Die Bundes-Cloud – ein feuchter Traum des Innenministeriums und der deutschen Cloud-Industrie?

Vor Weihnachten gingen Meldungen zur „Bundes-Cloud“ durch die Presse, unter anderem bei der Wirtschaftswoche und heise. Da es 2012 wirklich damit Ernst werden soll, möchte ich dies nicht unkommentiert lassen.

Die Bundes-Cloud ist ein feuchter Traum von Innenministerium und der deutschen „Cloud-Industrie“, insbesondere vom Platzhirsch T-Systems.

Unternehmen und Behörden sollten die Bundes-Cloud mit einem lachenden und einem weinenden Auge sehen. Lachend deshalb, weil die Bundes-Cloud vermutlich eine höhere Konformität mit den Anforderungen des Bundesdatenschutzgesetzes herstellen wird. Die geplanten Cloud-Schutzprofile des BSI sind aus Sicht der Informationssicherheit grundsätzlich auch zu begrüßen. Die Bundes-Cloud exklusiv für Behörden, wie auch immer sie aussehen mag, könnte auch tatsächlich als Einstiegsdroge in der öffentlichen Hand wirken.

Weinend, da die Bundes-Cloud per se nicht unbedingt sicherer ist als andere Clouds. Ja, man entwindet sich dem legalen Zugriff fremder Staaten auf deutsche Daten. Aber was sagt das über das heutige und künftige Sicherheitsniveau aus? Entweder das BSI erzeugt seine Schutzprofile auf Basis des Wissens erfahrener Dienstleister wie der T-Systems. Dann werden die Bundes-Cloud und nach den Schutzprofilen zertifizierte Clouds vermutlich nicht deutlich sicherer als gute bestehende Angebote.

Oder das BSI denkt sich etwas Neues aus. Dann bleibt abzuwarten, wie die Akzeptanz der Schutzprofile in der Branche ausfällt. Es ist nicht auszuschließen, dass der Schuss hier nach hinten losgeht.

Aber kommen wir auf das Wesentliche: die Bundes-Cloud ist ein Versuch einzelner Akteure, einen Markt von Wettbewerbseinflüssen abzuschotten. Der Kunde bezahlt das vermeintlich sicherere Angebot möglicherweise mit einem höheren Preis. Frankreich hat übrigens mit „Andromède“ etwas Ähnliches auf den Weg gebracht, allerdings im Stil eines Konsortiums mit derzeit rasch wechselnden Partnern.

Und wenn sich das Bundesinnenministerium dafür einsetzt, macht mich das erst recht misstrauisch. Sollen hier deutsche Unternehmen vor Wirtschaftsspionage geschützt werden? Dann wäre die Cloud nur einer von unzähligen Ansatzpunkten. Deutsche Unternehmen schicken zum Beispiel nach wie vor Milliarden von E-Mails unverschlüsselt um den Globus – De-Mail wird hier auch keine spürbare Linderung schaffen. Oder hat das Innenministerium vielleicht sogar ein Interesse daran, dass sich einheitliche Clouds etablieren, die Lawful Interception sinnvoll erweitern?

Das ist alles Spekulation. Was aber feststeht: hier haben einzelne Vertreter der deutschen Cloud-Industrie sehr gute Lobbyarbeit zustande gebracht. Nur bedingt zum Vorteil des Kunden.