Zum Inhalt springen

Cloud-Auftrag des Bundes «Geheimhaltungs-Daten sollten nicht im Ausland gelagert werden»

Immer mehr Unternehmen unterhalten keine eigenen Rechenzentren mehr, sondern speichern ihre Daten bei Cloud-Anbietern. Diese stellen über das Internet Rechenleistung, Anwendungssoftware oder eben Speicherplatz zur Verfügung.

Dieses Angebot will auch der Bund mit der aktuellen Auftragsvergabe vermehrt nutzen, wie Tamedia-Zeitungen unter Berufung auf die Webseite Inside-Channels.ch schreiben. Vier US-Firmen – Amazon, IBM, Microsoft und Oracle – und das chinesische Unternehmen Alibaba, sollen zum Zug kommen.

Wo speichert Alibaba die Daten?

Box aufklappen Box zuklappen

Während Microsoft oder Amazon über eigene Rechenzentren in der Schweiz verfügen, ist zurzeit unklar, wo der chinesische Anbieter Alibaba die Schweizer Daten speichern wird. Grundsätzlich besteht das Risiko eines Durchgriffs auf die Daten durch die chinesische oder amerikanische Regierung. So haben die USA mit dem sogenannten Cloud Act Internet-Unternehmen verpflichtet, ihnen bei Strafverfahren Daten herauszugeben, auch wenn sie im Ausland gespeichert sind.

Cloud-Experte Oliver Gilbert von der Hochschule Luzern über mögliche Risiken dieser Cloud-Vergabe ins Ausland.

Oliver Gilbert

Informatiker

Personen-Box aufklappen Personen-Box zuklappen

Oliver Gilbert von der Hochschule Luzern ist Cloud-Experte.

SRF News: Welche Art von Daten darf der Bund in Clouds auslagern und welche nicht?

Oliver Gilbert: Je nach Art der Verwaltung dürfen Daten nicht oder nur unter strengen Bedingungen ausgelagert werden, oder nur Teilprozesse davon. Die Eingriffsverwaltung (Polizei) ist also anders zu behandeln als die Zuweisung von Subventionen. Die Verantwortung bleibt aber immer beim Bundesorgan.

Zudem ist ein technischer Aspekt zu berücksichtigen: Auch andere Länder vertrauen solche Daten diesen Providern an und verschlüsseln sie zwingend. Der zur Entschlüsselung notwendigen Key verbleibt quasi im Ursprungsland, sodass der Anbieter an die verschlossenen Daten gar nicht rankommt.

Daten, die einer gesetzlichen Geheimhaltung unterliegen, sollten generell nicht im Ausland gelagert werden.

Sehen Sie Probleme in Bezug auf die Datensicherheit?

Bei der Auslagerung in eine chinesische oder amerikanische Cloud sind die Durchgriffe des Staats, ob aus Schweizer Sicht gerechtfertigt oder nicht, als Rechtsrisiko aufzuführen und die Risiken durch die auslagernde Organisation zu tragen.

Daten, die einer gesetzlichen Geheimhaltung unterliegen, sollten generell nicht im Ausland gelagert werden, da die Gefahr der Verletzung der Geheimhaltung mit entsprechenden Straffolgen zu gross ist. Zudem müssen die betroffenen Personen darüber informiert werden.

Das sagt die Bundesverwaltung

Box aufklappen Box zuklappen

Die Bundeskanzlei selbst will sich vor Ablauf der Beschwerdefrist, die nach dem Auftragszuschlag läuft, nicht zu Einzelfragen äussern. Sie betont jedoch, dass lediglich die Möglichkeiten für die Nutzung von Cloud-Diensten geschaffen werden sollen.

Inwiefern Teile der Bundesverwaltung diese dann auch nutzten, sei noch nicht bestimmt. Würden Anwendungen oder Daten auf einer Public Cloud gehalten, müsse die Rechtskonformität und die Risikobeurteilung zwingend sichergestellt werden, auch bezogen auf den Public Cloud Anbieter, so die Bundeskanzlei weiter.

Sie schreibt gegenüber SRF zudem: «Es bestehen auch künftig Anwendungen und Daten mit hohem Schutzbedarf, welche auf bundesintern betriebenen Infrastrukturen/Plattformen in den Rechenzentren der Bundesverwaltung betrieben respektive bearbeitet werden müssen.»

Wieso hat der Bund keinen Anbieter aus der Schweiz oder Europa berücksichtigt? Fehlt da effektiv das benötigte Angebot?

Hier spielen die Anforderungen an die Cloud eine Rolle. Es gibt definitiv Anbieter in der Schweiz oder in der EU. Dazu müssten mehr Informationen im Zusammenhang mit der Ausschreibung analysiert werden.

Das Gespräch führte Marc Bodenmann.

SRF 4 News, 30.6.2021, 09:00 Uhr ; 

Meistgelesene Artikel