Im Zuge meiner Public Cloud-Recherche habe ich mich bei einigen Bundesangestellten etwas umgehört. Wofür genau brauchen sie eigentlich eine Cloud? Was sind die klassischen Anwendungsszenarien (Datenbanken, Dokumentenbearbeitung, Applikationen)? Mit welch alternativer Software – ausser dem omnipräsenten Microsoft (wie etwa dem bundeseigenen „Intranet“ Sharepoint, Teams, Emails und und und) – arbeiten sie noch gemeinsam an Dokumenten und wo speichern sie diese? Was sind typische Collaboration Cloud und File Sharing-Lösungen, die nicht vom Big Tech-Riesen aus Redmond stammen?
Dabei bin ich auf ein interessantes Dialogprojekt beim BAFU Bundesamt für Umwelt gestossen. Mitarbeitende experimentieren dafür mit Kommunikationstools und mit Open Source Lösungen wie „Nextcloud“ die es erlauben, Daten auf dem eigenen Server zu hosten. Die europäische Alternative zu den amerikanischen Cloud-Giganten ist bei verschiedenen Schweizer Institutionen beliebt. Bei der ETH und beim CERN werden Nextcloud-Server für eigene Dokumente genutzt. Institutionen denen aufgrund von Forschungsgeheimnissen womöglich ebenfalls viel an Datenhoheit liegt.
Soweit, so gewöhnlich. Doch eine eigene Instanz via Nextcloud-Startseite aufzusetzen und zu betreiben, ist gar nicht so ein einfaches Unterfangen bei der Bundesverwaltung. Es scheint als ob die BAFU-Mitarbeitenden diese Lösungen nur über ihr privates Netz einrichten konnten. Denn der Zugriff auf nextcloud.com ist vom bundeseigenen Netzwerk nicht erlaubt, wie verschiedene Bundesangestellten gegenüber DNIP bestätigten. Dasselbe gilt auch für Google Drive, was wiederum aus Gründen des amerikanischen Cloud Acts nachvollziehbar ist. Anders ist das natürlich bei der „Standard-Infrastruktur“ von Microsoft. Microsoft 365, Skype und auch Teams sind Anwendungen, mit denen Bundeseinheiten arbeiten und die standardmässig eingerichtet sind (und offenbar nach eigener IT-Sicherheitsanalyse des Bundes – im Jargon: SCHUBAN, Schutzbedarfsanalyse- genannt, kein Risiko für die Behörden darstellt).
Auch der Zugriff auf AWS-Cloud-Lösungen unterliegen keinen Restriktionen. Kein Wunder: Neben Swisstopo, arbeiten auch das BIT (Bundesamt für Informatik und Telekommunikatin), die eidgenössische Zollverwaltung und das Bundesamt für Meteorologie mit Amazons Cloud-Datenzentren.
Dass in einer Verwaltung oder in einem Staatsbetrieb alternative Speicher- und Cloud-Dienste extra streng geprüft und je nachdem auch gesperrt werden, liegt auf der Hand. Doch wir wollten es genauer wissen. Wir haben beim BIT nachgefragt, wie die Policy dazu ist:
„Es werden beispielsweise Dienste gesperrt, welche die Informationssicherheit der Bundesverwaltung gefährden können oder aufgrund von zu viel Datenverkehr die Performance des Internetzugangs der Bundesverwaltung zu stark belasten würden.“
Sonja Uhlmann, BIT-Sprecherin
Uhlmann verweist auch auf die „Web Proxy Policy“. Gemäss dieser ( nicht öffentlich verfügbaren) Policy sind folgende Dienste gesperrt:
Spiele für Erwachsene (Adult games)
– Anonymisierer (Anonymizers)
– Werbebanner (Banners)
– DNS-Dienste (DNS Services)
– Spielen/Wetten (Gambling)
– Hackers
– Plauderprogramme / Sofortiger Datentransfer (Chatprogramme / Instant Messaging)
– Schadsoftware (Malware)
– Online Speicher (Online Storage)
– P2P-Software (Peer-to-Peer (P2P) Softwareserver)
– “Angeln” (Phishing)
– Anstössige Inhalte (Pornography)
– Fernwartungs-Software (Remote-Control Software)
– Späh- oder Schnüffelsoftware (Spyware)
– Virtuelle private Netzwerk Software (VPN Software)
– Internet-Telefonie Software (VoIP Software)
Offenbar gibt es in der Kategorie „Online Speicher“ durchaus genehmigte Ausnahmen wie obige Beispiele sagen. Ebenfalls interessant: Auch die Schweizer Lösungen wie Infomaniak oder Switchdrive scheinen problemlos erreichbar zu sein. Eine Angestellte könnten daher problemlos mit kDrive (von Infomaniak) an Office-Dokumenten arbeiten und Daten miteinander teilen.
Weshalb ist dann genau Nextcloud.com „blackgelistet“? Darauf haben wir keine eindeutige Antwort erhalten, nur eine allgemeine.
„Bei der Kategorie Speicherdienste besteht die Gefahr, dass geschäftliche Informationen nicht autorisierter Drittpersonen zur Verfügung gestellt werden könnten. Der Zugriff auf die oben genannten Kategorien ist gemäss der Web Proxy Policy aus dem internen Netz des Bundes grundsätzlich gesperrt und wird nur bei geschäftlichen Bedarf auf Antrag dediziert geöffnet.“
Sonja Uhlmann, Mediensprecherin BIT
Vielleicht sollte die Bundesverwaltung oder das BIT nochmals über die Bücher gehen und seine Whitelist nach eingehender Prüfung updaten. Nextcloud erfreut sich zunehmender Beliebtheit in der Schweiz und untersteht dem noch viel strengeren restriktiven DSGVO-Gesetz. Der Datenhunger europäischer Strafverfolgungs- oder Sicherheitsbehörden ist zweifellos auch da. Und auch wenn Verschlüsselungsfrage sicherlich auch eine Rolle spielt und hierbei auch Big Tech einiges investiert hat und anbietet: Die Gefahr, dass autorisierte Drittpersonen auf Bundesdaten zugreifen können, ist bei den amerikanischen oder chinesischen Big Tech-Firmen aufgrund deren gesetzlichen Herausgabepflichten, die auch extraterritorial angewendet werden, noch einiges grösser.
Ah ja Fun Fact: Um eine eigene Nextcloud-Instanz als Verwaltungseinheit betreiben zu können, braucht man gar keinen Zugriff auf nextcloud.com. Da es sich um eine Open Source-Lösung handelt, kann man diesen direkt von Github installieren, oder via einem „Repository“ (wie „apt-get“ oder „snap“ oder „Docker Container“), und die passenden Server dazu gibts ja via AWS. Darauf lässt sich dann auch ironischerweise mit den Bundesrechnern problemlos darauf zugreifen. (all die IP-Adressen mit Nextcloud-Instanzen individuell zu sperren, wäre ja bisschen Sisyphos-Arbeit für das BIT)
Und zu allerletzt: Für die „Web Proxy Policy“ ist offenbar eine andere Behörde zuständig: Der Bereich Digitale Transformation und IKT-Lenkung DTI der Bundeskanzlei. Ich habe ebenfalls eine BGÖ-Anfrage an das BIT bezüglich aller gesperrten Webdiensten gerichtet. Updates folgen…
Update 13:35: Da auf Twitter die Frage aufkam bezüglich illegitimer Experimente und „Schatten-IT“: die betreffenden Verwaltungseinheiten experimentieren nicht mit Bundesdaten und auf Arbeitsgeräten. Sie testen selber privat (mit eigenen Rechnern) wie man Nextcloud konkret nutzen kann. Der Dialog dazu läuft ganz öffentlich und offiziell über die jeweiligen Dienste. Das geht aus meinem Text nicht klar hervor, weswegen ich das nochmals ausdrücklich festhalten möchte.
2 Antworten
Ausser bei US-amerikanischen Cloud-Betreibern besteht m.E. kein ernsthaftes Problem hinsichtlich der Geheimhaltung, weil dies vertraglich genügend geregelt werden kann. Bei Cloud-Betreibern mit Sitz in der EU ist. m.E. auch der Datenschutz gewährleistet. Trotzdem verstehe ich die Zurückhaltung von Bundesorganen bei der Zulassung einer Nutzung von ausländischen Cloud-Betreibern. Je nach dem wie wichtig amtliche Daten des Bundes sind, muss ein jederzeitiger Zugriff auf diese Daten möglich sein. Technisch kann dies ebenfalls vertraglich geregelt werden. Auch die Gewährleistung einer redundanten Datenhaltung und von Backups kann vertraglich geregelt werden. Rechtlich in keiner Weise geklärt ist aber, was mit Daten geschieht, wenn der Clouds-Betreiber oder der Betreiber des Rechenzentrums insolvent wird und Konkurs geht oder wenn Behörden aus anderen Gründen die Server Beschlagnahmen. Dann ist völlig unklar, wer noch Rechte an den Daten auf den beschlagnahmten Servern hat. Wenn die Server in der Schweiz liegen, dann kann man diese Fragen entweder durch Bundesrecht regeln oder doch rasch auf die beschlagnahmenden Behörden Einfluss nehmen. Bei Servern m Ausland ist dies kaum möglich. Das spricht bei bestimmten (rechtlich wichtigen bzw. sachlich unverzichtbaren) Bundesdatensätzen für eine Datenbewirtschaftung auf Servern in der Schweiz.
Vielen Dank für Ihren Kommentar! Ja ich gehe davon aus dass genau ein solcher Vertrag wohl nicht vorliegt zwischen der Nextcloud GmbH und dem BIT. Ich denke nicht dass bewusst der Fall ist (konkrete Antworten hab ich ja nicht erhalten), sondern weil es einfach noch nicht eingehend geprüft worden ist und damit auch automatisch gesperrt bleibt (nicht „whitegelisted“). Offenbar melden nun mehrere Verwaltungseinheiten aber ein Interesse/Bedürfnis nach einer selbst gehosteten Nextcloud-Instanz für einen spezifischen Use Case an. Vielleicht wird das BIT sich das nun näher anschauen. Es bleibt also spannend.