Es ist ein doch etwas umstrittenes Thema, auf welches mich Blog-Leser Adrian die Nacht aufmerksam gemacht hat (danke dafür).Der Schweizer Bundesrat hat gerade den Weg frei gemacht, um staatliche Daten zukünftig unter anderem vom chinesischen Cloud-Anbieter Alibaba speichern und verarbeiten zu lassen. Mit im Boot sind auch US-Anbieter. It's the money, munkelt man hinter vorgehaltener Hand, was den Ausschlag für diese Entscheidung, die jährlich 110 Millionen Franken kosten soll, gegeben hat. Ergänzungen von Inside Channels zur Ausschreibung hinzugefügt.
Anzeige
Die Schweiz unterliegt meines Wissens ja nicht der europäischen Datenschutzgrundverordnung, sondern hat eigene Datenschutzgesetze. Daher tue ich mich aktuell schwer, das Ganze aus dieser Sicht zu bewerten – aber mein Bauchgefühl sagt mir, dass dieser Deal sicherheitstechnisch vermutlich eine weniger kluge Entscheidung darstellt.
Der Sachverhalt
Gemäß dieser Bekanntmachung vom 29. Juni 2021 hat der Bund (über den Bereich Digitale Transformation und IKT-Lenkung (DTI)) einen Beschaffungsauftrag für die "Public Clouds Bund" Im Auftragsvolumen von 550 Millionen Schweizer Franken vergeben. Zuschläge erhielten:
- Alibaba.com (Europe) Limited (London)
- IBM Schweiz AG
- Amazon Web Services EMEA SARL (Luxemburg)
- Microsoft Schweiz GmbH
- Oracle Software (Schweiz) GmbH
Während Oracle, IBM und Microsoft wenigstens noch Büros in der Schweiz halten, sind Alibaba (Großbritannien) und Amazon (Luxemburg) nur mit europäischen Dependenzen vertreten. Im Grunde geht es darum, staatliche Daten in der Cloud zu speichern und von den genannten Anbietern verarbeiten zu lassen. Bei den Kosten werden in Schweizer Medien 110 Millionen Franken jährlich genannt, wobei das Vorhaben über fünf Jahre läuft. Beschlossen wurde dies vom Schweizer Bundesrat, wenn ich diesen Artikel bei bluewin richtig lese.
Begründet wird die Auftragsvergabe unter Berücksichtigung des chinesischen Konzerns Alibaba durch die Bundeskanzlei "explizit mit ihren sehr attraktiven Preisen". Die Chinesen wollen mit Alibaba bei Cloud-Diensten bis 2023 weltweit Nummer 1, vor dem derzeit aktuellen Marktführer Amazon werden.
Anzeige
Die Seite Watson.ch schreibt, das Microsoft und Amazon den Zuschlag erhielten, weil diese Rechenzentren in der Schweiz betreiben bzw. das vorhaben. Allerdings wurde der Preis bei der Auftragsvergabe mit 30% gewichtet, der Betrieb von Rechenzentren in der Schweiz dagegen wohl nur mit 10%.
Die Begründung von Franz Grüter, Nationalrat der Schweizer Volkspartei (SVP), und gleichzeitig Verwaltungsratspräsident der in der Informatik tätigen Green-Gruppe, zeigt das Dilemma auf. Er argumentiert, dass die Schweiz keine andere Wahl hatte. Es gebe in Europa und in der Schweiz keinen Cloud-Anbieter, «der den amerikanischen und chinesischen Firmen auch nur annähernd das Wasser reichen kann». Die Hoffnung ist, dass das Thema Datensicherheit in Verträgen geregelt werden kann, so der Geschäftsführer eines Rechenzentrums im Kanton Zürich.
Cloud first, Sicherheitsbedenken second?
Ich habe mal einen Wahlspruch der deutschen Partei FDP als Überschrift abgewandelt. Denn die Auftragsvergabe an das oben genannte Konsortium ist politisch höchst umstritten und brisant. Denn für Schweizer Bürger stellt sich die Frage, ob deren staatlich erfasste Daten in der Cloud, bei amerikanischen und chinesischen Firmen sicher sind. In China sichert sich die kommunistische Partei den Zugriff auf Firmen wie Alibaba, wird also auch die Daten auf deren Cloud-Servern einsehen können. Bei den US-Firmen verpflichtet der Cloud Act, ein US-Gesetz von 2018, diese, den US-Behörden Zugriff auf Daten zu gewährleisten, selbst wenn diese außerhalb der USA gespeichert sind. Ein Sachverhalt, der auch in Europa, durch die DSGVO, heftig umstritten ist.
In der Schweiz ist jetzt eine politische Diskussion um das Thema entbrannt. Die Bundeskanzlei beschwichtigt gegenüber der Presse: «Ob und welche Daten in den Public Clouds gehalten und bearbeitet werden, hängt vom jeweiligen Vorhaben ab». Man verspricht vor der Auslagerung an die ausländische Cloud eine Risikoabwägung. Der grüne Nationalrat und IT-Fachmann Gerhard Andrey kritisiert die Vergabe. Er wird hier zitiert, dass es ein großes Problem sei, wenn der Bund sensible staatliche Daten in die Hände von ausländischen Anbietern lege. Andrey will nun in der Finanzkommission kritische Fragen zum Cloud-Auftrag zu stellen. Es ist aber davon auszugehen, dass die IT-Projekte scheibchenweise in die Cloud abwandern und dann heißt es später "es gab keine Alternative, und wir können nicht mehr zurück". Wird spannend sein, zu verfolgen, wann die ersten Datenskandale diesbezüglich öffentlich werden.
Detail in den Ausschreibungskriterien
Ergänzung: Die Kollegen des Schweizer IT-Magazins Inside Channels haben mir im Nachgang einen Link auf deren Artikel geschickt, welcher wohl die Ursprungsquelle für alle anderen Beiträge in Schweizer Medien war.
Beim Überfliegen des Artikels kam ich aus dem Staunen nicht heraus. Es war von vorneherein klar, dass kein Anbieter aus der Schweiz oder der EU da im Verfahren mitbieten würde. Denn die Initiatoren haben klugerweise die Forderung, dass die Bieter Rechenzentren auf drei Kontinenten betreiben müssen, in die Ausschreibung eingefügt. Da ist es klar, dass nur chinesische und US-Anbieter zum Zuge kommen können.
Izwischen hat sich auch der Schweizerische Datenbeauftragte in der Zeitung "Bund" zum Thema geäussert. Die Kollegen vonInside Channels haben dies hier aufgeriffen. Aussage des Schweizerischen Datenbeauftragten: Zufrieden sei er nicht , denn seine Empfehlungen seien nur teilweise übernommen worden. "Wir empfahlen der Bundesverwaltung, bereits in den Offerten in einem separaten Kapitel spezifische Datenschutz-Zertifizierungen von den Anbietern einzufordern." Mit diesen Zertifizierungen wären einige der jetzigen Anbieter wohl in der Ausschreibung herausgefallen. Das Ganze ist für Interessierte doch ganz lesenswert und ein Lehrstück, wie die Ausschreibungsbedingungen den Ausgang in die gewünschte Richtung beeinflussen.
Anzeige
Staatliche Daten in einer chinesischen Cloud – echt jetzt? Da muss aber kein Verschörungsschwurbeler oder Trumpist sein, um arge Bauchschmerzen zu bekommen. Und hier machen sie sich Sorgen, ob man chinesische Hardware wohl bedenkenlos in der Telekommunikationsinfrastruktur einsetzen oder Handys von Huawei verwenden kann. Das Schlimme: Der Bürger kann sich ja nicht einmal dagegen wehren, wenn der Staat so mit den Daten umgeht. Ich musste echt ein zweites Mal gucken, ob da 1. Juli oder 1. April steht.
Gemäss dem Bundes-Irrenhaus ist E-Voting sicher. Da wird man wohl auch staatliche Daten in der ganzen Welt verteilt speichern können.
Zitat (von wem auch immer) "Es gibt keine Cloud, nur anderer Leute Daten"
110 Mio. p.a., 5 Jahre lang, also für 550 Mio. SFr kann man sich in CH keine eigene Cloud basteln?
Irgendwie bin ich in der falschen Branche tätig…
Ich sollte mich, beginnend mit einer 8 TB NAS, selbständig machen.
Da sieht man das in Europa nur fähige Leute an der Macht sind!
Als das ganze Cloud-Gedöns Ende der 90er-Jahre (?) damals aufkam, wurde ich zum ersten Mal in einem Newsletter der Telekom darüber informiert, dass "da was ganz Tolles demnächst kommen würde…!" Nach dem Lesen und sich näher damit beschäftigen, kam ich dann zu der Erkenntnis, dass ich da wohl so manches im Moment noch nicht richtig verstehe und, dass sich das dann alles wohl auch noch aufklären wird. Denn, dass ich meine privaten Daten auf einen Server irgendwo in der Welt hochladen sollte, nur um immer und überall darauf Zugriff zu haben, schien mir schon damals sofort doch sehr absurd und darüber hinaus sehr risikoreich. Aber wie gesagt, ich dachte, dass das wohl alles nicht so sein wird… ;-) Inzwischen weiß ich, dass ich sehr wohl ALLES sofort richtig verstanden hatte. Und meine Sicherheitsbedenken zielten damals nur auf meine privaten Daten ab. Dass das dann sogar mal ganze Betriebe und nun auch ganze Staaten mit ihren Daten machen werden, wäre mir damals so grotesk vorgekommen, dass ich wohl fast jede Wette eingegangen wäre, dass das NIEMALS passieren wird! Gut, dass ich keine Wette eingegangen bin, denn es kam (und kommt wohl) noch viel schlimmer… :-)
110 Mio für 5 Jahre… Bedenklich ist es trotzdem!
Es winken in einer laufenden Ausschreibung 110 Millionen Franken des Bundes ab 1.9.2021 bis 31.8.2026 für 5 Public-Cloud-Anbieter.
https://www.inside-channels.ch/de/post/public-cloud-bund-folgte-nicht-allen-edoeb-empfehlungen-20210701
Update: https://www.inside-channels.ch/de/post/public-cloud-bund-folgte-nicht-allen-edoeb-empfehlungen-20210701
Na, die werden das Zeug doch sicherlich verschlüsselt in der Cloud ablegen?
Ganz sicher nicht!
Die Schweizer sind halt neutral. Denen ist es egal, wem sie ihre Daten (unfreiwillig) mitteilen. Vielleicht vertrauen sie darauf, dass diese Daten dann nicht ausgenutzt werden.
Jetzt haben sie im Bundeshaus zu Bern völlig den Verstand verloren. Und der mündige Bürger verliert auch noch das letzte Quentchen Vertrauen in die amtlichen Institutionen.
Und einmal mehr wird hier von den Möchtegern-Strategen des Bundes Steuergeld für völligen Blödsinn verjubelt. Dass es im eigenen Land für die genannte Summe nicht realisierbar sein soll, eigenes Gewölk zusammen zu schustern … ja, da bleibt wirklich nur noch mitleidiges Kopfschütteln.
OT bezüglich cloud, aber doch mal positiv so ohne China / USA:
"Mercedes-Benz will ein neues Betriebssystem für vernetzte Autos entwickeln – und Tausende Software- und IT-Spezialisten einstellen. Alleine in Sindelfingen werden rund 1.000 Mitarbeiter gebraucht." -> automobil-industrie.vogel.de
Und zur Klaut: "Wer hat es erfunden?" ;-)