Bund äussert sich zur Verwendung von M365 und Microsoft-Cloud

22. Dezember 2021, 11:04
image

Im Rahmen des neuen Projekts Cloud Enabling Büroautomation CEBA will die Regierung Cloud-Services von Microsoft prüfen und eine Risikoanalyse erstellen.

Im September 2021 hatte Nationalrätin Min Li Marti (SP/ZH) eine Interpellation mit dem Titel "Clouddienste von Microsoft" eingereicht. Auslöser war die Public-Cloud-Vergabe des Bundes im Sommer an 5 Hyperscaler, darunter Microsoft.
Marti ging es in ihrer Eingabe in erster Linie um Fragen zur Microsoft-Cloud und die M365-Dienste. Sie verwies dabei auf das Projekt Cloud Enabling Büroautomation (CEBA), das in der Bundesverwaltung gestartet worden sei. Unter diesem Projekt verstehe man die Bestrebung beim Bund, in Zukunft die Office-Dienste von der Cloud zu beziehen, hiess es in der Interpellation.
In seiner Antwort erklärte der Bundesrat, Microsoft verfolge die Strategie "Cloud first" und habe angekündigt, Anwendungen nur noch als Cloud-Lösungen anzubieten. "Dies wirft grundlegende Fragen für die Bundesverwaltung auf, die Software von Microsoft nutzt."
Deshalb habe die Bundesverwaltung das Projekt CEBA gestartet. In dessen Rahmen soll geprüft werden, "ob eine mögliche zukünftige Nutzung der Cloud-Services von Microsoft abgestimmt auf die Cloud-Strategie der Bundesverwaltung und insbesondere auf die Anforderungen an den Datenschutz und Informationsschutz erfolgen kann". Weiter würden eine Rechtsgrundlagenanalyse, ein Informationssicherheits- und Datenschutz-Konzept sowie eine Risikoanalyse erarbeitet.

Verwaltungsmitarbeitende testen MS-Cloud-Angebote

Die Konzepte für das Projekt CEBA seien aber noch nicht fertig gestellt, schreibt der Bundesrat in seiner Antwort. Somit könne er die Frage noch nicht abschliessend beantworten, "ob und welche Daten bei einer zukünftigen Nutzung effektiv auf der Public Cloud von Microsoft gespeichert werden". Generell gelte: "Um die Software nutzen zu können, müssen Benutzerkonten in der Public Cloud von Microsoft angelegt werden."
Im Rahmen der konzeptionellen Arbeiten sei mit "CEBA agil" eine von der Bundesinfrastruktur abgetrennte Testplattform bereitgestellt worden. "So können Mitarbeiterinnen und Mitarbeiter der Bundesverwaltung Microsoft Teams nutzen und erste Erfahrungen im Umgang mit Cloud-basierten Produkten von Microsoft sammeln." Die Nutzer dürften auf der Testplattform jedoch "keine besonders schützenswerten Personendaten, keine vertraulichen Dokumente und keine Daten, welche dem Amtsgeheimnis unterliegen, speichern".

Fliessen bei Beschaffungen Daten an Microsoft ab?

Marti hatte sich in ihrer Interpellation auch für diese "vertrauenswürdigen oder geheimen Dokumente" interessiert und fragte: "Mitarbeitende sollen Beschaffungen auch auf der M365 Cloud formulieren. Ist sichergestellt, dass keine Metadaten an Microsoft abfliessen?"
Der Bundesrat antwortete: "Im Rahmen des Projektes CEBA werden auch technische Mechanismen bzw. Verschlüsselungen geprüft, mit denen sichergestellt werden soll, dass schützenswerte Daten – dazu können Informationen über Beschaffungen gehören – auch in externen Clouds sicher bearbeitet werden können." Die Resultate dieser Abklärungen würden noch nicht vorliegen.
Im Rahmen von CEBA prüfe der Bund zusätzlich, wie ein Backup der in M365 gespeicherten Daten durch die Bundesverwaltung erfolgen kann. Ebenfalls würden Szenarien für die Sicherstellung des "Business-Continuity Management" erarbeitet.

Entscheidung über M365-Einsatz noch nicht gefallen

"M365-Anwendungen können klassifizierte Dokumente nur dann erkennen, wenn der Benutzer die entsprechenden Informationen dazu erfasst hat", heisst es weiter. Schutzmassnahmen zum Beispiel mittels Verschlüsselung für klassifizierte Daten und für Personendaten würden im Rahmen der Konzeptphase analysiert. "Erst nach dieser Phase wird entschieden, ob M365 produktiv zum Einsatz kommen wird", betont der Bund. Der Zugang von Microsoft zu Daten von Kunden in der SaaS-Cloud werde "durch die im konkreten Einzelfall anwendbaren, vertraglichen und rechtlichen Bestimmungen, sowie gegebenenfalls technische Massnahmen" geregelt.
Marti und die 7 Mitunterzeichnenden zeigten sich im Nationalrat "teilweise befriedigt" mit der Antwort. Die Beratungen zum Geschäft sind damit erledigt. Der Umgang des Bundes mit Cloud-Diensten wird das Parlament aber noch weiter beschäftigen, wie die zwei kürzlich eingereichten parlamentarischen Initiativen zur "digitalen Souveränität" zeigen.

Loading

Mehr zum Thema

image

Microsoft hostet E-Mail-Adressen des Schweizer Parlaments

Die Datenhaltung in der Schweiz ist von Microsoft vertraglich zugesichert. Die Lizenzen kosten 600 Franken pro Ratsmitglied und Jahr.

publiziert am 6.10.2022 2
image

Cyberkriminelle veröffentlichen Daten von Läderach

Einen Monat nach dem Cyberangriff auf den Schweizer Chocolatier sind mehrere Datenpakete im Darknet aufgetaucht. Läderach erklärt uns, die Situation genau zu beobachten.

publiziert am 6.10.2022
image

Bruce Schneier: "Man wird nie sicher sein, dass E-Voting nicht manipuliert wurde"

Kryptographie-Guru Schneier war kürzlich in Zürich. Wir haben mit ihm über E-Voting, Cybersicherheit und die US-Zentralbank gesprochen.

publiziert am 6.10.2022 6
image

Das EPD für alle wird kommen

Es herrscht breiter Konsens, dass bei der kommenden Revision der Gesetzgebung "Elektronisches Patientendossier" die Pflicht für ein Dossier eingeführt wird.

publiziert am 6.10.2022