Cloud: Kanton Zürich lässt Microsoft 365 zu

19. April 2022, 13:08
image
Foto: Patrick Federi / Unsplash

Zürich will Services aus den schweizerischen Microsoft-RZs beziehen. Die neu geschaffene Position "Cloud-Sicherheitsbeauftragte" soll die Verwaltung bei Projekten beraten.

Der Regierungsrat Zürich hat beschlossen, den Einsatz der Cloud-Lösung Microsoft 365 in der kantonalen Verwaltung zuzulassen. Dies gilt laut dem entsprechenden Beschluss für sämtliche der IKT-Strategie unterstehenden Einheiten sowie die Kantonspolizei.
Im Rahmen der kantonalen IT-Strategie wird eine standardisierte IKT-Grundversorgung bereitgestellt. Die Erweiterung der bestehenden On-Premises-Anwendungen durch Cloud-Lösungen würden eine "flexible, skalierbare, performante und sichere Infrastruktur" ermöglichen, heisst es vom Regierungsrat.
Mit Microsoft 365 stehe eine Cloud-Lösung mit einer Breite an Diensten zur Verfügung. Die wichtigsten Dienste seien Exchange Online als Cloud-Alternative zur On-Prem-Variante Microsoft Exchange sowie Microsoft Teams, das ausschliesslich als Cloud-Service angeboten werde.

Fragen des Datenschutzes

Im Rahmen der IKT-Grundversorgung werde der Kanton Zürich Leistungen aus den schweizerischen Rechenzentren von Microsoft beziehen und dort Daten speichern, heisst es weiter.
Der Regierungsrat geht in der Publikation auch auf Fragen zur IT-Sicherheit und zum Datenschutz im Zusammenhang mit Cloud-Lösungen ein. Im Vergleich zu On-Premises-Lösungen würden bei Cloud-Lösungen grundsätzlich keine höheren Risiken bestehen, aber das Risikoprofil unterscheide sich.
Der Kanton, vertreten durch das Amt für Informatik, habe im Juni 2021 Verträge mit Microsoft abgeschlossen. Diese bilden den Rahmen für den Bezug von M365-Services. Grundlage des Vertrags sei ein Rahmenwerk, das die Schweizerische Informatikkonferenz (SIK) mit Microsoft für die öffentlichen Verwaltungen vereinbart habe. Die Verhandlungen seien von der Datenschutzbeauftragen des Kantons begleitet worden. Das Vertragswerk sei mit einer von der Datenschutzbeauftragten gestützten Ergänzung abgeschlossen worden.

Zugriff durch ausländische Behörden

Weitere Bedenken bestehen im Zusammenhang mit ausländischen Behörden, dem Lawful Access: Softwareanbieter können unter bestimmten Voraussetzungen von Behörden zur Herausgabe von Kundendaten gezwungen werden. Ein solcher Zugriff stelle – genau wie ein illegaler Zugriff durch Dritte – eine unrechtmässige Datenbearbeitung im Sinne des Gesetzes über die Information und den Datenschutz (IDG) dar, heisst es im Protokoll der Regierung.
Im Falle von Microsoft schaffe der amerikanische Cloud Act die entsprechende rechtliche Grundlage. Die US-Strafverfolgung könnte damit Microsoft zur Offenbarung von spezifischen Daten auffordern.
In der Praxis, so der Schluss der Regierung, sei ein solches Szenario jedoch höchst unwahrscheinlich. Gemäss einer Auskunft von Microsoft Ende letzten Jahres sei es im Rahmen des Cloud Acts noch nie zur Offenlegung von Daten europäischer Kunden durch Microsoft gekommen.

Stelle eines Cloud-Sicherheitsbeauftragten

Mit Blick auf Datenschutz und Informationssicherheit müsse das Cloud-Angebot und die Risiken überwacht und neu beurteilt werden. Um diesem Umstand Rechnung zu tragen, sieht der Kanton als weitere Massnahme die Stelle eines Cloud-Sicherheitsbeauftragten vor.
Zu den Aufgaben der Person gehören laut dem Protokoll des Regierungsrats die Sicherstellung der Cloud Compliance, die Auditierung bestehender Cloud-Lösungen und die Überwachung der Risikosituation. Der oder die Cloud-Sicherheitsbeauftragte soll die Direktionen bei Cloud-Vorhaben beraten und Massnahmen zur Minimierung des Risikos erarbeiten und umsetzen.

Loading

Mehr zum Thema

image

EU wirft wohl einen Blick auf VMware-Übernahme

Befürchtet wird eine eingehende Prüfung durch die Wettbewerbshüter, die den 69-Milliarden-Deal stark verzögern könnte.

publiziert am 24.6.2022
image

E-Umzug soll in allen Berner Gemeinden eingeführt werden

Nach einem Pilot zieht der Kanton Bern eine positive Bilanz: In allen Gemeinden soll die An- und Abmeldung bald auch auf digitalem Wege möglich sein.

publiziert am 24.6.2022
image

EJPD hat sich Java-Entwickler ausgewählt

Die 5 Anbieter, die den IT-Dienstleister des Departements von Karin Keller-Sutter bei der Java-Entwicklung von Individualsoftware unterstützen werden, sind gefunden.

publiziert am 24.6.2022
image

Zürich: "Schweizerische oder europäische Clouds sind zu bevorzugen"

Richtlinien des Kantons zeigen, was bei der Auswahl und der Nutzung von Cloud-Diensten zu berücksichtigen ist.

publiziert am 24.6.2022