Seite 2: Cloud und Infrastruktur: SCS als Fundament

Inhaltsverzeichnis

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Auf der Infrastrukturebene definiert der Stack zwei Schichten. Virtualisierte softwarebasierte Infrastruktur regelt als unterste Schicht die Netzwerkebene mit dem MEF-70-Standard für Software-Defined Wide Area Networks (SD-WAN) und Network Function Virtualization (NFV) nach ETSI-Standard. Beides zielt darauf ab, die Vernetzung von Behördenstandorten softwarebasiert und flexibel zu gestalten, statt auf proprietäre Hardware-Appliances zu setzen. Für Software-Defined Storage und die Verwaltung virtueller Maschinen fehlen allerdings noch Standards.

Die darüberliegende Cloud-Schicht benennt drei zentrale Pfeiler: die Standards der Deutschen Verwaltungscloud (DVC), OpenStack als Open-Source-Cloud-Plattform und den Sovereign Cloud Stack (SCS). Der Sovereign Cloud Stack, entwickelt von der Open Source Business Alliance (OSBA) und ehemals vom Bundeswirtschaftsministerium gefördert, baut auf OpenStack und Kubernetes auf und definiert einen vollständig offenen, interoperablen Cloud-Technologiestack.

Dass der SCS im Deutschland-Stack steht, lässt aufhorchen: Die Bundesförderung für das Projekt war ausgelaufen, was in der Open-Source-Community für erhebliche Kritik gesorgt hatte. Die Aufnahme in den verbindlichen Standardkatalog könnte dem Projekt neuen Rückenwind geben.

Ergänzt wird die Cloud-Schicht durch die EVB-IT – die Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen, also die Standardvertragsmuster der öffentlichen Hand. Allerdings fehlen noch standardisierte Service-Level-Vereinbarungen für praktisch alle relevanten Betriebsbereiche: Compute, Storage, Kommunikation, Logging, Backup, Support, Kostenberechnung und Performance Management.

Moderne Softwareentwicklung wird Verwaltungsstandard

Die umfangreichste Schicht des gesamten Stacks ist die des integrierten Lebenszyklus (DevSecOps) und Schnittstellenmanagements. Sie liest sich wie das Toolset eines modernen Software-Engineering-Teams.

Für die Softwareentwicklung werden Git als Versionskontrollsystem, CI/CD-Pipelines für automatisierte Build- und Deployment-Prozesse, Infrastructure as Code (IaC) und Policies as Code (PaC) als Standards festgelegt. Besonders hervorzuheben ist die Aufnahme von SBOM (Software Bill of Materials), also maschinenlesbare Stücklisten aller Softwarekomponenten, die für die Absicherung von Software-Lieferketten entscheidend sind. Ergänzt wird dies durch OWASP, das Open Web Application Security Project, als Rahmenwerk für Webanwendungssicherheit.

Für das Schnittstellenmanagement definiert der Stack ein breites API-Ökosystem: REST und OpenAPI als Basis, ergänzt um gRPC für hochperformante Service-to-Service-Kommunikation, GraphQL für flexible Datenabfragen und MQTT als leichtgewichtiges Messaging-Protokoll, das vor allem für IoT-Szenarien und Smart-City-Anwendungen relevant ist. Kubernetes wird als Standard für Container-Orchestrierung festgelegt.

Als vorausgesetzte Basisprotokolle nennt das Dokument IPv6, HTTPS, FTPS, SMTPS und QUIC. Das noch junge Transportprotokoll liegt HTTP/3 zugrunde, das sich im Internet zunehmend durchsetzt. Dass QUIC explizit als vorausgesetztes Protokoll genannt wird, ist für ein Verwaltungsdokument ungewöhnlich progressiv.

Auch hier gibt es offene Baustellen: Standards für Observability, Security-Tooling (SIEM, IDS, EDR), statische und dynamische Codeanalyse sowie für Package Management, Service Mesh und Service Discovery fehlen noch.

IT-Sicherheit: Post-Quanten-Kryptografie fest eingeplant

Die IT-Sicherheitsschicht kombiniert bewährte Rahmenwerke mit zukunftsgerichteten Kryptografiestandards. Als übergreifende Rahmenwerke dienen der BSI IT-Grundschutz, die Technischen Richtlinien des BSI und der C5-Katalog (Cloud Computing Compliance Criteria Catalogue). Hierbei handelt es sich komplett um etablierte Instrumente, die bereits heute den Sicherheitsrahmen der Verwaltungs-IT bilden.

Bei der Kryptografie setzt der Stack auf die klassische Trias aus AES (symmetrische Verschlüsselung), RSA und ECC (asymmetrische Verfahren). Die eigentliche Nachricht steckt jedoch in einem vierten Standard: ML-KEM – der Module-Lattice-based Key Encapsulation Mechanism ist ein Post-Quanten-Standard für den Schlüsselaustausch. Er soll klassische Public-Key-Verfahren wie RSA und ECC in diesem Einsatzfeld langfristig ergänzen oder ablösen. Dass die deutsche Verwaltung Post-Quanten-Kryptografie bereits jetzt in ihren Standardkatalog aufnimmt, ist ein deutliches Signal: Man will vorbereitet sein, bevor kryptografisch relevante Quantencomputer Realität werden.

Für das Identitäts- und Zugriffsmanagement definiert der Stack einen vollständigen Protokollstapel: OAuth für tokenbasierte Autorisierung, OpenID Connect (OIDC) für föderierte Authentifizierung, JSON Web Token (JWT) als Token-Format und OTP-basierte Multi-Faktor-Authentifizierung. Dieser Stack eignet sich als technische Grundlage für föderierte Identitätsdienste.

Was noch fehlt, ist ein Format für Krypto-Agilität, also die Fähigkeit, kryptografische Verfahren schnell und systematisch auszutauschen, wenn sie kompromittiert werden. Angesichts der Post-Quanten-Thematik ist das eine nicht triviale Lücke.