Die Nutzung von Microsoft 365 ist in zahlreichen Unternehmen spätestens seit der Corona-Pandemie gang und gäbe – auch in der Schweiz. Doch nicht nur die Privatwirtschaft, sondern auch öffentliche Behörden erwägen, ihre Daten in die Microsoft-Cloud zu verlagern oder haben dies bereits umgesetzt. Doch wenn öffentliche Schweizer Behörden den Wechsel zu Microsoft 365 vollziehen, hat dies erhebliche Auswirkungen auf die Daten-Souveränität und den Datenschutz. Dieser Schritt wirft unter anderem Fragen auf, da die Verantwortung für die Klassifizierung und den Schutz von Daten nun auf die Mitarbeitenden abgewälzt wird. In diesem Artikel werden die Bedeutung von Daten-Souveränität und Datenschutz, die Risiken des Einsatzes von Microsoft 365 in öffentlichen Behörden sowie alternative Lösungsansätze beleuchtet.
Risiken des Wechsels zu Microsoft 365 und alternative Lösungen
[ 1 ]Datensouveränität und -Haltung in der Schweiz
Die Daten-Souveränität bezieht sich auf das Recht eines Landes oder einer Organisation, die Kontrolle und die Entscheidungsgewalt über die eigenen Daten zu haben. In der Schweiz ist die Sicherstellung der Daten-Souveränität von entscheidender Bedeutung, insbesondere für öffentliche Behörden, die sensible Informationen und personenbezogene Daten verarbeiten. Die Datenhaltung bei einem Schweizer Unternehmen innerhalb der Schweiz gewährleistet, dass die Daten den schweizerischen Datenschutzgesetzen unterliegen und nicht ohne Zustimmung der Behörden offengelegt werden können. Sind die Daten zum Beispiel bei einem amerikanischen Konzern in einem Rechenzentrum in der Schweiz gespeichert, ist diese Datensouveränität nicht gegeben.
[ 2 ]Datensouveränität und Microsoft 365
Der Wechsel zur Plattform Microsoft 365 oder ähnlichen Diensten bringt neue Herausforderungen für den Datenschutz und die Datensicherheit in öffentlichen Behörden mit sich. Mitarbeitende müssen nun entscheiden, welche Daten klassifiziert werden müssen und welche Kanäle für die Übertragung oder Speicherung von sensiblen Informationen genutzt werden dürfen. Selbst klare Richtlinien und Schulungen der Mitarbeitenden können im hektischen Arbeitsalltag kaum vermeiden, dass es zu Fehlern kommen wird und potenzielle Verletzungen des Datenschutzes passieren können.
[ 3 ]Der US-Cloud Act und seine Auswirkungen
Der US Cloud Act, ein US-amerikanisches Bundesgesetz, ermöglicht es den US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen gespeichert werden – auch in Rechenzentren ausserhalb der USA. Dieser Umstand stellt eine potenzielle Bedrohung für die Datensouveränität dar, da amerikanische Unternehmen verpflichtet werden können, Daten offenzulegen, auch wenn sie ausserhalb der USA gespeichert sind. Für öffentliche Behörden in der Schweiz kann dies bedeuten, dass ihre Daten auf Cloud-Servern von amerikanischen Unternehmen – egal ob deren Standorte in Amerika oder in der Schweiz liegen – nicht mehr sicher sind, da ein unkontrollierbarer Zugriff durch die Hintertür möglich ist.
[ 4 ]Risiken des Wechsels zu Microsoft 365
- Abhängigkeit von einem ausländischen Anbieter
Durch den Einsatz von Microsoft 365 geben öffentliche Behörden einen Teil ihrer Datensouveränität aus der Hand und sind von einem ausländischen Anbieter abhängig, der unter anderem dem US-Cloud Act unterliegt.
- Unkontrollierbarer Zugriff auf Daten
Der US Cloud Act ermöglicht es US-Behörden, auf Daten zuzugreifen, die auf Servern von amerikanischen Unternehmen gespeichert sind – selbst wenn sich diese in anderen Ländern befinden. Dies stellt eine erhebliche Bedrohung für die Datensicherheit und -souveränität dar, da ein unkontrollierbarer Zugriff durch die Hintertür möglich ist.
- Risiko von Datenschutzverletzungen
Der Wechsel zu Microsoft 365 kann das Risiko von Datenschutzverletzungen erhöhen, da öffentliche Behörden weniger Kontrolle über ihre Daten haben und möglicherweise nicht in der Lage sind, die Einhaltung der schweizerischen Datenschutzgesetze sicherzustellen.
- Datensicherheit bei der Übertragung und Speicherung
Microsoft 365 bietet zwar Verschlüsselungsoptionen für die Übertragung und Speicherung von Daten. Dennoch bleibt die Frage offen, ob diese Massnahmen ausreichen, um die Sicherheit sensibler Informationen zu gewährleisten – oder ob dadurch die Kollaboration stark beeinträchtigt wird.
[ 5 ]Notwendigkeit einer gründlichen Risikoanalyse
Bevor öffentliche Behörden den Wechsel zu Microsoft 365 vollziehen, ist eine gründliche Risikoanalyse unerlässlich. Diese Analyse sollte sowohl die potenziellen Risiken des Einsatzes von Microsoft 365 für die Datensicherheit und
-Souveränität als auch alternative Lösungsansätze berücksichtigen. Es ist zudem wichtig, sich nicht nur auf die Einschätzung und Entscheidung anderer öffentlicher Verwaltungen zu stützen, sondern das Risiko für die eigene Abteilung oder Gemeinde abzuklären. Dabei ist es wichtig, die spezifischen Anforderungen und Bedürfnisse der Behörden sowie die rechtlichen Rahmenbedingungen zu berücksichtigen.
[ 6 ]Alternative Lösungsansätze
Schweizer Cloud-Anbieter: Office On-Premises
Eine On-Premises-Installation von Microsoft-Office-Produkten bietet öffentlichen Behörden in der Schweiz eine Alternative zum Wechsel zur Plattform Microsoft 365 (M365). Wenn öffentliche Behörden hierfür mit Schweizer Cloud-Anbietern zusammenarbeiten, die ausschliesslich der Schweizer Rechtsprechung unterliegen, kann die Daten-Souveränität gewahrt und das Risiko von Datenschutzverletzungen minimiert werden. Gleichzeitig können Behörden die Vorteile der vertrauten Microsoft-Produkte nutzen. Ein weiterer Vorteil ist, dass die Verantwortung für die Klassifizierung und den Datenschutz bei dieser Lösung nicht den Mitarbeitenden aufgehalst wird.
Bei Schweizer Cloud-Anbietern werden die Daten in einer Private Cloud gehalten. Kunden können sich jederzeit vor Ort anschauen, wo genau die eigenen (Kunden-)Daten gespeichert und verarbeitet werden. Diese Anbieter bieten häufig massgeschneiderte Lösungen für öffentliche Behörden an und können deren spezifischen Anforderungen dadurch besser erfüllen.
Was bedeutet On-Premises?
Damit die Daten-Souveränität gewahrt bleibt, muss der lokale Partner die Office-Programme On-Premises (On-Prem) auf den eigenen Servern installieren. Der Begriff On-Prem bedeutet übersetzt etwa «im eigenen Haus». Bei einer On-Prem-Installation werden die Anwendungen lokal auf den Servern des Anbieters bereitgestellt. Die Daten werden in einer privaten Cloud gehostet, anstatt sie in der Microsoft Cloud zu speichern. Dadurch bleibt die Kontrolle über die Daten in den Händen der Behörden – und sie sind nicht von einem ausländischen Cloud-Anbieter abhängig.
Vor- und Nachteile der On-Premises-Lösung
Der Vorteil dieser Lösung ist, dass öffentliche Behörden trotzdem die bewährten Office-Anwendungen von Microsoft nutzen können, ohne auf M365 wechseln zu müssen. Mitarbeitende können somit weiterhin die ihnen bekannten Tools wie Word, Excel oder PowerPoint verwenden. Lediglich für die Tools MS Teams und OneNote müsste in diesem Szenario eine Alternative dazu verwendet werden, da diese Dienste integraler Bestandteil von Microsoft 365 sind und nicht lokal installiert werden können.
Es ist jedoch zu beachten, dass bei dieser Lösung der Exchange-Server für die E-Mail-Kommunikation ausserhalb von M365 gehostet werden muss. Dies birgt jedoch den Vorteil, dass die E-Mail-Daten nicht in der Microsoft Cloud gespeichert werden, sondern lokal verwaltet werden können.
Nutzung von Open-Source-Lösungen
Öffentliche Behörden können auch Open-Source-Lösungen als Alternative in Betracht ziehen, die mehr Kontrolle über ihre Daten bieten und weniger anfällig für ausländische Einmischungen sind. Open-Source-Software ermöglicht es den Behörden, ihre IT-Infrastruktur nach ihren eigenen Anforderungen anzupassen und zu erweitern.
Der grosse Nachteil von Open-Source-Lösungen liegt jedoch darin, dass Mitarbeitende auf die gewohnten Office-Applikationen wie Word, Excel, PowerPoint oder Outlook verzichten und sich stattdessen umgewöhnen bzw. auf alternative Tools umschulen müssen. Dies kann auch puncto Attraktivität auf dem Arbeitsmarkt ein Nachteil sein und ist in der Realität eher schwierig umsetzbar.
[ 7 ]Sensibilisierung und Schulung der Mitarbeitenden
Unabhängig von der gewählten Lösung ist eine umfassende Sensibilisierung und Schulung der Mitarbeitenden im Umgang mit sensiblen Daten unerlässlich. Die Mitarbeitenden müssen über die Risiken des Datenmissbrauchs und die erforderlichen Sicherheitsmassnahmen informiert werden, um Datenschutzverletzungen zu vermeiden.
[ 8 ]Fazit
Ein Wechsel zur Plattform Microsoft 365 (M365) stellt öffentliche Behörden in der Schweiz vor erhebliche Herausforderungen in Bezug auf die Datensicherheit und -Souveränität. Die Sicherstellung der Daten-Souveränität ist für hiesige öffentliche Behörden von entscheidender Bedeutung, insbesondere angesichts der Bedrohung durch den US Cloud Act und die potenzielle Offenlegung von Daten an ausländische Behörden.
Es ist daher wichtig, die potenziellen Risiken eines Wechsels zu M365 kritisch zu hinterfragen und alternative Lösungsansätze zu prüfen, um die Integrität und Vertraulichkeit der Daten zu schützen. Damit öffentliche Behörden das Vertrauen der Bevölkerung in die öffentlichen Verwaltungen und Behörden nicht gefährden, müssen sie die Einhaltung der schweizerischen Datenschutzgesetze sicherstellen können. Daher liegt es an den Behörden, eine sorgfältige Abwägung zwischen den Vor- und Nachteilen verschiedener Optionen vorzunehmen und die für geeignetste Lösung zu wählen.
Bildquellen:
Unsplash.com/Jannosch Diggelmann
Pixabay.com/Colossus Cloud
Pixabay.com/AJS1
Unsplash.com/Tool., Inc