Die Bundesverwaltung steckt mitten im Rollout von Microsoft M365. Beim Projekt Ceba ist die erste Pilotphase mit 130 Nutzerinnen und Nutzern abgeschlossen und die zweite mit rund 1800 Usern angestossen. Sofern auch diese erfolgreich verläuft, beginnt in der zweiten Jahreshälfte 2024 der Rollout in der restlichen Verwaltung. Ziel ist es, bis Ende 2025 alle 40'000 Arbeitsplätze umzurüsten, so der aktuelle Stand.

Der Eidgenössischen Finanzkontrolle (EFK) geht das zu schnell. Zu diesem Schluss kommt man bei der Lektüre des Prüfberichts des Projekts unweigerlich. "Zum Prüfungszeitpunkt waren auf einer Microsoft-Website Informationen verfügbar, gemäss denen ein weiteres Release der Office-Suite zum einmaligen Bezug erfolgen soll. Dies würde die Grundlage für das Projekt verändern", heisst es dort etwa. Dies könnte der Bundesverwaltung mehr Zeit einräumen, sich auf die mit dem Gang in die Cloud verbundene veränderte Risikosituation einzustellen, so die Finanzkontrolle. Sie empfiehlt dem fürs Projekt zuständigen Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei abzuklären, "inwieweit und für wie lange mit diesem Release eine Lösung ohne Anbindung an die Cloud möglich bleibt".

Doch damit nicht genug. "Die EFK erachtet die im Vorfeld und bei der Initialisierung des Projektes durchgeführten Studien als zu wenig breit angelegt", doppelt sie im Bericht nach. Man habe nur Googles G-Suite als weitere Alternative zu M365 ins Auge gefasst. Aspekte eines klassischen Sourcing-Modells seien nicht betrachtet worden. Es sei zu bemängeln, dass der Bereich DTI "trotz möglicherweise in Aussicht gestellter Verlängerung einer On-Premises-Lösung" daran festhalte, in die Cloud zu gehen. Problematisch sei ausserdem, dass die Komplexität für Mitarbeitende der Bundesverwaltung "eher zunimmt". Weil diese mit der M365-Cloud eine weitere Speichermöglichkeit erhalten, ist es laut EFK die Aufgabe jedes einzelnen zu entscheiden, wo die Daten zu speichern seien. Ceba unterstütze Nutzerinnen und Nutzer zwar dabei. Inhalte mit der Klassifizierung "vertraulich" sollten aber gar nicht in der Cloud gespeichert werden können, hält die EFK fest.

Dem DTI gefällt das nicht. In einer generellen Stellungnahme schreibt der Bereich der Bundeskanzlei, dass "die Feststellungen und Empfehlungen der EFK teilweise über das eigentliche Prüfungsziel hinausgehen" und neben dem Projekt auch allgemeine Cloud-Risiken zum Gegenstand hätten. Zum Prüfungszeitpunkt "stand die Realisierung von M365 unmittelbar bevor". Der DTI schreibt von einem "technischen Point of no Return". Zwar habe sich das Bewusstsein für die Restrisiken gegenüber dem Zeitpunkt des Entscheids zur Einführung vom Januar 2023 erhöht, dennoch soll das langjährige Projekt planmässig umgesetzt werden, so die Stellungnahme. Dies habe die Konsultation des Digitalisierungsrates des Bundes ergeben. Ausserdem seien "zur Risikominimierung ergänzende Massnahmen definiert worden".

Weiter schreibt der für die digitale Transformation der Verwaltung zuständige Bereich, dass man sich im Austausch mit Microsoft befinde. Der Anbieter habe nicht garantieren können, dass "die Funktionalitäten und Schnittstellen der heutigen On-Premises-Version für die breite Anwendung über 2026 sichergestellt werden". Weiter noch wäre das Zuwarten auf eine alternative Lösung oder beibehalten des Status Quo fahrlässig.

Als weiteren Kritikpunkt führt die EFK auf, dass nicht allen Beteiligten des Projekts Ceba "gleichermassen bekannt" sei, "welche Massnahmen der Bundesverwaltung zur Überprüfung der Leistungserbringer zur Verfügung stehen". Gemeint ist die Kontrolle, ob sich Microsoft an die Service Level Agreements hält. Es fehle ein Überblick über die Kontrollmöglichkeiten und deren zugrunde liegender Konzepte von interner Kontrolle über Systeme mit verteilter Verantwortung, so der Prüfbericht. Die EFK empfiehlt dem Bereich DTI sicherzustellen, dass sich dies ändert.

Dieser schreibt dazu, dass er Microsoft auditieren werde, um zu überprüfen, ob sich der Anbieter an die "technischen und vertraglichen Vereinbarungen hält". Ausserdem seien die Konzepte für die erforderlichen Kontrollmechanismen in Realisierung und würden gemäss Planung fertiggestellt, abgenommen und implementiert.

Nichtsdestotrotz gibt es eine Exit-Strategie für das Projekt. Der DTI hat eine Studie zu Open Source Software als mögliche Alternative durchführen lassen, heisst es im Prüfbericht der EFK. Basierend auf den Studienergebnissen beabsichtige die Verwaltung, ab 2024 eine Labor- und Testumgebung mit 30 Arbeitsplätzen aufbauen zu lassen, so die EFK. Die Kontrollbehörde begrüsst diesen Test ausdrücklich.

Praktisch gleichzeitig löst der Bund die heutige Telefonielösung Skype for Business ab und führt Microsoft Teams ein. Letzteres wird ihm Rahmen von Ceba ausgerollt, ersetzt aber nicht die Telefoniefunktionalitäten von Skype, sondern ergänze diese, heisst es im Prüfbericht. Die Ablösung von Skype ist komplexer, "insbesondere die Anbindung der Festnetz-Telefonie der Bundesverwaltung mit mehr als 70 Spezial-Lösungen". Deshalb ist diese nicht Teil des Projektes Ceba. Dieser Parallelbetrieb sorge dafür, dass Nutzerinnen und Nutzern "zwei Werkzeuge für den gleichen Zweck zur Verfügung stehen". Die EFK empfiehlt deshalb, "die Dauer eines Parallelbetriebes" auf das mögliche Minimum zu beschränken. Der Bereich DTI will sich daran halten.