Die Referentinnen und Referenten auf dem Podium mit Inside-IT-Chefredaktor Reto Vogt (l.).
Wann und wie können Behörden in die Public Cloud und was hat die Frage mit Kartoffeln zu tun? Ein Rückblick auf unseren Event "Cloud & Behörden", an dem die Fragen aus technischer und rechtlicher Sicht beantwortet wurden.
Cloud sei eigentlich gar nicht in ihrem Stellenbeschrieb gewesen, sagte die Informatikerin und Stv. Leiterin des Bereichs Digitale Transformation und IKT-Lenkung (DTI), Erica Dubach. Vor den über 120 Besucherinnen und Besuchern rollte sie im Fifa-Museum die Public-Cloud-Geschichte des Bundes auf: von der Pionierin Swisstopo im Jahr 2008, der Ausarbeitung der Strategie über die Einsprache von Google hin zu den Zuschlägen an die vier US-Hyperscaler AWS, IBM, Oracle und Microsoft sowie an den chinesischen Anbieter Alibaba im Jahr 2021.
Bevor aber die Verwaltungseinheiten damit beginnen konnten, über diese Rahmenverträge Cloud-Services zu beziehen, mussten noch Rahmenverträge ausgearbeitet und Gerichtsverfahren abgewartet werden.
Erica Dubach, Bundeskanzlei.
Cloud sei nicht nur eine technische Frage, sondern eben auch eine emotionale, resümierte Dubach die öffentlichen Reaktionen. Während es zwar Kritik für den Zuschlag an Alibaba gegeben habe, wurde der Schritt aus geopolitischer Sicht auch gelobt – die Schweiz gebe sich im Streit zwischen China und den USA nicht in eine einseitige Abhängigkeit.
Anders als in der Landwirtschaft sei die digitale Maturität in der Politik insgesamt noch nicht so hoch, wie sie es gerne hätte, so Dubach. Die Frage: "Wie viele Kartoffeln wollen wir selber anbauen und wie viele importieren?", könne die Politik leichter beantworten, als die Frage der digitalen Souveränität.
Sollte es in der Schweiz zu Problemen kommen, etwa in der Stromversorgung, sei man vielleicht froh, wenn gewisse Dinge auch im Ausland gespeichert seien. Gleichzeitig könne es auch sein, dass der Souveränitätsgedanke wieder stärker werde und die bundeseigene Cloud wieder vermehrt in den Fokus rücke.
Ohne Juristin keine Cloud
Es ist nicht selbstverständlich, dass eine Juristin bei einem Vortrag vor Nicht-Juristen die volle Aufmerksamkeit ihres Publikums erhält. Ohne lange Gesetzesparagrafen vorzutragen, zeigte die Zürcher Datenschutzbeauftragte Dominika Blonski die rechtlichen Rahmenbedingungen auf.
Dominika Blonski, Kanton Zürich.
Unter dem Strich müssten sich Behörden vor dem Schritt in die Cloud zwei Fragen stellen: Darf überhaupt ausgelagert werden und wenn ja, wie darf ausgelagert werden? Die erste Frage beantwortet das Gesetz. Von der Datenauslagerung betroffene Personen dürfen nicht schlechter gestellt werden und die Behörde muss all ihren Pflichten nachkommen können. Weitere Regelungen, wie das Berufsgeheimnis oder vertragliche Vereinbarungen könnten einer Auslagerung im Weg stehen – müssen es aber nicht.
Beim zweiten Schritt geht es um die Risikoanalyse: Um was für Daten handelt es sich? Wie kann die Datensicherheit gewährleistet werden und welche vertraglichen Absicherungen braucht es?
Es ist auch eine technische Frage
Je nachdem, wie diese Fragen beantwortet werden, müssen andere Möglichkeiten geprüft werden. Dazu gehören On-Prem- oder Hybride-Lösungen, so Blonski, aber auch technische Massnahmen. Persönliche Daten können anonymisiert oder pseudonymisiert und Informationen verschlüsselt werden.
Viele dieser Massnahmen liessen sich mit einem Hyperscaler umsetzen, hiess es von Marc Holitscher, National Technology Officer bei Microsoft Schweiz. Man habe viel Arbeit investiert, um lokalisierte Vertragsbestimmungen umsetzen zu können, man biete Rechenzentren oder vertragliche Garantien, die die Datenübertragung in bestimmte Gebiete einschränkt.
Marc Holitscher, Microsoft Schweiz
Rechtsexpertinnen und Datenschützer seien zum Schluss gekommen, dass die Auslagerung in die Public Cloud unter bestimmten Voraussetzungen OK sei, bilanzierte Holitscher. Man höre, dass dies bei bis zu 90% der Daten der Fall sei. Gleichzeitig diskutiere man zu häufig und zu viel über jene 10%, die ohnehin On-Prem bleiben müssen. Das sei schade, so Holitscher, denn die Zeit könnte besser genutzt werden.
Der Weg des geringsten Widerstands ist ein Problem
Sehr tiefe Einblicke in den Datenschutzaspekt des Cloud-Themas lieferte Thomas Fürling, CEO von E3. Wie weit kann man einem Anbieter vertrauen, vor allem wenn man über die Landesgrenzen und auf die sich ändernde geopolitische Lage blickt?
Wenn das Vertrauen nicht reicht, bleibe nur noch die Verschlüsselung, so Fürling. Dies bedeute aber auch, dass man selbst die volle Kontrolle über die Encryption haben müsse, die Verschlüsselung muss von aussen kommen.
Thomas Fürling, E3
In einem Cloud-Projekt stellt sich irgendwann die Frage, welche technischen Voraussetzungen es braucht. Sind Infrastruktur, Applikationen und Daten angemessen verfügbar und geschützt? Hier gebe es aber immer wieder Ausreden, falls die zuvor eigentlich definierten Anforderungen doch nicht erfüllt werden. "Bedauerlicherweise tendieren Menschen dazu, den Weg des geringsten Widerstands zu gehen", bilanzierte Fürling.
Er sehe leider zu häufig, dass quasi beide Augen zugedrückt und Risiken ignoriert werden. Statt Projekte anders anzugehen und nach neuen technologischen Massnahmen zu suchen, würden schlicht die Anforderungen reduziert.