Kann die öffentliche Hand neue Cloud-Services nutzen?

Rainer Strassner von Microsoft illustriert Lösungen aus Deutschland.
An der Büroautomationskonferenz erhielten Vertreter der öffentlichen Hand Einblick in juristische, praktische und technologische Aspekte des Cloud Computings.
 
Ein Gastbeitrag von Dr. Esther Hefti und Grégoire Hernan
 
Der Handlungsspielraum für öffentliche Verwaltungen bei der Nutzung neuer IT-Möglichkeiten ist eingeschränkt. Es herrschen andere Rahmenbedingungen als Folge des Legalitätsprinzips und speziell in Bezug auf den Datenschutz.
 
Heikel könnte daher die Nutzung der neuen virtuellen cloudbasierten Technologien sein, wenn und so weit die Gefahr von unkontrollierten Zugriffen auf Daten der öffentlichen Verwaltung durch globale Konzerne ausserhalb der Schweiz droht.
 
Wie aktuell diese Thematik ist, zeigte sich an der ausgebuchten 9. Büroautomationskonferenz vom 15. September 2016 in Luzern. Erich Hofer, IT-Leiter beim Kanton Bern, umschrieb die Thematik prägnant: Was können, was dürfen und was müssen wir als staatliche Verwaltung von den Lieferantinnen und Lieferanten beim Bezug solcher Technologieleistungen einfordern?
 
Was kann man von Deutschland lernen?
Als erstes stellte Rainer Strassner von Microsoft Deutschland eine deutsche Cloud-Lösung vor: Die Microsoft Cloud Deutschland werde ausschließlich in deutschen Rechenzentren betrieben. T-Systems International, eine Tochter der Deutschen Telekom, kontrolliert als Datentreuhänder den Zugang zu den Kundendaten. Nur mit der Zustimmung von T-Systems oder des Kunden kann Microsoft zeitlich begrenzt unter Aufsicht des Datentreuhänders auf die Daten zugreifen. Die Lösung ermögliche es damit auch streng regulierten Branchen ihre digitale Transformation voranzutreiben. Ausserdem sei sie sowohl nach weltweit anerkannten Standards als auch nach den besonderen Anforderungen des Landes zertifiziert.
 
Anschliessend skizzierte Mario Engel von T-Systems Deutschland ein mögliches Vorgehen beim Schritt in die Cloud: man solle erst einen Use Case entwickeln, was aber sehr viel sorgfältiges Abklären vor allem zum Schutzbedarf der betroffenen Daten erfordere. In der anschliessenden Fragerunde wurde der Hinweis eingebracht, dass die Nutzung der deutschen Lösung aus Schweizer Sicht problematisch sein könne, da hierfür ein Vertrag mit Microsoft Dublin abgeschlossen werden müsse, welcher Recht und Gerichtsstand von Dublin vorsehe; dies sei aus Sicht der Schweizer Datenschützer nicht akzeptabel.
 
Snowden und sein Einfluss auf die Cloud-Thematik
Dr. Nicolas Passadelis von der Anwaltskanzlei Baker & McKenzie thematisierte die Frage, welche Auswirkungen Edward Snowden insbesondere auf Nutzungen von Cloudlösungen gehabt habe. Er stellte dabei fest, dass in der öffentlichen Verwaltung im Gegensatz zur Privatwirtschaft noch immer sehr viel Skepsis zur Cloud-Thematik herrsche; Zweifel bestünden dabei vor allem bezüglich der Einhaltung von Datenschutz und -sicherheit. Diese Skepsis sei jedoch nicht in den rechtlichen Rahmenbedingungen begründet, da die meisten Datenschutzgesetze der Kantone den Datentransfer ins Ausland zuliessen, sofern auch dort ein angemessener Datenschutz bestehe.
 
Grund sei laut Passadelis vielmehr die Vertrauenskrise, welche Snowden mit seinen Enthüllungen ausgelöst habe. Er legte unter anderem dar, für die Schweiz könnten europäische Lösungen - ein strenges EU-Datenschutzrecht und in diesem Thema erfahrene Gerichte in mehreren Staaten - interessant sein. Er schloss mit der Empfehlung, konkret und sorgfältig abzuwägen, ob eine Cloud als Lösung in Frage komme.
 
"Datenseen" als Rohstoffe für künstliche Intelligenz
René Wettstein von Swisscom skizzierte die Entwicklung der jüngeren Vergangenheit, die dazu führen, dass in der Zukunft wohl «Datenseen» als Rohstoffe für künstliche Intelligenz fungieren werden. Auch auf der Anbieterseite würden sich Änderungen abzeichnen: statt Produkte würden künftig Services angeboten (d.h. ein Anbieter wechselt von einem Produkte- oder Dienstleistungsanbieter, zu einem Service-orientierten Unternehmen; z.B. verkauft ein Sonnenstoren-Hersteller keine Sonnenstoren, sondern Schatten!).
 
Dabei sei die Schweiz in der Pole-Position für die Digitalisierung. Beispielsweise mit den verschiedenen Cloud-Lösungen von Swisscom, welche immer auch durch das Swisscom-eigene Breitbandnetz und/oder Mobilfunknetz vernetzt seien. Damit sei sichergestellt, dass immer sämtliche Daten ausschliesslich in sicheren Swisscom Rechenzentren liegen. Abschliessend wies er auch darauf hin, dass die Transformation/Migration in eine Cloud "nie ein kurzer Lauf" sei.
 
Windows 10, Verschlüsselung und Gratis-Tools in der Praxis
Als nächstes befasste sich Michel Ganguin von NAGRA/Kudelski vertieft mit Windows 10. Dabei zog sich die Feststellung «Wir können nicht überprüfen, was Windows mit unseren Daten macht, wir können nur vertrauen, dass sie genau das machen, was sie kommunizieren» wie ein roter Faden durch das ganze sehr technisch ausgelegte Referat.
 
Elmar Eperiesi-Beck von eperi präsentierte das Thema Verschlüsselung und hierzu die Lösung von eperi Gateway. Wie seine Vorredner ging auch er auf das Dilemma ein, dass beim Einsatz von moderner IT-Technologie darauf vertraut werden müsse, dass nicht von Anbieterseite unerlaubterweise auf Daten zugegriffen werde, da ein solcher Zugriff nicht verhindert werden könne.
 
Sein Vorschlag: Die Verschlüsselung von Daten vor der Verarbeitung. Dann sei nicht mehr relevant, wo sie lägen; die Benutzenden könnten normal mit ihren Daten arbeiten, da sie Klartext sähen.
 
Auf Gratis-Tools und Datenschutz ging Christian Weber von SoftwareOne ein. Er stellte fest, der Unterschied zwischen kostenfreier und kostenpflichtiger Software sei teilweise sehr gering. Er zeigte mit konkreten Beispielen aus der Praxis auf, welche heiklen Fragen sich stellen, wenn Mitarbeitende im Namen ihres Unternehmens in Bezug auf eine Software Einwilligungserklärungen abgeben müssten.
 
Als geeignete Massnahmen in heiklen Fragen empfahl er vor allem eine Schulung der Mitarbeitenden im Umgang mit kostenlosen Produkten inklusive der Risiken sowie die Einbindung von Gratissoftware in die Governance des Unternehmens.
 
Datenschutzbedenken beim Projekt Arbeitsplatz 2020
Die verwaltungsinterne Sicht zeigte Bruno Schoeb vom Informatiksteuerungsorgan des Bundes ISB in Bezug auf das Projekt Arbeitsplatz 2020 (Migration des Betriebssystems und der Wechsel zu einer neuen Generation von Arbeitsplatzsystemen bis zum Jahr 2020) auf.
Der Eidgenössische Datenschutzbeauftragte des Bundes (EDÖB) habe erst Bedenken angemeldet; diese aber seien gelöst. Bestehen bleibe das Problem der Dienstgeheimnisverletzung, wenn Daten verwaltungsexternen Personen zugänglich gemacht würden. Hier müsse zum Schutz der Mitarbeitenden eine Einwilligung des Datenherrn vorliegen. Der Bundesrat habe dazu die "Handlungsempfehlung zur operativen Umsetzung von Einwilligungsverfahren im Zusammenhang mit Art. 320 StGB" beschlossen. Diese soll auf den 1. Januar 2017 gelten.
 
Die Arbeitsplatzstrategie Zürichs in der Praxis
Roland Di Benedetto von der Stadt Zürich berichtete über die IT-Arbeitsplatzstrategie seiner Arbeitgeberin. Betroffen seien dabei mehr als 70 Dienstabteilungen an 500 Standorten mit 28'000 Mitarbeitenden.
 
Eine spezielle Herausforderung sei die ausgesprochene Heterogenität der Anforderungen gewesen: Ein städtischer Arbeitsplatz müsse den Grundsätzen von Mobilität (ein Arbeitsplatz ist immer und überall, physisch und virtuell verfügbar), Flexibilität (Mitarbeitende verwenden unterschiedlichste, teilweise sogar eigene Endgeräte) und Energieeffizienz (Einsatz sparsamer Endgeräten und Zentralisierung in energieeffizienten Rechenzentren sowie optimierter Betrieb) entsprechen.
 
Möglich sein müsse auch die Integration innovativer Konzepte. Zwar müsse ein traditioneller IT-Arbeitsplatz namentlich sicher, verlässlich und kostenoptimiert sein. Jedoch müssten bei Bedarf auch agile, flexible und nutzenmaximierte Arbeitsplätze geschaffen werden können, führte Di Benedetto aus.
 
Bedenkenswertes bei Datenschutz und De-Anonymisierung
Ursula Sury von der Advokatur Sury AG ging der Frage nach, was Daten aus öffentlichen Verwaltungen bei der Software-Anbieterin machen und welche Rahmenbedingungen der Datenschutz dabei vorgebe. Sie empfahl dringend, die zuständigen Datenschutzbehörden so früh als möglich in ein Projekt einzubeziehen, insbesondere, wenn Daten ins Ausland gelangen sollten. Bei anonymisierten Daten seien die Datenschutzbestimmungen demgegenüber nicht mehr anwendbar, jedoch sei sicherzustellen, dass eine De-Anonymisierung ausgeschlossen sei. Schliesslich wies sie darauf hin, dass neue Businessmodelle (wie z.B. Bring Your Own Device) sehr viel Verantwortung an die Mitarbeitenden delegiere. Dies verlange nach einer entsprechenden Anpassung der Organisationsvorschriften.
 
Kritische Infrastrukturen und die Cloud
Mit dem Schutz kritischer Infrastrukturen befasste sich Andy Mühlheim, der sich auf dieses Thema spezialisiert hat. Verdankenswerterweise definierte er zuerst, was genau darunter zu verstehen sei: Nämlich Infrastrukturen, deren Störung, Ausfall oder Zerstörung gravierende Auswirkungen auf Gesellschaft, Wirtschaft und Staat habe, weshalb auch staatliche Behörden und Verwaltungen darunter fielen. Festzustellen sei, dass Technologie je länger je mehr mit der IT «verheiratet» werde; beispielsweise würden Industrieanlagen mit dem Tablet von zu Hause aus gewartet.
 
Im Übrigen sei es auch der Sinn von kritischen Infrastrukturen, Geld zu verdienen, weshalb gerade beim Betrieb von IT ein hoher Spardruck spürbar sei. Gleichzeitig verblieben selbst bei privaten kritischen Infrastrukturen die volkswirtschaftlichen Risiken beim Staat.
 
Kennzeichnend sei bei kritischen Infrastrukturen eine hohe Komplexität des Sachverhalts, ein ungenügendes Verständnis der Abhängigkeiten sowie der Umstand, dass Risikomanagement nur für isolierte und lineare Ereignisse möglich sei.
 
Entsprechend stelle sich bei der Benutzung von Clouds die Frage, ob man etwas, das man nicht verstehe, in einen Service packen wolle, den man ebenfalls nicht verstehe. Unklar sei generell, vor welchen Bedrohungen man sich und seine Partner in einem solcherart komplexen Umfeld schützen müsse. Dabei könne man sich eigentlich nur vor Angriffen schützen, die man kenne. Auf der anderen Seite seien Cyber-Angriffe zu einem eigentlichen Wirtschaftszweig geworden beziehungsweise zu einem neuen Mittel der Kriegsführung.
 
Herausforderungen seien, dass die kritischen Systeme über Jahre gewachsen seien sowie eine hohe Preissensitivität der Gesellschaft. Man müsse daher die Realität akzeptieren, dass es namentlich in der global vernetzten Welt der Dinge keine vollständige Sicherheit gebe. Sinnvoll sei aber, Klarheit zu schaffen über die bedrohten Infrastrukturen, Prozesse, Abhängigkeiten und Kritikalitäten sowie die Bedrohungen zu kennen, den «Risikoappetit» zu definieren und eine 'Risk Map' zu erstellen. Von zentraler Wichtigkeit sei hier die Governance, die IT-Strategie und Architektur sowie ein Datenmanagementkonzept, die konsequent umzusetzen seien. Dazu brauche es eine zweckmässige Organisation, ein abgestimmtes Sourcing-Konzept sowie die Bildung und Einforderung von Kompetenzen.
 
Datum der nächsten Büroautomationskonferenz ist bekannt
Co-Organisator Grégoire Hernan beschloss die Veranstaltung mit dem Hinweis auf die nächste Büroautomationskonferenz vom 21. September 2017, welche wiederum in Luzern, aber allenfalls unter neuem Namen stattfinden wird.
 
(Dr. iur. Esther Hefti ist Leiterin Koordinationsstelle IDG, Kt. Zürich. Grégoire Hernan ist stellvertretender Geschäftsleiter der Schweizerischen Informatik-Konferenz SIK)