Immer mehr Unternehmen unterhalten keine eigenen Rechenzentren mehr, sondern speichern ihre Daten bei Cloud-Anbietern. Diese stellen über das Internet Rechenleistung, Anwendungssoftware oder eben Speicherplatz zur Verfügung.
Dieses Angebot will auch der Bund mit der aktuellen Auftragsvergabe vermehrt nutzen, wie Tamedia-Zeitungen unter Berufung auf die Webseite Inside-Channels.ch schreiben. Vier US-Firmen – Amazon, IBM, Microsoft und Oracle – und das chinesische Unternehmen Alibaba, sollen zum Zug kommen.
Cloud-Experte Oliver Gilbert von der Hochschule Luzern über mögliche Risiken dieser Cloud-Vergabe ins Ausland.
SRF News: Welche Art von Daten darf der Bund in Clouds auslagern und welche nicht?
Oliver Gilbert: Je nach Art der Verwaltung dürfen Daten nicht oder nur unter strengen Bedingungen ausgelagert werden, oder nur Teilprozesse davon. Die Eingriffsverwaltung (Polizei) ist also anders zu behandeln als die Zuweisung von Subventionen. Die Verantwortung bleibt aber immer beim Bundesorgan.
Zudem ist ein technischer Aspekt zu berücksichtigen: Auch andere Länder vertrauen solche Daten diesen Providern an und verschlüsseln sie zwingend. Der zur Entschlüsselung notwendigen Key verbleibt quasi im Ursprungsland, sodass der Anbieter an die verschlossenen Daten gar nicht rankommt.
Daten, die einer gesetzlichen Geheimhaltung unterliegen, sollten generell nicht im Ausland gelagert werden.
Sehen Sie Probleme in Bezug auf die Datensicherheit?
Bei der Auslagerung in eine chinesische oder amerikanische Cloud sind die Durchgriffe des Staats, ob aus Schweizer Sicht gerechtfertigt oder nicht, als Rechtsrisiko aufzuführen und die Risiken durch die auslagernde Organisation zu tragen.
Daten, die einer gesetzlichen Geheimhaltung unterliegen, sollten generell nicht im Ausland gelagert werden, da die Gefahr der Verletzung der Geheimhaltung mit entsprechenden Straffolgen zu gross ist. Zudem müssen die betroffenen Personen darüber informiert werden.
Wieso hat der Bund keinen Anbieter aus der Schweiz oder Europa berücksichtigt? Fehlt da effektiv das benötigte Angebot?
Hier spielen die Anforderungen an die Cloud eine Rolle. Es gibt definitiv Anbieter in der Schweiz oder in der EU. Dazu müssten mehr Informationen im Zusammenhang mit der Ausschreibung analysiert werden.
Das Gespräch führte Marc Bodenmann.