Eine Pressemitteilung zum Thema “Swiss Cloud” ist derart verwirrend geschrieben, dass sie jeder etwas anders interpretiert. Sie ist zwar nicht falsch, jedoch missverständlich formuliert. So wird suggeriert dass gewisse Kantone bereits Arbeiten im Bereich Cloud vorantreiben würden. Das Framing der Pressemitteilung führte dazu dass die Medien schlussfolgerten: Die digitale Souverenität hat schlechte Chancen, wie etwa Inside IT titelte. Wer aber nachfragt und nachhakt, stellt fest, dass alles noch offen ist. Und ein Teil des Vorhabens bereits vorangetrieben wird. Und die ganze Verwirrung vor allem auf eins zurückzuführen ist: dass jeder und jede etwas anderes unter den Begriffen Swiss Cloud, Bundescloud und digitale Souverenität versteht.
Eigene Kantonsarbeiten… aber welche?
Doch nochmals von vorne:
Am 18. August berieten Ständerätinnen die parlamentarische Initiative von Isabelle Moret und Ständerat Charles Juillard zum Thema Swiss Cloud. Dies nachdem die “Schwesterkommission” im Nationalrat vor einigen Monaten grünes Licht gab.
Auslöser der Initiative war die Berichterstattung rund um die Public Cloud-Vergabe an chinesische und amerikanische Cloud-Giganten. Einige National- und Ständerätinnen forderten als Antwort auf diese Vergabeentscheid eine eigenständige digitale Infrastruktur. Das Ziel: digitale Souverenität. Zur Erinnerung: Die Idee einer Swiss Cloud wurde vor zwei Jahren nach Vernehmlassung mit VertreterInnen der Privatwirtschaft begraben. (Oder die Pläne sind zumindest in der Schublade verschwunden). Doch nach Bekanntmachung des Zuschlags an Alibaba, Amazon & CO im Sommer 2021 war der Aufschrei zu gross. PolitikerInnen und auch Schweizer Firmen forderten immer mehr: Eine Public Private Partnership aus Hochschulen und Firmen sollen leistungsfähige Infrastruktur bauen, die schützenswerte Daten horten. Nicht nur für die Bundesverwaltung, für alle. Der politische Druck auf den Bund ist somit wieder da.
Die nationalrätliche Sicherheitskommission fand die Idee einer Swiss Cloud für sensible Daten gut, sie nahm die Initiative an im Februar 2022. Vor zwei Wochen hat nun das Äquivalent im Ständerat darüber entschieden.
Was wurde nun beschlossen?
Folgendes steht in der Mitteilung vom 18. August:
“Die Kommission beantragt mit 6 zu 2 Stimmen bei 1 Enthaltung, zwei parlamentarische Initiativen (21.495 und 21.507) abzulehnen, welche vom Bund verlangen, eine eigenständige digitale Infrastruktur zu schaffen. Die Kommissionsmehrheit befürwortet zwar die Stärkung der Cybersicherheit und der Schweizer Souveränität, ist aber der Ansicht, dass die parlamentarische Initiative nicht der geeignete Weg für die Behandlung dieses komplexen Themas ist. Im Übrigen haben einige Kantone in diesem Bereich bereits Arbeiten in Angriff genommen. Die Kommission möchte sich an ihrer nächsten Sitzung erneut mit diesem Dossier befassen und wird dann entscheiden, ob sie einen Vorstoss einreicht. Zuvor hatte die SiK-S Vertretungen der Eidgenössischen Technischen Hochschulen (ETH), der Kantone Zürich und Waadt sowie von in diesem Sektor tätigen Unternehmen angehört. ”
Die SIK des Ständerats klingt also etwas skeptischer. Wer die Mitteilung liest, schlussfolgert also: die Idee der Bundescloud? Vielleicht ja, aber nicht so.
Dennoch gibt es einen irreführenden Teil: Ins Auge springt der Punkt über diese ominösen “Arbeiten” der Kantone. Ist damit beispielsweise eine Kantonscloud-Infrastruktur gemeint? Und wenn ja: Hat der eingeladene Kanton Zürich nicht gerade Microsoft 365 für seine gesamten Verwaltung eingeführt? Von welchen Aktivitäten ist also die Rede?
Nachfrage bei den eingeladenen Gästen.
Zuerst beim Amt für Informatik, Kanton Zürich. Diese entgegnet dass sie nicht wegen des Themas Souverenität sondern ihrer Expertise zu Cybersecurity eingeladen worden war.
“Die Arbeiten, von denen im Communiqué der Sicherheitspolitischen Kommission die Rede ist, beziehen sich auf die Stärkung der Cybersicherheit. Der Regierungsrat hat ja im Frühling die Schaffung eines eigenen Zentrums für Cybersicherheit beschlossen, das dem Amt für Informatik angegliedert ist. Dieses Zentrum und seine Arbeit haben wir am diesjährigen Sommerspaziergang vorgestellt. Es wird unter anderem eine Kampagne zur Stärkung der Sicherheitskultur führen, ein transparentes Cyber-Risikomanagement aufbauen und ein Bug Bounty Programm einleiten.“
Reto Flury, Kommunikationsbeauftragter der Finanzdirektion (zuständig für Amt für Informatik)
Bleibt also der Kanton Waadt. Nun erhoffen wir uns vom welschen Kanton Auskünfte über den “Geheimplan Kantonscloud”, der da vermeintlich vorangetrieben wird.
Doch auch hier wird heisser gekocht als gegessen. Waadt nimmt lediglich an einer Studie zum Thema “Souveräne Cloud” teil, wie wir von Beteiligten erfahren. Dabei werden verschiedene Konzepte geprüft, wie die “Treuhänder”-Lösung, mit der in Frankreich und Deutschland experimentiert wird: Datenzentren und Server befinden sich in der Hoheit und Kontrolle von lokalen Firmen, die Software stammt von den Hyperscalern Amazon und Co. Durch diese Arbeitsteilung sollten die Big-Tech-Konzerne keinen direkten Zugang zum Cloud-Geschehen haben. In Deutschland soll ein Gemeinschaftsprojekt der deutschen Firmen SAP und Arvato in Zusammenspiel mit Microsoft nun für öffentliche Organe zum Einsatz kommen. Und in Frankreich sind Capgemini und Orange die Wächter und Betreiber über die von Microsoft gelieferte Software. Ob das Konzept der «Sovereign Cloud» auch in den Rahmenverträgen Eingang hielt (zumindest bietet offenbar Oracle diese Lösung an), darüber hält sich der Informationsbeauftragte der Bundeskanzlei Florian Imbach auf Anfrage von DNIP bedeckt.
Zusammengefasst: In der Studie geht es durchaus um das richtige Thema und die richtigen Fragen, dennoch ist man weit entfernt von Ergebnissen. Es ist daher etwas fragwürdig weshalb sich die PolitikerInnen der kleinen Kammer zurücklehnen und darauf abstützen in der Entscheidungsfindung, anstelle eigene Machbarkeitsstudien zu beauftragen. Denn der Weg von der Studie bis zu beschlussfähigen Projekten und Investitionen ist noch lang. Oder aber die Presseabteilung hat die Kantonsarbeiten überbewertet.
Doch das ist nicht der einzige Grund warum der Vorstoss abgelehnt wurde. Offenbar hielt man in der Kommission- wie in der Mitteilung korrekt geschrieben wurde- die Initiative für ein ungeeignetes politisches Instrument. Im Gegensatz zu einer Motion könnten Initiativen schnell durchgepeitscht werden im Parlament, vor allem bei dringenden Themen. Eine Motion hingegen wird von der Landesregierung zuerst beurteilt, bevor sie in das Parlament kommt. Es besteht dadurch manchmal die Gefahr, dass gewisse Vorstösse auf der langen Bank liegen bleiben (und irgendwann abgeschrieben werden). Die BundesparlamentarierInnen Moret und Juillard wollten aber Tempo machen.
Doch den StänderätskollegInnen der SIK ging das offenbar zu schnell, sie möchten die Landesregierung beim Thema Bundescloud im politischen Prozess nicht ausschliessen. Daher lehnte sie mehr das politische Vehikel ab, jedoch nicht das Anliegen an sich. Der Ausgang ist damit immer noch offen. Vertreter der beiden ETH hätten sich interessiert gezeigt, haben Insider DNIP.ch mitgeteilt.
Atlantica als Booster für Kantone?
Und somit zum einem weiteren korrekten Satz: «Die Kommission möchte sich an ihrer nächsten Sitzung erneut mit diesem Dossier befassen und wird dann entscheiden, ob sie einen Vorstoss einreicht.»
Die Sitzungstermine für die Weiterführung der Debatte stehen fest: 24./25.10.22 und 10.11.22. Die Diskussion ist also noch nicht vorbei.
Ausserdem laufen einige Arbeiten bereits in diese Richtung, jedoch nicht bei den Kantonen sondern auf Bundesebene: Hier rüstet das BIT (Bundesamt für Informatik und Telekommunikation) ihre eigenen Rechenzentren auf, wie der grüne Nationalrat Gerhard Andrey auch nochmals gegenüber Inside IT anmerkt:
“Einerseits kann ich mir gut vorstellen, dass wir aus dem Parlament noch einmal nachlegen. Andererseits ist die Bundesverwaltung sowieso daran, ihre hauseigene Cloud-Infrastruktur um – respektive aufzubauen. Dies auf der Basis der schon heute bestehenden sogenannten Atlantica-Cloud [die vom BIT betrieben wird, Anmerkung von DNIP].”
Gerhard Andrey (Grüner Nationalrat) gegenüber Inside IT
Das Ziel des BIT ist es eine Cloud Native-Denkweise zu adaptieren in der Bundesverwaltung. Ausserdem hielt der Direktor Dirk Lindemann in einer Präsentation am ParlDigi-Dinner vom 15. Juni fest:
That said: das BIT ist ambitioniert den digitalen Wandel der Verwaltung voranzutreiben. Und dies mit eigenen Rechenzentren und externen Cloud-Anbietern. In der ParlDigi-Präsentation wurde die Stärkung der Atlantica Cloud beschrieben, die schon fest in der Cloud-Strategie vorgesehen ist. Über 400 Anwendungen laufen bereits darauf. Hier ein paar Beispiele, wie sie Sonja Uhlmann vom BIT auf Anfrage ausführt:
– Covid-Zertifikat
– Betriebs- und Unternehmensregister (BUR)
– Krebsregister des BAG
– ePortal
– Salarium
Sonja Uhlmann, Sprecherin des BIT auf die Frage der Atlantica Cloud-Anwendungen.
Gemäss dem Plan der Bundeskanzlei sollen schützenswerte Personendaten bei Atlantica verbleiben. In der Präsentation, die Dr. Erika Dubach von der Bundeskanzlei an der IT-Beschaffungskonferenz vom 24. August präsentierte, wird dies als Private Cloud + bezeichnet.
Doch eine Infrastruktur, wie es den InitiantInnen Moret und Juillard vorschwebt, ist mit Atlantica nur zum Teil erfüllt.
Denn die Kantone, Privatunternehmen und weitere Institutionen und Organisationen bleiben damit ja aussen vor. Ihnen fehlt nach wie vor die eigenständige digitale Infrastruktur zur Speicherung und Verarbeitung ihrer Daten, was die Kernforderung von Moret und Juillards parlamentarischer Initiative ist.
Und das BIT bestätigt: Atlantica ist nur für die Bundesverwaltung angedacht.
“Aktuell kommt die Cloud-Lösung Atlantica des BIT nur für Anwendungen der Bundesverwaltung zum Einsatz. Eine Ausweitung dieses Angebots über die Grenzen der Bundesverwaltung hinaus, ist zurzeit kein Thema.”
BIT-Kommunikationspezialist Georg Preisig
Vielleicht wäre es deshalb mal an der Zeit für eine Begriffsklärung der Konzepte “Swiss Cloud”, Bundescloud und eigenständige Infrastruktur sowie “digitale Souverenität”. Sowie den damit verbundenen Datenkategorien und Leistungsansprüchen dieser Cloudarten.
Dann werden vielleicht auch Pressemitteilungen in Zukunft weniger verwirrend geschrieben.
Bisherige Berichterstattung der Autorin rund um das Thema Public Cloud (bei Republik.ch): – Hauptrecherche zu den Mängeln in der Public Cloud-Ausschreibung – Stellungnahme zur Stellungnahme der Bundeskanzlei – Bundesgerichtsurteil: Bürger versus Bundeskanzlei – Swissmedic, Kanton Zürich, Bundeskanzlei und Emails der BundesparlamentarierInnen in der amerikanischen Cloud