OZG-Software bauen ist das eine. OZG-Software bauen ist das eine.

Das Onlinezugangsgesetz (OZG) verpflichtet Bund, Länder und Kommunen, Verwaltungsleistungen digital verfügbar zu machen. Auf dem Papier klingt das nach Softwareprojekten. In der Praxis geht es längst nicht mehr nur um die Applikation.

Meta: Katrin Peter · 03.06.2025 · ⏳ 3 Minuten · Alle Blogs →
Tagsozg · verwaltung · compliance · iso27001 · sicherheit

OZG-Umsetzung: Software allein reicht nicht

Das Onlinezugangsgesetz (OZG) verpflichtet Bund, Länder und Kommunen, Verwaltungsleistungen digital verfügbar zu machen. Auf dem Papier klingt das nach Softwareprojekten. In der Praxis geht es längst nicht mehr nur um die Applikation.

Entscheidend für die Umsetzbarkeit wird, wie die darunterliegende Infrastruktur betrieben wird. Behörden erwarten längst keine reinen Entwicklungspartner mehr, sondern Betriebskonzepte, die die vollständige Servicekette absichern: Verarbeitung personenbezogener Daten, Verarbeitung von Meldedaten, Registerzugriff, Identitäten, Schnittstellen, Compliance und Auditierbarkeit.

Und genau hier steigen die Anforderungen rapide an.

Betriebskonzepte unter OZG: Anforderungen wachsen

Sobald Software produktiv im OZG-Umfeld eingesetzt wird, greifen eine ganze Reihe zusätzlicher Vorgaben, die von Softwareentwicklern oft unterschätzt werden:

  • DSGVO / BDSG-konforme Verarbeitung personenbezogener Daten
  • Anbindung an bestehende Fachverfahren und Registerschnittstellen
  • Betrieb innerhalb des europäischen Rechtsraumes
  • Einhaltung von Informationssicherheitsanforderungen (BSI-Grundschutz, ISO27001, IT-SiG)
  • Nachvollziehbarkeit von Änderungen, Audits und Dokumentation
  • Technische und organisatorische Maßnahmen (TOMs), die revisionsfähig dokumentiert sind
  • Betriebskonzepte, die dauerhaft SLA-fähig sind, unabhängig von Entwicklungsteams

Die eigentliche Herausforderung liegt weniger in der Entwicklung der Fachanwendungen selbst, sondern in dem, was danach dauerhaft stabil, nachvollziehbar und revisionssicher laufen muss.

ISO27001: Standardschicht für den produktiven Betrieb

An dieser Stelle wird Infrastruktur plötzlich zum Engpass. Wer keine eigene ISO27001-konforme Betriebsumgebung bereitstellen kann, wird langfristig nicht liefern können. Behörden verlangen nicht nur funktionierende Anwendungen, sondern dokumentierte Sicherheitsarchitekturen, gelebte Prozesse, regelmäßige Audits und transparente Nachweise.

ISO27001 ist hier kein Zertifikatsanhängsel für Angebotsunterlagen, sondern das technische Fundament für nachvollziehbare und auditierbare Betriebsmodelle im öffentlichen Bereich. Es definiert unter anderem:

  • Wie Infrastruktur segmentiert wird
  • Wie Zugriffe dokumentiert und kontrolliert werden
  • Wie Schlüsselmaterial verwaltet wird
  • Wie Vorfälle erkannt und verarbeitet werden
  • Wie Change- und Deployment-Prozesse abgesichert laufen
  • Wie Backup- und Desaster-Recovery-Mechanismen organisiert sind

Diese Anforderungen operationalisieren sich nur dann sauber, wenn auch die Plattform entsprechend darauf ausgelegt ist.

ayedo Cloud-Services: Infrastruktur, die Betriebssicherheit liefert

Wir stellen für diese Anforderungen eine Infrastruktur bereit, die konsequent ISO27001-zertifiziert betrieben wird. Dabei geht es nicht um “Cloud” als Plattform-Marketingbegriff, sondern um präzise gesteuerte Betriebsumgebungen, die folgende Kriterien erfüllen:

  • Volle Kontrolle über die Infrastruktur: keine externe Plattformabhängigkeit, kein Vendor-Lock-in auf internationalen Hyperscalern.
  • Betrieb innerhalb des deutschen Rechtsraums: Rechenzentren ausschließlich in Deutschland, unter europäischer Gerichtsbarkeit, ohne Zugriff Dritter.
  • Durchgängige Auditierbarkeit: Jede administrative Aktion, jedes Deployment, jede Änderung wird nachvollziehbar protokolliert.
  • Sichere Integrationsmöglichkeiten: Stabile Anbindung an Fachverfahren, Register, Schnittstellen im Verwaltungsumfeld.
  • Hochautomatisierte Deployments: GitOps-gesteuerte Infrastruktur für konsistente Betriebszustände.
  • Revisionsfeste Prozesse: Dokumentierte technische und organisatorische Maßnahmen, vollständig auditfähig gegenüber Aufsichtsbehörden.

Kurz gesagt: Eine Betriebsumgebung, die exakt auf das zugeschnitten ist, was im OZG-Umfeld dauerhaft gefordert wird.

Fazit

Die eigentliche Herausforderung bei OZG-Projekten liegt nicht mehr allein in der Entwicklung von Fachanwendungen, sondern in der Fähigkeit, diese Applikationen dauerhaft sicher, nachvollziehbar und revisionsfähig zu betreiben.

Wer Software für die öffentliche Hand entwickelt, braucht nicht nur Entwicklerteams, sondern ein belastbares Betriebskonzept, das regulatorischen Anforderungen dauerhaft standhält.

Genau hier liefern wir die technische Grundlage, um diese Betriebsmodelle sicher und kontrolliert umzusetzen — ohne Plattformabhängigkeiten, ohne Grauzonen, ohne internationale Kompromisse.\n

ayedo Alien Discord

Werde Teil der ayedo Community

In unserer Discord Community findest du Antworten auf deine Fragen rund um das Thema ayedo, Kubernetes und Open Source. Hier erfährst du in Realtime was es Neues bei ayedo und unseren Partnern gibt und hast die Möglichkeit mit unserem Team in direkten Kontakt zu treten.

Join the Community ↗

Ähnliche Inhalte

Alle Blogs →



Katrin Peter · 03.06.2025 · ⏳ 3 Minuten

Sichere Infrastruktur für Gesundheitsdaten — ISO27001-konform

Gesundheitsdaten sind ein Sonderfall — technisch wie regulatorisch Die Verarbeitung von Gesundheitsdaten unterscheidet sich grundlegend von klassischer Unternehmens-IT. Hier geht es nicht nur um …

Lesen →

Sichere Infrastruktur für Gesundheitsdaten — ISO27001-konform
Katrin Peter · 03.06.2025 · ⏳ 3 Minuten

Cloud Act: Das eigentliche Problem ist nicht der Speicherort, sondern das Control Plane

In den meisten Diskussionen um den Cloud Act geht es ausschließlich um den Speicherort von Daten. Rechenzentrum in Frankfurt? ISO-zertifiziert? Verschlüsselt? Klingt gut. Technisch betrachtet greift …

Lesen →

Cloud Act: Das eigentliche Problem ist nicht der Speicherort, sondern das Control Plane
Katrin Peter · 28.05.2025 · ⏳ 3 Minuten

Bundeswehr & Google Cloud: Warum das ein sicherheitspolitisches Risiko ist

Ein technisches Projekt, das politische Fragen aufwirft Die Meldung klang zunächst nüchtern: Die Bundeswehr wird ihre private Cloud-Infrastruktur künftig mit Unterstützung von Google aufbauen. Genauer …

Lesen →

Bundeswehr & Google Cloud: Warum das ein sicherheitspolitisches Risiko ist
Daniel Wagner · 20.05.2025 · ⏳ 3 Minuten

Cloud-Exit wird Realität: Warum Unternehmen die Re-Patriierung ernsthaft prüfen

Die Wolke verliert ihre Unschuld Die Cloud war einmal der Inbegriff für Effizienz, Skalierbarkeit und digitale Transformation. Doch die Realität hat viele Unternehmen eingeholt: Vendor-Lock-ins, …

Lesen →

Cloud-Exit wird Realität: Warum Unternehmen die Re-Patriierung ernsthaft prüfen
Katrin Peter · 19.05.2025 · ⏳ 2 Minuten

Microsoft sperrt das E-Mail-Konto eines Chefanklägers. Europa schaut zu.

Ein leitender Ermittler des Internationalen Strafgerichtshofs verliert den Zugriff auf seine E-Mails – weil ein US-Präsident Sanktionen verhängt. Microsoft zieht mit. Ohne Verfahren, ohne …

Lesen →

Microsoft sperrt das E-Mail-Konto eines Chefanklägers. Europa schaut zu.

Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →


Noch Fragen? Melden Sie sich!

Unsere DevOps-Experten antworten in der Regel innerhalb einer Stunde.

Zu Gen-Z für E-Mail? Einfach mal Discord versuchen. Unter +49 800 000 3706 können Sie unter Angabe Ihrer Kontaktdaten auch einen Rückruf vereinbaren. Bitte beachten Sie, dass es keine Möglichkeit gibt, uns telefonisch direkt zu erreichen. Bitte gar nicht erst versuchen. Sollten Sie dennoch Interesse an synchroner Verfügbarkeit via Telefon haben, empfehlen wir Ihnen unseren Priority Support.