OZG-Software bauen ist das eine. OZG-Software bauen ist das eine.

OZG-Umsetzung: Software allein reicht nicht

Das Onlinezugangsgesetz (OZG) verpflichtet Bund, Länder und Kommunen, Verwaltungsleistungen digital verfügbar zu machen. Auf dem Papier klingt das nach Softwareprojekten. In der Praxis geht es längst nicht mehr nur um die Applikation.

Entscheidend für die Umsetzbarkeit wird, wie die darunterliegende Infrastruktur betrieben wird. Behörden erwarten längst keine reinen Entwicklungspartner mehr, sondern Betriebskonzepte, die die vollständige Servicekette absichern: Verarbeitung personenbezogener Daten, Verarbeitung von Meldedaten, Registerzugriff, Identitäten, Schnittstellen, Compliance und Auditierbarkeit.

Und genau hier steigen die Anforderungen rapide an.

Betriebskonzepte unter OZG: Anforderungen wachsen

Sobald Software produktiv im OZG-Umfeld eingesetzt wird, greifen eine ganze Reihe zusätzlicher Vorgaben, die von Softwareentwicklern oft unterschätzt werden:

• DSGVO / BDSG-konforme Verarbeitung personenbezogener Daten
• Anbindung an bestehende Fachverfahren und Registerschnittstellen
• Betrieb innerhalb des europäischen Rechtsraumes
• Einhaltung von Informationssicherheitsanforderungen (BSI-Grundschutz, ISO27001, IT-SiG)
• Nachvollziehbarkeit von Änderungen, Audits und Dokumentation
• Technische und organisatorische Maßnahmen (TOMs), die revisionsfähig dokumentiert sind
• Betriebskonzepte, die dauerhaft SLA-fähig sind, unabhängig von Entwicklungsteams

Die eigentliche Herausforderung liegt weniger in der Entwicklung der Fachanwendungen selbst, sondern in dem, was danach dauerhaft stabil, nachvollziehbar und revisionssicher laufen muss.

ISO27001: Standardschicht für den produktiven Betrieb

An dieser Stelle wird Infrastruktur plötzlich zum Engpass. Wer keine eigene ISO27001-konforme Betriebsumgebung bereitstellen kann, wird langfristig nicht liefern können. Behörden verlangen nicht nur funktionierende Anwendungen, sondern dokumentierte Sicherheitsarchitekturen, gelebte Prozesse, regelmäßige Audits und transparente Nachweise.

ISO27001 ist hier kein Zertifikatsanhängsel für Angebotsunterlagen, sondern das technische Fundament für nachvollziehbare und auditierbare Betriebsmodelle im öffentlichen Bereich. Es definiert unter anderem:

• Wie Infrastruktur segmentiert wird
• Wie Zugriffe dokumentiert und kontrolliert werden
• Wie Schlüsselmaterial verwaltet wird
• Wie Vorfälle erkannt und verarbeitet werden
• Wie Change- und Deployment-Prozesse abgesichert laufen
• Wie Backup- und Desaster-Recovery-Mechanismen organisiert sind

Diese Anforderungen operationalisieren sich nur dann sauber, wenn auch die Plattform entsprechend darauf ausgelegt ist.

ayedo Cloud-Services: Infrastruktur, die Betriebssicherheit liefert

Wir stellen für diese Anforderungen eine Infrastruktur bereit, die konsequent ISO27001-zertifiziert betrieben wird. Dabei geht es nicht um “Cloud” als Plattform-Marketingbegriff, sondern um präzise gesteuerte Betriebsumgebungen, die folgende Kriterien erfüllen:

• Volle Kontrolle über die Infrastruktur: keine externe Plattformabhängigkeit, kein Vendor-Lock-in auf internationalen Hyperscalern.
• Betrieb innerhalb des deutschen Rechtsraums: Rechenzentren ausschließlich in Deutschland, unter europäischer Gerichtsbarkeit, ohne Zugriff Dritter.
• Durchgängige Auditierbarkeit: Jede administrative Aktion, jedes Deployment, jede Änderung wird nachvollziehbar protokolliert.
• Sichere Integrationsmöglichkeiten: Stabile Anbindung an Fachverfahren, Register, Schnittstellen im Verwaltungsumfeld.
• Hochautomatisierte Deployments: GitOps-gesteuerte Infrastruktur für konsistente Betriebszustände.
• Revisionsfeste Prozesse: Dokumentierte technische und organisatorische Maßnahmen, vollständig auditfähig gegenüber Aufsichtsbehörden.

Kurz gesagt: Eine Betriebsumgebung, die exakt auf das zugeschnitten ist, was im OZG-Umfeld dauerhaft gefordert wird.

Fazit

Die eigentliche Herausforderung bei OZG-Projekten liegt nicht mehr allein in der Entwicklung von Fachanwendungen, sondern in der Fähigkeit, diese Applikationen dauerhaft sicher, nachvollziehbar und revisionsfähig zu betreiben.

Wer Software für die öffentliche Hand entwickelt, braucht nicht nur Entwicklerteams, sondern ein belastbares Betriebskonzept, das regulatorischen Anforderungen dauerhaft standhält.

Genau hier liefern wir die technische Grundlage, um diese Betriebsmodelle sicher und kontrolliert umzusetzen — ohne Plattformabhängigkeiten, ohne Grauzonen, ohne internationale Kompromisse.\n