Öffentliche Hand: «Generell zeichnet sich deutlich eine zunehmende Offenheit gegenüber Cloudlösungen ab.»

 |   Microsoft Schweiz

Bundeshaus in Bern

Philipp Egli, Leiter Marketing & Kommunikation von isolutions, befragt Marc Holitscher, National Technology Officer und Mitglied der Geschäftsleitung von Microsoft Schweiz, über die Herausforderungen der öffentlichen Hand bei der Nutzung der Cloud, die geltenden Richtlinien und die Möglichkeit, die Cloud auf «Raten» einzuführen.  

Was sind die Challenges in der Cloud Migration im Public Sector?

Grundsätzlich unterscheiden sich die Bedingungen nicht markant von anderen Sektoren oder Industrien. Es gibt rechtliche Rahmenbedingungen, die eingehalten werden müssen. Neben dem Schweizer Datenschutzgesetz ist dies vor allem das Amtsgeheimnis, also die Anforderung, bestimmte Informationen gegen unberechtigten Zugriff bzw. Offenbarung zu schützen. Hier beobachte ich immer noch einen gewissen Respekt, etwas falsch zu machen.

Im Finanzbereich sind die rechtlichen Anforderungen ebenfalls sehr hoch. Dennoch nutzen immer mehr Finanzinstitute die Cloud. Zeichnet sich ein ähnlicher Trend im Public Sector ab?

Tatsächlich existieren mehrere unabhängige Rechtsgutachten, die eine Auslagerung in die Cloud unter dem Aspekt des Amtsgeheimnisses als zulässig erachten. Diese Ansicht wird auch von kantonalen Datenschützern geteilt. Voraussetzung ist, dass die Daten durch technische und organisatorische Massnahmen ausreichend geschützt sind. Insofern bin ich zuversichtlich, dass wir in den nächsten Monaten einige Projekte in diesem Bereich sehen werden, insbesondere was Office 365 betrifft. Dabei hilft der Umstand sicher, dass Office 365 schon bald aus der Schweiz mit garantierter Datenhaltung in der Schweiz verfügbar ist.

Generell zeichnet sich deutlich eine zunehmende Offenheit gegenüber Cloudlösungen ab. Für die meisten ist die Frage nicht ob, sondern wann sie auslagern. Wichtiger Treiber ist, dass viele Kunden von der hohen Sicherheit unserer Plattform überzeugt sind.

Wer definiert in der Schweiz die Richtlinien für den Public Sector?

Das ist einerseits der Gesetzgeber, der Eidgenössische Datenschutzbeauftragte, vor allem aber das Informatiksteuerungsorgan des Bundes (ISB). Es gibt aber auch Vereine wie eCH, die wichtige Arbeit im Bereich der Standardisierung leisten. Zudem werden die zu erfüllenden Richtlinien in den Verordnungen auf kantonaler Ebene definiert. Das heisst, wir haben es hier mit bis zu 26 unterschiedlichen Ausprägungen zu tun, welche eine einheitliche Auslegung erschweren und damit auch zu einer gewissen Verunsicherung führen. Um einen gesamtheitlichen Lösungsansatz zu verfolgen, stehen wir auch in engem Kontakt mit Privatim – der Vereinigung der Schweizer Datenschützer.

Welche Daten genau sollten nun nicht in der Cloud gespeichert werden?

Dies ist abhängig von der jeweiligen Klassifikation der Daten. Militärische Informationen oder Staatsgeheimnisse sind aufgrund ihrer grossen Sensitivität wohl nicht die besten Kandidaten für eine frühe Auslagerung in die Public Cloud. Am Ende bleibt es jedem Bundesamt überlassen, eine seriöse Risikoabschätzung zu unternehmen. Zusammen mit unseren Partnern wie isolutions verfügen wir über ausgewiesene Erfahrung in diesem Bereich und unterstützen unsere Kunden gerne. Generell zeichnet sich deutlich eine zunehmende Offenheit gegenüber Cloudlösungen ab. Für die meisten ist die Frage nicht ob, sondern wann sie auslagern. Wichtiger Treiber ist, dass viele Kunden von der hohen Sicherheit unserer Plattform überzeugt sind.

Das eine tun, das andere nicht lassen. Gibt es Möglichkeiten die Cloud auf „Raten“ einzuführen oder eine hybride Lösung zu wählen?

Eine stufenweise Migration ist eine absolut zielführende Option, aus verschiedenen Gründen. Einerseits bedeutet die Adoption von Cloudservices immer auch einen organisatorischen Lernprozess. In einem hybriden Umfeld lassen sich sehr gut erste Erfahrungen sammeln. Beispielsweise was die Arbeitsteilung zwischen der IT-Abteilung und den Geschäftsbereichen betrifft. Ebenso kann man das Risiko besser abstufen und kommunizierbar machen. Voraussetzung ist allerdings, dass der Kunde eine gute Sicht auf seinen Datenbestand hat, eine funktionierende Datenklassifikation und Data Governance aufgesetzt ist.

Wie sieht es aus mit dem Cloud Act? Wie geht Microsoft damit um?

Wir führen diese Diskussion mit unseren Kunden proaktiv und zeigen faktenbasiert auf, was die verschiedenen Kontrollen und Schutzmassnahmen sind. Das wird sehr geschätzt, denn es erlaubt unseren Kunden, ein eventuelles Risiko besser zu gewichten. Dabei kommen die meisten zum Schluss, dass die Thematik einer sicheren Nutzung der Cloud nicht entgegensteht. Zudem sind konkrete Anstrengungen unterwegs, ein Executive Agreement mit dem amerikanischen Justizdepartement zu verhandeln, so dass baldmöglichst keine Unsicherheiten mehr bestehen.

Das Gespräch wurde zuerst auf dem Blog von isolutions veröffentlicht.