Public Sector & Government

Mit der Multi-Cloud-Strategie im Bund einfach anfangen, Harald Joos im Interview

Um den Wissenstransfer zwischen den Behörden auf Bund- und Länderebene sowie den Bürger*innen sicherzustellen, werden Cloud-Lösungen immer wichtiger. Unter dem Stichwort Multi-Cloud soll dieser Weg effizient beschritten werden.

Harald Joos besitzt eine der größten Expertisen in diesem Bereich auf Bundesebene. Seit April 2023 ist er Cloudbeauftragter der Deutschen Rentenversicherung Bund. Davor war er Abteilungsleiter VI, CIO und IT-Beauftragter des Bundesministeriums der Finanzen. Während seiner mehr als 30-jährigen Berufserfahrung in der IT war er verantwortlich für die Leitung mehrerer Großprojekte. Eines der letzten Großprojekte, die Einführung eines bundeseinheitlichen Rentenversicherungsprogramms bei der Deutschen Rentenversicherung Bund, konnte Ende 2017 erfolgreich abgeschlossen werden.

Mit Benjamin Wittekind (Zum Linkedin-Profil) spricht er im Interview über den aktuellen Status der Multi-Cloud-Strategie des Bundes und wo Lösungen in der Zusammenarbeit mit europäischen Anbietern und US-Hyperscalern liegen.


Herr Joos, woran hakt es bei der Umsetzung der Multi-Cloud-Strategie in den Bundesbehörden?

Bei der Multi-Cloud liegt der Fokus auf leistungsfähigen externen Cloud-Rechenzentren, die speziell von der Verwaltung genutzt werden können. Da gab es länger die Diskussion, ob wir so etwas überhaupt brauchen, da wir doch eigene Rechenzentren in der Verwaltung haben. Die Leistungsunterschiede zu den Lösungen aus der Privatwirtschaft sind allerdings sehr hoch und es ist nicht wirtschaftlich, wenn jeder IT-Dienstleister das Gleiche macht: Infrastruktur hochverfügbar bereitstellen und betreiben. Das lässt sich wirtschaftlicher und besser organisieren und ist inzwischen Commodity.

Die IT-Dienstleister sollen sich mehr um die Lösungen auf diesen Plattformen und weniger um den Aufbau und das Betreiben dieser Infrastrukturen kümmern, denn die Personalressourcen in der IT sind begrenzt.

Dann gab und gibt es zum Teil immer noch Diskussionen, ob und in welchem Umfang US-Lösungen genutzt werden sollen. Schwarz-Weiß-Diskussionen lähmen und wir sind nicht wirklich schnell voran gekommen in den letzten Jahren. Das hat sich etwas zum besseren entwickelt.

Wie sollte die Umsetzung der Multi-Cloud-Strategie erfolgen?

Um eine Multi-Cloud-Strategie umzusetzen, muss in einem ersten Schritt geklärt werden, welche externen Cloud-Rechenzentren genutzt werden sollen. Das fehlt bisher noch. Deshalb hatte ich u.a. das Thema Ausschreibung forciert und zwar eine gemeinsame Ausschreibung von Bund und Ländern. Damit lassen sich die meisten Synergien erzielen. Aus meiner Sicht gibt es keine Hinderungsgründe, die dagegensprechen würden.

Die Cloud-Rechenzentren müssen dann in Zusammenarbeit mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft werden, damit sie den Anforderungen an den Datenschutz und die Informationssicherheit entsprechen. Auch hier sind die Ressourcen beim BSI endlich, d.h. wir sollten uns auf eine überschaubare Anzahl von Anbietern begrenzen.

Wie sieht es bei den einzelnen Cloud-Anbietern aus?

Für die Microsoft-Cloud haben wir das Vorgehen exemplarisch in die Wege geleitet. Zu meiner Zeit im Bundesministerium der Finanzen haben wir die Kommunikationsstränge über alle möglichen Bedarfsträger hinweg zusammengezogen, und ein Projekt mit den Stakeholdern aufgesetzt. Die Projektleitung hat das BMF übernommen. Das Projekt ist gut aufgestellt und läuft auch nach meinem Weggang weiter. Dieses Projekt reicht allerdings allein nicht aus und birgt auch gewisse Risiken.

Die Microsoft-Cloud wird von der neu gegründeten Firma DELOS bereitgestellt. Auf dieser Cloud läuft grundsätzlich alles: M365, SAP-Cloud-Lösungen und auch Cloud-native Lösungen. Das ist grundsätzlich gut, birgt allerdings die Gefahr eines Vendor-Lock-ins. Für M365 gibt es zurzeit keine Alternativen. Für andere Lösungen sind Alternativen vorhanden.

Die SAP-Cloud-Lösungen laufen auf den Infrastrukturen von Microsoft, Google und AWS. Damit es Wettbewerb bei den SAP-Cloud-Lösungen gibt brauchen wir mindestens eine zweite US-amerikanische Infrastruktur, die unseren Anforderungen entspricht. Deutsche Telekom/Google bieten diese an. Also sollte es auch hier ein vergleichbares Projekt geben.

Dann bleibt noch Infrastructure as a Service (IaaS). Diese Lösungen bieten viele Cloud-Service-Provider bereits heute an, darunter auch sehr gute, leistungsstarke deutsche Firmen. Also bedarf es eines weiteren Projektes, damit auch diese Infrastruktur abgesichert werden kann. Ich hatte das einmal als „nationalen Hyperscaler“ bezeichnet. Um eine Auswahl tätigen zu können, bedarf es einer Ausschreibung. Und dann müssen alle diese Aktivitäten in einem Programm gebündelt werden, denn Sicherheitslösungen, Key-Management, Identity Management laufen über alle Clouds.

Stand heute gibt es noch kein übergreifendes Multi-Cloud-Programm.

Wie bewerten Sie die aktuelle Zielerreichung?

Wir sind zu langsam.

Vielen läuft die Zeit davon und sie suchen selbst nach Cloud-Lösungen. Wir haben nach wie vor keinen Überblick darüber, wer welche Cloud-Infrastrukturen nutzt. Das macht es schwierig, die Aktivitäten, wie die Absicherung dieser Rechenzentren und andere Dinge zu koordinieren, Synergieeffekte zu erzielen und damit schneller voranzukommen.

Es fehlt uns eine Multi-Cloud-Strategie, die auch operativ umgesetzt wird. Andere europäische Länder sind da schon weiter. Frankreich hat mich immer ziemlich beeindruckt mit seiner Herangehensweise.

Welche Folgen hat das für die unterschiedlichen Stakeholder?

Diese müssen zu lange auf Lösungen warten, die Digitalisierung im öffentlichen Sektor kommt nicht schnell genug voran, der Leistungsunterschied zwischen den Lösungen der Verwaltungen und den am Markt erhältlichen Lösungen wird immer größer.

Die demographischen Auswirkungen in der öffentlichen Verwaltung rücken immer schneller immer näher. Ohne digitale „state of the art“ Lösungen, werden wir es schwer haben, die Herausforderungen in diesem Jahrzehnt zu meistern.

Wir haben andere Anforderungen an die Automatisation, die Verfügbarkeit, die Nachhaltigkeit, die schnelle Skalierbarkeit, den Klimaschutz, die Informationssicherheit, die Barrierefreiheit und vieles mehr, die mit den heutigen Rechenzentren der Verwaltung und den darauf laufenden Lösungen in diesem Jahrzehnt nicht bewältigt werden können.

Das liegt nicht an der Qualifikation und dem Einsatz der Mitarbeitenden in der öffentlichen Verwaltung. Eine Hypothek liegt darin begründet, dass die gesamte Legacy-IT der letzten Jahre zu betreiben ist. Diese Hypothek verschwindet nicht von heute auf morgen. Der tägliche Betrieb bindet zu viele Ressourcen und verlangsamt und erschwert die erforderliche Transformation in den Rechenzentren.

Was müsste sich in Ihrem Idealszenario verändern?

Ich würde nicht von einem Idealszenario sprechen, sondern von einem Szenario, dass sich realistisch in einem überschaubaren Zeitrahmen umsetzen lässt.

Auf dieses Szenario müssen wir uns einigen. Wichtig ist, dass wir Lösungen die verfügbar sind, nutzen können und nicht in Schwarz-weiß-Diskussionen verfallen. Also ein Szenario, dass die eigenen Rechenzentren der Verwaltung und deren private-Cloud-Lösungen, die Deutschen/Europäischen und auch die US-Amerikanischen Cloud-Lösungen einbezieht. Wir müssen alles nutzen können, aber nicht alles nutzen müssen.

Damit können wir in viele Richtungen schnell steuernd einzugreifen und nachjustieren, wenn es erforderlich ist. Wettbewerb zwischen den Cloud-Anbietern ist wichtig, d.h. es muss eine ausreichende Anzahl von Anbietern geben.

Für die heutigen IT-Dienstleister der Verwaltung ergibt sich eine neue Aufgabe als Cloud-Broker und Cloud-Integrator, der die Infrastrukturen anbietet, aber nicht zwingend auch selbst betreibt, denn IT-Infrastruktur ist inzwischen Commodity.

Inwieweit können Sie mit Ihrer neuen Aufgabe in der Rentenversicherung dort ein Vorbild werden?

Die Rentenversicherung ist ein zentraler Bestandteil der Sozialversicherung. Alle Sozialversicherungsträger haben die gleichen Anforderungen: Cloud-Lösungen nutzen zu können, um ihre eigene Unternehmensstrategie damit umsetzen zu können. Das Gute daran ist: Alle behalten Ihre Eigenständigkeit.

Keiner muss sein Rechenzentrum aufgeben und in das eines Mitbewerbers migrieren. Die übergreifende Konsolidierung der IT-Infrastruktur wird zu einem größeren Teil über externe Cloud-Rechenzentren erfolgen, die gemeinsam genutzt werden können und in denen die Daten logisch getrennt sind. Dadurch, dass alle sich auf einer gemeinsamen IT-Infrastruktur bewegen, gibt es ganz andere Möglichkeiten der Zusammenarbeit, Daten zu teilen und auszuwerten, wie z.B. schnell spezifische Datenräume für einzelne Use-cases einzelnen selektierten Usern zur Verfügung zu stellen.

Ich denke z.B. daran, dass wir heute unsere Daten im Internet veröffentlichen, aber leider nicht in der Lage sind, diese in unseren Rechenzentren gemeinsam zu nutzen, denn diese sind normalerweise ziemlich stark vor Außenzugriffen durch die ganze Netzinfrastruktur, Firewalls usw. geschützt. D.h. es fehlen uns „gemeinsame Arbeitsräume“ ohne unsere interne Infrastruktur zu kompromittieren. Das ließe sich sofort umsetzen.

Dadurch, dass die Cloud-Lösungen von allen genutzt werden können aber nicht müssen, behält jeder in der Sozialversicherung seinen Handlungsspielraum. Es können, müssen aber nicht, SAP-Cloud-Lösungen, M365 oder IaaS genutzt werden. Jeder kann sein eigenes Tempo gehen und seine eigene Unternehmensstrategie umsetzen. Die Sozialversicherung mit ihren Beteiligten ist so groß, dass sich hieraus eine starke Wirkung in den Markt hinein ergibt und hohe Synergien erzeugt werden können.

Welche besonderen Anforderungen haben Behörden an Anbieter der Cloud-Technologien?

Ob diese Anforderung so spezifisch sind weiß ich gar nicht. Häufig überlagern Spezialfälle, die meist nur einen niedrigen einstelligen Prozentsatz der Workload ausmachen die Anforderungen.

Exemplarisch angesprochen werden können hier die Nutzung der Netze des Bundes und die Verschlusssachenanordnung. Mit diesen Spezialanforderungen verbauen wir uns die Möglichkeit, viele dringend benötigte Lösungen nutzen zu können.

Ansonsten gilt natürlich: Erfüllung der Anforderungen an den Datenschutz und die Informationssicherheit, die Nachhaltigkeit, die Fähigkeit steuerungsfähig zu bleiben und nachweisen zu können, dass die Anforderungen auch tatsächlich erfüllt werden. Das ist einfacher bei den Deutschen/Europäischen Lösungen zu gewährleisten, also sollten diese im Mittelpunkt stehen.

Wenn die Anbieter der US-Lösungen diese Anforderungen ebenfalls erfüllen, dann sollten auch diese genutzt werden können. Die Public-Cloud-Lösungen der US-Hyperscaler können für einige Use-cases bereits heute genutzt werden, je nach Datenklassifizierung scheiden diese Lösungen allerdings schnell aus. Daher bedarf es ergänzender Lösungen, so wie sie gerade im Entstehen sind.

Welche Herausforderungen sehen Sie dabei im internationalen Kontext EU – US?

Ich lasse einmal die gesamte Diskussion um Safe Harbour, Privacy Shield und den EU-Verhandlungen außen vor (Mehr dazu) und richte den Fokus auf die in Europa genutzte Cloud-Infrastruktur.

Im Augenblick verfolgen die Länder in Europa zunehmend eigene Multi-Cloud-Strategien und es entstehen vermehrt US-Lösungen, mit europäischen Betreibergesellschaften, die eine datenschutzkonforme Nutzung der US-Lösungen ermöglichen.

Google stellt seine Lösungen in mehreren Europäischen Staaten zur Verfügung, in Deutschland in Zusammenarbeit mit der Deutschen Telekom, in anderen Ländern mit anderen Betreibern. Microsoft plant dies in 2024 in Frankreich (Betreibergesellschaft Bleu) und Deutschland (Betreibergesellschaft DELOS). Diese Rechenzentren und deren Infrastruktur sind bereits standardisiert, anschlussfähig und schnell länderübergreifend kombinierbar.

Das, was mit GaiaX skizziert wurde, wird auch mit diesen Lösungen unterstützt. Nach wie vor brauchen wir neben den US-Lösungen eine engere Zusammenarbeit von Europäischen Firmen und eine europäische Infrastruktur-Lösung. Die EU hat daher die Entwicklung einer neuen Cloud-Infrastruktur als „Important Project of Common European Interest“, kurz IPCEI deklariert. Hier soll SAP eine zentrale Rolle einnehmen; das Bundesministerium für Wirtschaft und Klimaschutz hat den Start im Frühjahr 2023 genehmigt[1]. Die Umsetzung wird allerdings noch mehrere Jahre in Anspruch nehmen.

Es zeigt sich daher, dass es auch in Europa zunehmend mehr Schnittmengen gibt, die über eine europäische Multi-Cloud-Strategie gebündelt und etwas koordiniert werden könnten. Diese sollte sich auch daran orientieren, was heute bereits genutzt werden kann und wird.

Was müsste für die Umsetzung der Multi-Cloud-Strategie strukturell verändert werden?

Eigentlich nicht so viel, es müsste einfach nur gemacht werden.

Es reicht, wenn sich einige Große zusammentun und einfach anfangen. Dann wächst das System von allein. Gute Lösungen setzen sich durch. Das wäre schon einmal ein guter Anfang.

Der Bedarf an hochleistungsfähigen, innovativen, nachhaltigen, sicheren und wirtschaftlichen Infrastrukturen, die von allen genutzt werden können ist überall hoch. Ohne leistungsfähige Infrastrukturen wird es sonst auch schwer werden beim KI-Thema und vielen anderen Themen voran zu kommen. Mal sehen, ob wir es in der Sozialversicherung schaffen.

Herr Joos, ich danke Ihnen herzlich für unser Gespräch.


[1] Handelsblatt (24.03.2023): https://www.handelsblatt.com/politik/deutschland/cloud-digitale-infrastruktur-fuer-europa-habeck-gibt-millionenprojekt-von-sap-frei/29056006.html


Weitere Experteninterviews:


Über Cyforwards:
Die Cyforwards GmbH bietet eine integrierte Personalberatung in den Themenschwerpunkten Executive Search und People & Organizational Development. Sie besetzt Führungs- und Fachpositionen überwiegend in der IT-Managementberatung. Der Fokus liegt auf den Branchen Public Sector & GovernmentTransportation & Mobility sowie Healthcare. Als Transformationsberater und -begleiter unterstützt Cyforwards Individuen und Organisationen, ihre Ziele zu erreichen und Potenziale zu entfalten. Benjamin Wittekind gründete das Unternehmen 2018 in München. 

Bild: eigenes

Ihr Ansprechpartner