Blick in den Nationalratssaal. Foto: Parlamentsdienste
Die Datenhaltung in der Schweiz ist von Microsoft vertraglich zugesichert. Die Lizenzen kosten 600 Franken pro Ratsmitglied und Jahr.
Parlamentarierinnen und Parlamentarier im Bundeshaus nutzen für E-Mails mit ihren @parl.ch-Adressen M365 von Microsoft, wie die 'Republik' herausgefunden hat. "Die Adressen werden hauptsächlich für das Senden und Empfangen von E-Mails sowie für Video-Conferencing genutzt und kosten 600 Franken pro Jahr und Ratsmitglied", schreibt das Ressort digitale Dienstleistungen der Parlamentsdienste auf Anfrage von inside-it.ch.
Datenhaltung in der Schweiz
Die Datenhaltung in der Schweiz sei von Microsoft vertraglich zugesichert worden: Gehostet "sind die Postfächer in Zürich und Genf", erklären die Parlamentsdienste weiter. Offen bleibt, was das im Zweifelsfall bringt. Durch den Cloud Act hat die US-Regierung theoretisch das Recht, auf die Daten zuzugreifen, da sie auf Servern eines amerikanischen Unternehmens liegen. In welchem Land das ist, ist im Zweifelsfall zweitrangig.
Das Ressort digitale Dienstleistungen der Parlamentsdienste sagt weiter, dass die Verwaltung der Mail-Konten mit der Endung @parl.ch sowie der Benutzersupport durch die Parlamentsdienste wahrgenommen werden. Ebenso liege die Hoheit über die Authentisierung und über den Verzeichnisdienst bei den Parlamentsdiensten.
Viele offene Fragen
Zudem betont das Ressort digitale Dienstleistungen, dass die Nutzung der E-Mail-Adressen einem strikten Reglement unterliegt: Klassifizierte Unterlagen der Kommissionen und Delegationen, insbesondere Protokolle und Anfragen, dürften über das E-Mail-Konto mit der "parl.ch"-Adresse nur an berechtigte Empfängerinnen und Empfänger in der Bundesverwaltung, Ratsmitglieder und Fraktionssekretariate gesendet werden. Der Zugriff auf klassifizierte Informationen mittels privater Mail-Adresse sei nicht erlaubt und "eine automatisierte Weiterleitung an eine private Mail-Adresse wird durch die Parlamentsdienste technisch unterbunden".
Offen gelassen wurde unsere Frage, ob den Parlamentarierinnen und Parlamentariern bewusst sei, was das Hosting bei Microsoft punkto Datensicherheit bedeutet und ob die Rätinnen und Räte auf mögliche Risiken sensibilisiert worden seien. "Eine Weisung regelt den Umgang mit E-Mails", heisst es bloss.
Verdacht des US-Zugriffs schwingt immer mit
Gerhard Andrey, Nationalrat Grüne
Grünen-Nationlarat Gerhard Andrey ist Mitglied der Gruppe Parlaments-IT. Dank dem sei er über den Entscheid im Bild gewesen, dieser sei "jedoch weitgehend ohne das Zutun unserer Gruppe gefällt worden", schreibt Andrey. Das Parlament sei aber immerhin darauf hingewiesen worden, keine vertraulichen Kommissionsdokumente via Mail zu verschicken. "Ob das bei allen Ratsmitgliedern angekommen ist, wage ich aber zu bezweifeln", so der Politiker.
Technisch sei es nicht notwendig, "in diesem Bereich auf ein amerikanisches Produkt zu setzen", sagt Andrey weiter. Es gäbe durchaus gute, alternative Angebote auf dem Schweizer Markt. "Ich finde das Signal problematisch", weil das Bundeshaus ja auch Vorbildwirkung habe. Bei lokalen Lösungen schwinge nicht immer der latente Verdacht mit, "dass der Cloud Act im Hintergrund greift und sich der amerikanische Staat Zugriff auf unsere Kommunikation und Dokumente verschafft". Andrey sagt, dass er damit nicht den falschen Verdacht streuen wolle, dass die USA dies sehr offensiv tun würden. Aber aus einer Cybersecurity-Perspektive müsse er immer vom schlechtesten Fall ausgehen.
Mauro Tuena, SVP-Nationalrat
Auch SVP-Nationalrat Mauro Tuena, Präsident der Sicherheitspolitischen Kommission, ist "sehr, sehr skeptisch". Natürlich brauche es viel, bis der amerikanische Staat vom Cloud Act Gebrauch mache, aber das Unbehagen bleibt. "Ich frage mich, wie man auf diese Idee kam. Wir sind als Parlamentarierinnen und Parlamentarier vor vollendete Tatsachen gestellt worden." Es sei im Voraus nicht kommuniziert worden, dass auf M365 migriert werde, so Tuena. "Wir müssen nochmal darüber reden", sagt der Zürcher Nationalrat.
"Setup ist in Ordnung"
Marcel Dobler, Nationalrat FDP
Anderer Meinung ist der St. Galler FDP-Nationalrat Marcel Dobler. Dieser schreibt auf Anfrage von inside-it.ch, dass sich das Parlament eingehend mit diesem Thema befasst habe. "Würden wir alles selbst machen, würden wir ein Vielfaches zahlen für kaum mehr Sicherheit", schreibt Dobler. Das Hauptrisiko gehe von den Parlamentsmitgliedern aus und nicht vom Cloud Act, so Dobler weiter.
Die Fragestellung sei gut, aber der Entscheid für das jetzige Setup sei in Ordnung. Diese Problematik stelle sich schliesslich bei jedem grossen Cloud-Anbieter und eine Insourcing-Lösung sei nicht besser, so Dobler.