jemanden, der sich schnell darum kümmert. Stand heute nutzen etwa 70 bis 80 Prozent der Behörden in ihren Rechenzentren VMware. Für einen raschen und einfachen Einstieg in die Cloud bietet es sich also an auf VMware zu setzen, da der Nutzer sich hier heimisch fühlt und bereits Expertise hat. Trotzdem muss immer der Einzelfall betrachtet werden – wo macht welche Applikation Sinn? Es ist nicht schwarz-weiß – Open Source macht in vielen Bereichen Sinn.
Dr. André Schulz: Das möchte ich auch unterstützen. Auch VMware ist ein Verfechter von Open Source. 100 Prozent unserer Produkte bestehen aus Open Source Komponenten. Es gibt kein einziges Produkt von VMware, welches nicht auf Open Source basiert. Wir sind einer der größten Beitragenden in die Open Source Community. Im Bereich Kubernetes sind wir nach Google der zweitgrößte Kontributor in die Open Source Community. Wir haben seit Anbeginn von VMware 3500 Open Source Projekte in der Community initiiert, die teilweise noch laufen. Wir entwickeln selbst Software, die wir dann in die Open Source Community stellen. Der Grund ist, dass Open Source heute ein wesentlicher Katalysator für Technologie-Lösungen ist. Open Source ist die Software der modernen Welt. Wir kombinieren Open Source mit unserem proprietären Code zu wesentlich vollständigeren und individuelleren Lösungen, als das bisher der Fall gewesen ist. Das ist das, was ein Softwarehersteller heute macht. Wir sehen Open Source als Treiber von Innovation. Der Nutzer muss es zudem betreiben können. Wenn er sich nun selbst die Komponenten besorgt, dann hat er einen Code – sobald ein Problem auftritt, braucht er aber Support. Was macht er, wenn der Code erweitert werden muss? Keiner schaut sich zwei Millionen Code Zeilen an und versucht die eine zu verändern, die er braucht. Das ist die Aufgabe von uns – VMware und IONOS – daraus ein Komplettpaket zu machen. Deswegen spielt Open Source eine große Rolle, aber nur Open Source, das der Nutzer allein betreibt und weiterentwickelt, das ist eine Vorstellung, die nicht funktioniert.
Claudio Serrano: Genau, darum muss es gehen – wer ist Herr über die Daten? Wie kommen die Daten von rechts nach links? Souveräne Verwaltungscloud MIT Open Source. Aber man sollte nicht auf die Idee kommen, dass die Verwaltungen das allein stemmen können. Das wäre eine Sackgasse. Stattdessen sollte man mit großen Firmen, die das Know-how und das Personal mitbringen, arbeiten. So braucht es nur einen Anruf. Uns ist wichtig, den Behörden Wege aufzuzeigen.
Vielen Dank für das Gespräch Herr Dr. Schulz und Herr Serrano.