Alle tun es: der Bund, die Stadt Bern, der Kanton Bern sowie zahlreiche weitere Städte, Gemeinden und Kantone. Die Verwaltungen der öffentlichen Hand in der Schweiz stellen die Weichen für die Einführung von Microsoft 365. Das neue Computersystem des US-Techgiganten basiert auf einer Cloudlösung. Experten zweifeln, ob die Daten in der Cloud wirklich sicher sind.
Der Bundesrat, der Regierungsrat und der Berner Gemeinderat haben die Restrisiken als tragbar akzeptiert und geben grünes Licht. Beschrieben werden diese Restrisiken in einem Bericht des Kantonalen Amts für Informatik und Organisation (Kaio). In den Bericht flossen auch die Bedenken der Datenschutzaufsichtsstelle des Kantons ein. Wo liegen diese Restrisiken also genau?
“Die Behörden verlieren die Kontrolle. Es ist nicht mehr überprüfbar, was wo zu welchem Zeitpunkt geschieht.”
Ueli Buri, Datenschutzbeauftragter des Kantons Bern
Was Ueli Buri, der kantonale Datenschutzbeauftragte, sagt, klingt besorgniserregend. Durch die Auslagerung in die Cloud eines grossen internationalen Anbieters seien die Daten nicht mehr greifbar, über wesentliche Fragen gebe es keine ausreichende Transparenz. Und: “Die verantwortlichen Behörden verlieren die Kontrolle. Es ist nicht mehr überprüfbar, was genau wo zu welchem Zeitpunkt geschieht.”
Die Daten werden zwar von Microsoft in schweizerischen Rechenzentren gespeichert, ihre Verarbeitung kann aber einmal in der Schweiz, in Irland, in den Niederlanden oder in Deutschland erfolgen – abhängig davon, auf welchen Servern gerade Kapazitäten vorhanden sind. Ein zusätzliches Risiko sind Subunternehmen von Microsoft, über deren Tätigkeit und Aufgabenbereich keine Klarheit besteht.
Die Stadt Bern ihrerseits hat viel Aufwand für eine eigene Lösung betrieben, musste aber klein beigeben. Der Mangel an Alternativen spielte dabei eine entscheidende Rolle.
Kann das FBI mitlesen?
Der Kontrollverlust zeigt sich bei einem weiteren Punkt: Als US-Unternehmen ist Microsoft dem 2018 eingeführten Cloud-Act unterworfen. Aufgrund dieses Gesetzes können US-Behörden auf Daten in der Cloud zugreifen, auch wenn sie in Europa oder der Schweiz gespeichert werden. Microsoft kann sogar verboten werden, die Kunden darüber zu informieren. Betroffen von einem solchen Zugriff sind neben den Inhalten auch die Randdaten – also Informationen, wer wann mit wem kommuniziert hat. “Da der Cloud Act erst 2018 eingeführt wurde und somit ausreichende Erfahrungswerte fehlen, ist nicht klar, wie hoch die Wahrscheinlichkeit für solche Behördenzugriffe seitens der USA ist”, sagt Buri.
Um Risiken einzuschränken, sollen sensible Daten nicht in der Microsoft-Cloud landen. Steuer-, Bevölkerungs- und Gesundheitsdaten sowie die E-Mails der Verwaltung werden beim kantonalen Informatikunternehmen Bedag bleiben. Die Bedag verfügt über zwei Rechenzentren, eines steht beim Hauptsitz in der Berner Engehalde, das zweite redundante System wurde im Frühling von Wettingen AG nach Zollikofen gezügelt.
Auch Word-Dokumente und Excel-Tabellen der Verwaltung werden normalerweise nicht in der Cloud bearbeitet. Nur die Dienste der Zusammenarbeit, Telefonie, Chat, Videokonferenzen werden dort gespeichert. Für Inhalte mit hohem Schutzbedarf soll die Cloud nicht genutzt werden. Doch: “Wie stark sich die Nutzenden an diese Anweisungen halten werden, ist offen”, sagt Buri. Das werde auch wesentlich davon abhängen, wie tauglich die Alternativen seien. “Es gibt kein Nullrisiko.”
Kanton will «Datenherrschaft» behalten
Bereits jetzt stehen die Office-Tools von Microsoft bei der Kantonsverwaltung im Einsatz. “Das neue Paket von Microsoft enthält zusätzliche Möglichkeiten”, sagt Reto Burn, stellvertretender Generalsekretär der Finanzdirektion. “Zudem bedeutet es eine Vereinfachung, weil nun mehr Anwendungen gleich aufgebaut sind.” Die Einführung von Microsoft 365 erfolgt ab 2024.
“Die Lizenzkosten sind kein grosser Kostenblock, und die Microsoft-Produkte sind für die tägliche Arbeit unverzichtbar.”
Zuverlässige Kostenschätzungen sind noch nicht verfügbar. So fehlen gemäss Finanzdirektion etwa die Zahlen, wie viele Sonderlizenzen – wie zum Beispiel für vertrauliche Videokonferenzen – benötigt werden. Diese kosten mehr. Heute belaufen sich die Informatikkosten des Kantons auf rund 200 Millionen Franken jährlich, ohne Personalaufwand. Die Microsoft-Lizenzkosten betragen rund 300 Franken pro Arbeitsplatz und Jahr. Für Microsoft 365 gehe man zwar von höheren Kosten aus, sagt Burn. Aber: “Die Lizenzkosten sind kein grosser Kostenblock, und die Microsoft-Produkte sind für die tägliche Arbeit aller Kantonsangestellten unverzichtbar.” Zudem könnten durch Microsoft 365 verschiedene andere Softwareanwendungen abgelöst werden.
Die Bereitstellung und den Betrieb der rund 12’000 IT-Arbeitsplätze kauft der Kanton bei seinem Informatikunternehmen Bedag ein. Der Rechenzentrumsbetrieb erfolge fast ausschliesslich bei der Bedag, so Burn, “weil der Kanton aus Gründen der Informationssicherheit die Datenherrschaft behalten will”.
Daneben arbeitet die Kantonsverwaltung auch mit privaten Softwareunternehmen zusammen. So entwickelte DV Bern etwa die Corona-Anwendung Vacme während der Pandemie.
Bei der Kantonspolizei sind die Sicherheitsanforderungen höher
Das KMU mit gut 180 Mitarbeitenden erarbeitet auch Softwarelösungen für die Steuerverwaltung. Im Rahmen dieser Tätigkeiten gehen auch schützenswerte Daten zu den Unternehmen: “Die Firmen müssen ihre Software teilweise mit richtigen Daten testen können”, erklärt Burn. “Wichtig ist aber, dass diese anschliessend sofort wieder gelöscht werden.”
Bei der Kantonspolizei läuft es anders: Die normale IT-Infrastruktur der Kantonsverwaltung gelangt nicht zum Einsatz, weil die Sicherheitsanforderungen höher sind und sehr sensible Daten bearbeitet werden. So führt die Polizei zum Beispiel auch Aufträge für den Nachrichtendienst durch. Auch braucht es rund um die Uhr und an 365 Tagen im Jahr unverzüglichen Service und Support, was bei der übrigen Kantonsverwaltung in der Regel nicht der Fall ist.
Laut Mediensprecherin Isabelle Wüthrich laufen bei der Kantonspolizei derzeit Abklärungen für die Einführung eines neuen IT-Arbeitsplatzes. “Die Kantonspolizei Bern legt dabei selbstverständlich ein sehr grosses Gewicht auf Datenschutz und Datensicherheit.”
“Vertrauensselige” Behörden
Manchmal wird das Argument angeführt, dass ein Riesenkonzern wie Microsoft mit seiner Marktmacht und seinem Know-how in der Lage ist, Risiken zu minimieren und Angriffe abzuwehren. Hier gibt es zwei Probleme. So müssen für den Datenschutz wichtige Einstellungen teils durch die Kunden selbst vorgenommen und bei Veränderungen nachgeführt werden, was sehr anspruchsvoll ist. Deshalb ist es laut dem Datenschutzbeauftragten Ueli Buri fraglich, ob die Einstellungen immer richtig gewählt sind, “sodass das Abwehrdispositiv schnell einmal Lücken aufweist”.
Das andere Problem zeigt der Fall von Xplain auf. “Wenn eine Firma wertvolle Daten der halben Nation aufbewahrt, ist der Anreiz für Hacker viel höher als etwa bei einer einzelnen Schule.” Behörden seien bei der Auslagerung von Daten manchmal zu “vertrauensselig”, sagt Buri zum Fall Xplain, und hätten auch nicht das nötige Fachwissen, um die Sicherheit der Dienstleistungen von Dritten zu überprüfen.
“Versuche, bei uns einzudringen, erfolgen permanent und nehmen stetig zu.”
Dario Verrengia, Sicherheitsverantwortlicher bei der Bedag
Bei der in Interlaken ansässigen Firma Xplain erfolgte der Angriff von ausserhalb durch die prorussische Hackergruppe Play. “Bei Microsoft könnte aber ein Hacker auch schon Kunde sein, ist also in gewissem Sinne schon in der gleichen Cloud.” Kritik auf der politischen Ebene kommt vorderhand vor allem von der Piratenpartei, welche Microsoft als “ein ideales Ziel für kriminelle Hacker” bezeichnet.
Hackerangriffe sind auch bei der kantonalen Informatikfirma Bedag eine Realität. “Versuche, bei uns einzudringen, erfolgen permanent und nehmen stetig zu”, sagte Dario Verrengia, Sicherheitsverantwortlicher bei der Bedag, gegenüber dieser Zeitung im Februar 2023. Rund 150 Angriffe zählte das Unternehmen pro Tag. Bei der überwiegenden Mehrheit der Attacken handelt es sich um automatisierte Bots.
Daten sind ein großes Kapital. Das ist bekannt. Bei uns in Bayern gibt es für die Schulen jetzt die Bayerncloud. Sie enthält auch Kommunikationsmöglichkeiten wie Mail umd Videokonferenzmöglichkeiten. Jedoch wird in manchen Schulen leider noch MS teams verwendet. Auch die Schulung an Office-Software erfolgt leider immer noch an MS-Software. Ich hoffe, dass sich das auch noch schnell ändert. Leider werden an Schulen noch Apple-Geräte verwendet. Auch das erscheint mir nicht sehr sinnvoll. Das Bewusstsein für einen verantwortlichen Datenschutz ist leider in der Anwenderbreite sehr gering.
Die Bequemlichkeit überwiegt. Was nur allzu menschlich ist.