Der Trend von Schweizer Behörden, Services aus der Microsoft Cloud zu beziehen, wird aus Redmond erneut befeuert: Microsoft hat eine Cloud for Sovereignty vorgestellt, die es dem öffentlichen Sektor ermöglichen soll, Dienste aus der Public Cloud zu nutzen und zugleich Security und Compliance sicherzustellen. Auf seiner Hauskonferenz Inspire versicherte der Konzern, dass man behördlichen Bestimmungen mit dem neuen Angebot umfassend nachkomme.

Daten würden ausschliesslich in den lokalen Rechenzentren von Microsoft gespeichert und verarbeitet, verspricht Microsoft. So sollen Daten auf dem Infrastruktur-Angebot, aber auch von Microsoft 365 und Dynamics 365 innerhalb der geografischen Grenzen bleiben. In der Schweiz betreibt der Konzern aus den zwei Rechenzentren in Zürich und Genf die Regionen Nord und West.

Die Nutzung der Services seitens Behörden ist hierzulande umstritten: Erst im Juni hatte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) der Unfallversicherung SUVA geraten, ihre Auslagerung in die Microsoft-Cloud neu zu eruieren. Die USA seien ein Land ohne angemessenes Datenschutzniveau, hiess es. Und: Der Cloud Act, der US-Anbieter zur Herausgabe ihrer Daten auch im Ausland zwingt, gelte unbesehen von lokalem Recht. Zugriff könnten technische Massnahmen auch bieten, ohne dass dies dem Schweizer Personal bekannt würde, heisst es in der Stellungnahme.

Der Edöb argumentierte weiter, dass gewisse Dienste von Microsoft 365 ungenügend verschlüsselt seien. Auch hierzu hat Microsoft nun Neuerungen angekündigt: Zusätzlich Verschlüsselungsmechanismen sollen sensible Daten besser schützen. Dazu zählen SaaS-Angebote wie etwa eine Double Key Encryption, die Nutzern von Microsoft 365 ermöglichen soll, Daten mit von Kunden bereitgestellten Schlüsseln zu schützen.

Zudem nennt man in Redmond auch Azure Confidential Computing. Dieses nutze spezielle Hardware, um isolierte und verschlüsselte Speicher, sogenannte Trusted Execution Environments (TEE) zu schaffen, so Microsoft. Kundeneigene Schlüssel würden direkt von einem Hardware Security Module in den TEEs freigegeben, die auf verschlüsselten Kundendaten ausgeführt würden.

Ein Klassifizierungsdienst soll zudem die Einteilung der Daten nach Sensibilität vereinfachen. Im letzten Herbst hatte der Bundesrat erklärt, es sei noch zu entscheiden, ob M365 auch für die Bearbeitung von vertraulich klassifizierten Informationen benutzt werden dürfe. In Bern drückt man derweil aufs Gas, wie jüngst eine Personalie beim Bundesamt für Informatik und Telekommunikation (BIT) zeigte.

Microsoft setzt nun auch auf erweiterte Transparenz des Quellcodes, beginnend mit wichtigen Azure-Infrastrukturkomponenten. In Transparenzzentren sollen Behördenkunden kontrollierten Zugang dazu erhalten. Auch Audit-Bedingungen und Compliance-Prozesse soll man dort einsehen können.

Was das neue Angebot von Microsoft verspricht und was es tatsächlich halten kann, dürfte Gegenstand weiterer Abklärungen sein. In der Strategie des Bundes zur Cloud-Nutzung bildet der Datenschutz einen wichtigen Pfeiler. Die jeweiligen Datenherren müssten aber im konkreten Fall selbst beurteilen, wofür ein Public-Cloud-Dienst zulässig sei, heisst es dort.