Vertrauen, Sicherheit und Cloud Computing – ein Widerspruch?

Glaubt man den großen, meist amerikanischen Anbietern und den euphorischen Prognosen der Analysten, bietet Cloud Computing Unternehmen und der Öffentlichen Verwaltung neue Wege der IT-Unterstützung. Für die IT-Infrastruktur, die Organisation, Steuerung und Aufbewahrung von Daten und Informationen sowie geschäftsrelevante Applikationen wird die gesamte Palette abgedeckt.  Laut Computerwoche verbirgt sich dahinter der Sammelbegriff für eine Reihe von Diensten, die immer mehr Aufgaben eines lokalen Rechners in die Infrastruktur des Netzes bringen sollen.[1] Die Vorteile sollen von der Kostenersparnis durch die Einsparung von eigener IT Infrastruktur bis hin zur ständigen Verfügbarkeit relevanter Daten reichen.

Stets präsente Themen bleiben Sicherheit und Vertrauen. Geschäfts- und personenbezogene Daten, die irgendwo im World Wide Web herumschwirren erregen bei den meisten Anwendern nicht unbedingt Vertrauen und es ist schwer vorstellbar, dass eine derart „losgelöste“ Technologie tatsächlich die hohen Anforderungen der Datensicherheit (u. a. §9 Bundesdatenschutzgesetz[2]) erfüllen kann.  Ein sehr kritischer Punkt ist die Frage des Vertrauens. Kann ich meinem Anbieter vertrauen wenn dieser beispielsweise den Bedingungen des Patriot Act unterliegt? Sind dann Versicherungen zum Schutz meiner Daten jeglicher Art nicht doch Makulatur? Wie sieht es mit dem Schutz meiner Daten und meinem Selbstbestimmungsrecht über deren Verwendung bei Daten aus, die wie auch immer bei Amazon®, Google™ oder Facebook® landen und dort ohne mein Wissen gespeichert werden?

Wie kann man die Vorteile von Cloud Computing nutzen und trotzdem die erforderlichen Sicherheits- und Compliance-Anforderungen erfüllen?

Diese Frage haben wir uns gemeinsam mit unseren Partnern Microsoft Deutschland GmbH und Atos IT Solutions and Services GmbH (vorher Siemens IT Solutions and Services) in einem geschäftsrelevanten Demonstrationsprojekt gestellt. Und um die Angelegenheit interessant und die Anforderungen realistisch zu gestalten, haben wir uns für ein Szenario aus dem Öffentlichen Bereich entschieden.

Unser Beispiel behandelt einen täglichen Anwendungsfall im Bereich der Registergerichte: Ein Unternehmen verlegt seinen Dienstsitz von Essen nach Stuttgart. Demzufolge müssen alle im Handelsregister hinterlegten Dokumente des Registerordners und der Registerakte umziehen. Bisher mussten dazu sämtliche Dokumente manuell erstellt und in den Registern der neu zuständigen Behörde in mehreren Prozessschritten erfasst werden. Man kann sich gut vorstellen, wie viele dieser Vorgänge jährlich abgewickelt werden müssen.

Die Potentiale von Cloud Services erschließen sich in einem solchen Geschäftsprozess: Ein immer wiederkehrender und allgemein bekannter Prozessablauf wird im Sinne von E-Government als „public Cloud Process“ entwickelt und auf einer Microsoft Windows Azure™ public Cloud Infrastruktur zur Verfügung gestellt. Die Daten, Informationen und Dokumente werden je nach geforderten Anforderungen in sicheren und geschützten Container verwaltete und können mittels vielfältiger Kommunikationswege (public Cloud, Government Cloud, private Cloud oder peer-to-peer) ausgetauscht und ggf. direkt nach Benutzerinteraktion in die bestehenden IT-Infrastrukturen übernommen werden.

Umsetzung im Demonstrationsshowcase

Die beiden zuständigen Behörden tauschen die Daten via Cloud Service aus. Die bisherige Verwaltung extrahiert die relevanten Unterlagen in einer einfachen Art und Weise mittels einer Office Business Gateway (OBG) -basierten Lösung aus z. B. dem vorhandenen Dokumentenmanagement System[3] und stellt dieses Paket mehrfach verschlüsselt (Zone 1: Dokumentebene, Zone 2: Aktenstruktur, Zone 3: Kommunikationsinformationen – vergleichbar mit den Informationen eines Einschreibens mit Rückschein) in der Cloud bereit. Das neue zuständige Amtsgericht erhält z. B. mittels sicherer E-Mail eine entsprechende Benachrichtigung und die notwendigen Zugriffsinformationen zum Public Cloud Prozess, analysiert die Informationen aus dem Container der Zone 3 und hat bei Zuständigkeit und Berechtigung direkten Zugriff auf die Daten, Informationen und Dokumente und kann den entsprechenden Vorgang sofort bearbeiten. Setzte der Empfänger ebenfalls eine OBG-Lösung ein, kann er analog dem Sender die übernommene Akte ebenfalls sehr einfach aus seinem Outlook heraus in seine eigene Infrastruktur übernehmen.

Durch eine integrierte Arbeitsweise kann die öffentliche Verwaltung dank des geringeren Personal-, Kommunikations- und Zeitaufwands ihre Betriebs- und Prozesskosten erheblich senken und würde die die Bearbeitungszeiten bei den Amtsgerichten reduzieren. Zu diesem Ergebnis kam bereits eine von Microsoft® beauftragte Studie des Fraunhofer Instituts, die ein Kundenprojekt im Land Hessen begleitete. Das Ergebnis besagt, dass mit der kontextbasierten Arbeitsweise eine Reduzierung der Nettoarbeitszeit um zwei Drittel bei gleichzeitiger Steigerung der Datenqualität erreicht werden kann.“ [4]

Kehren wir noch einmal zu den Themen Sicherheit und Vertrauen zurück. Oben wurde die Bereitstellung der Daten als „verschlüsselt in der Cloud“ beschrieben. Eine Verschlüsselung von sensitiven Daten muss jedoch ein hohes Maß an Komplexität aufweisen, damit nicht die Gefahr des unberechtigten Zugriffs entsteht. Also realisierten wir verschiedene Sicherheitsstufen mit der strikten Trennung zwischen dem Prozess und den auszutauschenden Informationen, Dokumenten und Daten. So können zum Beispiel die Workflows mit normalen, verschlüsselten Nutzdaten in der public Cloud (Azure™) ablaufen und besonders sensible bzw. besonderen Restriktionen unterliegende Daten und Dokumente in einer internen private Cloud Umgebung transportiert werden. Je nach den individuellen Anforderungen ist so ein mehrstufiges Sicherheitskonzept realisierbar.


Combionic Cloud Sicherheit Architektur

Um dieses Projekt in der beschriebenen Form zu realisieren, wurden verschiedene unserer Technologien und Technologien und das Wissen unserer Partner Microsoft® und Atos IT Solutions and Services GmbH (vorher Siemens IT Solutions and Services) eingebracht. Microsoft ermöglichte die Standardisierung und Automatisierung der Prozesse in der Cloud mit der Cloud-Plattform Windows Azure™. Atos IT Solutions and Services GmbH (vorher Siemens IT Solutions and Services) brachten ihre Expertise zur elektronischen Akte in das gemeinsame Projekt ein, Combionic und Microsoft® implementierten den Geschäftsprozess auf der Azure-Plattform und integrierten die beteiligten Applikationen.

Demovideos bei Microsoft Showcase:

http://www.microsoft.com/de-de/showcase/details.aspx?uuid=68b72473-93b3-469c-8f06-b343da1bdeab

http://www.microsoft.com/de-de/showcase/details.aspx?uuid=95f38232-0dda-4436-8c30-783654be6923

http://www.microsoft.com/de-de/showcase/details.aspx?uuid=6d56f498-339f-4e78-ab39-5da267b06609


[3] Zum Beispiel das oft in der Verwaltung genutzte Dokumentenmanagement System Domea® von OpenText.

[4] Vgl. Wirtschaftlichkeit und Interoperabilität des ‚Modernen Verwaltungsarbeitsplatz‛ (MVAP) an Musterprozessen im Arbeitsschutz Wiesbaden Fraunhofer Instituts, Fraunhofer Institut für offene Kommunikationssysteme und Fraunhofer Institut für Arbeitswirtschaft und Organisation, 2009.

About these ads