OZG-Software bauen ist das eine. OZG-Software bauen ist das eine.
Das Onlinezugangsgesetz (OZG) verpflichtet Bund, Länder und Kommunen, Verwaltungsleistungen digital verfügbar zu machen. Auf dem Papier klingt das nach Softwareprojekten. In der Praxis geht es längst nicht mehr nur um die Applikation.
Das Onlinezugangsgesetz (OZG) verpflichtet Bund, Länder und Kommunen, Verwaltungsleistungen digital verfügbar zu machen. Auf dem Papier klingt das nach Softwareprojekten. In der Praxis geht es längst nicht mehr nur um die Applikation.
Entscheidend für die Umsetzbarkeit wird, wie die darunterliegende Infrastruktur betrieben wird. Behörden erwarten längst keine reinen Entwicklungspartner mehr, sondern Betriebskonzepte, die die vollständige Servicekette absichern: Verarbeitung personenbezogener Daten, Verarbeitung von Meldedaten, Registerzugriff, Identitäten, Schnittstellen, Compliance und Auditierbarkeit.
Und genau hier steigen die Anforderungen rapide an.
Betriebskonzepte unter OZG: Anforderungen wachsen
Sobald Software produktiv im OZG-Umfeld eingesetzt wird, greifen eine ganze Reihe zusätzlicher Vorgaben, die von Softwareentwicklern oft unterschätzt werden:
Anbindung an bestehende Fachverfahren und Registerschnittstellen
Betrieb innerhalb des europäischen Rechtsraumes
Einhaltung von Informationssicherheitsanforderungen (BSI-Grundschutz, ISO27001, IT-SiG)
Nachvollziehbarkeit von Änderungen, Audits und Dokumentation
Technische und organisatorische Maßnahmen (TOMs), die revisionsfähig dokumentiert sind
Betriebskonzepte, die dauerhaft SLA-fähig sind, unabhängig von Entwicklungsteams
Die eigentliche Herausforderung liegt weniger in der Entwicklung der Fachanwendungen selbst, sondern in dem, was danach dauerhaft stabil, nachvollziehbar und revisionssicher laufen muss.
ISO27001: Standardschicht für den produktiven Betrieb
An dieser Stelle wird Infrastruktur plötzlich zum Engpass. Wer keine eigene ISO27001-konforme Betriebsumgebung bereitstellen kann, wird langfristig nicht liefern können. Behörden verlangen nicht nur funktionierende Anwendungen, sondern dokumentierte Sicherheitsarchitekturen, gelebte Prozesse, regelmäßige Audits und transparente Nachweise.
ISO27001 ist hier kein Zertifikatsanhängsel für Angebotsunterlagen, sondern das technische Fundament für nachvollziehbare und auditierbare Betriebsmodelle im öffentlichen Bereich. Es definiert unter anderem:
Wie Infrastruktur segmentiert wird
Wie Zugriffe dokumentiert und kontrolliert werden
Wie Schlüsselmaterial verwaltet wird
Wie Vorfälle erkannt und verarbeitet werden
Wie Change- und Deployment-Prozesse abgesichert laufen
Wie Backup- und Desaster-Recovery-Mechanismen organisiert sind
Diese Anforderungen operationalisieren sich nur dann sauber, wenn auch die Plattform entsprechend darauf ausgelegt ist.
ayedo Cloud-Services: Infrastruktur, die Betriebssicherheit liefert
Wir stellen für diese Anforderungen eine Infrastruktur bereit, die konsequent ISO27001-zertifiziert betrieben wird. Dabei geht es nicht um “Cloud” als Plattform-Marketingbegriff, sondern um präzise gesteuerte Betriebsumgebungen, die folgende Kriterien erfüllen:
Volle Kontrolle über die Infrastruktur: keine externe Plattformabhängigkeit, kein Vendor-Lock-in auf internationalen Hyperscalern.
Betrieb innerhalb des deutschen Rechtsraums: Rechenzentren ausschließlich in Deutschland, unter europäischer Gerichtsbarkeit, ohne Zugriff Dritter.
Sichere Integrationsmöglichkeiten: Stabile Anbindung an Fachverfahren, Register, Schnittstellen im Verwaltungsumfeld.
Hochautomatisierte Deployments: GitOps-gesteuerte Infrastruktur für konsistente Betriebszustände.
Revisionsfeste Prozesse: Dokumentierte technische und organisatorische Maßnahmen, vollständig auditfähig gegenüber Aufsichtsbehörden.
Kurz gesagt: Eine Betriebsumgebung, die exakt auf das zugeschnitten ist, was im OZG-Umfeld dauerhaft gefordert wird.
Fazit
Die eigentliche Herausforderung bei OZG-Projekten liegt nicht mehr allein in der Entwicklung von Fachanwendungen, sondern in der Fähigkeit, diese Applikationen dauerhaft sicher, nachvollziehbar und revisionsfähig zu betreiben.
Wer Software für die öffentliche Hand entwickelt, braucht nicht nur Entwicklerteams, sondern ein belastbares Betriebskonzept, das regulatorischen Anforderungen dauerhaft standhält.
Genau hier liefern wir die technische Grundlage, um diese Betriebsmodelle sicher und kontrolliert umzusetzen — ohne Plattformabhängigkeiten, ohne Grauzonen, ohne internationale Kompromisse.\n
Werde Teil der ayedo Community
In unserer Discord Community findest du Antworten auf deine Fragen rund um das Thema ayedo, Kubernetes und Open Source. Hier erfährst du in Realtime was es Neues bei ayedo und unseren Partnern gibt und hast die Möglichkeit mit unserem Team in direkten Kontakt zu treten.
Gesundheitsdaten sind ein Sonderfall — technisch wie regulatorisch Die Verarbeitung von Gesundheitsdaten unterscheidet sich grundlegend von klassischer Unternehmens-IT. Hier geht es nicht nur um …
In den meisten Diskussionen um den Cloud Act geht es ausschließlich um den Speicherort von Daten. Rechenzentrum in Frankfurt? ISO-zertifiziert? Verschlüsselt? Klingt gut.
Technisch betrachtet greift …
Ein technisches Projekt, das politische Fragen aufwirft Die Meldung klang zunächst nüchtern: Die Bundeswehr wird ihre private Cloud-Infrastruktur künftig mit Unterstützung von Google aufbauen. Genauer …
Die Wolke verliert ihre Unschuld Die Cloud war einmal der Inbegriff für Effizienz, Skalierbarkeit und digitale Transformation. Doch die Realität hat viele Unternehmen eingeholt: Vendor-Lock-ins, …
Ein leitender Ermittler des Internationalen Strafgerichtshofs verliert den Zugriff auf seine E-Mails – weil ein US-Präsident Sanktionen verhängt. Microsoft zieht mit. Ohne Verfahren, ohne …
Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →
Noch Fragen? Melden Sie sich!
Unsere DevOps-Experten antworten in der Regel innerhalb einer Stunde.
Zu Gen-Z für E-Mail? Einfach mal Discord versuchen. Unter +49 800 000 3706 können Sie unter Angabe Ihrer Kontaktdaten auch einen Rückruf vereinbaren. Bitte beachten Sie, dass es keine Möglichkeit gibt, uns telefonisch direkt zu erreichen. Bitte gar nicht erst versuchen. Sollten Sie dennoch Interesse an synchroner Verfügbarkeit via Telefon haben, empfehlen wir Ihnen unseren Priority Support.