Best Practices für den Aufbau von IT-Architekturseitenfeedback

Der Aufbau eines offiziellen EAM-Portals und die Etablierung moderner IT-Architekturrichtlinien für die öffentliche Verwaltung sollte sich nicht im luftleeren Raum bewegen. Dieses Dokument fasst die Kernprinzipien zusammen, nach denen Architekturrichtlinien aufgebaut sein sollten, und liefert ein Referenz-Directory von wegweisenden Initiativen, Frameworks und Architekturseiten aus Europa, den USA, UK, Schweiz und Israel im internationalen Kontext.

description 1. Architekturdokumentation: So geht's richtigfeedback

Eine erfolgreiche Architekturseite für öffentliche Auftraggeber (wie das D-Stack oder das BMDS) sollte folgende Prinzipien adaptieren:

• Open-Source Defaults & Transparenz: Bereitstellung sämtlicher Architekturdokumente (wie hier in Docusaurus) über offene Repositories (Public Money, Public Code).
• Lizenzierung: Für Software-Code (inkl. IaC, Skripte) wird die Apache 2.0 Lizenz empfohlen. Für non-code Artefakte (Dokumentationen, Konzepte, Architekturschaubilder) sollte CC-BY 4.0 (Creative Commons Attribution 4.0 International) verwendet werden, um eine offene Nachnutzung durch andere Behörden zu gewährleisten.
• Zentrierte Einstiegspunkte: Klare visuelle Trennung von (1) Prinzipien, (2) Gesetzlichen Vorgaben / Sicherheit und (3) sofort nutzbaren Referenzarchitekturen.
• Wiederverwendbarkeit (Once-Only): Building Blocks müssen lose gekoppelt und mandantenfähig auf einem "Zero-Trust"-Kern aufsetzen.
• Maschinenlesbare Dokumentation: Architekturvorgaben nicht nur als PDF, sondern in Markdown (oder als "Docs-as-Code" via CI/CD) veröffentlichen.

apps 2. Die 30 wichtigsten Referenz-Plattformen & Frameworksfeedback

Wir extrahieren unsere Best Practices aus den Erkenntnissen und Publikationen der folgenden Referenzplattformen, unterteilt in nationale, europäische und internationale Vorreiter:

Nationale Leitplanken (Deutschland)feedback

Die folgenden Quellen bilden die verbindlichen Rahmenbedingungen für deutsche Behörden. Sie sind für Beschaffung, Betrieb und Sicherheitsnachweise besonders relevant.

1. BSI IT-Grundschutz-Kompendium: Standard für Informationssicherheit und Architekturbewertung, u.a. mit Zero Trust Reifegradmodell.
2. Architekturrichtlinie für die IT des Bundes (ArL Bund): Zentrale Vorgaben und Prinzipien des CIO des Bundes.
3. FITKO (Föderale IT-Kooperation): Steuerung der Architektur des föderalen IT-Netzes (FIT-Connect).
4. Deutsche Verwaltungscloud (DVC): Cloud-Strategie, Multi-Cloud- und souveräne Hosting-Referenz.
5. Sovereign Cloud Stack (SCS): Die Basistechnologie (Gaia-X und D-Stack kompatibel) für förderierte Clouds.
6. openDesk (Souveräner Arbeitsplatz): Referenzarchitektur für souveräne Workplace- und Collaboration-Lösungen in Behörden.
7. EVB-IT / CIO Bund: Die architekturrelevanten Beschaffungsvoraussetzungen.

Europa & Europäische Unionfeedback

Diese Quellen zeigen die europaweiten Architekturleitlinien und Standardisierungsinitiativen. Sie sind wichtig, wenn Interoperabilität und grenzüberschreitende Dienste gefordert sind.

8. eIDAS 2.0 ARF (Architecture Reference Framework): Das offizielle Architektur-Konzept der European Digital Identity Wallet.
9. EU Digital Building Blocks (CEF): Fertige Blaupausen für eID, eSignature, eDelivery und eInvoicing.
10. NOOTS (Once-Only Technical System): Architektur nach OOTS-Standards (Single Digital Gateway), ein Blueprint für föderierten Datenaustausch.
11. SIMPL (Smart Industrial Remoting): Sichere und interoperable Middleware-Plattform-Architektur der EU.
12. EuroStack: Katalog europäischer Open-Source-Bausteine als konkrete Alternative zu monolithischen Ansätzen.
13. GovStack Global: Initiative der ITU, DIA und Estland für wiederverwendbare, e-Government Building Blocks (GovSpecs).
14. X-Road (Estland): Das Musterbeispiel ("Best Practice") für einen dezentralen Datenaustauschlayer auf Nationaltaatenebene.
15. NORA (Nederlandse Overheid Referentie Architectuur): Exzelentes, interaktives Wiki zur niederländischen Verwaltungsarchitektur (Vorbild für dieses Portal).
16. SecNumCloud (ANSSI - Frankreich): Strengste europäische Vorgabe für Cloud-Architekturen zur Wahrung der Datenhoheit.
17. CISPE (Cloud Infrastructure Services Providers in Europe): Framework für Datenschutz und Architektur in europäischen Cloud-Infrastrukturen.
18. Gaia-X (Trust Framework & Architecture): Architekturprinzipien für dezentrale Datenökosysteme und souveräne Föderierung.
19. IPCEI-CIS (Important Projects of Common European Interest - Cloud/Edge): Referenzarchitekturen für das "Next Generation Cloud-Edge Continuum".
20. Joinup (EU): Der offizielle Hub der EU zur Förderung von Interoperabilitäts-Lösungen und EIRA.
21. EIRA (European Interoperability Reference Architecture): Facharchitektur und Metamodell für digitale europäische öffentliche Dienste.

Internationalfeedback

Internationale Rahmenwerke liefern erprobte Vorgehensmodelle und Sicherheitsmuster. Sie dienen als Benchmark für Reifegrad und Umsetzbarkeit.

22. NIST SP 1800-35 (Implementing a Zero Trust Architecture): Die globale architektonische Benchmark für das Zero-Trust-Paradigma.

23. NIST Cybersecurity Framework (CSF 2.0): Architekturprinzipien zum Schutz kritischer Infrastrukturen.

24. FedRAMP (Federal Risk and Authorization Management Program): US-Standard, nachdem Cloud-Architekturen der Regierung geprüft und deployt werden.

25. CISA Zero Trust Maturity Model: Leitfaden der Cybersecurity and Infrastructure Security Agency zum Aufbau der Säulen (Identity, Devices, Networks, App/Workload, Data).

26. TOGAF (The Open Group Architecture Framework): Der De-facto Industriestandard für das Management und den Aufbau von Enterprise Architectures (ADM).

27. DoD Enterprise Architecture (DoDAF/DODIN): Architektur-Referenzmodelle für maximale Sicherheit und Föderalismus im Verteidigungsbereich.

28. India Stack: Globale Benchmark für "Population Scale Architecture" (Aadhaar Identität, Unified Payments Interface / UPI, Consent Layer).

☁️ Cloud-Plattformen & Hyperscaler Best Practicesfeedback

30. AWS Well-Architected Framework / Azure Gov-Cloud: Privatwirtschaftliche Best-Practices (Sicherheit, Resilienz, Performance), die Grundlage jeder Cloud-Architektur sein müssen.

31. Microsoft Zero Trust Architecture: Microsofts offizielles Zero-Trust-Architekturmodell mit detaillierten Implementierungsleitfäden für Identity, Endpoints, Apps, Data, Infrastructure und Netzwerk; die umfangreichste öffentlich verfügbare Zero-Trust-Implementierungsdokumentation.

32. Azure Government – Compliance Blueprint: Microsofts BSI IT-Grundschutz-Compliance-Nachweis für Azure Deutschland, relevant für Behörden, die Azure als DVC-Plattform evaluieren.

33. Microsoft Cloud for Sovereignty: Microsofts Sovereignty-Plattform ermöglicht Behörden die Verarbeitung regulierter Daten in souveräner Kontrolle (Transparent, Policy, Baseline), einschließlich Sovereign Landing Zones und Customer-Managed Keys. Direkter Wettbewerber zum Sovereign Cloud Stack (SCS).

34. Microsoft Sovereign Landing Zone: Open-Source-Referenzimplementierung für eine regulierungskonform vorkonfigurierte Azure-Landing-Zone speziell für Behörden. Infrastructure-as-Code (Bicep/Terraform) mit eingebetteten Policy-Guardrails nach DSGVO und BSI.

35. Google Public Sector Reference Architectures: Dedizierte Blueprint-Sammlung für Behörden und öffentliche Auftraggeber mit vorgefertigten Referenzarchitekturen für Bereiche wie Steuerverwaltung, Gesundheitsdaten, Strafverfolgung und Katastrophenschutz, inklusive CJIS, FedRAMP und ITAR-Compliance-Mappings.

36. Google Cloud Sovereignty Solutions: Googles Antwort auf Cloud-Souveränitätsanforderungen europäischer Behörden: Sovereign Controls by T-Systems (Deutschland), Assured Workloads und Customer-Managed Encryption Keys (CMEK). Direkter Wettbewerber zum Microsoft Cloud for Sovereignty und SCS.

37. Google Assured Workloads: Kontrollebene für die erzwungene Datenresidenz und Zugriffssteuerung in Google Cloud, ermöglicht EU-DSGVO-konforme Workloads mit automatisierten Compliance-Guardrails, vergleichbar mit der DVC-Zertifizierungsanforderung nach BSI C5.