Staatliche Daten neu bei Alibaba in China
Mehrere US-Provider und Alibaba haben einen Grossauftrag erhalten: Sie sollen künftig die Daten der Schweizer Regierung sichern. Neben den US-Anbietern Amazon, IBM, Oracle und Microsoft hat der chinesische Cloud-Anbieter eine Ausschreibung mit einem Gesamtvolumen von 110 Millionen Schweizer Franken gewonnen [von heise online].
Schweizer oder europäische Cloud-Provider wurden nicht berücksichtigt, berichtet der Tages-Anzeiger. Besonders wichtig war bei der Ausschreibung der Preis, denn die Kosten wurden in den Vergabekriterien mit dreissig Prozent gewichtet. Gerade hier konnte Alibaba punkten [von heise online].
Diese News macht vor kurzem die Runde in den Medien und führten zu einer Aufruhr bei schweizer Cloud Providern und Datenschutz affinen Bürgern. Was ist jedoch an diesen Neuigkeiten dran? Schickt der Bund jetzt sensible Daten nach China?
Würden diese News genau so stimmen wie dargestellt, wäre dies äusserst bedenklich. In diesem kurzen Blogbeitrag möchte ich die Sache kurz etwas erläutern und in ein korrektes Licht rücken. Achtung: Der folgende Text enthaltet unter anderem die persönliche Meinung des Authors und wurde nicht sehr ausführlich recherchiert sondern frei nach Wissen des Authors geschrieben.
Was die Regierung tut ist sich Zugang zu allen wichtigen Cloud-Anbietern zu verschaffen.Im Grunde erlaubt dies den verschiedenen Ämtern, jeden dieser Cloud-Anbieter zu nutzen, ohne eine separate Beschaffung für jedes einzelne IT-Projekt durchzuführen, was jedes mal etwa ein Jahr dauert.
Jedes Projekt muss während der Realisierung immer noch eine Sicherheitsbewertung der betreffenden Daten vornehmen, und wenn die Daten sensibel sind, landen diese nicht in irgendeiner Cloud. Dafür hat die Schweizer Regierung zwei Rechenzentren in der Schweiz gebaut (https://www.inside-it.ch/de/post/bundes-rz-in-frauenfeld-bezugsbereit-20200302).
Auch die Regierung hat unzählige IT-Bedürfnisse, bei denen es nicht um „sensible Regierungsdaten“ geht, die von einem Zugriff auf Cloud-Dienste profitieren würden. Ich bin mir ziemlich sicher, dass es in Ordnung ist, wenn z.B. das Menüsystem des Mitarbeiterrestaurants irgendwo in einer chinesischen Cloud gehostet wird. Die Chinesen/Amerikaner werden sich freuen, wenn sie wissen, dass am Freitag Hamburger auf der Speisekarte steht. Genau in solchen Projekten spielt der Preis eine bedeutende Rolle und wurde daher entsprechend gewichtet.
Billig / Sicher / Schnell: Jedes Projekt, auch die vom Bund müssen dort eine Balance finden. Dieser Vertrag gibt der Regierung Optionen für Anwendungen, die nicht sicher sein müssen. Es ist nur ein weiteres Werkzeug in der Tasche, es bedeutet nicht, dass alle anderen Werkzeuge aus der Tasche geworfen werden.
Hoffentlich konnte ich Ihnen den Sachverhalt etwas aufzeigen. Als Anbieter von Cloud Diensten finden wir es jedoch nicht in Ordnung, dass die Schweiz aussländische Cloud Provier verwendet. Jedoch fand ich die reisserische Überschrift der entsprechenden Zeitungen auch nicht in Ordnung.