Cloud: Kanton Zürich lässt Microsoft 365 zu

19. April 2022, 13:08
image
Foto: Patrick Federi / Unsplash

Zürich will Services aus den schweizerischen Microsoft-RZs beziehen. Die neu geschaffene Position "Cloud-Sicherheitsbeauftragte" soll die Verwaltung bei Projekten beraten.

Der Regierungsrat Zürich hat beschlossen, den Einsatz der Cloud-Lösung Microsoft 365 in der kantonalen Verwaltung zuzulassen. Dies gilt laut dem entsprechenden Beschluss für sämtliche der IKT-Strategie unterstehenden Einheiten sowie die Kantonspolizei.
Im Rahmen der kantonalen IT-Strategie wird eine standardisierte IKT-Grundversorgung bereitgestellt. Die Erweiterung der bestehenden On-Premises-Anwendungen durch Cloud-Lösungen würden eine "flexible, skalierbare, performante und sichere Infrastruktur" ermöglichen, heisst es vom Regierungsrat.
Mit Microsoft 365 stehe eine Cloud-Lösung mit einer Breite an Diensten zur Verfügung. Die wichtigsten Dienste seien Exchange Online als Cloud-Alternative zur On-Prem-Variante Microsoft Exchange sowie Microsoft Teams, das ausschliesslich als Cloud-Service angeboten werde.

Fragen des Datenschutzes

Im Rahmen der IKT-Grundversorgung werde der Kanton Zürich Leistungen aus den schweizerischen Rechenzentren von Microsoft beziehen und dort Daten speichern, heisst es weiter.
Der Regierungsrat geht in der Publikation auch auf Fragen zur IT-Sicherheit und zum Datenschutz im Zusammenhang mit Cloud-Lösungen ein. Im Vergleich zu On-Premises-Lösungen würden bei Cloud-Lösungen grundsätzlich keine höheren Risiken bestehen, aber das Risikoprofil unterscheide sich.
Der Kanton, vertreten durch das Amt für Informatik, habe im Juni 2021 Verträge mit Microsoft abgeschlossen. Diese bilden den Rahmen für den Bezug von M365-Services. Grundlage des Vertrags sei ein Rahmenwerk, das die Schweizerische Informatikkonferenz (SIK) mit Microsoft für die öffentlichen Verwaltungen vereinbart habe. Die Verhandlungen seien von der Datenschutzbeauftragen des Kantons begleitet worden. Das Vertragswerk sei mit einer von der Datenschutzbeauftragten gestützten Ergänzung abgeschlossen worden.

Zugriff durch ausländische Behörden

Weitere Bedenken bestehen im Zusammenhang mit ausländischen Behörden, dem Lawful Access: Softwareanbieter können unter bestimmten Voraussetzungen von Behörden zur Herausgabe von Kundendaten gezwungen werden. Ein solcher Zugriff stelle – genau wie ein illegaler Zugriff durch Dritte – eine unrechtmässige Datenbearbeitung im Sinne des Gesetzes über die Information und den Datenschutz (IDG) dar, heisst es im Protokoll der Regierung.
Im Falle von Microsoft schaffe der amerikanische Cloud Act die entsprechende rechtliche Grundlage. Die US-Strafverfolgung könnte damit Microsoft zur Offenbarung von spezifischen Daten auffordern.
In der Praxis, so der Schluss der Regierung, sei ein solches Szenario jedoch höchst unwahrscheinlich. Gemäss einer Auskunft von Microsoft Ende letzten Jahres sei es im Rahmen des Cloud Acts noch nie zur Offenlegung von Daten europäischer Kunden durch Microsoft gekommen.

Stelle eines Cloud-Sicherheitsbeauftragten

Mit Blick auf Datenschutz und Informationssicherheit müsse das Cloud-Angebot und die Risiken überwacht und neu beurteilt werden. Um diesem Umstand Rechnung zu tragen, sieht der Kanton als weitere Massnahme die Stelle eines Cloud-Sicherheitsbeauftragten vor.
Zu den Aufgaben der Person gehören laut dem Protokoll des Regierungsrats die Sicherstellung der Cloud Compliance, die Auditierung bestehender Cloud-Lösungen und die Überwachung der Risikosituation. Der oder die Cloud-Sicherheitsbeauftragte soll die Direktionen bei Cloud-Vorhaben beraten und Massnahmen zur Minimierung des Risikos erarbeiten und umsetzen.

Loading

Mehr zum Thema

image

Für Gemeinden ist IT-Sicherheit ohne Dienstleister nicht zu haben

Gemeinden sind keine Unternehmen, aber müssen – und wollen – ihre IT ebenso modernisieren, sagt Marco Petoia vom Gemeinde-RZ-Betreiber RIZ in Wetzikon. Fällanden und Bauma erklären uns, warum.

publiziert am 7.12.2022
image

Beschluss für europaweit einheitliche E-ID gefasst

Die eIDAS-Verordnung der EU verpflichtet alle Mitgliedstaaten, eine einheitliche digitale Identität anzubieten. Europa scheint nicht aus den Fehlern der Schweiz gelernt zu haben.

publiziert am 7.12.2022 1
image

Bundesratswahl: Gülle statt Gever

Das Parlament hat heute eine neue Bundesrätin und einen neuen Bundesrat gewählt. Dabei liess die Bundesversammlung aber Weitsicht vermissen. Ein Kommentar von Chefredaktor Reto Vogt.

publiziert am 7.12.2022 1
image

EU reguliert Künstliche Intelligenz

Die Staatengemeinschaft will dafür sorgen, dass KI-Systeme sicher sind und Grundrechte einhalten.

publiziert am 7.12.2022