DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Diese Grafik stammt aus dem Sicherheitsbericht «Top Threats to 					Cloud Computing», den der Branchenverband der Cloud-Anbieter veröffentlicht hat (siehe Quellen).
Diese Grafik stammt aus dem Sicherheitsbericht «Top Threats to Cloud Computing», den der Branchenverband der Cloud-Anbieter veröffentlicht hat (siehe Quellen).
screenshot: cloudsecurityalliance.org
Analyse

Wie der Bund bei seinen Cloud-Plänen auf China setzte und den Datenschutz vernachlässigte

Bis zu 110 Millionen Franken will der Bund in den nächsten Jahren für Public-Cloud-Dienste ausgeben und dabei auch auf einen chinesischen Konzern setzen. Hier erfährst du, was dahinter steckt.
04.07.2021, 10:59
«Der Einstieg der Bundesverwaltung in die Cloud muss datenschutzkonform erfolgen.»
Adrian Lobsiger,
Eidgenössischer Datenschutzbeauftragter

Ausgerechnet dem chinesischen Alibaba-Konzern verhelfe die Schweizer Bundesverwaltung zu einem «Prestigeauftrag». Mit dieser Schlagzeile löste der «Tages-Anzeiger» kürzlich heftige Reaktionen aus in den Kommentarspalten.

Leider stiftete die folgende Berichterstattung mehr Verwirrung, als die komplexe Ausgangslage zu erklären.

Werden schon bald «sensible» Daten der Eidgenossenschaft in chinesischen Rechenzentren gespeichert? Nein.

Haben die Verantwortlichen in der Bundeskanzlei ungeschickt kommuniziert? Ja.

Wird Datenschutzbedenken oberste Priorität eingeräumt bei der Umsetzung der im Dezember kommunizierten Cloud-Strategie des Bundes? Es sieht vorerst nicht danach aus.

Im Folgenden gehen wir den wichtigsten Fragen aus Bürgersicht und den (bislang) verfügbaren Antworten aus Bundesbern auf den Grund. Eines ist sicher: An der sogenannten «Public Cloud» führt privat und staatlich kein Weg vorbei.

«Public Cloud: Die Eidgenossenschaft holt Chinesen ins Land.»
Titel von inside-channels.ch, dem Online-Medium, das zuerst über die umstrittene Auftragsvergabe berichtete

Was ist mit «Public Cloud» gemeint?

Cloud = Daten im Rechenzentrum. Das heisst, die Daten werden nicht lokal auf Computern, bzw. Festplatten gespeichert und bereitgestellt, sondern übers Internet auf Server übertragen. Und dort findet auch die Datenverarbeitung statt.

Mit Public Cloud sind die Server von privaten Unternehmen wie Amazon, Microsoft oder Alibaba gemeint. Das sind auch die drei weltweit grössten Public-Cloud-Anbieter, die rund um den Globus Rechenzentren betreiben.

Die grünen Punkte zeigen, wo Alibaba Cloud-Rechenzentren in Nordamerika, Europa, Asien und Australien betreibt. Orange steht für Zentren in China.
Die grünen Punkte zeigen, wo Alibaba Cloud-Rechenzentren in Nordamerika, Europa, Asien und Australien betreibt. Orange steht für Zentren in China.
screenshot: alibabacloud.com

Die Bundesverwaltung will in Zukunft auf Public-Cloud-Anbieter setzen, um Daten auszulagern und dabei Geld zu sparen. Denn wenn man dafür keine eigenen Rechenzentren betreiben muss, sondern je nach Bedarf Server (und Online-Speicherplatz) mieten kann, senkt das die Kosten.

Um die Grundlagen zu schaffen, hat der Bundesrat an seiner Sitzung vom 11. Dezember 2020 die Cloud-Strategie des Bundes verabschiedet. Der 17-seitige Bericht dazu kann als PDF-Dokument frei eingesehen werden (siehe Quellen).

Was hält der Datenschützer von den Cloud-Plänen des Bundes?

Der Einstieg der Bundesverwaltung in die Cloud müsse datenschutzkonform erfolgen, betont der oberste Schweizer Datenschützer Adrian Lobsiger in einer aktuellen Stellungnahme gegenüber watson. Das Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) habe zu dem vom Bund veröffentlichten Cloud-Strategiepapier Stellung genommen und «die wichtigsten Anliegen aus Sicht des Datenschutzes erfolgreich einbringen können».

In dem am 29. Juni veröffentlichten Tätigkeitsbericht des EDÖB heisst es mit Blick auf die Public-Cloud-Pläne des Bundes:

«Es zeigt sich, dass datenschutzrechtliche Überlegungen bereits in einer sehr frühen Phase von Projekten mit Personendaten-Bearbeitungen einzubeziehen sind.»

Dies wirft natürlich die Frage auf, warum der Datenschutz bei der Auftragsvergabe an vier amerikanische und einen chinesischen Konzern nicht stärker berücksichtigt wurde ...

Was kritisiert der Schweizer Datenschützer beim Cloud-Auftrag?

Offenbar war die Bundesverwaltung bei der Ausschreibung des 110-Millionen-Franken-Auftrages zur Public Cloud nicht bereit, alle Empfehlungen des obersten Schweizer Datenschützers (EDÖB) zu berücksichtigen.

Dazu schreibt Adrian Lobsiger:

«Aufgrund der Tragweite dieses Projekts empfahl der EDÖB der Bundesverwaltung, bereits in den Offerten in einem separaten Kapitel ‹Privacy› spezifische Datenschutz-Zertifizierungen von den Anbietern einzufordern. Die Verwaltung hat die von uns empfohlenen konkreten Ergänzungen nur teilweise übernommen.»

Welche Ergänzungen unter den Tisch fielen, wolle der Datenschützer nicht ausführen, schreibt der «Tages-Anzeiger» in einem am Donnerstag veröffentlichten Artikel.

«Mit anderen Worten: Die Risiken der Cloud-Strategie des Bundes werden erst später angeschaut – Gleiches gilt für die Schutzmassnahmen, die ergriffen werden müssen.»
quelle: tages-anzeiger.ch

Die Bundesverwaltung habe dies damit begründet, dass «die Gewährleistung des Datenschutzes eine geteilte Verantwortung zwischen Cloud-Nutzer und Cloud-Anbieter sei», teilt der Datenschützer mit.

Ihm bleibt wohl vorläufig nichts Anderes übrig, als abzuwarten. Selbstverständlich werde man «die Anliegen des Datenschutzes im Rahmen der von der Verwaltung angekündigten, bundesweiten Festlegung der Datenschutzkriterien weiterhin konsequent vertreten», versichert er.

Darf der Bund Daten in chinesischen Rechenzentren speichern?

Das ist fraglich.

Das Büro des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), stuft die Volksrepublik China bezüglich Datenschutz-Standards als «ungenügend» ein.

Screenshot: edoeb.admin.ch

Die Volksrepublik China weist also gemäss der vom EDÖB veröffentlichten Staatenliste ungenügende Datenschutz-Standards auf. Warum wurde dies bei der Auftragsvergabe nicht berücksichtigt? Dazu teilt die Bundeskanzlei mit:

«Bis zum Ablauf der Beschwerdefrist handelt es sich um ein laufendes Verfahren, weshalb wir nur die Ausgangslage erläutern können.»
Serge Kuhn, Mediensprecher

Die Bundesverwaltung sei (gesetzlich) verpflichtet, Daten zu schützen und Geheimnishaltungspflichten zu gewährleisten. Die Entscheidungskompetenz, welche Anwendungen und Daten in welchen Rechenzentren gespeichert werden, liege bei den Departementen und der Bundeskanzlei.

Speichert der Bund «sensible» Daten in China?

Nein. Davon ist nicht auszugehen.

Die Bundeskanzlei teilt watson mit:

«Bei der Haltung von Anwendungen und Daten auf einer Public Cloud ist die Prüfung der Rechtskonformität sowie einer Risikobeurteilung im Vorfeld zwingend sicherzustellen, auch bezogen auf den Public-Cloud-Anbieter.»
Serge Kuhn, Mediensprecher

Und in der Cloud-Strategie des Bundes steht, dass «in einem ersten Schritt» nur Daten in Public Clouds landen sollen, die nicht als «vertraulich» oder «geheim» klassifiziert sind.

Die «Süddeutsche Zeitung» zitiert Jens Klessmann, Leiter des Bereichs Digital Public Services am Fraunhofer-Institut für Offene Kommunikationssysteme, mit den Worten:

«Man kann beispielsweise Daten an Alibaba weitergeben, die ohnehin öffentlich sind. Und sensiblere Informationen können ja vorab verschlüsselt werden.»
quelle: sueddeutsche.de

Die NZZ schreibt, basierend auf den ersten Erfahrungen sollten in Zukunft auch höher klassifizierte Informationen sowie «besonders schützenswerte Personendaten» auf Public Clouds gehalten werden. Vorher müssten jedoch der eidgenössische Datenschutzbeauftragte und weitere Instanzen grünes Licht geben. Und für Anwendungen und Daten «mit hohem Schutzbedarf» betreibe der Bund weiterhin eigene Rechenzentren in der Schweiz.

Serge Kuhn, Sprecher der Bundeskanzlei, bestätigt:

«Es bestehen auch künftig Anwendungen und Daten mit hohem Schutzbedarf, welche auf bundesintern betriebenen Infrastrukturen/Plattformen in den Rechenzentren der Bundesverwaltung betrieben, respektive bearbeitet werden müssen.»

Welche Daten will der Bund bei Alibaba speichern?

Das ist noch völlig offen.

Der Schweizer IT-Unternehmer Hannes Gassert, der sich mit dem Verein CH++ für eine sinnvolle Digitalisierung einsetzt, relativierte in einem lesenswerten Twitter-Thread.

Er vermute, dass die Beschaffungs-Spezialisten beim Bund das chinesische Billig-Angebot reingenommen haben, um «bei den andern die Preise etwas zu drücken». Und es sei wohl auch darum gegangen, nicht eine 100-prozentige Abhängigkeit von den USA, bzw. von US-Konzernen, zu schaffen. Strategische Handlungsoptionen zu haben sei wichtig.

Gekauft oder gar ausgelagert sei noch rein gar nichts. Mit der öffentlichen Ausschreibung (nach Standards der Welthandelsorganisation WTO) werde allein die Grundlage geschaffen, später «Pay as you go» einzukaufen – also nur für die Online-Dienstleistungen zu bezahlen, die man wirklich brauche.

Der IT-Fachmann:

«Es wäre nicht die erste solche Ausschreibung, die zu praktisch keinem konkreten Geschäft führt.»

Die Bundeskanzlei bestätigt nur: Mit der Beschaffung werde es künftig möglich sein, dass Bundesämter «Dienste aus Public Clouds» beziehen. Ob und wie dies geschehe, hänge vom jeweiligen Vorhaben ab. Das heisse, mit der Beschaffung sei noch nicht entschieden, ob und wie die Einheiten der Bundesverwaltung die Public-Cloud-Dienste nutzen.

«Falls Dienste bezogen werden, geschieht dies nach der Auswahl des geeigneten Zuschlagsempfängers, basierend jeweils auch auf einer spezifischen Risikobeurteilung.»
Serge Kuhn, Mediensprecher

Warum kam kein Schweizer Anbieter zum Zug?

Der Bund habe die Vergabekriterien so formuliert, dass Schweizer Cloud-Dienstleister de facto keine Chance hatten, hält die «Neue Zürcher Zeitung» fest: «In der Ausschreibung wurde verlangt, dass Anbieter auf mindestens drei Kontinenten über Rechenzentren verfügen und ihre Dienste einer internationalen Kundschaft zur Verfügung stellen.»

Lief abgesehen vom Datenschutz alles gut bei der Ausschreibung?

Nein.

Der Schweizer IT-Unternehmer Gassert:

«Am Ende erstaunt vor allem, dass keinerlei Anforderungen an Energieeffizienz oder CO2-Ausstoss gestellt wurden. Keine! Dabei wäre da so viel möglich beim Stromverbrauch der Rechner und Kühlung der Anlagen.»
Hannes Gassert

Wenn die Schweiz künftig solche Beträge ausgebe, dann digital und ökologisch nachhaltig und souverän.

Dazu gehört aus seiner Sicht nicht nur der Klimaschutz, sondern auch eine vollumfängliche Transparenz.

Was hat das mit der «Swiss Cloud» zu tun?

Der Bundesrat hat Mitte 2020 eine Machbarkeitsstudie zum Aufbau einer eigenen (nationalen) Cloud- und Dateninfrastruktur in Auftrag gegeben. Diese noch zu definierende Infrastruktur werde unter dem Begriff «Swiss Cloud» zusammengefasst, steht in der Cloud-Strategie des Bundes.

Das erklärte Ziel einer «Swiss Cloud» sei «die Verbesserung der Datensouveränität und die Verminderung der Abhängigkeiten von internationalen Public Cloud-Anbietern». Die Ausgestaltung der Swiss Cloud sei noch offen.

Was lernen wir daraus?

Die Bundesverwaltung hat sich die negativen Reaktionen auf die vermutlich korrekte Auftragsvergabe an die US-Konzerne Amazon, Microsoft, IBM und Oracle sowie den chinesischen Konkurrenten Alibaba selbst zuzuschreiben.

Datenschutzbedenken wurde im Ausschreibungsprozess zu wenig Gewicht beigemessen, oder es wurde zumindest ungenügend kommuniziert. Das ist ein Fehler mit potenziell gravierenden Folgen. Der Cloud-Strategie des Bundes droht ein beträchtlicher Image-Schaden. Und damit verbunden ein Vertrauensverlust bei den Bürgerinnen und Bürger.

Der eidgenössische Datenschützer schreibt in seinem am Dienstag veröffentlichten Tätigkeitsbericht, gerade die Nutzung von öffentlichen Cloud-Diensten habe zur Folge, dass eine grössere Abhängigkeit von den meist weltweit tätigen Anbietern entstehe. Dies betreffe «sowohl die technologische Abhängigkeit als auch die Verfügbarkeit von Daten und Anwendungen». Dabei stelle sich zwangsläufig die Frage, wie die Souveränität über die eigenen Daten und der Schutz vor unerwünschtem Datenabfluss sicherzustellen sei.

Fragen, die eigentlich keinen Aufschub dulden.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

China: 9 Grossprojekte der neuen Seidenstrasse

1 / 18
China: 9 Grossprojekte der neuen Seidenstrasse
quelle: epa/epa / aleksander plavevski
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Mit Big Brother gegen das Coronavirus

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Analyse

Threema ist das neue WhatsApp – und schlägt die Konkurrenz um Längen

Wer hätte gedacht, dass die weltbeste Messenger-App nicht aus dem Silicon Valley kommen würde, sondern vom Zürichsee. Eine persönliche Analyse.

Seit acht Jahren befasse ich mich mit dem sicheren Schweizer Messenger Threema. Den ersten Artikel dazu publizierte ich im Dezember 2012. Titel: «Die Schweizer Antwort auf WhatsApp». Die damalige erste App gab's nur fürs iPhone, und sie war zum Start gratis. Im Interview versprach der Entwickler, Manuel Kasper, die baldige Veröffentlichung einer von vielen Usern geforderten Android-Version. Und:

Er hielt Wort. Im Gegensatz zu WhatsApp.

Einige dürften sich erinnern, dass es ein gleiches …

Artikel lesen
Link zum Artikel