Dr. phil. Sybille Bachmann. Entscheidungsmodell für den Einsatz von Cloud Computing in Kommunen

Transkript

1 Dr. phil. Sybille Bachmann Entscheidungsmodell für den Einsatz von Cloud Computing in Kommunen Universitäts- und Hansestadt Rostock 07. März 2011

2 Inhaltsverzeichnis Einleitung 2 1. Cloud Computing 1.1 Begriffsklärung Kommunen als Vorreiter von Cloud Computing Einsatzbeispiele von Cloud Computing in Kommunen Cloud Computing als Form von Outsourcing und Kooperation 2.1 Generelle Bedeutung von IT Bedeutung von IT-Outsourcing und IT-Kooperationen Outsourcing- und Kooperationscharakter von Cloud Computing Chancen von Cloud Computing Risiken von Cloud Computing Cloud Computing und Sicherheit 3.1 Aktuelle Debatte Private Cloud als Lösung Politische und wirtschaftliche Implikationen 4.1 Politische Implikationen Wirtschaftliche Effekte Strategische Entscheidungen der Verwaltung der Hansestadt Rostock Entscheidungsmodell für Cloud Computing von Kommunen 5.1 Betriebswirtschaftliche Entscheidungsmodelle Entscheidungskriterien und Entscheidungsprozess für das Outsourcing von IT Entscheidungsmodell für Cloud Computing in Unternehmen Zusatzkriterien bei Cloud Computing von Kommunen Entscheidungsmodell für Kommunen 79 Zusammenfassende Thesen 92 Quellennachweis 97

3 Einleitung Viele Gemeinden müssen derzeit kräftig sparen. Nicht selten setzt der Rotstift auch bei der IT an. Dabei lassen sich durch IT und in der IT Kosten senken, bei gleichzeitiger Verbesserung von Servicequalität und Arbeitsabläufen. Hinzu kommt: IT wird zunehmend zu einem strategischen Faktor, der neue Dienstleistungen ermöglicht und weit mehr ist als ein bloßes Unterstützungsinstrument. Ein viel debattiertes und äußerst facettenreiches Thema der IT-Zukunft mit zugleich hohem Kostensenkungspotential ist das sog. Cloud Computing. Der IT Security Forecast 2010 der scip AG konstatierte: Die Jahre 2010 und 2011 werden voraussichtlich ganz im Zeichen von Cloud Computing (SaaS) stehen. Schon in 2009 konnte ein signifikanter Anstieg des Themas bei Herstellern, Nachrichtenportalen und Blogs beobachtet werden. (Vgl. scip 2010, S. 1) In den USA wird nicht mehr die Frage von Cloud Computing als Hype oder Zukunftsstrategie debattiert, sondern die US-Regierung hat sich entschieden, Cloud Computing für die Modernisierung der Verwaltungsinfrastrukturen aller Staatsebenen zu nutzen. Der neue Chief Information Office (CIO) der Obama-Administration, Vivek Kundra, hat mit Apps.gov eine neue Website gestartet, auf der Regierungseinrichtungen zertifizierte Cloud-Computing-Dienste buchen können. Anzumerken ist jedoch, dass in den USA deutlich bessere und billigere Web-Anschlüsse zur Verfügung stehen als in Deutschland, somit also bessere Voraussetzungen gegeben sind. Im Herbst 2010 wechselte die Stadt Los Angeles als eine der ersten Verwaltungen der Welt in die Cloud. Vierzig Ämter nutzen Google Apps Suite mit , Kalender, Dokumenten und Tabellen, Google Sites, Instant Messaging und Videokonferenzen. Darüber hinaus liefert der Anbieter CSC sog. Trusted Cloud Services, die Systemintegration, Systemsicherheit, Training, Migration und andere Endanwender-Services beinhalten. Es handelt sich um die bisher größte staatliche und kommunale Cloud- Computing-Implementierung, in die mehr als städtische Mitarbeiter einbezogen sind. Neben dem egovernment wird die neue elektronische Zusammenarbeit auch für Polizeiermittlungen verwendet. (Vgl /csc) 2 Anfang 2011 soll die Pilotphase einer Cloud-Computing-Plattform speziell für Kommunalverwaltungen in den USA seitens IBM starten (Municipal Shared Services Cloud). Verwaltungsdaten sollen besser verknüpft und eine effizientere Verwaltung der Services ermöglicht werden. Um den hohen Sicherheitsanforderungen gerecht zu werden, erhält jede Verwaltung einen eigenen Platz auf der Plattform. Damit soll ein ungewollter Datenaustausch ausgeschlossen sein. Vorgesehen ist, bei Verwaltungen in den US-Bundesstaaten New York und Michigan zu starten und das Angebot dann auf weitere Städte auszudehnen. Mitte 2011 soll die Pilotphase abgeschlossen sein. (Vgl. und Im November 2010 hat die Stadt New York einen weit reichenden Rahmenvertrag mit dem Software-Konzern Microsoft abgeschlossen. Beide Seiten haben eine fünfjährige Partnerschaft vereinbart, um die IT-Infrastruktur der US-amerikanischen Metropole zu modernisieren und in die Cloud zu überführen. In einem ersten Schritt sollen der Verwaltungsmitarbeiter über Cloud-Lösungen kommunizieren und zusammenarbeiten. Im Rahmen ihrer SimpliCity-Initiative will die Stadt mit Hilfe der Microsoft-Technologie zudem ihre Prozesse effizienter gestalten, Kosten reduzieren und den Dialog zwischen Verwaltung und Unternehmen vor Ort intensi-

4 vieren. Binnen fünf Jahren sollen damit bis zu 50 Millionen US-Dollar eingespart werden. Zudem wird New York City die mehr als 40 Lizenzverträge unter einem Rahmenvertrag bündeln. (Vgl. und microsoft. com) Ende November 2010 hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mit 13 europäischen Partnern aus Wissenschaft und Wirtschaft das Projekt Trustworthy Clouds (TClouds) gestartet. Ziel ist die Entwicklung einer datenschutzkonformen Cloud-Computing-Infrastruktur binnen drei Jahren. Diese soll die Verarbeitung personenbezogener Daten oder sensibler Firmendaten in der Cloud ermöglichen. Darüber hinaus sollen neue offene Sicherheitsstandards und effektive Cloud-Management-Komponenten entwickelt werden. Das TClouds-Projekt wird von der EU mit 7,5 Millionen Euro gefördert. Das gesamte Projektvolumen beträgt etwa 10,5 Millionen Euro. (Vgl. Der Deutschland-Chef von Hewlett Packard Volker Smid meinte am , die öffentliche Verwaltung könne beim Einsatz von Cloud-Computing-Angeboten eine Vorreiterrolle einnehmen. Sie könne zudem mit Cloud Computing Innovationspotenzial erschließen, um IT-Kosten zu senken, die Verwaltungseffizienz zu steigern und Bürgerdienste weiter auszubauen. (Vgl. HP 2010, S. 1) Eine gemeinsame Studie von Fraunhofer FOKUS und der Hertie School of Governance, die ISPRAT-Studie Kooperatives egovernment - Cloud Computing für die öffentliche Verwaltung, die am im Vorfeld zum 5. Nationalen IT Gipfel in Berlin vorgestellt wurde, kam zu dem Schluss, dass Behörden zukünftig auf Cloud Computing setzen wollen. Cloud Computing verspreche ein großes Potenzial zur Modernisierung der behördlichen IT und den Rechenzentren sowie zur Konsolidierung von IT-Ressourcen. (Vgl. Cloud Computing 2010) 3 Anfang Dezember 2010 hat der IT-Dienstleister ITDZ Berlin eine Cloud-Computing- Testplattform für die Berliner Verwaltung aufgebaut (vgl. Auf dem 5. Nationalen IT-Gipfel Deutschland wurde in der Dresdner Vereinbarung vom festgelegt, dass das Markenzeichen Cloud Computing Made in Germany geprägt werden soll. Es wurden Maßnahmen definiert, die zu einer raschen Umsetzung der Strategie Deutschland Digital 2015 der Bundesregierung beitragen sollen. (Vgl. BMWi 2010 c) Bund, Länder und Kommunen verfügen schätzungsweise über ein IT-Budget von 17 Milliarden Euro im Jahr und könnten mit dem Einsatz von Cloud-Angeboten Einsparungen im zweistelligen Prozentbereich erzielen. Sie könnten eigene oder externe Rechenzentren effizient einsetzen und redundante IT-Infrastruktur einsparen. Bund, Länder und Kommunen könnten damit eine Vorreiterrolle einnehmen und die Akzeptanz bei den Verbrauchern fördern. ( management/ cloud-computing/ ) Fazit: Cloud Computing gewinnt immer größere Bedeutung. Eine Herausforderung für Verwaltungen ist die Entscheidung, welche Services zukünftig "aus der Wolke" bezogen werden sollen. Bisher fehlen fundierte Entscheidungsmodelle. Die nachfolgende Arbeit möchte Lösungsansätze bieten, beginnend mit der Klärung des Phänomens, fortsetzend mit der Einordnung in die Outsourcing-Problematik und Fragen der Sicherheit, weitergehend zu Chancen und Risiken bis hin zu politischen Implikationen und letztlich Entscheidungskriterien.

5 1. Cloud Computing 1.1 Begriffsklärung In der Informationstechnologie dominierten bislang zwei klassische Modelle der Datenverarbeitung: Zum einen das zentrale Mainframe-Modell (Hochleistungscomputer in Rechenzentren), zum anderen das neuere Client/Server-Modell (Personal Computer in Verbindung mit zentralen Servern). Als nächster Entwicklungsschritt ist nun ein drittes Modell hinzugekommen, das so genannte Cloud Computing. (Vgl. Singer 2010, S. 1) Wellen in der IT-Entwicklung: 1990-er Jahre: PC 2000-er Jahre: Internet 2010-er Jahre: Cloud Peter Arbitter, Senior Vice President bei T-Systems Dabei werden Software und Daten nicht mehr lokal bearbeitet bzw. gespeichert (z.b. auf einem Tischrechner), sondern auf einer externen Infrastruktur. Grundprinzip ist das Auslagern von Software- oder sogar Hardwarefunktionen der Anwender, so dass in vielen Fällen gar nicht mehr genau feststellbar ist, wo sich die ausgelagerten Informationen oder Anwendungen in der Wolke befinden. Die zugrunde liegende Technologie ist nicht neu, doch die Konsequenzen für die Geschäftsmodelle von IT- Anwendern und IT-Anbietern sind kaum zu überschätzen: IT-Leistungen werden in Echtzeit als Service über das Internet bereitgestellt und nach Nutzung abgerechnet. Der Zugriff selbst erfolgt in der Regel über eine allgemein verfügbare Standardanwendung, zumeist einen Webbrowser. (Vgl. ebd.) 4 Eine Zwischenstufe sind Managed Services, bei denen die IT beim Kunden steht, die Betriebsführung aber in der Hand eines Dientleisters liegt. Vorreiter der Cloud-Entwicklung sind die zahlreichen Gratisangebote im Internet: Netzgestützte -Dienste wie googl , gmx oder web.de, Fotografie- Plattformen wie Picasa (google) oder Flickr (Yahoos). Inzwischen verlagern auch immer mehr Unternehmen ihre Daten, Anwendungen und Netze auf Server von Anbietern wie Amazon, Google, IBM oder Microsoft. Eine Reihe von pragmatischen Definitionen versucht Cloud Computing zu charakterisieren. Für Forrester Research steht Cloud Computing für einen Pool aus abstrahierter, hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen vorhält und falls erforderlich nach Gebrauch abgerechnet werden kann. Bei Saugatuck Technology umfasst Cloud Computing On-Demand-Infrastruktur (Rechner, Speicher, Netze) und On-Demand-Software (Betriebssysteme, Anwendungen, Middleware, Management- und Entwicklungstools), die jeweils dynamisch an die Erfordernisse von Geschäftsprozessen angepasst werden. Dazu gehört auch die Fähigkeit, komplette Prozesse zu betreiben und zu managen. Die zahlreichen Definitionen von Cloud Computing widerspiegeln zumeist die unterschiedliche Sicht, von der aus die jeweiligen Urheber am Markt agieren, d.h. die von Analystenhäusern, Anbietern verschiedenster Herkunft, Nutzern, Verbänden. Auch

6 wissenschaftliche Einrichtungen beteiligten sich an der Diskussion um das Wesen von Cloud Computing. Im Laufe der Diskussion haben sich viele Definitionen weiterentwickelt. Dabei veränderte sich der Fokus von der Produktionsmethode hin zum Geschäftsmodell. Am 15. Mai 2009 veröffentlichte das National Institute of Standards and Technology (NIST) in den USA eine Definition, die innerhalb kurzer Zeit zu einer allseits anerkannten Arbeitsgrundlage für Cloud Computing wurde. Im Oktober 2009 wurde die Definition, erarbeitet von Peter Mell und Tim Grance, letztmalig geringfügig verändert, so dass aktuell Version 15 maßgeblich ist: NIST-Definition von Cloud Computing Cloud computing is a model for enabling convenient on-demand network access to a shared pool of configurable computing resources (e. g. networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models and four deployment models. ( Cloud Computing ist ein Modell für einen problemlosen, auf Abruf verfügbaren Netzzugriff auf einen gemeinsamen Pool aus konfigurierbaren Rechenressourcen (z.b. Netze, Server, Speicher, Anwendungen und Dienste), der schnell bereitgestellt und mit geringfügigem Verwaltungsaufwand bzw. minimalen Eingriffen durch den Dienstanbieter freigegeben werden kann. Dieses Cloud-Modell besteht aus fünf wesentlichen Charakteristika, drei Servicekategorien und vier Nutzungsmodellen. (T-Systems 2010, S. 10) 5 Grafisch lässt sich das Modell wie folgt darstellen: T-Systems 2010, S. 10 Als fünf wesentliche Kennzeichen von Cloud Computing gelten: On-demand self-service: Nutzer müssen die Möglichkeit haben, Ressourcen selbständig und nach eigenem Wunsch zu ordern. Broad network access: Nutzer sollen Zugriff auf ein Netz haben, das von verschiedenen Endgeräten aus den Zugriff auf die benötigten Ressourcen ermöglicht.

7 Resource pooling: Die Ressourcen müssen zusammengefasst und multimandantenfähig bereitgestellt werden. Rapid elasticity: Die Bereitstellung erfolgt elastisch, d.h. Ressourcen können zeitnah, im Idealfall automatisch, entsprechend der Anforderungen der Anwendungen, hoch und runter skaliert werden. Für den Kunden entsteht der Eindruck unendlicher Ressourcen. Eine Parallele zur Lieferung von Strom wird betont (Software aus der Steckdose). Measured Service: Es muss einen Service der automatischen Kontrolle und Optimierung der genutzten Ressourcen geben. Diese müssen quantitativ erfasst werden können, damit Anbieter und Nutzer vollständige Transparenz erhalten, was eine nutzungsabhängige Abrechnung ermöglicht. (Vgl. T-Systems 2010, S. 11) Als weiteres wesentliches Kriterium ist die Service-Sicherheit anzuführen, der ein gesonderter Abschnitt dieser Arbeit gewidmet ist. Hinsichtlich der Servicekategorien greift das NIST auf die bekannten Ebenen zurück, im Sinne eines Schichtenmodells aufeinander aufsetzender Wertschöpfungsebenen: Infrastructure as a Service (IaaS): rohe Infrastrukturressourcen wie Rechenleistung und Speicherplatz; Abrechnung nach Nutzung Platform as a Service (PaaS), z. B. Bereitstellung von Entwicklungs- und Betriebsumgebungen für Anwendungen (Entwicklertools); Abrechungsmodus variiert nach Einsatz Software as a Service (SaaS): Nutzung spezifischer kompletter Anwendungen (Applikationen); Abrechnung nach Monatspauschalen pro Nutzer 6 Als weitere Ebenen werden diskutiert: Business Process as a Service (BPaaS): Bereitstellung von physischen Dienstleistungen realer Menschen ähnlich einem Business Process Outsourcing; nutzungsabhängiger Bezahlmodus Everything as a Service (XaaS): Inzwischen versuchen Anbieter einen Bezug ihrer Services zu Cloud Computing mit der Begrifflichkeit as a Service herzustellen. Dieser Trend wird als XaaS zusammengefasst. (Forrester In: T-Systems 2010, S. 11) Die vier NIST-Nutzungsmodelle (Deployment Models) sind: Private Cloud: Die Betreibung erfolgt für nur eine Organisation. Das Management der Infrastruktur kann auch von einem Dritten übernommen werden. Da dieser an der Erzielung von Skaleneffekten interessiert ist, wird er bemüht sein, viele weitere Nutzer auf seine Plattform zu bringen. Es entstünde eine Sonderform, die Virtual bzw. Shared Private Cloud. Diese Cloud-Form ist hoch standardisiert und vielseitig einsetzbar. Community Cloud: Organisationen mit ähnlichen Interessen teilen sich die Ressourcen Public Cloud: Die Cloud-Infrastruktur wird der Öffentlichkeit zugänglich gemacht, unter Umsetzung maximaler Skaleneffekte (Consumer-Markt). Die Infrastruktur selbst gehört einem Unternehmen, das Cloud-Service darauf anbietet. Hybrid Cloud: Hierbei handelt es sich um eine Nutzungskombination verschiedener Cloudformen und traditioneller IT-Umgebung, die einen gemeinsamen Daten- und Anwendungsaustausch ermöglichen.

8 T-Systems 2010, S. 12 Vereinfacht kann das Konzept Cloud Computing wie folgt beschrieben werden: Teile der IT-Landschaft werden durch Anwender nicht mehr selbst betrieben, sondern von einem oder mehreren Anbietern als Dienst gemietet. Die Anwendungen und Daten befinden sich nicht mehr auf dem lokalen Rechner oder im Rechenzentrum des Unternehmens, sondern in der Wolke. Das Bild der Wolke wird in Netzwerkdiagrammen häufig zur Darstellung eines nicht näher spezifizierten Teils des Internets verwendet. Der Zugriff auf die entfernten Systeme erfolgt über ein Netzwerk, z. B. das Internet, aber auch ein firmeninternes Intranet. 7 Unter der Bedingung einer öffentlichen Verfügbarkeit, ähnlich dem öffentlichen Telefonnetz, kann Cloud Computing je nach Architektur auch als Summe von Software as a Service (SaaS) und Utility Computing ansehen werden (vgl. Berkeley University 2009). Die Service-Kategorien ergeben die sog. Cloud-Computing-Architektur: SaaS = Bereitstellung, Betreuung und Betreibung kompletter spezifischer Anwendungen (Software) PaaS = Bereitstellung von eigenen Entwicklungsanwendungen auf einem Server IaaS / Cloud Hosting = Bereitstellung einer Umgebung von virtuellen Servern

9 Bildlich anders ausgedrückt: Peter Buxmann 2009, S. 18 Die Service-Kategorien bzw. -Ebenen stellen unterschiedliche Modelle der Kooperationsbeziehungen zur Art der Cloud-Dienstleistung dar: 8 Cloud Computing 2010, S. 138 SOA = Service Orientierte Architektur Fazit: Cloud Computing stellt Anwendungsprogramme, virtuelle Systeme und komplette IT-Infrastrukturen als Service auf Abruf bereit, für einen begrenzten Zeitraum, über große Distanzen sowie dynamisch skalierbar, in bedarfsgerechten Portionen mit individueller Konfiguration. Internet und Intranet entwickeln sich somit zu einer Art Baukasten für webbasierte Dienstleistungen.

10 1.2 Kommunen als Vorreiter von Cloud Computing Der Einsatz von Informationstechnologie in der öffentlichen Verwaltung erfolgte stets unter Nutzung vorhandener Informationstechniken in Verbindung mit erforderlichen Verwaltungsreformen: 9 Hagen 2003, S. 115 Das rund 40 Jahre alte Geschäftsmodell der kommunalen Gebietsrechenzentren (KGRZ) sieht Frank Wondrak, Vorsitzender der Geschäftsführung der Kommunalen Datenverarbeitung Region Stuttgart und des Rechenzentrums Region Stuttgart, als Vorreiter heutiger Cloud-Computing-Angebote. (Vgl. Wondrak 2010, S. 28) In den KGRZ seien bereits in den 1970-er Jahren IT-Prinzipien verwirklicht worden, die heute unter dem Begriff Cloud Computing zusammengefasst werden: Die angeschlossenen Kommunen müssen für die in Anspruch genommene IT-Leistung keine eigenen Kapazitäten vorhalten, sondern greifen geschützt auf zentrale IT-Ressourcen zu, über die Rechnerleistungen, Speicher und Applikationen bereitgestellt werden. Das KGRZ betreibe dabei nicht nur die leistungsfähigeren und unter Nutzung von Skaleneffekten effizienteren Systeme, sondern verfüge auch über die entsprechenden Fachleute und Berater, um diese professionell administrieren sowie die Anwendungen betreuen und fortentwickeln zu können. (Vgl. ebd. S. 28 f.) Cloud Computing im KGRZ-Umfeld sei, so Wondrak, aber nicht alter Wein in neuen Schläuchen. Selbst wenn das Geschäftsmodell aus Sicht der Anwender den Paradigmen entspreche, müsse das kommunale Gebietsrechenzentrum intern eine Reihe von Voraussetzungen erfüllen, um von einer Private Cloud for Public Sector sprechen zu können. Dazu gehöre das Abrechnungsmodell. (Vgl. ebd., S. 29)

11 Das Rechenzentrum Region Stuttgart (RZRS) hat im Jahr 2009 die ersten Softwareas-a-Service (SaaS)-Angebote auf den Markt gebracht. Kommunale Kunden zahlen für IT-Lösungen im Bereich Jugend und Soziales eine monatliche User-Pauschale, mit der Lizenzen, Wartung, Anwendungssupport und Verfahrensbetrieb vollständig abgedeckt werden. Die Anzahl der Nutzer kann monatlich variieren. Das gleiche SaaS-Prinzip kommt bei allen neuen Verfahren des RZRS zum Einsatz. (Vgl. ebd.) Neben der Kosteneffizienz und -variabilität gehört es laut Wondrak zur Cloud des RZRS, neue Verfahren schnell, flexibel und effizient aufzusetzen und neue Nutzer einfach hochskalieren zu können. Der Schlüssel für diese Dynamik liege in einer konsequenten Strategie der Virtualisierung, Konsolidierung, Standardisierung und Automatisierung, die letztlich zur Ausprägung echter Cloud-Architekturen sowie einer hervorragenden Energieeffizienz geführt habe. (Vgl. ebd.) Mittlerweile liegt der Virtualisierungsgrad von Servern, Storage und Netzwerken im Rechenzentrum der Region Stuttgart bei etwa 90 Prozent: Rund virtuelle Server sind auf lediglich 50 physische Server-Einheiten verteilt, die mittelfristig auf 10 High-End-Server reduziert werden sollen. (Vgl. ebd.) Cloud Computing zielt im Rechenzentrum der Region Stuttgart darüber hinaus auf die Ausprägungen Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Business as a Service (BaaS). Während die Stuttgarter BaaS-Lösung für Personalabrechnung und -bewirtschaftung bereits rege in Anspruch genommen werde, befänden sich neue Angebote für eine Cloud basierte Kollaborationslösung auf Grundlage von Microsoft Exchange und Share Point erst in der Entwicklung. Mit den Partnerunternehmen IBM und Microsoft werde zudem an einer Desktop-Virtualisierungslösung gearbeitet, die vor allem kleineren Kommunen in der Region Stuttgart zugute kommen soll. Darüber hinaus sei geplant, den Kommunen eine gehostete, standardisierte Plattform für die Entwicklung und Pflege von Kleinverfahren anzubieten. (Vgl. Wondrak 2010, S. 29) 10 Kommunale IT-Dienstleister bieten heute schon Cloud ähnliche Leistungen an, doch kann man diese noch nicht wirklich als Cloud Computing bezeichnen, denn: IT- Ressourcen organisationsübergreifend bereitzustellen und zu managen (entscheidender Aspekt einer IT-Government-Cloud) geht über die bisherigen Lösungen hinaus. Ein Vergleich zwischen dem klassischen und einem Cloud basierten Rechenzentrum ergibt folgendes Bild: Cloud Computing 2010, S. 24

12 Die öffentlichen IT-Dienstleister bringen eine Menge Erfahrungen mit, auf deren Basis sie für Cloud Computing gewappnet sind, aber eine reale Government Cloud gibt es noch nicht. Es gibt allerdings erste Kommunen, die mit Cloud basierten Services experimentieren (vgl. Auf der CeBIT 2011 vom März 2011 in Hannover widmet sich einer der vier Themenkomplexe dem öffentlichen Bereich: Die CeBIT gov. Der Public Sector Parc ist die Leitmesse für die Verwaltung in Bund, Ländern und Gemeinden. Kern ist die Modernisierung der öffentlichen Verwaltung. (Vgl. Einer der Ausstellungsschwerpunkte ist Cloud Computing unter dem Thema Work and Life with the Cloud. Der Hightech-Verband BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und Neue Medien e.v.) organisiert auf der CeBIT 2011 zwei große Sonderausstellungen zu den Topthemen Cloud Computing und Breitband. Unter den Titeln Cloud Computing World und Broadband World werden führende ITK-Anbieter ihre neuesten Lösungen und Technologien zeigen. Die Cloud Computing World (CCW) wird der zentrale Anlaufpunkt auf der Messe zu diesem Thema. Zugesagt für die CCW haben bislang u. a. Accenture, Alcatel-Lucent, Atos Origin, BioID, CA, Ciena, CSC, Dell, Deutsche Telekom/T-Systems, Equinix, Fraunhofer-Institut für Sichere Informationstechnologie, FZI - Forschungszentrum Informatik an der Universität Karlsruhe, ITENOS, Lufthansa Systems, Microsoft, NetApp, PricewaterhouseCoopers, salesforce.com, Siemens IT Solutions and Services, visionapp, VMware. (Vgl. Die BITKOM Broadband World findet zum zweiten Mal auf der CeBIT statt. Sie wird 2011 rund qm umfassen. Die drei Hauptthemen sind der Breitband-Ausbau im ländlichen Raum (insbesondere mit dem neuen Mobilfunkstandard LTE), Anwendungen für Breitband (etwa Videokonferenzen und Services im Public Sector) sowie umweltfreundliche Infrastruktur-Lösungen. Kooperationspartner sind der Deutsche Städte- und Gemeindebund sowie der Deutsche Landkreistag. Die BITKOM Broadband World richtet sich an Kommunen, Planer, Hersteller, Netzbetreiber, Anwender und Politik. Gezeigt und diskutiert werden Lösungskonzepte, Technologien, konkrete Anwendungen und Fördermöglichkeiten für Kommunen. Aussteller sind u. a. Alcatel-Lucent, Deutsche Telekom, Nokia Siemens Networks, Siemens Enterprise Communications und Vodafone. Ergänzt wird die Sonderausstellung durch Veranstaltungen, Vorträge, Präsentationen konkreter Beispiele sowie Führungen für Besucher und Medienvertreter. (Vgl. veranstaltungen/102_64926.aspx). 11 Anlässlich des 5. Nationalen IT-Gipfels hat der Deutsche Landkreistag die Chancen des Einsatzes von IT in der Verwaltung betont, aber auch vor bestehenden Risiken und Gefahren beim elektronischen Umgang mit Informationen hingewiesen. Hauptgeschäftsführer Prof. Dr. Hans-Günter Henneke erklärte am : Innovative IT-Angebote können Behördendienste der Kommunen vereinfachen und transparenter machen. Es liegt eine große Chance darin, Verwaltungsleistungen für Bürger und Unternehmen zu verbessern. E-Health-Anwendungen, Geodatendienste, der neue elektronische Personalausweis oder die beabsichtigte Erweiterung des Projektes der einheitlichen Behördenrufnummer 115 auf das Internet seien Beispiele, wie elektronische Anwendungen die Angebotspalette der kommunalen Dienstleistungen bereichern.

13 Auf der anderen Seite müssten egovernment-anwendungen auch unter Datenschutzgesichtspunkten sicher ausgestaltet werden. Die Diskussionen um Google Street View oder die jüngsten Enthüllungen von WikiLeaks bringen ganz grundsätzliche Fragen zum Schutz von Informationen der Bürger, Unternehmen und staatlichen Stellen zum Vorschein. Diesen berechtigten Interessen muss Rechnung getragen werden, damit am Ende bessere und sicherere Systeme stehen. Transparenz öffentlicher Verwaltung darf nicht auf Kosten der Datensicherheit teuer erkauft werden. Daher stehe der Deutsche Landkreistag der Technologie des Cloud Computing für den Bereich der öffentlichen Verwaltung noch skeptisch gegenüber, solange Risiken nicht klar ausgeräumt sind. Allerdings gäbe es auch gute Beispiele: Wir begrüßen, dass die Geodatenanbieter nunmehr einen Datenschutz-Kodex vorgelegt haben, der das Ziel hat, die Akzeptanz der Dienste zu fördern, indem er im Wege der Selbstverpflichtung Grundsätze für einen angemessenen Ausgleich der Interessen von Berechtigten, Nutzern und Anbietern festlegt. Das sei der richtige Weg in das digitale Zeitalter. (Deutscher Landkreistag. In: html) Am 20. Juli 2010 wurde die Vitako-Facharbeitsgruppe Cloud Computing in Saarbrücken gegründet. Ziel ist es eine Government Cloud auf der Basis des deutschen Verwaltungsnetzes DOI aufzubauen. Vitako ist die Bundesarbeitgemeinschaft der Kommunalen IT-Dienstleister in Deutschland mit Sitz in Berlin. Zurzeit gehören 54 IT-Dienstleister aus 14 Bundesländern dem bundesweiten Netzwerk an. Insgesamt betreuen die Mitgliedsunternehmen rund IT-Arbeitsplätze in mehr als Kommunen. (Vgl. Das sog. DOI-Netz ist ein Kommunikationsnetz, das die deutschen Verwaltungsnetze von Bund, Ländern und Kommunen flächendeckend miteinander verbindet. Planung, Vergabe und Betriebsführung werden von dem 2008 gegründete Verein Deutschland-Online Infrastruktur e.v. verantwortet. Der Verein unterstützt die Einführung moderner Netzwerktechnologie und die Standardisierung der Kommunikationsnetze der öffentlichen Verwaltung in Deutschland. Das DOI-Netz ist Bestandteil des Aktionsplans Deutschland Online Netzarchitekturen_fuer_die_deutsche_Verwaltung_1-1_ pdf

14 Kommunale IT-Dienstleister haben beste Voraussetzungen, Daten sicher zu speichern und rechtmäßig zu verarbeiten. Zudem verfügen sie über ein schnelles und sicheres Verwaltungsnetz untereinander, das DOI-Netz. Doch noch sind viele rechtliche, finanzielle, organisatorische und technische Fragen im bundesweiten Umfeld zu klären: Wie gestaltet man rechtlich das Risikomanagement, die länderübergreifende Zusammenarbeit? Wie können Preise nach Verbrauch gestaltet und wie kann eine Cloud-Plattform technisch realisiert werden? Dies sind einige der Fragestellungen, die die Mitglieder der Arbeitsgruppe auf ihrer Agenda haben. (Vgl. ebd.) Das Bundesministerium für Wirtschaft und Technologie (BMWi) will mit dem Wettbewerb Sichere Internet-Dienste - Sicheres Cloud Computing für Mittelstand und öffentlichen Sektor (Trusted Cloud) Forschungs- und Entwicklungsaktivitäten zu effizienten und innovativen Cloud-Strukturen sowie innovativen Cloud basierten Diensten fördern. Ziel ist es, deren Entwicklung zu beschleunigen und eine breitenwirksame Nutzung voranzutreiben. Adressiert ist der Wettbewerb sowohl an Anwender als auch Anbieter dieser Technologien und Dienste. Die Forschungs- und Entwicklungsaktivitäten sollen im Rahmen von Pilotprojekten zu Systemlösungen für den Mittelstand und den öffentlichen Sektor (insbesondere auf kommunaler und Landes-Ebene) führen. Erwartet werden Forschungsprojekte, die auf innovative Dienste abzielen. Dafür sind Lösungsansätze zur Beseitigung technischer, struktureller, organisatorischer und rechtlicher Hemmnisse für den Einsatz von Cloud Computing im Mittelstand und im öffentlichen Sektor zu entwickeln und zu erproben. Das Forschungsprogramm Trusted Cloud hat eine Laufzeit von 2011 bis 2014 und umfasst ein Volumen von ca. 30 Mio. Euro. (Vgl. BMWi/Navigation/Ministerium/Projekte-und-Wettbewerbe/trusted-cloud.html) 13 Fazit: Der Öffentliche Sektor kann als Vorreiter bei Cloud Computing betrachtet werden, der eine jahrzehntelange Erfahrung mit Rechenzentren besitzt, die Services für viele Anwender bieten. Allerdings sind bestehende Rechenzentren weiter umzugestalten. Des Weiteren ist die Frage der besonderen Sensibilität hoheitlicher und personenbezogener Daten vor einer großräumigen Nutzung von Cloud Computing zu klären.

15 1.3 Einsatzbeispiele im kommunalen Bereich Um die Bedeutung des Themas für Kommunen weiter zu vertiefen sowie mögliche Zukunftspotentiale aufzuzeigen, sollen nachfolgend bereits bestehende Einsatzmöglichkeiten benannt werden: Webbasiertes erecruting Das gesamte Ausschreibungs- und Bewerbungsverfahren wird elektronisch abgebildet. Die Funktionen und Werkzeuge reichen von der Erstellung und Veröffentlichung der Stellenausschreibungen über die Bereitstellung individuell konfigurierbarer Online-Bewerbungsformulare bis zum Abgleich der eingegangenen Bewerbungen gegen die Ausschreibung. Es stehen flexibel konfigurierbare Workflows und Automatisierungen zur Verfügung, es können einheitliche Bewerbermappen generiert werden, alle Daten und Anhänge eines Bewerbers erscheinen in einem einzigen pdf- Dokument. Das Bewerber-Frontend integriert sich in den eigenen Internetauftritt. Nach der Registrierung können die Nutzer Schritt für Schritt die geforderten Daten eingeben und Dokumente hoch laden. Dadurch kann die Bewerbung auch unterbrochen und später fortgesetzt werden, wenn etwa noch eine Zeugniskopie fehlen sollte. Bereits gespeicherte Eingaben bleiben erhalten. Angebot: JobManager von pitcom Nutzer: Ostdeutscher Sparkassenverband, IHK Chemnitz, Heimkehrerbörse der Wirtschaftsförderung Erzgebirge GmbH, Portal der Strukturförder-Gesellschaft mbh Auerbach. Quelle: Elektronische Lösungen für Einsatzleitstellen Hierbei geht es unter anderem um ein Mobiles Wächterkontrollsystem, ein Integriertes Einsatzleitsystem für Notrufleitstellen, Dienstzeiterfassung, Wegeverfolgung und Fahrzeugdisposition. Angeboten wird die Erfassung von Grunddaten (Benutzer-, Stammdaten-, Systemverwaltung, Meldungsmanagement), von Ereignisdaten (Kontakt-, Zeitschemenverwaltung, Benachrichtigungs-, Objekt-, Ereignismanagement) sowie von Alarmdaten (Überwachungs-, Alarmmanagement). Ein Rollen- und Rechtekonzept steuert die Freigabe von Funktionen, Funktionsgruppen und Modulen. Sämtliche Daten werden via VPN verschlüsselt übertragen. Es werden immer nur Personal-IDs oder Objekt-IDs übertragen, niemals Klartext Angebot: magicguard24els von pitcom Quelle: magicguard 24 els.html 14 Elektronischer Nachrichtenaustausch mit Zustellungsurkunde Die auf der Askemos -Technologie medienbruchfreie Geschäftsprozesslösung stellt das elektronische Äquivalent zum allgemein bekannten Postverfahren Einschreiben mit Rückschein bzw. Einschreiben mit Postzustellungsurkunde dar. In der praktischen Anwendung erhält der Absender eine vom System automatisch generierte vertrauenswürdige und rechtssichere Rückinformation über den Zustellungsstatus der Nachricht in Form eines elektronischen Laufzettels. Dieser ist fest mit dem Inhalt der Nachricht verknüpft und nicht fälschbar. Durch Nutzung unabhängiger und verschlüsselter Kommunikationskanäle wird eine sichere Authentifizierung des Empfängers beim Zugriff auf die Nachricht garantiert. Mit Hilfe von elektronischen Briefmarken, so genannten estamps, wird das hinterlegte System abrechnungsseitig unterstützt. Angebot: pitpost von pitcom Quelle:

16 Elektronische Termin- & Veranstaltungsdatenbank Die mandantenfähige Datenbank mit einem Rollen- und Rechtesystem wurde für Webportale entwickelt. Sie ist eine Online-Lösung für beliebige Veranstalter und Veranstaltungstypen. Websitebetreiber einer Region, ob nun die Veranstalter selbst oder Portalbetreiber wie zum Beispiel Kommunen, können beliebig gefilterte Veranstaltungsdaten jeweils auf Ihren Websites in ihrem CI anzeigen. Anbieter: pitcom Quelle: datenbank. html Elektronische Bußgeldakte, SMS-Parken, Altfahrzeugentsorgung Die Polizei Brandenburg verwaltet mit einer Scan- und Indiziersoftware sowie einem Archivsystem Verwarn- und Bußgeldangelegenheiten. In Berlin sorgt das Amt für regionalisierte Ordnungsaufgaben für eine effiziente Bearbeitung der Altfahrzeugentsorgung, inklusive Ordnungswidrigkeiten und Zahlungen. Die sunhill technologies GmbH realisiert eine Lösung für die Begleichung von Parkgebühren per SMS. Angebot: SC-Mobil von SOFTCON Quelle: Elektronisches Personenstandsregister epr Ab müssen alle Standesämter ein elektronisches Personenstandsregister eingeführt haben. Es umfasst das Ehe- und Lebenspartnerschaftsregister sowie das Geburts- und Sterberegister. Die Verwaltung erfolgt durch einen epr Server in einem Rechenzentrum. Der Server wird über die Fachanwendungen als Web-Service angesprochen. Citkomm z. B. stellt jedem Kunden einen Mandanten auf der zentralen epr-server-infrastruktur zur Verfügung. Letztere besteht aus dem epr-server (Personenstandsregister), einer zentralen Signaturprüfung sowie einer Verwaltung zur Integration eines Zeitstempeldienstes, dem abgesetzten Sicherungsregister und dem Autista-Server. Angebot: epr von Citkomm Quelle: 15 Elektronische Kommunale Geoinformationssysteme (GIS) Verteilte Datenquellen, die Notwendigkeit Außenstellen anzubinden und der Druck zur Kostenreduzierung, zeigen in Richtung Web-GIS. Kominfo.web ist ein Auskunftssystem, das die Arbeitsabläufe einer Kommune vereinfacht. Es beinhaltet die wichtigsten Funktionalitäten für die Themenbereiche ALK (Vermessungsverwaltung), ALB (Verwaltung von Grundstückeigentümern) und Fachdaten (Kanal, Wasser etc.). Zusätzliche Leistungen sind die grafische Darstellung von Kanal-Längsschnitten, die Erzeugung von grafischen Objekten, ein Verkehrszeichenund Straßenlampenkataster. Angebot: Kominfo von geoinform AG Würzburg Quelle: Elektronische Aktenführung Die MATERNA GmbH hat eine flexibel integrierbare Software zur professionellen elektronischen Aktenführung entwickelt. Die Lösung verbindet behördenspezifische Fachverfahren mit der Microsoft Office-Umgebung. So können Verwaltungen ihre Dokumente und zugehörige Daten aus der gewohnten Anwendungsoberfläche elektronisch verwalten, archivieren, recherchieren und bereitstellen. Einsetzen lässt sich das eakte-basispaket als Add-On in Microsoft Office- Umgebungen mit Microsoft SharePoint Das eakte-basispaket arbeitet aber

17 auch mit anderen Plattformen, wie beispielsweise mit einem Dokumenten- Management-System (DMS) auf Basis des DOMEA-Konzeptes. Das eakte-basispaket richtet sich an Bundes-, Landes- und Kommunalverwaltungen in Deutschland. Prozesse und fachliche Abläufe in Behörden lassen sich mit dieser Lösung einfacher, effektiver und kostengünstiger umsetzen. Beispielsweise können Anwender ihre Dokumente direkt aus einer Microsoft Office- Anwendung heraus in einer elektronischen Akte speichern oder neue Unterlagen von dort laden. Der Anwender bleibt hierbei immer innerhalb seiner gewohnten Office- Umgebung, kann also im Rahmen seiner üblichen Arbeitsoberfläche bleiben. MATERNA stellte das neue eakte-basispaket am 12. Bonner Microsoft -Tag für Bundesbehörden am 19./20. Januar 2011 in Köln vor. Angebot: eakte der MATERNA GmbH Quelle: public-sector iphone-app für Kommune Als eine der ersten Kommunen in Deutschland bietet die Stadt Moers eine App für das iphone der Firma Apple an. Mit Moers Direkt können die wichtigsten Angebote der städtischen Webpräsenz unterwegs genutzt werden. Nutzer können das Telefonbuch mit Nummern und -Adressen aller städtischen Mitarbeiter abrufen. Es gibt ein alphabetisches Dienstleistungsverzeichnis sowie einen Bereich für das Ideen- und Beschwerdemanagement. Ein Foto vom iphone und die Geodaten des Standortes können direkt mitgeschickt werden. Alle wichtigen Sehenswürdigkeiten sind enthalten, ein Terminkalender gibt Informationen über Veranstaltungen in der Stadt. Eine Schnittstelle zum Routenplaner weist die Wege zu den jeweiligen Orten. Entstanden ist das Programm als Gemeinschaftsprojekt mit dem Kommunalen Rechenzentrum Niederrhein. Moers Direkt ist im Apple App Store kostenlos erhältlich. Angebot: Moers Direct vom Kommunalen Rechenzentrum Niederrhein Quelle: E61?Open Document 16 Elektronische Vergabe Interessant für die öffentliche Hand dürfte eine elektronische Vergabelösung sein. Healy Hudson, Fritz & Macziol bieten sie zusammen mit IBM im Rahmen einer SaaS- Partnerschaft an. Der über 5 Jahre geschlossene Vertrag hat ein Volumen von 5 Mio. Euro. IBM wird im Rahmen dieser Kooperation Healy Hudson durch Hosting der elektronischen Vergabelösung Deutsche evergabe unterstützen, bei deren Vertrieb auch Fritz & Macziol mitwirkt. Behörden, Kommunen oder Landkreise können ihre Ausschreibungen auf der Web- Plattform erstellen und veröffentlichen. Interessierte Anbieter haben die Möglichkeit, Ausschreibungen und Teilnahmeanträge auf elektronischem Wege einzusehen und Angebote elektronisch abzugeben. Der gesamte Vergabeprozess kann mit der Lösung webbasiert, also ohne Medienbrüche, durchgeführt werden. Die Ausschreibungs- und Vergabelösung Deutsche evergabe ist inzwischen mit einer Schnittstelle zur Planungssoftware CALIFORNIA 3000 von G&W ausgestattet. Damit soll eine durchgehend elektronische Abwicklung von Vergaben bei Baumaßnahmen ermöglicht werden. Ausschreibungen können somit aus der Planungssoftware heraus direkt an die Vergabeplattform übermittelt werden, Daten und Ergebnisse von durchgeführten Ausschreibungen werden wiederum zur weiteren Bearbeitung in die CALIFORNIA-3000-Software eingespielt. Angebot: Deutsche evergabe von Healy Hudson, Fritz & Macziol und IBM

18 Nutzer: Hamburg, Duisburg, Region Freiburg, Bayern, Metropolregion Rhein- Neckar, Ostwestfalen-Lippe, Ortenaukreis, Hochsauerlandkreis/Märkischer Kreis, Mecklenburg-Vorpommern Quelle: und Gleiches bietet in NRW die Firma cosinex mit ihrem Vergabemarktplatz. Er ist eines der Kernmodule der Produktsuite zum Public E-Procurement. Ziel des Vergabemarktplatzes ist die Unterstützung bei der Kommunikation und Transaktion im Rahmen förmlicher Vergabeverfahren von der Veröffentlichung der Bekanntmachung und ihrer Weiterleitung an Submissionsanzeiger und Veröffentlichungsplattformen über die Bereitstellung der Verdingungsunterlagen und die Bieterkommunikation bis hin zur elektronischen Angebotsabgabe. Die IT-Architektur erlaubt neben der Umsetzung entsprechender Vergabemarktplätze auch die Trennung des Systems in Vergabezentralen und dezentrale Vergabemarktplätze sowie den verteilten Betrieb des Systems über mehrere Rechenzentren oder IT-Dienstleister. So kann z. B. in einem Bundesland eine eigene Vergabezentrale für überregional tätige Lieferanten eingerichtet werden. Die Kommunen können mit der entsprechenden Technologie eigene kommunale bzw. regionale Vergabemarktplätze aufsetzen, diese in die eigenen E-Government- Aktivitäten einbinden und auch selbst betreiben. Angebot: Vergabemarktplatz VPM von cosinex Quelle: Inzwischen gibt es ca. 50 Vergabeplattformen bundesweit. Daher entwickelte BIT- KOM zusammen mit dem subreport Verlag die verbindende Plattform EVA42. EVA steht für EINE. VIELE. ALLE. Die 42 ist die berühmte Antwort auf die Frage nach "life, the universe and everything" aus dem Roman Per Anhalter durch die Galaxis. Die Zahl 42 wird in der Softwareentwicklung häufig als magische Zahl, als Platzhalter, verwendet. Die neue Lösung soll keine ultimative Einheitsplattform sein. EVA möchte jedoch alle Vergabeplattformen integrieren bzw. miteinander vernetzen. Auf der Messe Moderner Staat in Berlin wurde im Oktober 2010 eine erste Ausbaustufe vorgestellt. Angebot: EVA24 von subreport Quelle: 17 Cloud Mail für die Öffentliche Verwaltung In Schleswig-Holstein wurde im Oktober 2010 eine Government Cloud Mail für die öffentliche Verwaltung ins Leben gerufen. Dataport, der IT-Dienstleister der öffentlichen Verwaltung in Schleswig-Holstein, Hamburg und Bremen, will gemeinsam mit dem Unternehmen Microsoft Cloud- Computing-Lösungen für den öffentlichen Sektor entwickeln. In einem ersten Pilotprojekt wird die Government CloudMail als hoch standardisierte Lösung für die -Kommunikation erprobt. Dabei stünden zunächst zentrale Herausforderungen beim Vertrieb, der Skalierbarkeit und Datensicherheit sowie des Vertragsmanagements im Fokus. Künftig könnten über die Government CloudMail Infrastrukturen, Plattformen und Anwendungen in Echtzeit als Service über das Internet bereitgestellt, verwaltet und nach Nutzung abgerechnet werden. Jeder Kunde erhält eine eigene standardisierte und sichere IT-Umgebung (Private Cloud). Die Lösung richtet sich zunächst primär an kommunale Einrichtungen in Schleswig- Holstein, aber auch andere öffentliche Einrichtungen sollen von der Kooperation profitieren. Gemeinsam entwickeln wir die erste Private Cloud für die öffentliche Hand

19 und schaffen damit das Fundament für das Cloud Computing in den deutschen Kommunen, erklärte Microsoft-CEO Steve Ballmer. Angebot: Government Cloud von Dataport in Zusammenarbeit mit Microsoft Quelle: Software für Sozialgesetzgebung Lämmerzahl ist einer der führenden Softwareanbieter für die Sozialgesetzgebung. Mit LÄMMkom arbeiten sämtliche Bereiche des Sozialwesens in rund 270 Städten, Kreisen und Gemeinden mit einem einheitlichen Programm und einem gemeinsamen Datenbestand. Die voll integrierte, mandantenfähige Lösung verbindet alle Akteure via Internet oder auf Client-Server-Basis miteinander - trägerübergreifend, kommunenübergreifend, landesweit. Neben der Softwareentwicklung für Arbeitslosengeld II, Sozialhilfe, Jugendhilfe, Wohngeld, Unterhaltssicherung, Pflegeberatung, Beschäftigungsgesellschaften und Kita-Verwaltung wird eine umfassende Anwenderbetreuung mit Schulungen direkt beim Kunden angeboten. Die Softwarewartung rundet das Leistungsprofil im Rahmen des Hostings ab. Angebot: LÄMMkom Direkt von Lämmerzahl System GmbH Quelle: Community Cloud am Beispiel Kindertagesstätte Eine erste reale Implementierung der Process & Service Platform von T-Systems ist der Kindergartenprozess in Friedrichshafen. Dieser erleichtert Eltern die Anmeldung ihrer Kinder, unterstützt die Kita-Leitung bei der Erledigung der administrativen Aufgaben und gibt der kommunalen Verwaltung Transparenz über die Auslastung ihrer Einrichtungen. Ein Rechtekonzept verhindert den unrechtmäßigen Zugriff auf die Personendaten, die in einem deutschen Rechenzentrum entsprechend der gesetzlichen Datenschutzbestimmungen vorgehalten werden. Eine dezentrale Datenhaltung, Papierschnittstellen oder klärende Telefonate zwischen Verwaltung und Kitas gehören damit der Vergangenheit an. Auch Datenverlust ist durch die Auslagerung in die Cloud kein Problem mehr. Alle Beteiligten profitieren von der Lösung: Die Eltern können sehr viel einfacher den Wunsch-Kita-Platz für ihre Kinder finden, die Kita-Leitungen einfacher planen und die Stadtverwaltung erhält auf Knopfdruck eine transparente Übersicht über die Auslastung der Kindertagesstätten: 18 T-Systems 2010, S. 21

20 Die verschiedenen Nutzer (Eltern, Kitas, kommunale Verwaltung) der Community Cloud greifen über unterschiedliche Web-Portale auf die Lösung zu. Jeder Nutzerkreis darf allerdings nur auf die für ihn bestimmten Informationen zugreifen. Eltern können z. B. auf die Standorte und Profile der Kitas sowie die Vormerkungen zugreifen. Die Verwaltung dagegen nur auf Trägerdaten sowie Planungsparameter für das Kita-Jahr sowie andere Rahmenbedingungen. Nur die jeweiligen Erzieher/innen haben Zugriff auf die Daten der jeweils betreuten Kinder. Und über das Administrationsportal können die Administratoren der Kommune das Ganze managen, z.b. indem sie spezifische Benutzerrechte vergeben. Anbieter: T-Systems Quelle: T-Systems 2010, S. 22 Cloud Computing für Schulen In der Stadt Unna (NRW) sind 20 Schulen mit ca Schülern unter dem Dach von UNIT21 vernetzt und können von überall auf dieses Schulnetz zurückgreifen. Grundlage des Schulnetzes ist die Bildungslösung LernGate der AS Consulting GmbH, an der immer mehr Kommunen Interesse zeigen. Angebot: LernGate von AS Consulting Quelle: Behördenspiegel. In: Rueckblick_e-nrw.pdf) Das Modell sieht wie folgt aus: 19 Für die Verwaltung stellt man sich die Zukunft in NRW wie folgt vor:

21 Frühwarnsystem zur Kindeswohlwahrung sowie Förderung der Kinder Der Verfahrenskomplex umfasst u. a. die Kontrolle der Einhaltung der Vorsorgeuntersuchungen, die Sprachstandsfeststellung mit Sprachförderung, ein intelligentes Verfahren zur Ermittlung eventueller Auffälligkeiten, die Steuerung von Eskalationsprozessen und der erforderlichen Kommunikation zwischen den beteiligten Behörden und Einrichtungen sowie die Dokumentation von Einzelmaßnahmen. Hinzu kommt eine zentrale Verwaltung aller direkt oder indirekt beteiligten Personen und ein System mit der Möglichkeit, die Rechte dediziert (über Rollen) und verbunden mit entsprechenden Genehmigungsprozessen zuzuordnen, d.h. ein Identity Management. Angebot: ism - Institut für Systemmanagement, Rostock Quelle: 20 Schülermatrik-Online Die Stadt Wien verwaltet durch die IT-Lösung inzwischen alle Schüler der Stadt sowie die Lehrer und Schulen. Anmeldung der Kinder, Schulwechsel etc. laufen über die Plattform des Dienstleisters. Weiterhin wird die Laufbahn jedes Schülers erfasst und einer zentralen Auswertung zugänglich gemacht. Über Schnittstellenprogramme erfolgt ein bidirektionaler Datenabgleich zu den einzelnen Schulverwaltungssystemen, die in den einzelnen Schulen genutzt werden. Über das Intranet können die Schülerdaten der zentralen Datenbank durch die Schulen genutzt werden. Angebot und Quelle: ebd. Fazit: Zahlreiche Beispiele belegen, dass öffentliche Verwaltungen mit Konzepten von Cloud Computing die interne Erstellung von IT-Leistungen durch externe Leistungserstellungsprozesse ersetzen können. Dies stellt sowohl eine Reaktion auf Probleme als auch eine aktive Vermeidung von Probleme der Verwaltungspraxis dar. Je nach Zielsetzung und Ausgestaltung des konkreten Vorhabens besteht die Möglichkeit, durch den Einsatz von Cloud Computing Kostensenkungen, Qualitätsverbesserungen oder auch strategische Ziele umzusetzen.

22 2. Cloud Computing als Form von Outsourcing und Kooperation 2.1 Generelle Bedeutung von IT Die in der Literatur debattierten gegensätzlichen Grundpositionen zur Bedeutung von IT lauten: IT als strategisches Instrument (strategy) IT als Gebrauchsgegenstand (commodity). (Vgl. Kesten/Müller/Schröder 2007, S. 9). In öffentlichen Verwaltungen gilt die IT bisher nicht als zentrale strategische Ressource, dennoch dürfte sie wesentlich mehr sein als bloße Commodity, wie z.b. die Strom- und Wasserlieferung, der man sich nicht groß zu widmen braucht. Eine konkrete Einschätzung der Bedeutung hat die Chancen und Risiken zu bewerten, aus denen sich eine strategische Ausrichtung der IT ergibt: 21 Kesten/Müller/Schröder 2007, S. 27 Betrachtet man die kommunale IT, so dürften sich alle vier Modi zeigen: Zum einen als generelle (Weiter-)Entwicklungsstufen der kommunalen IT vom Supportmodus über den Fabrikmodus zum Umstrukturierungsmodus bis hin zum Strategischen Modus in ausgewählten Bereichen. Zum anderen dürfte sich in größeren Kommunen fast jeder dieser Modi in ein und derselben Verwaltung finden lassen. Im Supportstadium sind die Aufgaben der Verwaltung zwar nicht ohne IT durchführbar, aber der Ausfall eines Systems für einige Stunden oder auch Tage würde nicht zu einer dramatischen Störung der Geschäftsabläufe führen. In diesem Stadium werden Anwendungssysteme in erster Linie für administrative Prozesse eingesetzt, während beratungsintensive Prozesse nur in geringem Umfang IT-gestützt ablaufen. Als Managementaufgaben stellen sich:

23 Kesten/Müller/Schröder 2007, S. 31 f. Im Fabrikmodus haben alle Wettbewerber, hier Kommunen, einen einheitlich hohen Stand der IT-Unterstützung in den Geschäftsprozessen etabliert, so dass sich nur geringe Differenzierungsvorteile ergeben. Andererseits sind die Geschäftsprozesse bei Ausfall der IT nicht mehr durchführbar. Die Abhängigkeit von etablierten Systemen ist extrem hoch, und deshalb muss das damit verbundene Risiko besonders gemanagt werden. (Ebd., S. 29) Führungsaufgaben sind: Kesten/Müller/Schröder 2007, S. 29 f. Der Umstrukturierungsmodus ist gegeben, wenn erstmalig neue IT-Anwendungen zum Einsatz kommen, die bisher manuell durchgeführte Prozesse automatisieren. Die geringen Risiken lassen sich dadurch begründen, dass durch den IT-Einsatz vorerst nur eine zusätzliche Möglichkeit geboten wurde, die Prozesse effizienter, schneller und kundenorientierter durchzuführen. Der Einsatz integrierter Systeme stellte eine hohe Chance dar, bei Ausfall der Anwendungen war jedoch jederzeit ein Rückgriff auf die bestehenden manuell gestützten Prozesse möglich. Die Abhängigkeit von der Systemverfügbarkeit und Systemeffizienz war noch relativ gering. (Ebd. S. 32) Managementaufgaben in diesem Stadium sind: 22 Kesten/Müller/Schröder 2007, S. 29 f. Im strategischen Modus ist jede Gelegenheit zu nutzen, um Prozesse, Serviceleistungen und Kosten im IT-Umfeld zu optimieren. IT-Investitionen erhalten eine hohe Priorität. Dies betrifft alle Bereiche mit informationsintensiven Dienstleistungen, deren Erbringung ohne IT nicht denkbar ist. (Vgl. ebd., S. 27 f.) Daraus ergeben sich die folgenden Implikationen für das Management:

24 Kesten/Müller/Schröder 2007, S. 28 Mit zunehmender strategischer Bedeutung der IT wächst auch die Bedeutung des IT-Reifegrades, so dass sich die >ideale< Positionierung eines Unternehmens in etwa zwischen den beiden gestrichelten Linien befindet : 23 Kesten/Müller/Schröder 2007, S. 49 Diese Einschätzung trifft meines Erachtens auch auf die IT von Kommunen zu. Fazit: IT entwickelt sich auch in Kommunen von einer Commodity hin zu einer strategischen Ressource, deren Potential bisher unzureichend genutzt wird. Um die bürgernahe Verwaltung Wirklichkeit werden zu lassen, müssen alle Prozesse die strategischen Ziele unterstützen. Das genutzte IT-System muss es der Verwaltung gestatten, die Prozesse zu optimieren und damit den strategischen Wandel ohne Abhängigkeiten zu gestalten.

25 2.2 Bedeutung von IT-Outsourcing und IT-Kooperationen Der öffentliche Sektor unterliegt derzeit einem umfassenden Strukturwandel. Auslösende Faktoren sind unter anderem: hoher Kostendruck der öffentlichen Hand, verstärkt durch neue Belastungen aus der Finanzkrise sowie der Schuldenbremse im Grundgesetz: daraus resultierende Anforderung, mittels IT Verwaltungsprozesse effektiver zu gestalten, Prozesskosten zu senken oder IT-Leistungen selbst kostengünstiger zu erbringen oder einzukaufen, um Spielraum für die Haushaltskonsolidierung zu schaffen demografische Entwicklung bei den Kunden der Verwaltung: Alterung der Gesellschaft (geringere Mobilität) und Entvölkerung ganzer Landstriche in einigen neuen Bundesländern bis 2050 (M-V, Brandenburg) muss zu innovativen Modellen staatlicher Leistungserbringung führen beschleunigter sozialer und technischer Wandel: Anspruchsänderungen durch soziale Medien, mobile Kommunikation, Leben im digitalen Netz globale Themen: Klimawandel, Finanzkrise, Terrorismus erfordern den kreativen Einsatz von IT im öffentlichen Sektor. (Vgl. ISPRAT 2010 a, S. 8 f.) Zugleich gibt es folgende strukturelle Probleme der IT des öffentlichen Sektors: eine hohe Fragmentierung der IT-Dienstleister sowohl in den Kommunen als auch den Bundesländern geringe Standardisierung der Verfahren und Plattformen trotz ca fach bzw. 16-fach gleichartiger Aufgaben bei Kommunen und Ländern organisches Gewachsensein der IT-Strukturen mit hohen Unterhaltungskosten sowie Verbesserungserfordernissen bei Betriebsstabilität, Sicherheit und Kontinuität; fehlende finanzielle Spielräume für neue Lösungen Fachkräftemangel (15 % der kommunalen IT-Mitarbeiter sind über 54 Jahre alt) und Wissensverlust durch ausscheidende Mitarbeiter. (Vgl. ebd., S ) 24 Um den Strukturwandel zu meisten, bei gleichzeitiger Bewältigung der strukturellen Probleme, sind Kooperationen und Outsourcing im IT-Bereich unumgänglich. Laut ISPRAT haben IT-Kooperationen im öffentlichen Sektor jedoch größere Startschwierigkeiten als in der Privatwirtschaft. Ursachen werden in wechselnden, an Legislaturperioden gebundenen politisch Verantwortlichen, der Wahrnehmung hoheitlicher Aufgaben, im Wettbewerbsrecht, einem rigide verstandenen Ressortprinzip und einer nicht klar vereinbarten IT-Governance gesehen. (Vgl. Ebd., S. 4) Mit der Grundgesetzänderung von 2009 (Artikel 91 c), in der die Kooperation von Bund und Ländern für die Planung und den Betrieb von informationstechnischen Systemen ermöglicht wird, wurden aber die Voraussetzungen für die Etablierung eines IT-Planungsrates geschaffen. Er hat die Aufgabe, eine nationale E-Government- Strategie zu erarbeiten. Fazit: Outsourcing und Kooperationen im IT-Bereich werden in den kommenden Jahren für den öffentlichen Sektor weiter zunehmen. Eine Ursache hierfür ist die Entwicklung der IT zu einem Kernelement der Leistungserbringung und des Strukturwandels des öffentlichen Sektors.

26 2.3 Outsourcing- und Kooperationscharakter von Cloud Computing Beim Cloud Computing findet eine Auslagerung von Funktionen oder Prozessen an Dritte statt. Der wissenschaftliche Dienst des Deutschen Bundestags definierte im März 2010 Cloud Computing daher als Form des Outsourcings: Cloud Computing ist im Kern eine Outsourcing-Technik, bei der bisher typischerweise organisationsintern erledigte Aufgaben an ein externes Unternehmen vergeben werden. (Dt. Bundestag 2010, S. 2) Für den Ursprung des ökonomisch verwendeten Begriffs Outsourcing gibt es zwei Erklärungen: Ableitung aus den englischen Begriffen out und source Zusammenfassung des englischen Begriffs Outside resource using. Die zweite Erklärung wird jedoch als reine deutsche und fehlerhafte Erfindung kritisiert. (Mair 2006) Auch der Begriff selbst wird in der Literatur uneinheitlich benutzt. So verstehen einige Autoren jeglichen Fremdbezug von Leistungen als Outsourcing, andere wiederum nur den Fremdbezug von Leistungen, die einst unternehmensintern erstellt wurden. Ebenso wird Outsourcing auch teilweise nach dem sächlichen Inhalt definiert und nur der Fremdbezug von Dienstleistungen als Outsourcing betrachtet. (Wikipedia Outsourcing) Die IHK Baden-Württemberg führte 2007 aus, dass bei der Diskussion betriebswirtschaftlicher Fragestellungen der Begriff Outsourcing oftmals sehr undifferenziert zum Einsatz gebracht werde. Selbst in der wirtschaftswissenschaftlichen Literatur sei eine allgemein gültige Definition nicht existent, was zu erheblichen Interpretationsmöglichkeiten führe. Die IHK wählte den weitest möglichen Begriff: Outsourcing wird als externe Inanspruchnahme von Dienstleistungen definiert, wobei eine vorausgegangene Eigenerstellung der Leistung nicht notwendig ist. Diese weite Definition entspreche nicht nur dem aktuellen Stand der Outsourcing-Theorie, sondern berücksichtige auch die Interpretationen des Begriffes in der unternehmerischen Praxis. (IHK 2007 a, S. 6) 25 Im Kern geht es beim Outsourcing um die kontinuierliche Nutzung von Ressourcen außerhalb des eigenen Unternehmens mittels Inanspruchnahme eines Dienstleisters. IT-Leistungen werden in der Privatwirtschaft zumeist organisatorisch getrennt von den Fachprozessen erbracht. Entwicklung und Betrieb der IT übernimmt entweder eine zentralisierte interne IT-Einheit oder ein externer Dienstleister. Dies erfolgt auf Grundlage eines Outsourcing-Vertrages oder in Form einer strategischen Partnerschaft. Die Zusammenarbeit zwischen Anbieter und Nachfrager ließe sich laut ISPRAT mit dem Begriff der IT-Kooperation gut fassen. Dieser Begriff betone, im Gegensatz zum Begriff Outsourcing, dass der Bezug von IT-Leistungen unternehmensintern oder von Externen wegen der hohen Komplexität der IT-Leistungen andere Prozesse erfordert als einfache Beschaffung und Betriebsvorgänge. (ISPRAT 2010 a, S. 2) Kooperation könne gleichzeitig im doppelten Sinn verstanden werden. Zum einen als Kooperation zwischen Facheinheit und IT-Leistungserbringer, zum anderen als Kooperation zwischen verschiedenen IT-Dienstleistern, die im Zuge der Professiona-

27 lisierung der IT-Leistungserbringung organisatorisch zusammengeführt werden. (Ebd., S, 2) Der öffentliche Sektor sei laut ISPRAT in puncto IT-Kooperationen bisher weitaus zurückhaltender als die Privatwirtschaft (ebd.). Für die beiden grundsätzlich möglichen PPP-Modelle ÖÖP (Öffentlich-öffentliche Partnerschaft) und ÖPP (Öffentlichprivate Partnerschaft) gäbe es zugleich bereits prägnante Beispiele: Öffentlich-Öffentliche Partnerschaft (ÖÖP): Dataport: Dienstleister für die vier Bundesländer Bremen, Hamburg, Schleswig- Holstein, Mecklenburg-Vorpommern (nur Steuerverfahren); 2004 entstanden durch Fusion der Datenzentale Schleswig-Holstein mit dem Landesamt für Informationstechnik und der Abteilung für Kommunikationstechnik des Senatsamtes für Bezirksangelegenheiten der Freien und Hansestadt Hamburg; seit 2006 eine Vierländeranstalt; Niedersachsen beabsichtigt den Beitritt Hessische Zentrale für Datenverarbeitung: Bündelung der IT- Leistungserbringung für alle Ressorts der hessischen Landesverwaltung; Betreibung wesentlicher Verfahren des hessischen E-Government-Masterplans ekom21: versorgt Anwender aus 550 Verwaltungen mit Komplettlösungen für den öffentlichen Dienst krz (Kommunales Rechenzentrum Minden-Ravensberg/Lippe in Lemgo): Betreuung von ca PC-Arbeitsplätzen, Betreibung von Verfahren und Erbringung anderer IT-Leistungen. Öffentlich-Private Partnerschaft (ÖPP): WIVERTIS GmbH: Erbringung von Rechenzentrums-, Netz- und Endgeräteleistungen für die Stadt Wiesbaden, entstanden aus der IT-Abteilung der hessischen Landeshauptstadt Wiesbaden durch eine Kooperation mit der Siemens IT Solutions and Service; eine der größten IT-Dienstleister der Rhein-Main-Region Service Birmingham Limited: Joint Venture, das IT-Services für den Birmingham City Council erbringt; Kooperation der Stadtverwaltung mit ihrem IT- Outsourcing-Dienstleister Capita. (Vgl. ISPRAT 2010 a, S. 2-4) Als Varianten des Outsourcings bzw. der Kooperation im IT-Bereich können angewandt werden: 26 Schaffung einer IT-Zentrale im Unternehmen konzerninternes Outsourcing (Eigenbetrieb, GmbH) externes Outsourcing. Outsourcing / Kooperation im IT-Bereich Inhouse- Lösung IT-Zentrale im Unternehmen Ausgründung Gründung eines Eigenbetriebes / einer GmbH Kooperation privat-öffentliche oder öffentlichöffentliche Zusammenarbeit Externer Dienstleister externes Rechenzentrum

28 Jede dieser Varianten kann als selektives (partielles) Outsourcing, komplettes Outsourcing oder Business Process Outsourcing erfolgen. Ein Gesamtüberblick ergibt folgendes Bild, je nach Schwerpunktsetzung: IHK 2007 b, S. 4 Hinsichtlich der Outsourcing-Tiefe im IT-Bereich können Ebenen unterschieden werden: komplette Rechenzentren an einen externen Dienstleister, z. T. mit Personalübergang klassisches Outsourcing IT-Infrastruktur wie PC-Arbeitsplätze und Rechenzentrumsleistungen IaaS Management Services: Übergabe des Managements von IT-Infrastrukturen (Desktop oder Netzwerk Management) an einen Provider PaaS Business Process Outsourcing: Übernahme von ganzen Geschäftsprozessen, d.h. Unternehmensfunktionen wie Gehaltsabrechnung, Reisekosten, Finanzbuchhaltung BPaaS Application Services: Übernahme des Anwendungsbetriebes durch einen Service Provider SaaS. 27 Auch die Cloud-Betriebsmodelle stellen in der Mehrzahl Outsourcing-Modelle dar:

29 Cloud Computing 2010, S Fazit: Cloud Computing stellt eine kontinuierliche Nutzung von Ressourcen außerhalb des eigenen Unternehmens mittels Inanspruchnahme eines Dienstleisters dar. Somit handelt es sich im Kern um Outsourcing. Da die Beziehung zwischen Anbieter und Nachfrager über die gewöhnliche Beschaffung hinausgeht, ist die Zusammenarbeit im Rahmen von Cloud Computing besser als Kooperation zu fassen. Da Cloud Computing eine Form von Outsourcing darstellt, bedeutet dies in der Konsequenz, dass sich einige potenzielle Vor- und Nachteile der Nutzung grundsätzlich aus denen des Outsourcings ableiten lassen.

30 2.4 Chancen von Cloud Computing Für das Outsourcing von IT gelten generell folgende Chancen: Kostensenkung, insbesondere Fixkostenabbau Planbarkeit der Kosten bedarfsgerechte Anpassung / Erhöhung der Flexibilität Vermeidung von IT-Investitionen Abwälzung von Risiken erhöhte Innovationsfähigkeit professionelle Leistungserbringung Zugang zu speziellem Know-how Zugang zu modernen Technologie / Best Practices Konzentration auf das Kerngeschäft Entlastung von Routineaufgaben reduzierte Mitarbeiterabhängigkeit Zuführung liquider Mittel (Übergang der IT-Anlagen) Kesten/Müller/Schröder 2007, S. 210 Bei Cloud-Lösungen handelt es sich in der Regel um Standardsoftware. Daher führt die Nutzung grundsätzlich zu den gleichen potenziellen Vorteilen, die der Einsatz von Standardsoftware im Vergleich zur Nutzung von Individualsoftware verspricht: tendenziell geringere Kosten schnellere Verfügbarkeit höherer Reifegrad periodisch konstante Kosten für Betrieb, Support und Wartung in der Regel keine Kosten bei einem Update der Software. (vgl. Buxmann/Lehmann 2008, S. 501) 29 Allerdings sind zusätzlich zur Miete der Software Implementierungskosten zu berücksichtigen. Sie fallen bei der technischen und organisatorischen Integration der gemieteten Lösung an. Eine besondere Herausforderung besteht in der Integration in bestehende Inhouse-Systeme. Beim klassischen Modell des Softwarekaufs sind neben den Kosten der Implementierung einmalige Lizenzgebühren zu zahlen. Hinzu kommen jährliche Support- und Wartungskosten, die in der Regel etwa 20 % der Lizenzkosten betragen. Darüber hinaus sind im klassischen Modell Updatekosten zu berücksichtigen, die etwa alle 7-10 Jahre anfallen. In der Regel werden die Implementierungskosten (Hardware, Software, Geschäftsprozessanwendungen, Personalkosten), einschließlich Lizenzen, für eine klassische Standardsoftwarelösung höher sein als für eine SaaS-Lösung. Dies liegt u. a. daran, dass aufgrund der Betriebssystem- und Plattformunabhängigkeit in den meisten Fällen keine oder nur geringe zusätzliche IT-Kosten anfallen. Aus diesem Grund ist tendenziell auch von einer schnelleren Verfügbarkeit von SaaS-Lösungen auszugehen. (Vgl. Buxmann/Lehmann 2008, S. 501) Darüber hinaus wird häufig als Vorteil für SaaS angeführt, dass diese Lösungen zu einer geringeren Abhängigkeit vom Softwareanbieter führen. Grundsätzlich ließe sich dieser Vorteil mit den tendenziell geringeren Implementierungskosten begründen. Für einen Anwender ist der Wechsel seiner Standardsoft-

31 warelösung in vielen Fällen mit hohen Switching-Costs verbunden, weshalb ein Wechsel des Anbieters in der Praxis relativ selten zu beobachten ist. In erster Linie stehen aber nicht Lizenzkosten einer alternativen Softwarelösung entgegen. Vielmehr bildet die Software auch die Geschäftsprozesse der Anwender ab und hat sie evtl. sogar gestaltet. Ein Wechsel des Anbieters würde deshalb auch erhebliche Kosten für Organisationsänderungen nach sich ziehen. (Vgl. ebd.) Dieser Zusammenhang ist grundsätzlich auch bei SaaS-Lösungen zu beobachten. Sobald diese Lösungen in die IT-Landschaft der Anwender integriert werden, ist ein solcher Lock-in-Effekt nicht zu vermeiden. Dabei gilt, dass der entsprechende Lockin und die damit verbundene Abhängigkeit vom Anbieter umso höher sind, je mehr in diese Integration investiert wurde (Buxmann/Diefenbach/Hess 2008, S. 31). Aufgrund der geringeren Möglichkeiten zur Kundenanpassung sowie dem häufigen Einsatz offener Standards im Rahmen von serviceorientierten Architekturen ist im Vergleich zu klassischer Standardsoftware tendenziell ein geringerer Integrationsaufwand zu erwarten. Ein einfacher Anbieterwechsel wird aber dadurch erschwert, dass die Migration der Daten als sehr aufwändig eingeschätzt wird. (Ebd.) Der wissenschaftliche Dienst des Deutschen Bundestages sah die Vorteile von Cloud Computing in diesen Aspekten: Die Nutzer müssen Server und Softwarelösungen nicht selbst anschaffen, sondern mieten die nötigen Kapazitäten für Daten, Rechenleistung und Anwendungen bei professionellen Anbietern. Aus Investitionen werden somit variable Kosten. Dies spart Geld und Aufwand und sorgt außerdem für hohe Flexibilität. Hinzu kommt die Reduzierung der Personalkapazitäten durch den zu erwartenden geringeren Verwaltungsaufwand von Hard- und Software-Bereitstellung. Personal- und kostenintensive Test- und Implementierungsphasen lassen sich vermeiden. Gleichzeitig sinkt der Bedarf an technischer Infrastruktur-Expertise. (Dt. Bundestag 2010, S. 2) Als weitere Vorteile und Chancen können genannt werden: 30 Beitrag zur Vereinfachung und Flexibilisierung des IT-Managements beim Anwender (z.b. aktuellste Version der Applikation; leichtere Erfüllung rechtlicher Rahmenbedingungen) Möglichkeiten, Speicher- oder Serverkapazität zu besorgen, wenn sie benötigt werden Bezahlung entsprechend der Nutzungsdauer des Dienstes Einsparung lokaler Ressourcen (Software und Hardware) Möglichkeit des Verzichts auf teure Netzwerkrechner und Anmietung von entsprechenden Kapazitäten in der Wolke statt teurer Bürosoftware und Festplatten ist nur noch ein Internetanschluss erforderlich, der die Verbindung zu den Netzwerkrechnern der Wolke herstellt Skalierbarkeit: beliebige Erweiterung oder Verkleinerung der Instanzen der Hardware je nach Anforderungen; voller Zugriff auf die virtuelle Hardware und Selbstinstallation der Anwendungen; dafür muss er die Server selbst administrieren Übernahme aller EDV-relevanter Vorgänge vom Dienstleister Einsatzmöglichkeit bei dezentraler Unternehmensstruktur und Ortsunabhängigkeit.

32 Ein Vorteil ist ebenfalls das erwähnte Preismodell: Bei Cloud Computing sind alle anfallenden Kosten für Software, Infrastruktur und Betrieb durch eine meist fixe monatliche Rate abgedeckt. Der Dienstleister übernimmt somit das Risiko und sämtliche Fixkosten für den Kunden, wie z.b. das für Hardware-Ausfälle, Beschaffung von Ersatzgeräten, Auslastung der Infrastruktur, Wartung, Stromversorgung und Datensicherung. Varianten der Bezahlung sind Kosten in Abhängigkeit der Anzahl der User oder in Abhängigkeit von der Nutzung, erfolgsbasierte oder auch umsatzabhängige Bezahlung. Gerade hier bestehen vor allem für Gelegenheitsnutzer große Vorteile. Man kann auch von der Variabelisierung der Fixkosten sprechen. Die Vorteile von Cloud Computing auf einen Blick: keine Investitionskosten (Lizenz), da kein Erwerb (auch Bilanzauswirkung) großer Funktionsumfang zu kalkulierbaren günstigen Mietgebühren pay-as-you-grow-prinzip: Zahlung nur für genutzte Funktionalität Backup- und Update-Service inklusive Nutzung on Demand, d.h. keine langfristigen vertraglichen Bindungen keine Kapitalbindung für Software, Hardware (Server) keine Kosten für eigenes Administrationspersonal für die Wartung der Hardware/Software hohe Sicherheit, Stabilität, Skalierbarkeit durch moderne IT-Technologie hoch standardisierte Services, die eine Selektion und (Re-) Kombinationen ermöglichen mehr Interoperabilität und Offenheit für die IT Umwandlung langfristig fixer Investitionskosten in variable Kosten, da eine gemeinschaftliche Nutzung erfolgt Verursacher gerechte Verrechnung der Services Ermöglichung neuer Arbeitszeitmodelle. 31 Fazit: Cloud Computing bietet Vorteile bei Kosten, Funktionalität, Aktualität, Standardisierung, Technologie, Qualität und Flexibilität.

33 2.5 Risiken von Cloud Computing Den Outsourcing-Risiken kommt angesichts der zunehmenden Verlagerung von IT- Serviceleistungen zu externen Anbietern eine steigende Bedeutung zu. Durch ganzheitliche oder selektive Outsourcing-Strategien der Unternehmen entstehen neue Abhängigkeiten und Beziehungsnetzwerke, die professionell gemanagt werden müssen. (Kesten/Müller/Schröder 2007, S. 21 f.) Die Risiken eines IT-Outsourcings sind wie folgt zusammenzufassen: hohe Abhängigkeit vom Dienstleister Verzicht auf eigene IT-Kompetenz / strategische Optionen hohe Umstellungskosten hoher Aufwand bei unvorhergesehenen Anforderungen erhöhter Kommunikations-/Koordinationsaufwand schlechtere Verständigung zwischen IT und Fachabteilungen Intransparenz der Preise langfristige Wirkung / Irreversibilität der Entscheidung Datenschutz Demotivation, Verlust von Schlüsselpersonen Unvereinbarkeit der Unternehmenskulturen Kesten/Müller/Schröder 2007, S. 210 Ein weiterer Überblick ergibt folgende mögliche Outsourcing-Risiken: 32 Abegglen 2008, S. 18 Bei Cloud-Lösungen handelt es sich in der Regel um Standardsoftware. Dementsprechend sind mit der Anwendung im Vergleich zu Individualsoftware in der Regel auch die entsprechenden Nachteile von Standardsoftware verbunden. Hierzu gehören die höhere Diskrepanz zwischen unternehmensspezifischen Anforderungen und der Softwarelösung (geringe Customizing-Möglichkeiten) sowie fehlende Wettbewerbsvorteile. Insofern wird der Kostenvorteil von Lösungen aus der Cloud

34 durch eine geringere Anpassung an die organisatorischen Anforderungen relativiert. (Vgl. Buxmann/Lehmann 2008, S. 501) Dass die Implementierungskosten für Cloud-Lösungen in der Regel niedriger sein werden, liegt daran, dass die Möglichkeiten für eine Anpassung der Softwarelösungen an Kundenwünsche meistens geringer sind als bei klassischen Standardsoftwarelösungen. Insofern wird der Kostenvorteil insbesondere von SaaS-Lösungen durch eine geringere Anpassung an die organisatorischen Anforderungen relativiert. (Vgl. ebd.) Eine weitere Herausforderung in der Cloud ist die Abhängigkeit vom jeweiligen Cloud-Anbieter (Lock-in-Effekt), da die angebotenen Schnittstellen meist sehr herstellerspezifisch sind. Während der Vertragslaufzeit besteht eine Abhängigkeit vom Dienstleister. (Vgl. Wikipedia Cloud Computing) Die Übertragung von Daten über die Internetanbindung eines Unternehmens bringt Einschränkungen in der Übertragungsgeschwindigkeit mit sich. Für Anwendungen, die eine schnelle Datenübertragung benötigen, ist oft eine Lösung im lokalen Unternehmensnetz zu bevorzugen. (Buxmann/Lehmann 2008, S. 501) Hinzu kommen Sicherheitsprobleme, wie die Absicherung des Zugriffs auf die Anwendungsdaten beim Transfer zwischen lokalem Nutzer und entferntem Server, die bisher nicht befriedigend gelöst wurden. Es existieren jedoch zahlreiche Entwicklungen im Bereich der Datensicherheit, wie beispielsweise SSL/TLS-Verschlüsselung. (Vgl. Wikipedia Cloud Computing) Ebenso wird befürchtet, dass die Kontrolle privater Daten von Nutzern durch marktdominante Anbieter überhand nimmt (vgl. ebd.). 33 Der wissenschaftliche Dienst des Deutschen Bundestags führt zu den Nachteilen aus: Diese betreffen vor allem Sicherheit und Zuverlässigkeit der Cloud- Dienstleistungen. Probleme zeigen sich unter Umständen auch beim Wechsel zu einem anderen Anbieter (Lock-In-Effekt). Die Interoperabilität zwischen den Cloud Services muss deshalb sichergestellt werden, damit ein Cloud Computing-Nutzer nicht dauerhaft an einen einzelnen Anbieter gebunden ist. Als weitere Schwachstelle gilt die fehlende Kontrollierbarkeit der Daten auf den fremden Servern. Hinzu kommt das Problem der Absicherung des Zugriffs auf die Daten beim Transfer zwischen Nutzer und dem web-basierten Server. (Dt. Bundestag 2010, S. 2) Marc Ruef von der scip AG hat die folgenden 10 sicherheitsrelevanten Gründe gegen Cloud Computing herausgearbeitet: 1. Fehlende Transparenz Durch die Abstrahierung wird es für einen Nutzer nicht mehr möglich zu erkennen, wo sich seine Daten genau befinden und wie mit diesen umgegangen wird. Branchenspezifische Anforderungen an Sicherheitsüberprüfungen werden nur sehr schwer umsetzbar. Damit wird die Grundlage für alle weiter genannten Probleme geschaffen.

35 2. Vermengung von Nutzern/Diensten/Daten Durch das Teilen von Ressourcen findet eine Vermengung von Nutzern, Diensten und Daten statt, wodurch ungleich klassifizierte Assets (Vermögensgegenstände) in gleicher Weise behandelt werden. 3. Verlust der Kontrolle über Daten/Prozesse Die fehlende Transparenz und das Teilen der Ressourcen führen dazu, dass ein Verlust über die Nutzdaten und Aktivitäten stattfindet. Ein Anbieter könnte diese unerlaubt selbst weiterverwenden oder an einen Mitbewerber oder eine Behörde weiterreichen. 4. Abhängigkeit vom Anbieter Man ist in direkter Weise vom Angebot und der Qualität des Dienstleisters abhängig. Ausfälle des Dienstes können sich als sofortige Einbuße der Produktivität auswirken. 5. Schwierigkeit von Backups Das Erstellen von Backups könnte maßgeblich erschwert sein. Nur mit erheblichem Aufwand lassen sich diese selbstständig umsetzen. Will man diesen Aufwand nicht in Kauf nehmen, ist man erneut vom Anbieter abhängig. Die kompetente Umsetzung dieses Prozesses sowie unter Einhaltung branchen-/unternehmensspezifischer Vorhaben lässt sich oftmals nur schwer durchsetzen. 6. Schwierigkeit bei Migration Durch komplexe Abhängigkeiten und Inkompatibilitäten kann ein Wechsel zu einem anderen Anbieter nur mit viel Aufwand möglich sein. Die Abhängigkeit zum Partner führt eine ständige Trägheit mit sich. Bei Differenzen in der Zusammenarbeit ist man lange Zeit der Willkür des Partners unterworfen Juristische Konflikte bezüglich Datenschutz Es ist denkbar, dass sich eine Cloud über verschiedene Länder erstreckt. Diese können ihrerseits unterschiedliche Rechtsgrundlagen aufweisen. Durch ein dynamisches Verteilen eines Dienstes ins Ausland können juristische Probleme auftreten (z. B. bei Exportverbot oder bzgl. des Datenschutzes). 8. Juristische Eigenverantwortung Ein Unternehmen kann sich durch das Auslagern von Daten und Prozessen nicht gänzlich von der Eigenverantwortung lossprechen. Selbst eine strukturierte Evaluation und Prüfung des Partners sowie eine solide vertragliche Vereinbarung lassen ein derartiges Abtreten von Verantwortung nicht zu. 9. Einbuße bei Know-how Das Auslagern von Prozessen und Technologien wird meist umgesetzt, um hinsichtlich interner Ressourcen eine Kostenersparnis zu erreichen. Der Abbau von ausgebildetem Personal hat längerfristig die Einbuße von Know-how und Kompetenzen zur Folge. Im schlimmsten Fall ist bei Verhandlungen und Problemen niemand mehr intern anwesend, der dem Sachverhalt ansatzweise ein Verständnis entgegenbringen kann. Ein etwaiges Insourcing würde sich dann als Neuaufbau einer gesamten Abteilung (inkl. Personal, Prozesse, Strukturen) gestalten. 10. Zentraler Angriffspunkt Cloud Computing wird als Distributed Computing verstanden, womit ein zentraler Angriffspunkt geschaffen wird: Je mehr Mechanismen in eine spezifische Cloud ausgelagert werden, desto fokussierter kann sich ein Angreifer eben diesem Kon-

36 strukt annehmen. Eine Kompromittierung der Cloud hat theoretisch die Kompromittierung sämtlicher ausgelagerter Mechanismen zur Folge. Cloud Computing kombiniert die unliebsamen Risiken von Virtualisierung und Outsourcing. Von der pauschalen Nutzung von Cloud Computing ist deshalb in Umgebungen mit hohen Ansprüchen an die Sicherheit abzusehen. (Ruef 2010) Die Analysten von Kuppinger Cole haben in einer Studie vom September 2009 die folgenden Risiken benannt (Kuppinger Cole 2009): 1. Verfügbarkeit von Cloud-Diensten: Internet-Verbindung; Dauer der Existenz des Anbieters 2. Flexibilität von Anwendungen: viele Cloud-Services nur in standardisierter Form verfügbar und nicht/nur mit hohem Kostenaufwand anpassbar; Verlust spezifischer Anpassungen bei Wechsel des Cloud-Anbieters; Risiko der Abhängigkeit von einem Provider (Vendor Lock-in). 3. Flexibilität bei der Anbieterwahl: Komplikationen bei Anbieterwechsel hinsichtlich Schnittstellen und Notwendigkeit des manuellen Eingreifens, um beispielsweise Daten zu konvertieren 4. Integration: eingeschränkte APIs, die eine Integration mit eigenen internen Anwendungen oder anderen Cloud-Services nicht oder nur mit Einschränkungen erlauben; oftmals zusätzlicher Aufwand beim Wechsel von Cloud-Services 5. Sicherheit: fehlende einheitliche Authentifizierung und Steuerung der Autorisierung bis hin zu Cloud Service übergreifenden SoD-Regeln (Segregation of Duties) 6. Nachvollziehbarkeit: eine verteilte IT-Infrastruktur, die sich über unterschiedliche Cloud Services mehrerer Anbieter erstreckt, erschwert die Nachvollziehbarkeit. (Vgl. 35 Unterm Strich sehen die Experten im Bereich Cloud Computing noch erheblichen Standardisierungsbedarf. Dies gelte sowohl im Hinblick auf die Schnittstellen für das Management von Cloud-Umgebungen als auch für die Datenformate auf Anwendungsebene. (Vgl. ebd.) Hinzu kommen organisatorische Herausforderungen, vor denen Unternehmen stehen, wenn sie IT-Ressourcen in der Wolke nutzen wollen. Die größte besteht darin, dass Cloud Computing, mehr noch als klassische Outsourcing-Vorhaben, die IT- Organisation grundlegend verändert. (Vgl. ebd.) Bei Outsourcing übernimmt in der Regel der Outsourcer die administrativen Mitarbeiter. Wird auf Cloud-Services umgestellt, werden weniger interne Mitarbeiter benötigt. Gleichzeitig verändern sich die Anforderungen an die interne IT, deren Schwerpunkt nicht mehr auf dem IT-Betrieb und der Administration liegt, sondern auf der Steuerung und Kombination von Services aus der Cloud, sowohl zwischen Cloud Services als auch innerhalb der internen IT. (Vgl. ebd.) Ein Entscheidungskonzept muss daher zahlreiche Aspekte berücksichtigen, wie:

37 Erfolgsfaktoren beim Einsatz virtueller Infrastrukturen Gull 2010, S % der IT-Verantwortlichen in US-Firmen sehen Cloud Computing noch skeptisch. Für sie bringt die Technik mehr Risiken als Vorteile. 38 % sehen eine ausgeglichene Balance zwischen Risiken und Vorteilen. Für nur 17 % überwiegen die Vorteile. Das ist das Resultat einer Online-Umfrage vom April ( news/wirtschaft_unternehmen_business_umfrage_risiken_von_cloud_computing_ueberwi egen_story htm) Die IT-Verantwortlichen ziehen aus ihrer Einschätzung durchaus auch Konsequenzen: Nur 10 % wollen unternehmenskritische IT-Dienste in die Cloud verlagern, 15 % nur Dienste mit geringem Risiko. 26 % planen, Cloud Computing überhaupt nicht zu nutzen. Fast die Hälfte ist sich noch nicht sicher. (Ebd.) 36 Hinzu kommt das formale Problem des Standortes der Daten. Es ist unzulässig, Personendaten außerhalb der EU zu lagern, in einigen Ländern sogar außerhalb des Landes. Beim Outsourcing aber hat der Daten-Besitzer die Hoheit über seine Daten im Prinzip verloren. Daher muss im Outsourcingvertrag eine nachvollziehbare Vereinbarung getroffen werden. Des Weiteren stellt es ein Problem dar, das eigene Risiko-Management auf einen Dienstleister auszuweiten. Datensicherheit ist somit der primäre Aspekt, der Unternehmen und Organisationen bisher von der Einführung von Cloud Computing abhält. Dies belegt auch die Studie Cloud Vendor Benchmark 2010 der Experton Group, die Sicherheits- und Compliance-Bedenken zusammen mit Intransparenz und Performance-Befürchtungen als Hauptgründe für die Zurückhaltung gegenüber Cloud-Computing-Technologien anführt:

38 37 Fazit: In den meisten Unternehmen sind die IT-Systeme in einem eigenen Rechenzentrum untergebracht. Jetzt sollen IT-Aktivitäten zunehmend in die Internet-Wolke verlagert werden, gegen die man sich zuvor mit Firewall geschützt hat. Bedenken sind somit vorprogrammiert. Neben den allgemeinen Outsourcing-Risiken steht vor allem die Datensicherheit im Fokus dieser Bedenken.

39 3. Cloud Computing und Sicherheit im öffentlichen Sektor 3.1 Aktuelle Debatte Im Oktober 2010 fand in Berlin die Public IT-Security 2010 (PITS) statt, Deutschlands wichtigster Fachkongress für IT-Sicherheit im öffentlichen Sektor. Das Motto lautete Sicherheit in virtualisierten Welten. Im Mittelpunkt standen Chancen und Risiken von Cloud Computing und Managed Services für die öffentliche Hand. Der Chefredakteur des Behördenspiegel, Uwe Proll, forderte bei der IT-Sicherheit das Verursacherprinzip ein und sprach von einer Anschnallpflicht auf Datenautobahnen. Vor allem im Cloud Computing bei öffentlichen Einrichtungen gelte: Nicht alles ist IT-Sicherheit, aber alles ist nichts ohne IT-Sicherheit. ( Auf dem Fachkongress überwog die Skepsis, ob Cloud-Konzepte im öffentlichen Bereich großflächig einsetzbar sind. Generell, so der Tenor, seien Cloud-Lösungen nur punktuell und in klar eingegrenzten Bereichen denkbar und sinnvoll. Dabei stelle sich weniger die Frage, ob bestimmte Daten Cloud fähig sind, sondern ob es Prozesse gibt, sie Cloud fähig zu machen. Als einen Sektor, in dem dies sinnvoll sein könnte, wurde der -Bereich genannt. (Vgl. ebd.) Cloud Computing bietet große Einsparpotenziale. Doch sie bleiben oft ungenutzt. Unternehmen und öffentliche Hand sind skeptisch, ihre Daten in fremden Rechenzentren zu speichern. Sie fürchten fremden Zugriff und arbeiten lieber mit eigenen Servern. Die eigenen Daten im eigenen Hause zu wissen und zu sichern, hat oftmals Priorität. Befürchtet werden ein höherer Verwaltungsaufwand und eine noch schwierigere Kontrolle der Zugangsberechtigten. Außerdem wird die Abhängigkeit vom Internet gescheut. Gerade bei ländlicher Infrastruktur ist die Übertragung nicht immer sichergestellt. Ebenso ist die Geschwindigkeit von großer Bedeutung. (Vgl. Buchhard 2009) 38 Tatsächlich sind diese Vorbehalte nicht unberechtigt, ist dem Public-Cloud- Computing-Ansatz doch inhärent, dass nicht mehr genau gesagt werden kann, auf welchen Servern, in welchen Rechenzentren und auf welchem Erdteil Daten und Anwendungen des Nutzers verteilt sind. Damit beginnen aber auch die Schwierigkeiten des Geschäftsmodells Public Cloud im öffentlichen Bereich. Denn die besondere Sensibilität hoheitlicher und personenbezogener Daten der öffentlichen Verwaltung steht der großräumigen Nutzung von Public Clouds diametral entgegen. Ämter und Behörden können sensible und sicherheitsrelevante Daten und Anwendungen nicht einfach nach Effizienzkriterien über die Welt verteilen, da diese gesetzlich einem besonderen Schutz unterliegen. Die Gewährleistung des Datenschutzes ist eines der wichtigsten Probleme beim Cloud Computing der öffentlichen Hand. Die Verwaltung verarbeitet und nutzt eine Vielzahl teils hoch sensibler personenbezogener Daten. Deshalb hat der Datenschutz eine ganz besondere Bedeutung, auch politisch. Daneben gibt es Gefahren wie Stromausfall, Hacker, Viren, Spams, Online-Betrüger und den Faktor Mensch.

40 Die Verwaltung als Nutzer Cloud basierter IT-Leistungen behält die datenschutzrechtliche Verantwortung für die Verarbeitung und Nutzung personenbezogener Daten. Der Anbieter hat nur die Aufgabe, die Datenverarbeitung technisch durchzuführen. Bei Auftragsdatenverarbeitung müssen strenge Kriterien erfüllt sein, u. a. muss der Auftraggeber Verwaltung eine Kontrollmöglichkeit haben. Diese hohen Anforderungen sind bei Auftragsvergabe an Betreiber von so genannten Public Clouds kaum einzuhalten, auch weil personenbezogene Daten je nach freier Kapazität irgendwo auf der Welt flexibel gespeichert werden. Daher ist es für den Auftraggeber Verwaltung schier unmöglich, den Ort der Speicherung und damit der Verarbeitung zu kennen. Die Einhaltung der eigenen datenschutzrechtlichen, technischen und organisatorischen Vorgaben ist somit faktisch nicht kontrollierbar. Die großen globalen Service-Provider wie Google, Microsoft oder Amazon agieren von vornherein weltweit. Aber auch bei regionalen Anbietern gibt es keine Gewissheit, ob sie nicht eines Tages in einem großen internationalen Rechenzentrum aufgehen. Diese Problematik lässt sich selbst durch vertragliche Vereinbarungen nur schwer abfangen, denn wenn Provider ihrerseits Ressourcen in der Cloud zuweisen, haben sie selbst keinen Einfluss mehr auf deren Verteilung. Zudem liefe eine Regelung der physischen Verteilung von Daten dem Grundgedanken des Cloud Computing zuwider: Die Effizienz des Cloud Computing entsteht ja gerade dadurch, dass die Ressourcen umfassend virtualisiert und von deren physischer Verteilung abgekoppelt sind, meint Dell-Manager Schramm (zit. in: Eriksdotter 2010). Mit Stand hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Leitfaden BSI-Mindestanforderungen an Cloud-Computing-Anbieter als Entwurf herausgegeben. Behandelt werden folgende Anforderungen: Vertraulichkeitsbedarf für firmenvertrauliche und personenbezogene Daten Sicherheitsmanagement beim Anbieter: definiertes Vorgehensmodell der IT- Prozesse (z.b. nach ITIL, CoBIT), Implementierung eines Information Security Management System (z. B. nach BSI-Standard 100-2) Sicherheitsarchitektur: Infrastruktur, technische Aspekte, Systemkomponenten ID- und Rechte-Management: sichere Identifizierung, Zugangskontrolle Monitoring und Security Incident Management: Verfügbarkeit, Überwachung Notfallmanagement: z.b. auf Basis des BSI-Standards Sicherheitsprüfung und Sicherheitsnachweis: regelmäßige Penetrationstests-Tests und Audits Anforderungen an das Personal: geschult, vertrauenswürdig inner Sicherheit Transparenz: Standort der Daten und Anwendungen, Zugriff durch Dritte Organisatorische Anforderungen: Sicherheitsleistung vertraglich vereinbaren, (SLA) Kontrollmöglichkeiten für Nutzer: Qualität des Services, Audits Portabilität von Daten und Anwendungen: Import und Export der Daten Interoperabilität: unabhängige Plattform, standardisierte, offene Schnittstellen Datenschutz/Compliance: Einhaltung der gesetzlichen Bestimmungen nach deutschem Recht Cloud-Zertifizierung: Nachweis des Sicherheitsniveaus Zusatzforderungen an Public Cloud-Anbieter für die Bundesverwaltung. 39 (Vgl. BSI 2010)

41 Aus Sicht des BMWi bedürfen Anbieter und Anwender: BMWi 2010 b, S. 10 Bereits Ende 2009 hat die European Network and Information Security Agency (ENISA), die Internetsicherheitsagentur der Europäischen Union, einen umfassenden Bericht über Cloud Computing: Vorteile, Risiken und Empfehlungen für die Informationssicherheit (ENISA 2009) vorgelegt. Der Report beschäftigt sich mit technischen, politischen und rechtlichen Auswirkungen von Cloud Computing und gibt konkrete Empfehlungen, wie man Risiken vermeidet und den maximalen Nutzen für öffentliche Verwaltungen sowie Unternehmen erzielen kann. Er stellt einen Überblick über Sicherheits- und Datenschutzfragen, denen sich Behörden und Unternehmen vor dem Einzug in die Wolke stellen müssen, dar. Neben den Vorteilen nennen die EU-Sicherheitsexperten 35 Sicherheitshürden. Auf diese wird mittels detaillierter Checklisten geantwortet. Der Report nennt vor allem mögliche Probleme bei der Trennung der Daten und Anwendungen unterschiedlicher User sowie rechtliche Risiken, etwa bei der Nichtbeachtung datenschutzrechtlicher Bestimmungen. Laut Studie kann Cloud Computing zugleich ein Sicherheitsgewinn für die Anwender sein, aufgrund von Skalierbarkeit, Flexibilität und sofortigem Einsatz zusätzlicher Filterung. (ENISA 2009) 40 Fazit: Die Vorteile des Outsourcings sind gegen die Risiken zur Sicherheit der Daten der Bürger aufzuwiegen. Cloud Computing ist nur dort denkbar, wo es das Vertrauen des Bürgers nicht gefährdet. Öffentliche Clouds kommen für Kommunen in der Regel derzeit nicht in Frage. Ausnahmen für einzelne Services sind an die Anwendung von Verfahren gebunden, die das Lesen nur Berechtigten ermöglichen (Datensegmentierung und - verschlüsselung).

42 3.2 Private Cloud als Lösung Zwischen dem öffentlichen Kunden und dem Dienstleistungsanbieter liegt regelmäßig ein Fall von Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) vor. Der öffentliche Kunde ist verpflichtet, den Anbieter sorgfältig auszuwählen, regelmäßig zu kontrollieren und das Ergebnis der Kontrollen zu dokumentieren. Der öffentliche Kunde bleibt für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Verträge über die Erbringung von Cloud-Computing-Leistungen müssen den 10-Punkte-Katalog des 11 BDSG umsetzen, sonst drohen dem Kunden Bußgelder bis zu 50 TEUR ( 43 Abs. 1 Nr. 2b BDSG). Datenschutzbeauftragte empfehlen einen Anbieter zu wählen, der garantiert, dass seine Daten auf Servern in Deutschland oder innerhalb der EU bleiben. SAP hostet seine On-demand-Anwendung zum Beispiel im Rechenzentrum in St. Leon-Rot bei Walldorf. Schon die USA kommt für viele Kunden als Alternative nicht in Frage, denn dort sind die Datenschutzgesetze nicht so streng wie die in der EU. (Vgl. Buchhardt 2009) Vor dem Hintergrund der hohen Anforderungen der öffentlichen Verwaltung an Datenschutz und IT-Sicherheit gilt eine Private Cloud für die öffentliche Verwaltung als die Lösung. Dies wäre eine Government Cloud. Sie beschreibt einen beschränkten Zugang wie in einem Intranet. IT-Services befinden sich entweder in einem verwaltungseigenen Rechenzentrum oder bei einem IT-Dienstleister, der kundenindividuell den IT-Betrieb übernimmt. (Vgl. Wulff 2010) 41 BITKOM Leitfaden S. 30 Voraussetzung für eine funktionsfähige Government Cloud ist der politische Wille, die potenziellen Effekte der Government Cloud gemeinsam mit anderen umzusetzen. Hierzu bedarf es eines tragfähigen und transparenten Business- und Geschäftsmodells sowie eines umsetzbaren, pragmatischen Organisations- und Technikkonzepts. (Vgl. Wulff 2010) Die öffentlichen IT-Dienstleister gelten als gute Partner für Aufbau und Betrieb einer Government Cloud, denn sie können ihren Kunden die Vorteile dieser Services anbie-

43 ten und gleichzeitig die Risiken auf ein Minimum reduzieren: Die öffentlichen IT- Dienstleister sind öffentlich kontrolliert, arbeiten ausschließlich in abgeschotteten Rechenzentren und können auf der Basis eines eigenen Netzes sicher miteinander kommunizieren. Zudem erfüllen sie seit Jahrzehnten die Anforderungen an IT- Sicherheit und Datenschutz und arbeiten ständig an weiteren Verbesserungen. (Vgl. ebd.) Bei diesem Konzept geht es zugleich nicht um Abschottung von privaten Anbietern. Vielmehr ist sorgsam zu prüfen, ob und für welche Anwendungsfelder sich Public Clouds für die Nutzung durch die öffentliche Verwaltung eignen, um größtmöglichen Nutzen für die Verwaltungen zu erzielen. (Vgl. ebd.) BITKOM Leitfaden S. 31 An einem Cloud-Computing-Angebot speziell für die öffentliche Verwaltung arbeiten derzeit unter anderem der IT-Dienstleister Dataport und das Unternehmen Microsoft. Nach Angaben der beiden Partner wird die Government CloudMail in einem ersten Pilotprojekt als hoch standardisierte Lösung für die -Kommunikation erprobt. Künftig könnten darüber dann weitere Anwendungen, Infrastrukturen sowie Plattformen bereitgestellt, verwaltet und nach Nutzung abgerechnet werden. (Vgl. auch Kapitel 1.3) 42 Außerdem arbeiten Mitglieder der Bundesarbeitsgemeinschaft der Kommunalen IT- Dienstleister Vitako an einer Government Cloud. Das Informations- und Kommunikationsinstitut der Landeshauptstadt Saarbrücken entwickelt im Rahmen der Facharbeitsgruppe das Geschäftsmodell sowie das technische Konzept sollen erste Tests beginnen, die Government Cloud könnte 2012 oder 2013 in Produktion gehen. (Vgl. Seiten/default.aspx) Durch eine Government Cloud können IT-Services künftig zu niedrigeren Kosten oder in attraktiverer Form zum gleichen Preis angeboten werden. Die Risiken der Cloud-Technologie können die kommunalen IT-Dienstleister dagegen auf ein Minimum reduzieren. Für einheitliche Standards und eine internationale Angleichung von Datenschutzbestimmungen plädierte im Rahmen einer BITKOM-Konferenz zu Cloud Computing Telekom-Chef René Obermann. Des Weiteren steht er für die staatliche Zertifizierung von Cloud-Angeboten. Von einer internationalen, gesetzlichen Regulierung für Cloud Computing sei man aber noch weit entfernt. (Vgl _65427.aspx) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits einen ersten Schritt getan und ein Eckpunktepapier zur Informationssicherheit bei Cloud Computing veröffentlicht. Dieses stellt die Verarbeitung von besonders schützens-

44 werten Informationen, etwa personenbezogenen Daten, in der Rechenwolke in den Fokus. Gemeinsam mit Anbietern und Anwendern sollen auf Grundlage des Dokuments sachgerechte Sicherheitsanforderungen an Cloud-Computing-Lösungen erarbeitet werden, die künftig zur sicheren Bereitstellung solcher Dienstleistungen herangezogen werden sollen. (Vgl. PDF/ Publikationen/Technologie-und-Innovation/ aktionsprogramm-cloud) Die ISPRAT-Studie Cloud Computing für die öffentliche Verwaltung vom November 2010 belegte, dass das Sicherheits- und datenschutzrechtliche Risko grundsätzlich beherrschbar ist. Handlungsbedarf besteht jedoch bei der rechtlichorganisatorischen Ausgestaltung von Verträgen zwischen Auftraggeber und Dienstleister für wiederkehrende Dienstleistungen (SLA-Standards) und Verfahrensrecht. Auch sind Fragen zur Zertifizierung von Cloud-Dienstleistungen und zur Schaffung von Kontrollgremien zu konkretisieren. (Vgl ) Die erste Private Cloud für die öffentliche Verwaltung bietet das Kommunale Rechenzentrum (krz) Minden-Ravensberg/Lippe, das die Sicherheitsanforderungen erfüllt: 43 krz 2010, S. 24 Eine entsprechende Zertifizierung ist erfolgt: krz 2010, S. 25

45 Fazit: Private Clouds für die öffentliche Verwaltung, und damit sog. Government Clouds, können ein exklusives und sicheres Angebot für einen geschlossenen Nutzerkreis bereitstellen. Die angeschlossenen Behörden als mittelbare Betreiber kontrollieren dabei die Verteilung der Ressourcen. Der einzelne Teilnehmer dieser geschlossenen Gruppe nutzt IT- Dienstleistungen und bezahlt sie entsprechend der jeweiligen Inanspruchnahme. Die Cloud braucht Standards, Vertrauen und Leuchtturmprojekte. (Prof. Dr. Radu Popescu-Zeletin Institutsleiter Fraunhofer-Institut FO- KUS. In: Fraunhofer FOKUS 2010, S. 5) 44

46 4. Politische und wirtschaftliche Implikationen 4.1 Politische Implikationen Politik und Verwaltung funktionieren nicht wie privatwirtschaftliche Unternehmen. Daraus ergeben sich andere Rahmenbedingungen für die IT, die laut ISPRAT im Whitepaper IT vom Juli 2010 in folgenden Punkten gesehen werden können: Leitprinzip Aufgabenerfüllung statt Gewinnmaximierung In Verwaltungen steht die Aufgabenerfüllung im Vordergrund. Der öffentliche Sektor handelt grundsätzlich nach politischen Vorgaben. Erfolg wird für Handelnde nicht in betriebswirtschaftlichen Kennzahlen gemessen, sondern in der Zeitdauer einer Legislaturperiode, einer Art business case of reelection. Erfolg der Politik ist dann das Einwerben von Wählerstimmen. Politik und Verwaltung versuchen deshalb Risiken zu minimieren, weil Fehler sofort eine Angriffsfläche bieten würden. Von daher ist die IT mit ihrem hohen Risiko- Potenzial für Politik generell ein schwieriges Terrain. Hinzu kommt, dass politisches Handeln sichtbar sein muss. IT muss deshalb, um überhaupt wahrnehmbar zu sein, an eine political story gekoppelt werden, wie z. B. Bürgernähe der Verwaltung anstelle konsequenter Verwaltungsmodernisierung. Monopolstellung der Verwaltung für verwaltungsfachliche Leistungserbringung Öffentliche Verwaltungen kennen in der Regel keine Konkurrenz. Verwaltungshandeln ist vielfach ein Monopol. Für Unternehmen kann die Geschwindigkeit der Erteilung einer Baugenehmigung ein Grund für die Ansiedlung in einer anderen Kommune sein, für Bürger aber sind weder Geschwindigkeit noch Qualität der Stadtverwaltung ein Grund für die Wahl des Wohnortes. Die Dienstleistungsqualität ist demzufolge für einen business case of reelection von nachrangiger Bedeutung, mit Ausnahme wirklich öffentlichkeitswirksam gescheiterter Maßnahmen. 45 Hohes Maß an Regulierung Die Orientierung an Gesetzen, Verordnungen und politischen Gremienbeschlüssen schränkt den Spielraum der Verwaltung ein, das Handeln ist in hohem Maße reguliert. Gleiches gilt aufgrund der Vertraulichkeit personenbezogener Daten. IT muss besondere Anforderungen erfüllen, konkret im Hinblick auf das informationelle Selbstbestimmungsrecht, den Datenschutz und die Datensicherheit. Die Sensibilität der Bevölkerung für dieses Thema wird weiter zunehmen. Die Beauftragung von Privaten unterliegt in vielen Fällen dem Vergaberecht, mit der Intention eines hohen Maßes an Nachvollziehbarkeit, der Stärkung des Wettbewerbs und des nachweisbaren wirtschaftlichen Handelns. Dadurch entstehen zeitliche Verzögerungen. Zudem ist die Übertragung hoheitlicher Aufgaben an privatwirtschaftliche Anbieter in der Regel nicht möglich. Grundgesetzlich vorgegebene Rahmenbedingungen wie Föderalismus und Ressortprinzip bilden für Kooperationen zusätzliche Herausforderungen. Die Aufgabenvielfalt der öffentlichen Verwaltung bewirkt auf IT-Seite den Betrieb vieler Kleinverfahren, die nicht einfach aus dem Portfolio genommen werden können, um die Effizienz zu steigern. Dies ist ein Hauptgrund für die Komplexität von IT-Systemen in Behörden. Dynamik des politischen Prozesses Vorgaben und Regeln können von Politik und Verwaltung nicht mit derselben Geschwindigkeit angepasst werden wie die Geschäftsstrategie eines Unternehmens an neue Entwicklungen. Vielmehr sind Regeln in einem politischen, oftmals parlamen-

47 tarischen Prozess neu zu verhandeln. Die Folge sind politische Prozesse, die von Tauschhändeln, Systemblockaden und Kompromissen geprägt sind. (ISPRAT 2010 a, S. 24) Hinzu kommt, dass Gesetzesänderungen oft auch einer Prüfung durch Verfassungsgerichte standhalten müssen. Erforderliche Steuerung und Know-how des IT-Leistungserbringers IT-Kooperationen sind dauerhaft nur erfolgreich, wenn sie steuerbar sind. Hierzu ist ein gewisses Maß an Transparenz und Eingriffsmöglichkeiten seitens des Auftraggebers erforderlich. Die Anforderungen an die Steuerbarkeit sind seitens des Auftraggebers öffentliche Verwaltung hoch. Und aufgrund der großen Zahl und Ausdifferenzierung der Fachverfahren erwartet der öffentliche Sektor von IT- Leistungserbringern zudem ein hohes verwaltungsfachliches Know-how. (Vgl. ISPRAT 2010, S. 21. f.) Der Nutzen von IT-Kooperationen muss für die Politik somit nicht nur im wahrnehmbaren, operativen Nutzen liegen, also Verwaltung befähigen, die Herausforderungen der Zeit zu bewältigen, sondern auch einen politischen Nutzen aufweisen. Der Nutzen einer IT-Kooperation muss im Sinne eines political case kommunizierbar sein. Im Gegensatz zum business case der Privatwirtschaft ist die Währung hier jedoch nicht Geld (größerer Umsatz oder geringere Kosten), sondern politische Glaubwürdigkeit. (Ebd. S. 15) Ein political case muss außerdem vermittelt werden können. Beispiele für politischen Nutzen sind größere Bürgernähe, Förderung der digitalen Gesellschaft, Unterstützung der Standortattraktivität und Leistung eines Beitrags zur Haushaltskonsolidierung. 46 Ein neues Denken in den Kommunalverwaltungen ist überfällig. Doch welches ist die Konsequenz für den politischen Bereich? Stellt eine IT-Integration von Kommunen und Bundesländern bis hin zur nationalen Ebene eine Schwächung der politischen Teilhabe auf kommunaler Ebene dar oder ist dieser Prozess vielleicht sogar ein Weg, Kommunen politische Handlungsfähigkeit zurückzugeben? Die Zusammenarbeit im Bereich der IT steht exemplarisch für die vielfältigen operativen Unterstützungsleistungen, auf die eine Verwaltung zum Vollzug der Sachentscheidungen angewiesen ist, d.h. zur eigentlichen und originären Aufgabenerfüllung. Gemeinsam betriebene Servicezentren (Shared Service Center) erscheinen somit als Gebot der Stunde. Die Frage, ob und inwieweit IT bzw. ihre Verlagerung auf Dritte oder die gemeinschaftliche Erbringung sich auf die Verwaltungsentscheidung auswirkt, hat in Politik und Verwaltung sowie den Rechts- und Verwaltungswissenschaften gerade erst eingesetzt. (Vgl. Schulz 2010 b) Nach bisheriger Bewertung beginnt die verfassungsrechtlich unzulässige Preisgabe von Entscheidungskompetenzen erst dort, wo den beteiligten Verwaltungsträgern eigenverantwortliche Aufgabenwahrnehmung unmöglich gemacht wird. (Rechtliche 2010, Schulz 2010 b) Angesichts der Hintergründe von rechtsstaatlicher Verantwortungsklarheit und demokratienotwendiger Legitimation staatlichen Handelns sind als (unzulässige) Mischverwaltung lediglich Verwaltungstätigkeiten zu klassifizieren, bei denen die sachlichen Entscheidungen in einem irgendwie gearteten Zusammenwirken getroffen werden. Soweit sich die zuständigen Behörden nur einer gemeinsamen Struktur zur Erfüllung des verwaltungstechnischen Vollzugs bedienen, können derartige Konflikte hingegen nicht auftreten. Die Wahrnehmung dieser Funktionen ein-

48 schließlich des Aufbaus und Betriebs von IT-Infrastrukturen wirkt sich nicht auf den Inhalt des Gesetzesvollzugs aus, so dass in diesem Kontext eine echte Kooperation nicht nur verfassungsrechtlich zulässig, sondern mit dem Ziel der Nutzung von Synergieeffekten angezeigt ist. (Schulz 2010 b) Eine Studie der Universität Kiel und von ISPRAT kam hinsichtlich der EU- Dienstleistungsrichtlinie zu dem Schluss, dass die Umsetzung dieser Richtlinie im Bereich IT ein Motor der Verwaltungsmodernisierung sein kann, wenn egovernment nicht isoliert betrachtet und umgesetzt, sondern der Intention der Richtlinie folgend mit anderen Projekten verknüpft wird. Als Elemente hierfür werden gesehen: Begünstigung der Funktionalreform und Aufgabenkritik Hinterfragung von Verwaltungsabläufen und Verteilung von Zuständigkeiten Optimierung der inner- und transbehördlichen Prozesse ganzheitliche Betrachtung der Verwaltungsabläufe als Arbeitsprozesse bzw. zweckbezogen verknüpfte wertschöpfende Aktivitäten Prozessoptimierung als zwingende Voraussetzung für eine effiziente Implementierung von egovernment-anwendungen und einzig Erfolg versprechender Ansatz zum Bürokratieabbau Prozessdarstellung als Basis des zwingend notwendigen Wissensmanagements egovernment als verbindendes Element zahlreicher Modernisierungsbestrebungen. Vor allem bei der Einbindung mehrerer Behörden im Back-Office und umfangreichen Genehmigungsverfahren ist die zeit- und ortsunabhängige Bearbeitung bspw. mittels Einsatzes einer elektronischen Akte, zumindest aber des elektronischen Austausches von Antragsunterlagen unabdingbar. Auch ein europäisches Behördennetzwerk kann die erforderliche Flexibilität, Schnelligkeit und Aktualität nur sicherstellen, wenn dieses elektronisch ausgestaltet wird. (Rechtliche 2010, S, VI f.) 47 Die IT-Umsetzung der EU-Dienstleistungsrichtlinie in der öffentlichen Verwaltung verdeutlicht die Notwendigkeit egovernment als Rechtsbegriff zu etablieren, um dessen rechtliche Besonderheiten gegenüber der klassischen Verwaltung in einem allgemeinen Rechtsrahmen sachgerechten Lösungen zuzuführen. (Ebd., S. VII) Damit ist die Problematik des Open Government angesprochen, ganz im Sinne des Regierungsprogramms Vernetzte und transparente Verwaltung vom September 2010 (vgl. Bundesregierung 2010). Entsprechend der Dresdner Vereinbarung vom Dezember 2010 werden Politik, Verwaltung, Wirtschaft und Wissenschaft gemeinsame Open-Government-Ziele für Deutschland formulieren. Als nächster Schritt ist in enger Abstimmung mit allen Beteiligten bis 2013 der Aufbau einer zentral zugänglichen, den Interessen der Nutzer an einem einheitlichen, leichten und benutzerfreundlichen Zugriff gerecht werdenden Open-Data-Plattform vorgesehen. Sie soll die Plattformen von Bund, Ländern und Kommunen vernetzen und den Anforderungen sowie fachlichen Qualitätserwartungen der Nutzer gerecht werden. Die Plattform soll einen Beitrag zum Zugang zu Daten und Informationen der Verwaltung sowie zum weiteren Ausbau des prozessorientierten E-Government leisten. (Vgl. BWMi 2010 c, S. 7)

49 Es geht somit nicht nur um überzeugende Lösungen für aktuelle und zukünftige strukturelle Probleme einer modernen und handlungsfähigen Verwaltung, sondern auch und vor allem um Wertschöpfung für Bürger und Wirtschaft. IT kann und muss sich von einer rein unterstützenden Funktion zu einem wesentlichen Faktor für neue Dienstleistungsmodelle des Staates wandeln. Auf diese Weise wird auch Politik für den Strukturwandel begeistert. Damit steht die Entwicklung von IT zum Kanon der Daseinsvorsorge auf der Agenda. (Vgl. ISPRAT 2010, S. 16) Der Begriff Daseinsvorsorge, der sich aus grundrechtlichen Schutzpflichten und aus dem Sozialstaatsprinzip ergibt, umfasst Leistungen der so genannten Grundversorgung, wie z.b. Gas, Wasser, Elektrizität, Müllabfuhr, Abwasserbeseitigung, Nahverkehr sowie Bildungs- und Kultureinrichtungen. Der Begriff E-Daseinsvorsorge weitet diese Idee auf die Grundversorgung in einer hoch technisierten Welt aus und schließt z. B. eine flächendeckende Breitbandversorgung mit ein. (Vgl. Luch/Schulz 2009) Politische Verantwortung ist nicht teilbar. Sie fördert derzeit eher die Tendenz zur Aufgabenerledigung durch Verwaltungseinheiten. Dies aber wird sich ändern. Daher muss zugleich die direkte Einflussnahme der politisch Verantwortlichen auf IT- Kooperationen sichergestellt werden, auch damit staatliche Kontrollorgane (Rechnungshöfe und Datenschützer) ihren Aufgaben nachkommen können. IT- Kooperationen müssen so organisiert werden, dass Probleme auf der Leistungsebene nicht die politische Gesamtführung in Frage stellen. Die organisatorische Stabilität und Ausfallsicherheit des IT-Dienstleisters hat für Politik und Verwaltung eine herausragende Bedeutung und wird daher immer eine der wesentlichen Messlatten für Strukturveränderungen sein. (Vgl. ISPRAT 2010 a, S. 27) 48 Fazit: Politische Rahmenbedingungen sind bei allen IT-Aktivitäten der öffentlichen Verwaltung zu berücksichtigen. Aufgabenerfüllung steht im Vordergrund, selbst bei Prozessen der Verwaltungsmodernisierung ist ein political case zu berücksichtigen. IT-Kooperationen müssen so organisiert werden, dass Probleme auf der Leistungsebene nicht die politische Gesamtführung in Frage stellen. Zukunftsziel für die Verwaltung ist ein Open Government, das mit seinen drei Aspekten Transparenz, Teilhabe und Kooperation den Zusammenhalt aller gesellschaftlichen Gruppen fördern und die Demokratie unterstützen kann. Letztlich steht die Entwicklung von IT als weiteres Element des Daseinsvorsorge-Kanons auf der Tagesordnung. E-Daseinsvorsorge wird genauso wichtig wie die Versorgung mit Wasser, Energie, Nahverkehr und Wohnraum.

50 4.2 Wirtschaftliche Effekte Nach einer Schätzung der International Data Corporation (IDC) wird der Branchenumsatz europäischer Cloud-Dienste von 971 Millionen Euro im Jahre 2008 auf etwa 6 Milliarden Euro im Jahre 2013 ansteigen (Vgl. Singer 2010, S. 1). Laut BITKOM ist mit folgenden Umsätzen bei Cloud Computing in Deutschland in den kommenden fünf Jahren zu rechnen: Die Analysten von Pierre Audoin Consultants (PAC) meinen, dass der Umsatz mit Private Clouds im Jahr 2025 etwa 10 Milliarden Euro betragen werde, zusammen mit den Public Clouds könnte eine Größenordnungen von bis zu 30 Milliarden Euro erreicht werden (vgl. html). Die weltweiten Umsätze, mit entsprechender volkswirtschaftlicher Bedeutung, betrugen 2009: 49 DIW econ 2010, S. 3 Die Erfahrungen aus der Privatwirtschaft zeigen, dass Services aus der Cloud kostengünstig, flexibel, schnell und hochverfügbar bereitgestellt werden können.

51 Diese Effekte sollten und können auch für öffentliche Verwaltungen erzielt werden. Gerade die Finanznot auf der einen Seite und die hohe Abhängigkeit von hoch funktionalen und hoch verfügbaren IT-Systemen werden für Kommunen zum Problem: Geld ist nicht vorhanden, aber die Anforderungen an die IT steigen ständig - und damit wachsen potenziell auch die Kosten. Cloud Computing kann helfen zu konsolidieren, Synergien zu nutzen und erhebliche Einsparungen zu realisieren. Im öffentlichen Sektor bestehen vielfältige Datenbeziehungen: Vertikal zwischen Gemeinden, Ländern und Bund sowie horizontal zwischen Fachverwaltungen und in die Wirtschaft hinein. Viele gleichartige Aufgaben wie Zahlungswesen, Führerscheinund Kfz-Angelegenheiten, Einwohnerwesen und Bürgerportale werden in ganz Deutschland benötigt. Diese gleichartigen Prozesse können zusammengefasst und von einer oder mehreren zentralen Stellen erbracht werden. Die anbietende Stelle wird in der Regel als Shared Service Center bezeichnet, im kommunalen Bereich oftmals die Rechenzentren. Shared Services durch Cloud Computing können für alle Beteiligten Vorteile bei Kosten, Qualität der Leistungserbringung, Dienstleistungsorientierung und IT-Sicherheit ermöglichen. Dabei sind Kooperationsmodelle zwischen öffentlichen Partnern (ÖÖP) sowie zwischen öffentlichen und privaten Partnern (ÖPP) realisierbar. (Vgl. BMWi 2010 a, S. 18) Kooperationsmodelle zwischen öffentlichen und privaten Partnern können zu effizienten Lösungen auf beiden Seiten führen. Laut einer Pressemitteilung des Interdisziplinäre Studien zu Politik, Recht, Administration und Technologie e.v. vom 1. Juli 2010 könnten durch Fusion oder Reorganisation öffentlich rechtlicher Rechenzentren bis zu 20 % der Kosten eingespart werden. IT Kooperationen würden die öffentlichen Haushalte entlasten, da sie Synergien schaffen und die Leistung der Verwaltung steigern. (ISPAT 2010 b, S. 1) 50 Matthias Kammer, Vorstandsvorsitzender von ISPRAT, betonte die Notwendigkeit zu mehr staatlicher IT Kooperation: Der Staat steht in Zeiten der Finanzkrise finanziell mit dem Rücken zur Wand. Jeder Bereich ist gezwungen, massiv zu sparen. Konsolidierung tut weh, besonders wenn Haushälter meinen, diese durch Zusammenstreichen von staatlichen Leistungen für die Bürger oder Minimieren von Service Qualität erreichen zu müssen. Das verärgert die meisten Bürger. Mehr Legitimation von Sparmaßnahmen ist indes zu erwarten, wenn sie merken: Der Staat spart nicht nur bei Kindergärten oder Öffnungszeiten der Bürgerbüros sondern vor allem auch an unnötigen Kosten in der Binnenverwaltung. Zum Beispiel, indem er die Organisation seiner IT, einem zentralen geschäftskritischen Faktor, auf den Prüfstand stellt. (Ebd.) ISPRAT ist der Auffassung, dass IT-Kooperationen Politik und Verwaltung in der Haushaltsnot neuen strategischen Spielraum verschaffen, um die knappen Mittel nachhaltig einzusetzen und gute Dienstleistungen ohne Qualitätsabstriche zu bieten. Gemeinsame Basis-Infrastrukturen wie Rechenzentren sowie standardisierte IT- Infrastrukturen und Fachverfahren würden die Grundkosten auf mehrere Schultern verteilen. Die Partner können laufend anfallende Kosten für Personal, Betrieb und Support reduzieren. Durch neue Größenklassen ist zudem mehr Qualität in der Leistungserbringung und besserer Bürger-Service möglich. (Vgl. ebd., S. 2) Demzufolge wäre es sowohl ökonomisch als auch fachlich unverständlich, wenn auf kommunaler Ebene hunderte von Rechenzentren betrieben würden. Cloud Computing kann bei der Reorganisierung und Konsolidierung der zahlreichen Rechenzen-

52 tren helfen. Langfristiges Ziel muss eine gemeinsame Private Cloud der kommunalen IT-Dienstleister sein, die eine extrem hohe Verfügbarkeit, hervorragende Services, gute Preise und höchste Sicherheit bietet. Auf einer solchen Community Cloud basierende Modelle zur rechenzentrumsübergreifenden Kooperation würden wie folgt aussehen: 51 Cloud Computing 2010, S. 137 Die Potenziale für den öffentlichen Sektor als Anwender von Cloud Computing liegen laut BMWi in einer homogenen, modularen IKT-Infrastruktur zur Verbesserung der Verwaltungsprozesse innerhalb und zwischen staatlichen, kommunalen und sonstigen behördlichen Institutionen. Besonders interessant sind auch Dienste an der Schnittstelle zwischen Verwaltungen, Unternehmen und Lebenslagen der Bürger. Zudem wird eine Bündelung und Wiederverwendbarkeit IT-gestützter administrativer Verfahren an verschiedenen Stellen erleichtert. Verwaltungsbereiche, in denen große Datenmengen verarbeitet oder Transaktionsprozesse mit einer Vielzahl von Nutzern effizient verwaltet werden müssen, können in ihrer Leistungsfähigkeit verbessert, Serviceorientierung und Innovationsfähigkeit gestärkt werden. (BMWi 2010 a, S. 32) Hinsichtlich der ökonomischen Vorteile von Cloud Computing für öffentliche Verwaltung kam das Faunhofer-Institut zu folgenden Ergebnissen: Die intelligente Cloud: Ganzheitliche Cloud-Ansätze gewährleisten Kosteneinsparungen, hohe Qualität und Sicherheit. Für die Reaktionsfähigkeit von Behörden ist ein bedarfsgerechter Zugang zu relevanten Informationen und Daten wichtig. Das allgegenwärtige Web und die gemeinschaftliche Nutzung von IT-Plattformen durch Virtualisierung macht dies von jedem Standort aus und über nahezu jedes Endgerät möglich.

53 Kosteneffizienz bei hoher Qualität: Mit Hilfe moderner Cloud-Lösungen kann der Aufwand der öffentlichen Hand für IT-Infrastruktur und zugehörigem Endbenutzersupport bedeutend verringert werden. Gegen Zahlung einer Gebühr werden IT- Services auf der Basis eines einfachen, nutzungsabhängigen Modells erbracht, wodurch keine Infrastruktur-Vorabaufwendungen mehr entstehen. Zusätzlich lässt sich durch Cloud Computing die Qualität von IT-Leistungen steigern: Services und Anwendungen können schnell und unkompliziert an veränderte Mengenanforderungen angepasst und durch neue Versionen ersetzt werden. Hochqualifizierte IT-Experten der Anbieter helfen, die von ihnen angebotenen Cloud- Services zu optimieren und stehen bei Problemen mit Fachkompetenz zur Verfügung. Sicherheit wird groß geschrieben: Neben einer notwendigen Standardisierung und Automatisierung der IT und den damit verbundenen Kosteneinsparungen müssen öffentliche Verwaltungen dem Schutz sensibler Daten eine besondere Rolle beimessen. Ziel ist sichere Wolke. Der Aufbau einer Private Cloud gewährleistet eine vollständige Kontrolle des Nutzers über seine Daten. Die Vertraulichkeit von Daten, die adäquate Verfügbarkeit der Services und die Integrität der Transaktionen schaffen wichtige Voraussetzungen für die Akzeptanz von Cloud Computing. Sind diese Grundlagen gelegt, kann auch der öffentliche Sektor von den zahlreichen Vorteilen der Wolke profitieren. (Vgl. Fraunhofer FOKUS 2010, S. 6) Rückt die physische Hardware am Arbeitsplatz in den Hintergrund, verlagern sich die Einsätze von IT-Dienstleistern ins Rechenzentrum. Das reduziert Kosten, erhöht jedoch auch die Komplexität, aufgrund der Einbindung neuer Technologien. Kosten und Komplexität bei Betrieb und Wartung entwickeln sich entsprechend des Grades der Virtualisierung wie folgt: 52 Gull 2010, S. 24 Das heißt: Eine große Heterogenität aufgrund des Einsatzes verschiedener Konzepte kann das intern existierende IT-Know-how übersteigen, was Risiken in sich birgt.

54 Erst eine weitere Vereinheitlichung und Virtualisierung kann neben den Kosten auch die Komplexität verringern. IT-Kooperationen wirken laut ISPRAT durch vier wesentliche Effekte: Bündelung der Leistungserbringung, Kompetenztransfer, Trennung von Angebot und Nachfrage sowie erhöhte Leistungstransparenz (vgl. ISPRAT 2010, S ). Im Einzelnen: Effekt Bündelung der Leistungserbringung Kompetenztransfer Trennung von Angebot und Nachfrage Leistungstransparenz Vorteile Vorteile durch Mengen-, Verbund- und Qualifikationseffekte (economy of scales, scope and skill): Effektivität, Effizienz, externe Kompetenz, neue Leistungsbereiche, geringere Fehlerquote, Standardisierung, Kostenreduzierung, Verringerung von Durchlaufzeiten, schnellere Einführung neuer Produkte, Schaffung von Voraussetzungen für Kooperationen mit der Privatwirtschaft kontinuierlicher Zugang zu aktuellem Know-how qualifizierter Spezialisten sowie deren Erfahrungswissen, Einbringen internen Wissens in die Kooperation klare Artikulation der IT-Bedarfe durch die Fachverwaltung plus einheitlicher Produktkatalog seitens des Anbieters bei gleichzeitigem Handlungsspielraum für IT-Leistungserbringer Möglichkeit der Einführung von Kennzahlen und von Wirtschaftlichkeitsvergleichen, Schaffung fundierter Entscheidungsgrundlagen für die Finanzplanung der öffentlichen Hand 53 (Zusammengestellt nach ISPRAT 2010 a, S ) IT-Kooperationen haben nur dann Erfolg, wenn wesentliche Faktoren berücksichtigt werden. Diese Faktoren wirken auf verschiedenen Ebenen: Ebene Produktionsfaktoren Leistungsumfang Klärungsbedarf Personal/Personalübergang Kapitalausstattung der Kooperation Übergang von materiellen/immateriellen Anlagegütern (Hard-/Software) Produktkatalog/Leistungsschnitt Servicelevel Mengen und Preise operative Steuerung (Trennung Angebot/Nachfrage) Umsetzbarkeit der angestrebten technischen Lösung

55 Betriebswirtschaft Geschäftsmodell Risikoverteilung Führung / strategische Steuerung Strategie der Kooperation Gesamtsteuerung der Zusammenarbeit Implizierte Bedingungen (psychological contracts) Zusammenführung der Unternehmenskulturen (Zusammengestellt nach ISPRAT 2010 a, S ) Die Kostensenkungspotenziale virtualisierter IT-Infrastrukturen werden derzeit intensiv diskutiert und von den Anbietern Cloud basierter Services in den Vordergrund gerückt. Dabei wird zur Bewertung der ökonomischen Attraktivität von IT-Clouds üblicherweise die Analyse der Total Cost of Ownership (TCO) vorgeschlagen (vgl. Strebel/Stage 2010). Im Hinblick auf die in Literatur und Praxis verbreiteten Modelle zur TCO-Analyse sind allerdings deutliche methodische Defizite festzustellen. So finden in herkömmlichen TCO-Modellen Finanzierungseffekte und steuerliche Konsequenzen von IT- Clouds keine Berücksichtigung, obwohl gerade diesen Effekten bei IT- Investitionsentscheidungen hohe Bedeutung beizumessen ist. (Vgl. Bensberg 2009) Diese Problematik ist maßgeblich darauf zurückzuführen, dass zur TCO- Modellierung in der Regel nur ein kurzfristiger Planungshorizont zugrunde gelegt wird. Darüber hinaus ignorieren herkömmliche Modelle nahezu regelmäßig, dass langfristige Investitionsentscheidungen für komplexe IT-Leistungsbündel durch Unsicherheit gekennzeichnet sind und folglich ein adäquates IT-Risikomanagement erfordern. Damit in der Praxis eine rationale Entscheidungsfindung über die Investition in Cloud basierte Lösungen erfolgen kann, schlägt Frank Bensberg ein dynamisches, investitionstheoretisches Modell vor. Grundlage bildet das Konzept des Vollständigen Finanzplans (VOFI), das sowohl die Finanzierungseffekte als auch die steuerlichen Wirkungen von Investitionsalternativen systematisch erfasst (Grob/Bensberg 2009). 54 Eine langfristige TCO-Betrachtung soll die Möglichkeit eröffnen, die wirtschaftliche Attraktivität von Cloud basierten Lösungen gegenüber der unternehmensinternen Erstellung von IT-Leistungen transparenter zum Ausdruck zu bringen und an die betrieblichen Entscheidungsträger zu kommunizieren:

56 Frank Bensberg: Exemplarisches Risikoprofil für zwei Investitionsalternativen Cloud vs. IT-Center, Zielwert Total Cost of Ownership 55 Ein anderes Beispiel führte 2007 an der TU Darmstadt zu folgendem Ergebnis: Unstrittig ist der Beitrag von Cloud Computing zum Unternehmenserfolg, in welcher Variante auch immer: Versteht ein Unternehmen den Wertbeitrag von IT als Kostenposition, werden auch Cloud-Computing-Projekte eher als Mittel zur Kostensenkung verstanden, um kurzfristige Effekte und schnelle Rückzahlung von Investitionen zu erzielen. Dazu eignet

57 sich der Bezug von IT-Infrastrukturen wie Rechenleistung, Speicherkapazität oder E- Mail-Service aus der Cloud. Erhält IT in einem Unternehmen die Rolle als Ermöglicher von Effizienz- und Effektivitätssteigerungen, werden weitere Cloud-Services berücksichtigt. Der Return on Investment (ROI) ist in solchen Projekten kurz- bis mittelfristig realisierbar. Wer seiner IT generell eine strategische Rolle in der Verwirklichung der Geschäftsmodelle beimisst, wird auf individuelle Bedürfnisse und Geschäftsmodelle abgestimmte End-to-end Cloud-Services einsetzen. Der Return on Investment stellt sich in solchen Projekten mittel- bis langfristig ein. Wie Cloud Computing 2010, S. 67 Fazit: Cloud Computing kann auch und gerade öffentlichen Verwaltungen helfen zu konsolidieren, Synergien zu nutzen und erhebliche Einsparungen zu realisieren. Durch Fusion oder Reorganisation öffentlich rechtlicher Rechenzentren können Kosten eingespart werden. IT-Kooperationen verschaffen Politik und Verwaltung neuen strategischen Spielraum in Zeiten von Haushaltsdefiziten. Gemeinsame Basis- Infrastrukturen wie Rechenzentren sowie standardisierte IT- Infrastrukturen und Fachverfahren verteilen die Grundkosten auf mehrere Schultern. Durch neue Größenklassen ist zudem mehr Qualität in der Leistungserbringung und besserer Bürger-Service möglich. Langfristiges Ziel wird eine gemeinsame Private bzw. Government Cloud der kommunalen IT-Dienstleister sein, die eine extrem hohe Verfügbarkeit, hervorragende Services, gute Preise und höchste Sicherheit bietet. Zugleich müssen IT-Kooperationen nicht automatisch zu derartigen räumlichen Konzentrationen führen. Denkbar ist ebenso die Kooperation von Spezialisten, die nach dem SOA-Konzept (Service Orientierte Architektur) zusammenarbeiten und dadurch ein virtuelles Zentrum bilden, das sich anforderungsbedingt dynamisch umstrukturieren lässt. 56

58 4.3 Strategische Entscheidungen der Verwaltung der Hansestadt Rostock Für die Sitzung der Rostocker Bürgerschaft am 9. März 2011 hat die Verwaltung der Hansestadt Rostock den Beitritt der Stadt zum Zweckverband Elektronische Verwaltung in Mecklenburg-Vorpommern (ego-mv) zur Entscheidung vorgelegt. (Vgl. Hansestadt Rostock 2011 b) Angesichts von demografischem Wandel, Globalisierung und defizitärem Haushalt sowie der Anforderungen von EU, Bund und Land ließen sich die Aufgaben nur mittels Kooperationen lösen. Das zentrale Ziel der Kooperation im Rahmen des Zweckverbandes besteht in der Erweiterung der Handlungsspielräume durch das Erschließen von Handlungsressourcen auf den Feldern, die mit eigenen zur Verfügung stehenden Mitteln nicht oder nur schwer erreichbar wären. (Ebd., S. 1) Der Zweckverband Elektronische Verwaltung Mecklenburg-Vorpommern (ego-mv) wurde 2006 gegründet und hat inzwischen 82 Mitglieder. Der Verband versteht sich als Interessenvertreter der kommunalen Ebene gegenüber Land, Bund und EU. Er möchte E-Government-Lösungen für die Mitgliedsverwaltungen suchen und deren Verbreitung befördern. (Vgl. ebd.) Der Aufgabenkatalog des Zweckverbandes wächst ständig. Im Juni 2010 übernahm er die Einrichtung der Dienste und Pflege der Zertifikate für M-V im Deutschen Verwaltungsdiensteverzeichnis, einer zentralen Infrastrukturkomponente für die sichere Adressierbarkeit von Online-Diensten der öffentlichen Verwaltung in Deutschland, wie Meldewesen, elektronischer Personalausweis, Personenstandswesen und Ausländerwesen. (Vgl. ebd.) 57 Der Verband setzt im Auftrag des Landes Projekte um, wie den Aufbau eines Formularservices mit landeseinheitlichen Formularen. Er koordiniert und unterstützt den Anschluss seiner Mitglieder an das Dienstleistungsportal des Landes, der durch das Einheitliche Ansprechpartner Errichtungsgesetz Mecklenburg-Vorpommern vom (in Umsetzung des Bundesziels One-Stop-Government) zwingend erforderlich ist. (Vgl. ebd.) Auch Projekte, die für die Hansestadt Rostock von Interesse sind, werden umgesetzt, wie z. B. ein zentraler Webdienst zur Online-Beantragung von Leistungen nach dem Wohngeldgesetz (WoGG) oder ein Webdienst zur Erstellung eines zentralen Fundsachenregisters. (Vgl. ebd.) Als Vorteile für den Beitritt zum Zweckverband ego-mv werden seitens der Stadtverwaltung Rostock genannt: Bündelung von Interessen u. a. gegenüber Anbietern von E-Government- Lösungen Moderieren und Durchführen konzeptioneller Phasen bei neuen Services Reduzierung personeller und anderer Aufwendungen für Konzeption, Ausschreibung, Einführung und Betrieb lukrative Konditionen bei den einzelnen Dienstleistungen kostenfreie Nutzung landeseinheitlicher Formulare. (Vgl. Hansestadt Rostock 2011 b, S. 2 f.)

59 Als weitere Vorteile werden aufgezählt: Verteilung der Projekt- und Betriebskosten auf mehrere Schultern und Ausbleiben von Einbußen des Leistungsangebotes unentgeltliche Nutzung von Konzepten für verschiedene Verwaltungsaufgaben (IT-Musterstruktur, Rahmensicherheitskonzept, Handlungsleitfaden DMS) Nutzung eines im Aufbau befindlichen Service Centers des Zweckverbandes finanzielle Vorteile durch die Bereitstellung von Software für die Mitglieder kostengünstige Schulungen und Workshops, z. B. für das Ratsinformationssystem Allris Unterstützung bei der Zertifizierung von Finanzsoftware (Doppik) Teil-Werden einer verbesserten Kommunikation zwischen den Verwaltungsebenen in Mecklenburg-Vorpommern, Kompetenzgewinn, Wissenstransfer, gemeinsame Problemlösungen. (Vgl. ebd., S. 3) Der Zweckverband ego-mv versucht, so weit wie möglich einheitliche IT-Lösungen einzuführen (Standardisierung, gemeinsamer Betrieb, gegenseitige Hilfeleistungen). Das Land Mecklenburg-Vorpommern stellt dem Verband hierfür umfassende finanzielle Mittel zur Verfügung, von denen in erster Linie die Mitglieder durch Preisnachlässe profitieren. Für Kommunen mit mehr als Einwohnern ergeben sich folgende Vorteile: 58 Hansestadt Rostock 2011 b, Anlage 2

60 Die Mitgliedschaft im Zweckverband war bis zum kostenfrei, auf Grund von Sonderbedarfszuweisungen des Landes. Ab 2011 erfolgt die Finanzierung über bezogene Leistungen und Umlagen. Die Umlage beträgt für Kommunen über Einwohnern 6 TEUR/Jahr und rentiert sich damit sehr schnell. (Vgl. Hansestadt Rostock 2011 b, S. 3) Ob die Vorteile, die der Zweckverband gerade kleineren Gemeinden bietet, am Ende auch für eine Großstadt wie Rostock mit über Einwohnern zum Tragen kommen, ist derzeit offen. Ein Großteil der Dienstleistungen ist auf kleinere Gemeinden ausgerichtet und Rostock muss nach wie vor zahlreiche Services selbst entwickeln oder von woanders beziehen. Mehr noch: Die Hansestadt Rostock hätte sogar das Potential, mit ihrer IT selbst zur Keimzelle eines kommunalen Rechenzentrums zu werden, in Zusammenarbeit mit anderen Kommunen und/oder privaten Partnern, wie z.b. T-Systems. Der Zeckverband ermöglicht auch eine Zusammenarbeit im Bereich E-Government. Die Vorteile werden seitens der Stadtverwaltung in Folgendem gesehen: Vernetzung der Verwaltungen mit Schaffung durchgängiger Prozesse Kostenteilung gemeinsame Erfüllung gleichartiger Aufgaben Nutzen aus gemeinsamen Projekten. (Vgl. ebd., S. 2) Die Beurteilung von E-Government-Vorhaben soll nach Auffassung der Stadtverwaltung jedoch nicht nur monetär erfolgen, sondern auch Aspekte berücksichtigen wie Dringlichkeit (Herstellerunterstützung, gesetzliche Vorgaben, Landesauflagen), qualitativ-strategische Gründe, externe Effekte (Pilotprojekte, Bürgerfreundlichkeit, Qualitätsverbesserung, Transparenz). 59 Daher können E-Government-Projekte nicht losgelöst von den Prozessen der Verwaltungsmodernisierung betrachtet werden und sollten inhaltlich, personell und auch organisatorisch mit den Verwaltungsmodernisierungsprojekten verknüpft werden. Das ist aktuell durch die strikte Trennung von Organisation, IT und E- Government nur sehr eingeschränkt zu realisieren. Um den Erfolg von E- Government sicher zu stellen, ist es erforderlich, die benötigten Kapazitäten deutlich zu erhöhen. (Hansestadt Rostock 2011 a, S. 3) Neben dem Zweckverband egov M-V hat Rostock auch die Möglichkeit, Angebote der DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH zu nutzen. Das DVZ ist zentraler IT-Dienstleister für die Verwaltung von M-V. Alleiniger Gesellschafter ist das Land. Es handelt sich, im Gegensatz zu kommunalen DVZ in anderen Bundesländern, um einen Landesdienstleister, der jedoch auch Kommunen Infrastruktur und Services zur Verfügung stellt. Folgende Organisationsformen bei der Nutzung ergeben sich:

61 Innenministerium M-V 2010, S. 14 (WK = Wirkungskreis) Das breit gefächerte Servicespektrum des Landes DVZ deckt sämtliche technologischen und konzeptionellen Aufgabenfelder ab. Neben IT-Fachverfahren für Ministerien, Finanzverwaltung, Polizei und Meldewesen gehören dazu insbesondere Betrieb und Weiterentwicklung des Landesnetzwerks CN LAVINE. (Vgl. egovern ment-computing.de/ index. cfm?pid=7476&pk=235451& print =true... + DVZ 2005) 60 DVZ 2007, S. 13 Die ambitionierten Ziele des Landesnetzwerks CN LAVINE sind eine verbesserte Kommunikation, effizientere Verwaltungsprozesse, Einsparungen, Optionen für künftige Collaboration-Anwendungen, eine ausbaufähige Plattform für egovernment, maximale Skalierbarkeit und hoher Investitionsschutz. Direkte Schnittstellen zu den

62 zentralen egovernment-diensten des Landes M-V verstärken das bereichsübergreifende Zusammenspiel der unterschiedlichen Komponenten. (Vgl. egovernment-computing.de/index.cfm?pid=7476&pk=235451& print =true... sowie DVZ 2005) Als Vorteile ergeben sich eine Effektivierung der Zusammenarbeit, Steigerung der Produktivität, Beschleunigung von Verwaltungsentscheidungen, das Entfallen kostspieliger und zeitraubender Konfigurationen an dezentral verteilten Telefonanlagen, Gebührenfreiheit bei verwaltungsinternen Telefonaten über das Landesnetz, effizientere Administration und Wartung der vereinheitlichten Infrastruktur sowie günstigere Leitungs- und Verbindungskosten. Der Haushalt des Landes M-V soll in den kommenden Jahren dadurch um Millionenbeträge entlastet werden. (Vgl. ebd.) CN LAVINE wird als Netzinfrastruktur exklusiv für die Landes- und Kommunalverwaltung M-V betrieben. Zur Umsetzung differenzierter Sicherheitsniveaus in einzelnen, sicher voneinander getrennten Anwendergruppen wird die gesamte Kommunikation in geschlossenen Nutzergruppen geführt. Jeder Nutzergruppe stehen individuell für sie eingerichtete Übertragungskanäle gemäß definierter Sicherheitsrichtlinien und Service Level zur Verfügung. Zu den derzeitigen E-Government-Fachkomponenten des CN LAVINE zählen: EPOS: Elektronisches Personal-, Organisations- und Stellenmanagementsystem der Landesverwaltung egvp: elektronischer Geschäftsverteilungsplan RUBIKON: rechenunterstütztes Haushaltsbewertungs- und Informationssystem der Kommunen TMS: Zentrales Dienstreisemanagement evergabe: landeseinheitliches System zur elektronischen Unterstützung des Beschaffungswesens. (Vgl. Innenministerium M-V 2010, S. 7) Bisherige Basisangebote des CN LAVINE sind: 61 Innenministerium M-V 2010, S. 9

63 Für Kommunen sind insbesondere egovernment-basistechnologien und Projekte, IT- Sicherheitsinfrastrukturen und Geoinformationssyteme von Interesse. Inzwischen sind alle Kommunen des Landes an CN LAVINE angeschlossen, wodurch unter anderem folgende Chancen und Vorteile entstehen: Zugriff auf zentrale Fachverfahren Anschluss der bereitgestellten Dienste an die entsprechende Fachanwendung unabhängig vom Ort der Leistungserbringung gemeinsame Nutzung von Anwendungen unterschiedlicher Verwaltungsebenen gesicherte Kommunikation zwischen den angeschalteten Dienststellen. (Hansestadt Rostock 2011 a, S. 5) Fazit: Der Beitritt der Hansestadt Rostock zum Zweckverband Elektronische Verwaltung in Mecklenburg-Vorpommern (ego-mv) ist politisch zielführend, hinsichtlich seiner wirtschaftlichen Effekte jedoch noch offen. Die Stadtverwaltung Rostock hat mit dem Zweckverband e Go-MV, der DVZ M-V GmbH (Datenverarbeitungszentrum des Landes) sowie dessen Netzwerk CN LAVINE öffentliche Kooperationspartner im eigenen Land. Dies schließt zugleich weitere Partner, auch aus der Privatwirtschaft, nicht aus, die sich jedoch auf einzelne Dienstleistungen, insbesondere im Rahmen von SaaS beschränken werden. E-Government-Projekte sind inhaltlich, personell und organisatorisch mit den Verwaltungsmodernisierungsprojekten zu verknüpfen. Die bisherige strikte Trennung von Organisation, IT und E-Government ist aufzuheben. Die Aufgabenkritik der Verwaltung ist Grundvoraussetzung für die Analyse der Geschäftsprozesse, die letztlich mittels IT gesteuert werden (sollen). Auf dieser Basis hätte die Hansestadt Rostock das Potential, mit ihrer IT selbst zur Keimzelle eines kommunalen Rechenzentrums zu werden, in Zusammenarbeit mit anderen Kommunen und/oder privaten Partnern, wie z.b. T-Systems. 62

64 5. Entscheidungsmodell für Cloud Computing von Kommunen 5.1 Betriebswirtschaftliche Entscheidungsmodelle In der Betriebswirtschaft wird die Entscheidungstheorie als Instrument der strategischen Unternehmensführung betrachtet. Ausgangspunkt ist die Unsicherheit im Zusammenhang mit Planungen. Als Entscheidung gilt die Auswahl von Handlungsalternativen, die dem Entscheidungsträger zur Verfügung stehen, um ein Ziel umzusetzen. Ein Entscheidungsmodell stellt die Elemente jeder Entscheidung dar, d.h. Ziele, Alternativen und prognostizierte Ergebnisse je Alternative. Des Weiteren können, je nach Entscheidungssituation, Zielgewichte und Umweltzustände einbezogen werden. Liegen Wahrscheinlichkeiten für das Eintreffen dieser Umweltzustände vor, werden diese zusätzlich in den Entscheidungsprozess einbezogen. Umweltzustände wie rechtliche, sachliche, finanzielle und personelle Rahmenbedingungen beeinflussen als Entscheidungsparameter zwar eine Entscheidung, können von den Entscheidungsträgern in der Regel aber nicht beeinflusst werden. (Vgl. Kuhlmann/Sauter 2009) Aus dem Vorgenannten ergeben sich folgende Schritte einer Entscheidungsfindung: 1. Feststellung eines Entscheidungsbedarfs 2. Analyse des Entscheidungsumfeldes 3. Aufzeigen der Entscheidungsalternativen 4. Bewertung der Konsequenzen jeder Alternative 5. Treffen der Entscheidung 6. Umsetzung der gewählten Alternative 7. Kontrolle der Entscheidung 8. Beibehaltung oder Revision der Entscheidung sowie Folgeentscheidungen. 63 Cloud Computing ist als Form selektiven IT-Outsourcings charakterisierbar (vgl. Abschnitt 2.3). Für das Outsourcing von IT gibt es eine Reihe von Modellen zur Entscheidungsunterstützung. Doch keines berücksichtigte bisher die Spezifik von Cloud Computing. Erst Matthias Henneberger, Jörg Strebel und Fabio Garzotto haben im Oktober 2010 eine multikriterielle Entscheidungsunterstützungsmethodik vorgelegt (vgl. Abschnitt 5.3), indem sie auf existierende Arbeiten in der SaaS- und Outsourcing-Forschung aufbauten. Das Modell berücksichtigt jedoch nicht die Spezifik öffentlicher Verwaltungen, sondern zielt auf die Privatwirtschaft ab. (Henneberger/Strebel/Garzotto 2010, S, 76-84) Fazit: Entscheidungstheorien sind Instrumente strategischer Unternehmensführung, die Planungsprozesse unterstützen. Entscheidungsmodelle liefern die erforderlichen Elemente für das Treffen von Entscheidungen, das jeweils in Schritten erfolgt. Während für das Outsourcing von IT zahlreiche Entscheidungsmodelle existieren, ist für Cloud Computing in Kommunen keines bekannt.

65 5.2 Entscheidungskriterien und Entscheidungsprozess für das Outsourcing von IT Zu den wichtigsten Entscheidungskriterien, IT-Leistungen selbst durchzuführen oder von Dritten zu erwerben, zählen: Unternehmensspezifität der IT-Aufgaben Bedeutung für das Kerngeschäft strategische Bedeutung der IT-Aufgaben Beitrag zur Differenzierung Dynamik / Änderungen in der Leistungserbringung Häufigkeit der Leistungserbringung Höhe der Transaktionskosten Erzielbarkeit von Skaleneffekten / Kostensenkungspotentiale Auswirkungen auf die Risikolage. Kesten/Müller/Schröder 2007, S. 214 f. Diese Kriterien können auch auf Kommunen angewandt werden, mit Ausnahme des Punktes Beitrag zur Differenzierung, da es dem Kunden Bürger relativ egal sein dürfte, wie sich eine Gemeinde verwaltungstechnisch von anderen unterscheidet. Vorhandene Unterschiede würden in der Regel nicht zu einem Wechsel des Dienstleisters führen, d.h. zu einem Wegzug aus der Gemeinde. Um Entscheidungen treffen zu können, sollten zunächst die IT-Bereiche identifiziert werden, die besonders für eine Ausgliederung geeignet sind. Bei einem Abgleich mit existierenden Angeboten können auf diese Weise IT-Cluster des jeweiligen Unternehmens bzw. einer Verwaltung gebildet werden. (Vgl. ebd., S. 215 f.) 64 Danach sollte eine Beantwortung der folgenden Fragen zur Attraktivität einer möglichen Ausgliederung von IT-Leistungen, bezogen auf die Cluster, erfolgen: Schröder 2010, S. 29

66 Ebenso ist der Reifegrad der gebildeten IT-Cluster in Bezug auf eine Outsourcing- Eignung zu prüfen: Schröder 2010, S. 30 Auf dieser Basis können die jeweiligen IT-Bereiche definiert werden, für die ein Outsourcing oder Insourcing in Frage kommt (vgl. Kesten/Müller/Schröder 2007, S ). Als Ergebnis der Analyse ergibt sich ein Portfolio in Form dieses Beispiels: 65 Kesten/Müller/Schröder 2007, S. 221

67 Bei der Entscheidung sollte ebenso der Beitrag des analysierten IT-Bereiches für die gesamte Verwaltungsdienstleistung beleuchtet und eine Analyse der eigenen IT- Kompetenzen vorgenommen werden: IHK 2007 b, S. 49 Für den Outsourcing-Prozess gibt es folgendes Phasenkonzept: 66 IHK 2007 b, S. 20

68 Die Elemente der Ist-Analyse sind mindestens die folgenden: IHK 2007 b, S. 22 Für die Make-or-Buy-Entscheidung sind neben den bereits genannten folgende weitere Kriterien zu beachten: 67 IHK 2007 b, S. 35

69 Letztlich ergibt sich folgender Gesamtprozess: Kesten/Müller/Schröder 2007, S. 212 Während des gesamten Outsourcing-Prozesses sind die Mitarbeiter umfassend einzubeziehen: 68 IHK 2007 b, S. 127

70 Fazit: Ausgangsbaustein für eine Entscheidungsfindung zu Cloud Computing in einer Kommune sollten die allgemeinen Entscheidungskriterien für das Outsourcing von IT sein. Der Entscheidungsprozess besteht aus den Grundelementen providerunabhängige Planung und Partnerauswahl sowie providerbezogener Umsetzung und Betreibung. Im gesamten Prozess sind die Mitarbeiter laufend und umfassend einzubeziehen. 69

71 5.3 Entscheidungsmodell für Cloud Computing in Unternehmen Das bisher einzige vorliegende Modell von Henneberger/Strebel/Garzotto aus Oktober 2010 kann wie folgt zusammengefasst werden: Ausgangspunkt ist die Problemstellung, dass Cloud Computing als neues Paradigma für die Nutzung von IT-Ressourcen aller Art, die als Service über das Internet bereitgestellt werden, zunehmend an Bedeutung gewinnt. Anschließend wird das Thema Cloud Computing Definition und Anforderungen an das Modell behandelt. Aus den unterschiedlichen Cloud-Computing- Servicemodellen (IaaS, PaaS, SaaS) würden sich unterschiedliche Szenarien für eine Übertragung einer Anwendung in die Cloud ergeben: 70 Henneberger/Strebel/Garzotto 2010, S. 77 Die Ebene System Platforms & Data Storage umfasst Infrastrukturdienste. Die nächst höhere Ebene bilden Middleware & Data Management-Services. Die dritte Ebene SW-Development stellt Softwareentwicklungswerkzeuge und -plattformen dar. Auf Ebene vier und fünf befinden sich Anwendungen, wobei zwischen Business Process Specific IT-Solutions (geschäftsprozessspezifischen Anwendungen) und Basic Solutions, also unspezifischen Anwendungen unterschieden wird. Eine Anwendung auf Ebene vier oder fünf nutzt im Allgemeinen darunter liegende Dienste. Jedes dieser Szenarien besitzt laut Henneberger/Strebel/Garzotto ein spezifisches Chancen- und Risikoprofil. Zielsetzung sei daher eine Entscheidungsunterstützung im Sinne einer ganzheitlichen Betrachtung möglicher Cloud-Szenarien. Basis hierfür ist die IT-Landschaft des jeweiligen Unternehmens. Geeignete Szenarien seien zu identifizieren und zu bewerten. Bei dem anschließenden Modell beschränkten sich die Autoren aus Gründen der Übersichtlichkeit auf das SaaS- sowie ausgewählte IaaS-Szenarien. Im Entscheidungsprozess erfolgt durch die Autoren eine stufenweise Auswahl. Dadurch soll die Komplexität verringert und der Bewertungsaufwand begrenzt werden. In jedem Schritt wird die Anzahl der Anwendungen verringert und der Detaillierungsgrad der Betrachtung erhöht:

72 Henneberger/Strebel/Garzotto 2010, S. 78 Der erste Schritt umfasst eine Analyse des strategischen Wertes und der Kritikalität einer Anwendung, d.h. zweier Kriterien aus der Outsourcing-Literatur. Festgestellt werden soll, welche Servicemodelle grundsätzlich geeignet erscheinen. Für die im ersten Schritt ausgewählten Anwendungen werden im zweiten Schritt konkrete Cloud-Szenarien abgeleitet und der grobe Aufwand für die Einführung sowie das damit verbundene Nutzen- und Risikopotenzial anhand eines Kriterienkatalogs abgeschätzt. Ergibt sich ein günstiges Nutzen-Risiko-Verhältnis, können potentielle Anbieter für Cloud-Services ausgewählt und ein detaillierter Business Case ausgearbeitet werden. Auf dieser Basis erfolgt dann eine endgültige Entscheidung. 71 Strategischer Wert / Kritikalität Der strategische Wert beschreibt für Henneberger/Strebel/Garzotto die Bedeutung, die eine Anwendung für ein Unternehmen besitzt. Ein hoher strategischer Wert wird veranschlagt, wenn eines oder mehrere der folgenden Kriterien zutreffen: wettbewerbsdifferenzierende Anwendung Wettbewerbsvorteil bietende Anwendung. Die Kritikalität erfasst den potenziellen Schaden, der bei Ausfall oder Fehlerhaftigkeit der Anwendung entstehen kann. Eine hohe Kritikalität wird veranschlagt, wenn eines oder mehrere der folgenden Kriterien zutreffen: sicherheitsrelevante Anwendung hoher wirtschaftlicher Schaden bei Ausfall der Anwendung. Das Ergebnis dieses Entscheidungsschrittes ist die Vorauswahl bestimmter Anwendungen, die sich für Cloud Computing bzw. bestimmte Cloud-Servicemodelle eignen. Auf dieser Basis entsteht ein strategisches Portfolio. Beispielhaft führen die Autoren für eine Human-Recources- sowie Proposal-Erstellungsanwendung aus:

73 Henneberger/Strebel/Garzotto 2010, S. 80 Aufwand sowie Nutzen- und Risikopotenziale Bewertet werden jeweils konkrete Cloud-Szenarien, die sich aus den jeweils identifizierten Cloud-Servicemodellen ableiten lassen. Um die Vergleichbarkeit zu erleichtern, können laut Henneberger/Strebel/Garzotto verschiedene szenariospezifische Treiberkriterien den Dimensionen Nutzen, Risiko und Aufwand zugeordnet werden: 72 Henneberger/Strebel/Garzotto 2010, S. 80 Die Bewertung der Treiber erfolgt anhand einer Skala (sehr niedrig bis sehr hoch). Der Skalierung werden anschließend Zahlenwerte hinterlegt (von 0,0 bis 1,0). Der gemittelte Zahlenwert über die Treiber wird genutzt, um die jeweilige Dimension (Nutzen, Risiko, Aufwand) zu bewerten. Diese Vorgehensweise ermögliche eine grobe Richtungsaussage und sei auch für umfangreiche Anwendungslandschaften mit ver-

74 tretbarem Aufwand durchführbar. Für die beiden Fälle Human-Resources- Anwendung sowie Anwendung zur Proposal-Erstellung ergibt sich: Henneberger/Strebel/Garzotto 2010, S. 83 Eine oben beschriebene Quantifizierung führt hier zu folgenden Werten: 73 Henneberger/Strebel/Garzotto 2010, S. 80 Diese Werte können nach Vorschlag der Autoren in Form einer Nutzen-Risiko-Matrix visualisiert werden. Der Aufwand wird hier als Kreisgröße für die jeweilige Anwendung abgetragen. Je nach Einordnung werden spezifische Strategien für die weitere Bewertung vorgeschlagen: Henneberger/Strebel/Garzotto 2010, S. 83

75 Business Case Die Anwendungen, die als besonders Erfolg versprechend eingeschätzt werden, können nach Auffassung von Henneberger/Strebel/Garzotto anschließend in Form eines Business Case und einer Marktbetrachtung detailliert analysiert werden. Für ausführliche Modelle zur Business-Case-Rechnung könnten Arbeiten aus dem Bereich der Investitionsrechnung herangezogen werden (z.b. ROI oder Net-Present-Value- Modelle). In den beiden konkret untersuchten Beispielen wurde die Anwendung zur Mitarbeiterentwicklung (HR) als Sourcing-Option im Rahmen von SaaS identifiziert und tatsächlich auch umgesetzt. Die Anwendung zur Proposal-Erstellung hingegen wurde kritisch betrachtet, insbesondere aufgrund des hohen potenziellen Risikos durch Cloud Sourcing im Rahmen von IaaS. Dieses Szenario wurde vom Unternehmen nicht weiter verfolgt. Fazit: Das Entscheidungsmodell von Henneberger/Strebel/Garzotto aus Oktober 2010 mit den Elementen Strategischer Wert/Kritikalität Überprüfen von Aufwand, Nutzen, Risiken Auswahl Cloud-Services und Anbieter Endentscheidung mittels Business Case 74 bietet eine gute Ausgangsbasis für Cloud-Computing-Entscheidungen in allen Bereichen. Für Kommunen ist dieses Modell jedoch um Aspekte der Spezifik von Entscheidungen in öffentlichen Verwaltungen zu ergänzen.

76 5.4 Zusatzkriterien bei Cloud Computing von Kommunen Eine Umsetzung von Cloud-Computing-Ansätzen für die öffentliche Verwaltung muss die besonderen Rahmenbedingungen berücksichtigen (z.b. Datenschutz) ein praktikables Modell finden, um Cloud-Services in die örtliche Infrastruktur zu integrieren (ist in komplexen IT-Landschaft von Kommunen kompliziert) prüfen, welche Services tatsächlich lukrativ sind (nicht alle eingesetzten Fachverfahren der Verwaltung sind/werden Cloud fähig) tragfähige und umsetzbare Businesspläne und Geschäftsmodelle entwickeln. Um die Auswirkungen für die öffentliche Hand beim Eintritt in das Cloud Computing einschätzen zu können, empfiehlt das Fraunhofer-Institut FOKUS eine Betrachtung der Wechselwirkungen nach folgenden Modellen: Ökonomisches Modell: Welche Einsparungen und erweiterten Dienstleistungen auf welcher Ebene sind möglich? Welche Grundschutzziele sind notwendig? Betriebsmodell: Welche Investitionen und Kompetenzen sind erforderlich? Welche Ausstattung bietet welches Angebot? Teilhaber- oder Teilnehmermodell: Welche Vorteile, Chancen und Risiken bieten eigene Zulieferungen von IT-Dienstleistungen in den Verbund, welche ein reines Konsumentenverhalten? Betreibermodell: Wie wird der Versorgungsanspruch gewährleistet, wie wird Leistung bepreist? Welche Domäne kann angewandt werden? Sicherheitsmodell: Welche Daten- und Personenschutzanforderungen müssen erfüllt werden? Lieferantenmodell: Welche Infrastrukturlieferanten können gewählt werden? Akquisemodell: Wie erfolgt die Bewerbung zukünftiger Teilnehmer? Wie werden die erforderlichen Skaleneffekte erzielt? (Vgl. Fraunhofer FOKUS 2010, S. 11) 75 Bereits am veröffentlichte die Computerwoche die folgenden Entscheidungskriterien für klassische Inhouse- und SaaS-Lösungen:

77 index.cfm?pk=592668&id=d2e639-table Danach ergibt sich als Tendenz: Wer schnell eine weitgehend standardisierte Anwendung aufsetzen will, die aber von häufig wechselnden Nutzern an einer Vielzahl von Standorten genutzt werden soll, wobei die zugrunde liegende Hardware- und Software-Infrastruktur ohne großen internen Aufwand immer auf dem neuesten Stand sein sollte, der tut gut daran, intensiv über On-Demand-Anwendungen nachzudenken. Wer aber seine Ressourcen eher in die Einführung und laufende Weiterentwicklung einer sehr spezifischen Anwendung auf einer stabilen Infrastruktur stecken will, um sie seinem relativ konstanten Nutzerkreis über einen langen Zeitraum zur Verfügung zu stellen, der wird wahrscheinlich eher bei den klassischen Inhouse-Anbietern fündig. (Ebd.) Entscheidungsgrundlage für oder gegen Cloud-Services in einer Kommune sollte somit eine Einteilung der Geschäftsprozesse sein: 76 standardisierte/standardisierbare Prozesse spezialisierte sowie datenschutzsensible Prozesse. In den Fällen, in denen es vorrangig um standardisierte und standardisierbare Prozesse und die Möglichkeit der Kostenreduktion geht, können Cloud-Services eine interessante Alternative für eigene Hauslösungen darstellen. Geht es jedoch um spezialisierte und besonders datenschutzsensible Prozesse und somit innovative organisationsspezifische IT-Lösungen, bedarf es mehr als standardisierter Cloud-Services. Auch in diesem Fall sind die neuen, mittels Cloud-Services entstehenden Möglichkeiten zu nutzen. Hinsichtlich der bereits behandelten Cloud-Formen ergeben sich für Kommunen die folgenden Optionen: BITKOM 2009, S. 31

78 Eine Private Cloud kann im eigenen Unternehmen mit eigenem Personal betrieben werden. Bei einer Managed Private Cloud erfolgt der Betrieb durch einen externen Dienstleister, die IT-Infrastruktur verbleibt dabei jedoch bei der Kommune und in deren Eigentum. Der externe Partner trägt die Betriebsverantwortung auf Basis definierter Service Level Agreements. Im Falle einer Outsourced Private Cloud übernimmt ein externer IT-Dienstleister eine dezidierte Cloud-Infrastruktur (oder baut sie auf) und betreibt sie vollautomatisch. Die Infrastruktur steht physisch beim externen Partner, der auch Eigentümer der Anlagen ist. Hierbei finden alle Kriterien, Bedingungen, Prozesse und Regeln des normalen IT-Outsourcings Anwendung. Eine Public Cloud ist stets ein Outsourcing-Modell. Sie ist eine Sonderform des IT- Outsourcings: virtualisiert, standardisiert, on Demand, ohne Anlagen- und Personalübertragung. Eine Kommune wäre weder Eigentümer der Infrastruktur noch der Anwendungslösungen. Ort und Form der Datenhaltung wären ihr unbekannt, eine Mitbestimmungsmöglichkeit über den Ablauf der Prozesse in der Public Cloud gäbe es nicht. Die Kommune würde sich mit vielen anderen Nutzern eine IT-Umgebung teilen, sie erhielte ein temporäres Nutzungsrecht an den genutzten Anwendungen, den darunter liegenden Plattform- und Infrastrukturkomponenten und teilweise gewisse Basis-Service Level Agreements. (Vgl. ebd. 31 f.) Ein Blick über die Ländergrenzen zeigt einen Trend zur Private Cloud bei Behörden: 77 Bereits aus Gründen der Datensicherheit dürften Public Clouds für Kommunen nicht in Frage kommen, so dass folgende Varianten zur Entscheidung stehen: Outsourcing: die kompletten Daten liegen auf den Servern eines kommunalen Rechenzentrums Inhouse: Intranet-Lösung; die Daten befinden sich im eigenen Haus auf einem Server Outsourcing & Inhouse (Hybridlösung): einige Daten liegen auf den Servern eines kommunalen Rechenzentrums, andere Daten liegen lokal (z.b. Geodaten und Beitragsdaten)

79 Inhouse: Intranet- & Desktoplösung (Hybridlösung): die Daten liegen auf dem eigenen Server im Haus und die Kommune greift mit einer Desktoplösung auf die gleichen Daten zu. (Vgl. Fazit: Klassische Inhouse- sowie On-Demand-Lösungen haben sich in den letzten Jahren einander angenähert. Daher muss die spezifische Situation des Anwenders, hier der jeweiligen Kommune, betrachtet werden, um den optimalen Lösungsansatz zu ermitteln. Bei standardisierter Anwendung, häufig wechselnden Nutzern an vielen Standorten und dem Bedürfnis nach laufender Aktualisierung liegt das Outsourcing von IT in einer Private Cloud nahe. Geht es um sehr spezifische Anwendung auf einer stabilen Infrastruktur für einen relativ konstanten Nutzerkreis über einen langen Zeitraum erscheint eine Inhouse-Lösung empfehlenswert. 78

80 5.5 Entscheidungsmodell für Kommunen I. Feststellung eines Handlungs- und Entscheidungsbedarfs Kommunen sehen sich folgenden Herausforderungen gegenüber, aus denen sich Handlungsbedarf ergibt, entsprechend der unterschiedlichen Ausprägung in den jeweiligen Gemeinden: Demografischer Wandel Optimierung komplexer werdender Geschäftsprozesse Produktivität / Effektivität bei Mitarbeiterzufriedenheit Defizit öffentlicher Haushalte und Schuldenbremse im GG Handlungsbedarf IT-Fachkräftemangel IT in unterkritischer Größe heterogene IT-Landschaften Wissensmanagement Anspruchsänderung der Bürger durch sozialen und technologischen Wandel Zusammenarbeit Mitarbeiter + Verwaltungspartner 79 Ziel: Schaffung einer zuverlässigen, sicheren und kostengünstigen Verwaltung unter Berücksichtigung der Bürgersicht: Wo und wie Verwaltung ihre Dienstleistungen erbringt, ist egal, Hauptsache sie erfolgen zur Zufriedenheit. Gefragt sind Bürgernähe, Qualität, Zuverlässigkeit und Transparenz. mit daraus resultierenden Kernfragen: Sparen an oder mit der IT? Welche notwendigen Prozesse werden erst durch IT möglich? E-Government und Cloud Computing als Standort- und Imagefaktor? Beitrag der IT zu einer Bürgerkommune?

81 II. Analyse des Entscheidungsumfelds Politisch Bundesregierung: Strategie Deutschland Digital 2015 Festlegungen 5. Nationaler IT-Gipfel (Dresdner Vereinbarung): Open Government, Kooperatives E- Government, Vertrauen, Schutz und Selbstverantwortung in der digitalen Welt Open Government Data: vermehrte Bereitstellung von Verwaltungsdaten mit den Kriterien vollständig, zugänglich, maschinenlesbar, weiterverarbeitbar sowie lizenzfrei, mit den Zielen Transparenz, Partizipation und Kooperation Erfordernis eines politischen Nutzens von IT, wie größere Bürgernähe, Förderung der digitalen Gesellschaft, Unterstützung der Standortattraktivität Föderalismusreform II: bund-länder-übergreifende IT- Koordinierung One-Stop-Government: für jedes Anliegen eine Behörde als Ansprechpartner Ökonomisch Überschuldung der Kommunen Schuldenbremse im Grundgesetz Aufgabenerfüllung anstelle von Gewinnmaximierung Rückgewinnung der politischen Handlungsfähigkeit der Kommunen durch Haushaltskonsolidierung auch mittels IT Verwaltungsprozesse effektiver gestalten, Prozesskosten senken IT-Leistungen selbst kostengünstiger erbringen oder einkaufen 80 Sozial demografischer Wandel veränderte Bürgeransprüche hinsichtlich Verwaltungsservice und Datensicherheit digitale soziale Netzwerke Technologisch kommunale und Landesrechenzentren DOI-Netz, CN LAVINE in Mecklenburg-Vorpommern Cloud-Angebote für Verwaltungen Ökologisch EU: Code of Conduct for Data Centres Aktionsplan Green IT (3. Nationaler IT-Gipfel 2008) Informationsplattform der Green IT-Allianz (2011) Technologieprogramm Green2IT Bundesstrategie Green Office Computing (2011)

82 Rechtlich Europäische Dienstleistungsrichtlinie RL 2006/123/EG: Prinzip der Einheitlichkeit der Verwaltung (One-Stop-Government) und elektronische Verfahrensabwicklung Änderung Grundgesetz Artikel 91 c ( ): Ermöglichung einer Kooperation von Bund und Ländern bei Planung, Errichtung und Betrieb von informationstechnischen Systemen, Ermöglichung der Festlegung von Standards und Sicherheitsanforderungen, Errichtung eines Verbindungsnetzes IT-NetzG (2010): Gesetz über die Verbindung der informationstechnischen Netze des Bundes und der Länder IT-Staatsvertrag (2010): IT-Planungsrat, IT-Infrastrukturen (Netz), IT-Standards und Sicherheitsanforderungen Bundesdatenschutzgesetz: Auftragsdatenverarbeitung ( 11) Vergaberecht/Inhouse-Voraussetzungen nach dem EuGH: Grundsatz der Ausschreibung bei Vergaben; Inhouse- Zusammenarbeit von Verwaltungen nur bei gemeinsamer Errichtung der Verwaltungen mit gemeinsamer Trägerschaft, Beherrschung der gemeinsamen Errichtung durch die Träger wie eine eigene Behörde, Geschäfte im Wesentlichen mit den Trägern und nur unwesentlich mit Dritten (bis zu 10 %), keine Beteiligung Privater Ein weiteres wichtiges Element des Entscheidungsumfeldes ist das Selbstverständnis der Verwaltung, von dem die Rolle, die der IT zuerkannt wird, wesentlich abhängt, sei es nun auf der Ebene des Staates oder einer Kommune. Entscheidungen zum Einsatz von IT bedürfen somit einer Debatte zum Grundverständnis der jeweiligen Kommunalverwaltung, und zwar sowohl hinsichtlich der Position zum Zeitpunkt der Entscheidung als auch hinsichtlich der beabsichtigten Entwicklung (Vision), wobei eine Kombination nachfolgender Grundmodelle möglich erscheint: 81 Bubeck/Fuchs 2003, S. 5 Zum übergreifenden Element des Entscheidungsumfeldes wird somit die Entwicklung der IT von einer Commodity hin zu einer strategischen Ressource. Aus taktischen werden strategische Fragestellungen der Verwaltungsführung:

83 Abegglen 2008, S. 4 Des Weiteren gehört eine Betrachtung des Strukturwandels der Verwaltung sowie der Vorteile und Mängel der bisherigen IT-Struktur zur Analyse des Entscheidungsumfelds: Strukturwandel öffentlicher Verwaltungen IT öffentlicher Verwaltungen 82 Globalisierung Demografischer Wandel Wertewandel Veränderung der Arbeits- und Lebenswelt Virtualisierung Verwaltungsmodernisierung Bürokratieabbau Verwaltung als Dienstleister Good Governance Haushaltskonsolidierung Einführung der Doppik Deutschland digital 2015 Open Data E-Government Entwicklung der IT zu einem Kernelement von Leistungserbringung und Strukturwandel jahrzehntelange Erfahrungen öffentlicher IT-Dienstleister gemeinsame Datenverarbeitungszentren und Kooperationen hohe Fragmentierung der IT- Dienstleister sowohl in den Kommunen als auch den Bundesländern geringe Standardisierung der Verfahren und Plattformen trotz gleichartiger Aufgaben organisches Gewachsensein der IT- Strukturen mit hohen Unterhaltungskosten sowie Verbesserungserfordernissen bei Betriebsstabilität, Sicherheit und Kontinuität fehlende finanzielle Spielräume für neue Lösungen Fachkräftemangel und Wissensverlust durch ausscheidende Mitarbeiter

84 Ein Großteil der Aufgaben- und Handlungsfelder kann nur teilweise direkt beeinflusst werden. Zumeist handelt es sich um Rahmenbedingungen, die ausschließlich indirekt und/oder langfristig beeinflussbar sind. Somit ist eine Gleichzeitigkeit von Freiraum und Beschränkung bei den einzelnen Handlungsfeldern gegeben. Da in allen Handlungsfeldern unterschiedliche Akteure agieren, z.b. Verwaltungen unterschiedlicher Gebietskörperschaften und Zuständigkeiten, wird das koordinierte Handeln aller das höchste gemeinsame Ziel Es liegt jedoch in der Natur der Sache, dass dieses Ziel nur äußerst selten erreicht wird. (Hagen 2003, S. 118) 83 Freiräume (hell) und Rahmenbedingungen (dunkel) bei Handlungsfeldern am Beispiel von E-Government Hagen 2003, S. 118 Die Analyse der internen und externen Situation ist zusammenzuführen: Kargl/Kütz 2007, S. 9

85 III. Aufzeigen von Entscheidungsalternativen Aus dem Handlungs- und Entscheidungsbedarf ergeben sich, unter Berücksichtigung des Entscheidungsumfelds, folgende Möglichkeiten der Aufgabenerfüllung mittels IT: Handlungsbedarf Aufgabenerfüllung durch Inhouse- Lösung IT-Zentrale im Unternehmen totales Insourcing Ausgründung Eigenbetrieb GmbH Kooperation totales betriebsinternes Outsourcing Öffentlichöffentliche oder öffentlich-private Zusammenarbeit selektives / totales ÖÖP/ÖPP Externen Dienstleister externes Rechenzentrum (privat oder öffentlich) selektives / totales Outsourcing Diese Handlungsmöglichkeiten müssen sich zugleich nicht ausschließen, es besteht auch die Möglichkeit, dass Inhouse- und Outsourcingvarianten nebeneinander bestehen oder zeitlich nacheinander umgesetzt werden, z. B.: 84 Innenministerium M-V 2010, S. 22

86 Für alle Formen des In- und Outsourcings der IT-Aufgabenerfüllung können Angebote von Cloud Computing genutzt werden, wobei Cloud Computing selbst eine Form strategischen Outsourcings darstellt. Entscheidungsbedarf besteht hinsichtlich der Tiefe des Outsourcings: Alternativen zur Outsourcingtiefe bei Cloud Computing (Servicekategorien) SaaS Geschäftsprozesse Fachverfahren CRM / ERP / HR PaaS Entwicklungstools Laufzeitumgebung Datenbanken Datenlogistik / D Iaas Server Speicherplatz Rechenleistung Langzeitarchivierung Unabhängig von der Outsourcing-Tiefe ist eine Entscheidung hinsichtlich der Nutzung einer Cloud-Art zu treffen: Nutzungsmodelle von Cloud Computing 85 Private Cloud Community Cloud Organisationen teilen sich Ressourcen Public Cloud öffentlicher Zugang zur Infrastruktur Hybrid Cloud Betreibung für eine Organisation Nutzungskombination verschiedener Cloudformen und traditioneller IT- Umgebungen Managed Private Cloud Outsourced Private Cloud Hinsichtlich von IT-Kooperationen im kommunalen Bereich ist eine Entscheidung zu folgenden Alternativen zu treffen: Zusammenarbeit mit Partnerkommunen über Einzelvertrag Zusammenarbeit mit Privatunternehmen über Einzelvertrag Bildung / Nutzung eines kommunalen Zweckverbands Nutzung von Landesdatenverarbeitungszentren Errichtung / Nutzung eines kommunalen Datenverarbeitungszentrums Anbieten eines eigenen Rechenzentrums für andere Kommunen.

87 IV. Bewertung der Entscheidungsalternativen In-/Outsourcing von IT Varianten von Cloud Computing Bewertung mittels Nutzung existierender Entscheidungsmodelle zum Outsourcing von Dienstleistungen unter Abwägung von Vor- und Nachteilen in Bezug auf Unternehmensstrategie Kernkompetenzen Leistung Kosten Ressourcen Personal Sicherheit bei Anwendung von Methoden wie strategische Betrachtungen (Ressourcen, Prozesse, Leistungstiefe, Kerngeschäft) Stärken-Schwächen-Analyse Szenario-Analyse Sollprofil Kostenvergleiche Portfoliomodelle Argumentenbilanz Nutzwertanalyse Flussdiagramme Prozesskostenrechnung Transaktionskostentheorie 86 Als zusätzliche und zugleich Ausschlusskriterien für die Nutzung von Cloud Computing in öffentlichen Verwaltungen (und damit Kommunen) sind zu berücksichtigen: rechtliche Zulässigkeit wirtschaftliche Vorteilhaftigkeit Steuerbarkeit und Risikobeherrschbarkeit Als konkrete Fragestellungen ergeben sich für Kommunalverwaltungen u. a.: Strategisch Rechtlich Technisch Autonomieverlust Prozessstandardisierung Abhängigkeit von externem Dienstleister Geschäftsmodell Transparenz Akzeptanz Datenschutz/Datensicherheit Ordnungsrecht Vergaberecht Vertragsrecht Know-how-Einbuße interne Integration Migration Verfügbarkeit Skalierbarkeit Standardisierbarkeit von Aufgaben

88 Entscheidungen in Bezug auf die Beteiligung einer Kommune an IT-Kooperationen haben folgende Bewertungskriterien zu berücksichtigen: politische Notwendigkeit Einsparmöglichkeiten Möglichkeit der Erweiterung von Dienstleistungen Investitionserfordernisse Erzielung von Skaleneffekten Kompetenzen Ausstattung der einzelnen Angebote Gewährleistung des Versorgungsanspruchs Preisbildung Datenschutzgewährung Auswahl der Infrastrukturlieferanten Aufnahmeregelungen für künftige Teilnehmer Vorteile, Chancen und Risiken eigener Zulieferung in die Kooperation Vorteile, Chancen und Risiken bei reinem Konsumentenverhalten Wählen Kommunen eine Variante unter Beteiligung eines privaten Dritten, ist die Bewertung des Partners von besonderer Bedeutung. Hierbei sollten folgende Mindestauswahlkriterien berücksichtigt werden: Stabilität und Langlebigkeit passende Größe Marktposition / Referenzen Branchenkenntnisse ( Business Level Agreements ) ggf. eigene Nutzung der Technologie (z.b. SAP) räumliche Nähe Projektimplementierung und Betrieb aus einer Hand Technologie Nutzung von Standards Prozessorientierung Flexibilität Preis / Vertragsgestaltung. (Schröder 2010, S. 34) 87 V. Treffen einer Entscheidung Zum Treffen einer Entscheidung zu Inhouse oder Outsourcing ist das folgende Vorgehen empfehlenswert: Erfassung der vorhandenen IT in Verbindung mit einer Analyse der eigenen IT-Kompetenzen (IT-Portfolio einer Kommune) Identifizierung, Beschreibung und Abgrenzung von Leistungsbereichen, d.h. Bündelung von IT-Aufgaben zu IT-Clustern nach - aktueller und zukünftig-strategischer Bedeutung der IT-Aufgabe für das Kerngeschäft der Verwaltung - Beitrag der IT-Aufgabe zu Leistungserbringung und Image der Verwaltung - Häufigkeit der Nutzung sowie Dynamik der IT-Leistungserbringung - Erreichbarkeit von Kostensenkungen bei Outsourcing der IT-Aufgabe

89 - Auswirkungen eines Outsourcings der IT-Aufgabe auf Strategie, Autonomie und Risiken für die Kommune - Transaktionskosten und Kosten des Lock-in-Effekts - Eignung der IT-Aufgabe für Outsourcing unter Berücksichtigung des IT- Reifegrades Dokumentation von Schwachstellen und Handlungsbedarfen Ableitung erwarteter bzw. benötigter Leistungsmerkmale Erstellen eines IT-Portfolios zur zukünftigen Aufgabenerfüllung durch - Inhouse-Lösungen - Outtasking - Outsourcing - Kooperationen Eine Entscheidung zu Make or Buy kann nach folgendem Muster erfolgen: 88 Abegglen 2008, S. 13 Für eine nachfolgende Entscheidung zur Nutzung von Cloud-Computing-Modellen in einer Kommune empfehlen sich folgende Entscheidungsschritte: Einteilung der Geschäftsprozesse in standardisierte/standardisierbare sowie spezialisierte und datenschutzsensible Prozesse Einteilung der Geschäftsprozesse sein Auswahl von Anwendungen unter Berücksichtigung ihres strategischen Wertes (Bedeutung für Verwaltungskernaufgabe und Image) Prüfung der ausgewählten Anwendung hinsichtlich ihres kritischen Wertes (Schaden bei Fehlerhaftigkeit/Ausfall der Anwendung) Auswahl möglicher Cloud-Servicemodelle aufgrund ihrer Charakteristika Prüfung von Aufwand und Nutzen sowie Risiken der ausgewählten Modelle Abwägung der Kosten und Einsparungen Endauswahl der Cloud-Services und Anbieter Für das Treffen von Entscheidungen im kommunalen Bereich sind unbedingt kommunalverfassungsrechtliche Vorschriften sowie Festlegungen in den jeweiligen Hauptsatzungen der Kommunen zu berücksichtigen. Es ist möglichst eindeutig festzustellen, welche Entscheidungen noch Geschäft der laufenden Verwaltung sind und welche darüber hinausgehen und einer Entscheidung von Gremien bedürfen.

90 Ebenso ist eine Prüfung der jeweiligen Landespersonalvertretungsgesetze vorzunehmen, denn sofern mit Entscheidungen zur IT Organisationsveränderungen erfolgen und/oder Regelungen zum Verhalten von Mitarbeitern getroffen werden, können mitbestimmungspflichtige Tatbestände vorliegen. VI. Umsetzung der gewählten Alternative Die fachliche Umsetzung der gewählten Alternative sollte mittels Change Management begleitet werden. Geeignet ist das 8-Schritte-Modell von John Kotter aus 1995: 1. Bewusstsein für Dringlichkeit schaffen 2. Führungskoalition aufbauen (Verantwortliche mit Veränderungsbereitschaft gewinnen und zusammenbringen) 3. Zukunftsvision formulieren und Strategie entwickeln 4. Vision des Wandels kommunizieren 5. Empowerment: Ermöglichung des Handelns im Sinne der neuen Vision/Ziele 6. Planung und Herbeiführung kurzfristiger Erfolge 7. Erfolge konsolidieren und weitere Veränderungen ableiten 8. Verankern des Neuen in der Unternehmenskultur (Vgl. Kotter 1997) Sollte für die Umsetzung des Veränderungsprozesses externe Beratung erforderlich sein, würde deren Aufgabe hinsichtlich der Stufen in Folgendem bestehen: 89 Für das Gelingen des fachlichen Veränderungsprozesses ist die frühzeitige Einbeziehung der Personalvertretung sowie Mitarbeiter zwingend erforderlich, unabhängig davon, ob mitbestimmungspflichtige Gegebenheiten vorliegen oder nicht. Der Veränderungsprozess muss mögliche Barrieren im Auge behalten und ihnen begegnen, wie z. B. Gewohnheiten und Ängste Existierende Organisation soziale Faktoren / Menschen Defizite bei der Implementierung.

91 Des Weiteren ist eine erfolgreiche Umsetzung ohne Verknüpfung mit der Verwaltungsreform, den politischen Entscheidungsträgern und den Stakeholdern der Verwaltung undenkbar. Ordnet man E-Government und Cloud Computing informationssystemtheoretisch als Online-Transaktionssystem ein, ergibt sich folgender Gesamthandlungsrahmen bzw. Umsetzungsprozess: 90 VII. Kontrolle der Entscheidung Hagen 2003, S. 116 Als Kritische Erfolgsfaktoren können genannt werden: Leitbild und Strategie der Verwaltung Leitbild des IT-Bereichs Synchronisierung von Verwaltungs- und IT-Strategie/Leitbild Organisation sowie Projekt- und Change Management Auswahl der Anwendungen Nutzen und Kosten Kompetenzen, Motivation und Qualifizierung der Mitarbeiter Schaffung von Akzeptanz Kooperationen und Partnerschaften nachhaltige Sicherung der Ressourcen Service Level Agreements mit den Dienstleistern Verfügbarkeit und Qualität der Leistungen Rechtmäßigkeit Steuerbarkeit.