Der Bericht der Eidgenössischen Finanzkontrolle EFK zur Digitalisierung des Bundes enthält teils happige Fakten, die man zuerst einmal verdauen muss.
Unter anderem: Keine Übersicht über laufende Projekte, ausufernde Kosten, die eine Hand weiss nicht was die andere macht, keine Lust auf Automatisierung, fehlender Zugang zu den Verträgen mit amerikanischen IT-Konzernen, und am haarsträubendsten: die eigenen Rechenzentren werden gar nicht ausgelastet.
Und das ausgerechnet in Zeiten wo jeder nach digitaler Souveränität schreit.
Damit man nicht den gesamten 50-seitigen Bericht lesen muss: Hier eine Auswahl der wichtigsten Textstellen aus dem Bericht – die meiner Meinung nach für sich sprechen – mit kurzen Anmerkungen von meiner Seite (Achtung: enthält teilweise Spuren von Ironie).
Beginnen wir mit der für mich überraschendsten Meldung:
1. Der Bund nutzt seine eigenen Rechenzentren nicht
„Die Rechenzentren PRIMUS (zivile Nutzung), CAMPUS (zivile und militärische Nutzung) und FUNDAMENT (militärische Nutzung) sind in Betrieb. Das Projekt Rechenzentrum KASTRO II (militärische Nutzung) soll bis 2033 und damit 10 Jahre später als ursprünglich geplant abgeschlossen werden.
Im Jahr 2021 meldeten die Departemente der Bundeskanzlei, dass im zivilen Bereich 25 (!!) Rechenzentren in Betrieb seien. Angesichts derer geplanter Integration in den Rechenzentrenverbund hätte ein klarer Bedarf an Fläche bestanden. Dennoch lag die Auslastung bei CAMPUS zu diesem Zeitpunkt nur bei 20 % mit dem Ziel, 50 % zu erreichen. Diese Überkapazitäten verursachen zusätzliche Kosten, und ein Plan zur wirtschaftlichen Nutzung fehlt.
Die Verschiebung der Systeme erfolgte jedoch nicht direkt nach CAMPUS, sondern über einen «Zwischenschritt» in das alte bestehende Rechenzentrum PRIMUS. Dieser Schritt war nötig, da sich herausstellte, dass die geschätzten 1600 Anwendungen einzeln auf Kosten der Ämter für den Betrieb in CAMPUS angepasst werden müssen. Ein Gesamtprojekt, Zeitplan und eine Kostenplanung dafür fehlen. Neben der Tatsache der Überkapazitäten in CAMPUS, entwickelt sich PRIMUS immer mehr zum Klumpenrisiko: Dieser Standort muss in den kommenden Jahren komplett saniert und die Stromversorgung auf den erhöhten Bedarf durch neue Hochleistungsrechner angepasst werden.
Nach aktuellem Wissensstand der EFK basieren die Konzepte weiterhin auf vier Rechenzentren, doch die EFK stellt fest, dass sich die Realität, etwa bei der Anzahl der Rechenzentren und der Besiedlung von CAMPUS, anders entwickelt hat als vorgesehen. Dehnt man z. B. die Nutzung von Public Cloud Lösungen aus, verringert sich der Bedarf an eigenen Rechenzentrumskapazitäten. Die nachteiligen Auswirkungen der Unterbelegung von CAMPUS könnte sich also noch verschärfen. Eine gegenteilige Wirkung könnte hingegen das Streben nach digitaler Souveränität haben.„
=> Ich bin jemand, die die vielen IT-Papiere des Bundes liest und damit sehr schnell deren Inkonsistenzen feststellt. Wer die Botschaft des Bundesrats zur Swiss Government Cloud von 2024 gelesen hat, weiss: das BIT möchte so gut es geht die Public Cloud nutzen in Zukunft. Die Ämter wie das Eidgenössische Zollamt und auch das Bundesamt für Gesundheit nutzen die Clouds von Amazon und Microsoft, wegen hoher Stabilität, Performanz und Verfügbarkeit. Alle die Problemchen rund um digitale Souverenität, Geopolitik, Erpressbarkeit und Datenschutz sind in dieser Rechnung zweitrangig.
Bisher ging ich davon aus, dass dieser Plan mit den fehlenden Rechenzentren zusammenhing und der fehlenden Kapazität, diese ausreichend sicher zu managen. Nun lese ich zum ersten Mal von 25 Rechenzentren, dann auch noch von marginaler Auslatung von nur 20 %. Es bleibt zu hoffen dass die von der EFK verlangte Rechenzentrumstrategie und der Plan zur Digitalen Souveränität (Achtung, ein Postulatsbericht des Eidgenössischen Aussendepartments ist bis heute nicht erarbeitet), zusammengedacht wird.
Kurz: der Schweizer Staat hätte eigentlich die Rechenzentren, nutzt sie aber nicht. Und will (Stand heute) auf die Public Cloud der amerikanischen IT-Konzerne setzen, möglichst viele Daten dorthin migrieren, weil „sicherer“ und die Verantwortung über Fails besser outsourcbar (und die Probleme mit den USA wegen Cloud Act, FISA und Erpressbarkeit wegen Trumps Flausen lösen sich dann irgendwann von selbst auf).
2. Dokumenten-Labelling nicht konform mit den Bundesgesetzen und immer noch keine Risikoeinschätzung zu den Cloudstufen-Modellen
„2023 prüfte die EFK die Umsetzung der Cloud-Strategie und stellte fest, dass die Cloud-Modelle sowie ihre Nutzungsbedingungen nicht klar voneinander abgegrenzt waren. Zudem fehlten Kriterien für die Auswahl eines Modells. Der Bundesrat forderte die Bundeskanzlei auf, bis Ende 2024 das Modell zu präzisieren. Die bisherigen Arbeiten decken nicht die gesamte Strategie ab. Eine detaillierte Untersuchung der Chancen und Risiken der einzelnen Cloud-Modelle fand nicht statt – lediglich die Public Cloud wurde allgemein betrachtet. Damit blieb die Umsetzung einer Empfehlung der EFK aus 2021 hinter den Erwartungen zurück, die auf allgemein verbindliche Vorgaben sowie Hilfsmittel für den Einsatz von Cloud-Technologien abzielte.
Parallel zur Grundlagenentwicklung beginnen erste Bundesämter bereits mit der Cloud-Nutzung, wie das Bundesamt für Meteorologie. Das Amt verlagert seine geschäftskritischen Anwendungen in die Public Cloud, die durch Amazon betrieben wird, um ausfallsichere Leistungen sicherzustellen. Die EFK stellte 2023 fest, dass zum Zeitpunkt der Prüfung keine ausreichende Risikobeurteilung vorlag. Das Amt war dazu auch nur eingeschränkt in der Lage, da seine Sicherheitsspezialisten aus Gründen der Vertraulichkeit der ausgehandelten Verträge keinen Zugang zu relevanten Informationen über die Sicherheitsmassnahmen der Public Cloud erhielten. Entsprechend war es längere Zeit nicht möglich, die verbleibenden Risiken oder den Bedarf an zusätzlichen Schutzmassnahmen zu ermitteln.„
=> Wie ich bereits in einer Republik-Recherche aufdeckte: Nicht mal die eigenen Bundesangestellten haben Zugang zu den Verträgen mit den IT-Konzernen. Beim Bundesamt für Meteorologie erstaunt es noch weniger: Schliesslich bearbeiten diese ihre Daten in der Cloud von Amazon, das bekanntlich gegen mich vor Bundesverwaltungsgericht geht und die Herausgabe der Dokumente aller 5 IT-Konzerne verweigert.
„Mit der Einführung von Microsoft 365 in der Bundesverwaltung wird unter anderem eine sog. Labelingpflicht für Office-Dokumente eingeführt, unabhängig von ihrem Speicherort (z. B. in Geschäftsverwaltungssystemen oder Dateiablagen). Dies führt zu einem Mehraufwand für die Mitarbeitenden, wie die EFK in einer Kurzanalyse 2025 festgestellt hat. Das Labeling soll vor allem festlegen, ob ein Dokument in der Public Cloud gespeichert werden darf. Da die meisten Dokumente aber in internen Systemen abgelegt sind und eine Speicherung in der Public Cloud von Microsoft daher nicht vorgesehen ist, wäre das Labeling für viele Dokumente bei ihrer Bearbeitung gar nicht nötig. Ausserdem wird für das Labeling eine neue Klassifizierung eingeführt, die nicht identisch ist mit dem Informationssicherheitsgesetz bzw. der zugehörigen Verordnung, da es auch die Anforderungen des Datenschutzgesetzes abbilden soll“.
=> Die Klassifizierung à la Microsoft heisst: General, Public und Sensitive und sie korrespondiert NICHT mit dem Schweizer Datenschutzgesetz und auch nicht mit dem Informationssicherheitsgesetz des Bundes, das ganz andere Klassifikationsstufen vorsieht.
Unter General können etwa interne Dokumente in der amerikanischen Cloud bearbeitet und gespeichert werden. Also auch Sitzungsprotokolle.
Gemäss einem zweiten EFK-Bericht ärgert sich das Untersuchungsgremium darüber, dass die Bundesverwaltung die Labellingspflicht nochmals anpassen wird bis Ende Jahr durch das SEPOS (Staatssekretariat für Sicherheitspolitik).
Und die ganze Arbeit der „richtigen“ Verschlagwortung dann 2 Mal gemacht werden muss.
3. Mängel bei der Cybersicherheit von Kritischer Infrastruktur
„Die Fachstelle IKT-Sicherheit des Bundes des VBS hat 2022 Vorgaben zur Cybersicherheit innerhalb der Bundesverwaltung erlassen, deren Einhaltung überprüft und die Verwaltungseinheiten bei der Beseitigung von Schwachstellen unterstützt. 2022 fasste die EFK zusammen, wie gut der Bund auf konkrete Cybervorfälle innerhalb der Verwaltung reagiert. Bei einem Vorfall ist ein schneller Informationsfluss von der Quelle zum BACS, sowie rasche Massnahmen und Information zu den relevanten Stellen essenziell.
Wenn es um die sofortige Meldung geht, stimmt das damalige Ergebnis nicht zuversichtlich. In zwei untersuchten Fällen dauerte es einmal 13, einmal 11 Tage von der Entdeckung des Vorfalls bis zur Meldung an das BACS. Das ist eine kleine Ewigkeit, wenn es um Cyberangriffe geht. Auch die Meldung des BACS an das Netzwerk der Informationssicherheitsbeauftragten erfolgte zu spät – sie ist erst nach dem Abschluss des Cybervorfalls vorgesehen. Bei diesen Vorfällen muss die Kommunikation nicht nur mit den Betroffenen transparent und schnell sein, sondern auch mit denen, für die ein Vorfall auch ohne direkte Betroffenheit relevant ist. Erfreulich: Mittlerweile wurden und werden diverse Weisungen überarbeitet, und seit 1. April 2025 gilt eine sofortige Meldepflicht bei Cybervorfällen. Ausserdem konnte die EFK dem BACS gute Noten ausstellen, wenn es um die Prozesse zur inhaltlichen Bewältigung eines Vorfalls geht. Generell hat sich in diesem Bereich in den letzten 12 Monaten viel verändert, nicht nur seit der Schaffung des Staatssekretariats für Sicherheitspolitik SEPOS im VBS.
(…)Die Überwachung von Netzwerken und IKT-Systemen ist wichtig, um die Sicherheit und den reibungslosen Geschäftsbetrieb zu gewährleisten. Eine Prüfung bei den fünf IKT-Leistungserbringern des Bundes im Jahr 2024 zeigt, dass Sicherheitslücken in Anwendungen von den Leistungserbringern in der Regel schnell erkannt und adressiert werden. Allerdings müssen oft auch die Leistungsbezüger und mögliche externe Lieferanten rasch Massnahmen ergreifen. Beispielsweise können Anpassungen an Komponenten erforderlich sein, die von externen Firmen im Auftrag der Leistungsbezüger entwickelt wurden. In solchen Fällen müssen diese die Arbeiten in Auftrag geben. Dies wird teilweise nicht oder nicht rechtzeitig erledigt. Die meisten IKT-Leistungserbringer hatten keine Weisungsbefugnis, um diese Massnahmen durchzusetzen bzw. unzureichend gewartete Systeme einfach abzuschalten. Das führte unweigerlich dazu, dass Sicherheitslücken über längere Zeit bestehen blieben.„
„Weniger positiv sieht es beim Schutz kritischer Infrastrukturen aus. Diese stellen die Versorgungssicherheit in der Schweiz sicher. Sie müssen gut vor Cyberattacken geschützt werden. Das sind sie nur bedingt. Es fehlen teilweise verbindliche Sicherheitsvorgaben für die Betreiber, und die Zuständigkeiten sind zersplittert.“
Hier ein bitteres Verdikt:
(…)
„2024 erstellte die EFK einen Synthesebericht, der die Ergebnisse von neun Einzelprüfungen zusammenführt. Das ernüchternde Ergebnis: Es muss mehr unternommen werden, um die Cybersicherheit von Informationen und Systemen zu gewährleisten. Es mangelt an effektiven Kontroll- und Steuerungsstrukturen sowie klar definierten Rollen und Verantwortlichkeiten. Die Vorgaben zum Thema Cybersicherheit sind häufig nur Empfehlungen, wie etwa der Minimalstandard zur Verbesserung der IKT-Resilienz des Bundesamtes für wirtschaftliche Landesversorgung. Diese Standards sind für Betreiber kritischer Infrastrukturen nicht verbindlich. Die Aufsicht kann meistens lediglich zur Verbesserung der Schutzmassnahmen anregen, aber oft nicht deren Umsetzung einfordern. Dies ist alarmierend, da es hier um die Sicherstellung der Versorgung der Schweiz geht – ein Bereich, in dem Versäumnisse gravierende Folgen haben können.„
=> Seit dem 1. April gilt eine strenge Meldepflicht für Betreiber von Kritischer Infrastruktur gemäss dem Informationssicherheitsgesetzes des Bundes. Das Zuständigkeitschaos ist angesichts zwei Cybersecurity-Ämter (dem Bundesamt für Cybersicherheit und dem Staatssekretariat für Sicherheitspolitik) im zivilen Bereich weniger verwunderlich. Noch immer ist unklar, wer für die IT-Sicherheit der externen Leistungsträger des Bundes zuständig ist.
4. Die Ämter haben keine Lust auf Automatisierung
„Knapp 60 % des Bundeshaushalts, d. h. rund 50 Mia. Franken jährlich, werden als Subventionen ausgezahlt. Trotz der zentralen Bedeutung des Subventionsprozesses verwenden die subventionsgebenden Verwaltungseinheiten eigene Anwendungen zur Bearbeitung der Subventionsgesuche. Eine dieser Anwendungen im Eidgenössischen Departement des Innern (EDI) muss bis Ende März 2025 ersetzt werden. (…) Um das Effizienzsteigerungspotenzial bei der Vergabe von Subventionen vollständig zu nutzen, müssten die bereits mitwirkenden Verwaltungseinheiten ihre Prozesse und Daten jetzt schon anpassen. Ein verbindlicher Auftrag dazu fehlt. Zudem gibt es Widerstand gegen Automatisierungen: Es gäbe Möglichkeiten zur Verbesserung, etwa durch die automatisierte Vollständigkeitsprüfung der eingehenden Gesuche. (….)
(…) Eine langsame Digitalisierung und das Fehlen durchgängiger elektronischer Unterstützung führen dazu, dass zentrale Bereiche der Sozialversicherung weiterhin auf ineffiziente und fehleranfällige papierbasierte Verfahren setzen. Im Bereich der Invalidenversicherung werden jährlich rund 1,6 Millionen Leistungsrechnungen bearbeitet – 2017 rund 70 % davon auf Papier. Damals stellte die EFK fest, dass den IV-Stellen keine Werkzeuge zur automatisierten Verarbeitung zur Verfügung stehen und bestehenden Möglichkeiten bei der zuständigen Bundesbehörde nicht genutzt werden. Fortschritte werden erzielt, die Umsetzung der entsprechenden Empfehlung verzögert sich allerdings seit Jahren; neuer Termin ist Ende 2025.
Auch in der Arbeitslosenversicherung bleiben papierbasierte Verfahren dominierend. Trotz vorhandener Onlinedienste (e-Services) für Kurzarbeitsentschädigungen nutzen nur rund 20 % der Unternehmen diese Möglichkeit. Die Entwicklung weiterer e-Services für weitere Leistungen wie Arbeitslosen-, Insolvenz- und Schlechtwetterentschädigung wurde zurückgestellt. Seit Jahren wird ein neues System zur Auszahlung der Arbeitslosengelder entwickelt. Nach Intervention der EFK 2021 sollen beide Vorhaben – e-Services und Auszahlungssystem – wo möglich koordiniert bis Ende 2025 eingeführt werden.
Im Bereich der Erwerbsersatzordnung sollen trotz digitalisiertem Prozess Zahlungsbestätigung per Brief verschickt werden. Allein die Portokosten belaufen sich auf eine halbe Million Franken pro Jahr.
In der Eidgenössischen Steuerverwaltung (ESTV) ist bei der Digitalisierung seiner Hauptprozesse weit fortgeschritten. Allerdings ist der Digitalisierungsgrad bei der Erhebung der Verrechnungssteuer (Bruttoeinnahmen 38,1 Mrd. Franken) ernüchternd. Die EFK hat 2018, 2021 und 2024 auf Digitalisierungsmöglichkeiten in diesem Bereich hingewiesen. Wichtige Erhebungsdeklarationen können von den Steuerpflichtigen weiterhin nicht digital bei der ESTV eingereicht werden.
(….)
In diversen EFK-Berichten findet sich ein wiederkehrendes Thema, den geringen Appetit auf Automatisierung zur Vermeidung und Bekämpfung von Fehlern oder Betrug. Hierzu einige Beispiele: Bei der Erwerbsersatzordnung werden nach 600 000 Anträgen jährlich Entschädigungen in Höhe von fast 700 Millionen Franken bezahlt. Mit der geplanten Digitalisierung plant das Bundesamt für Sozialversicherungen Einsparungen von rund 6 Millionen Franken pro Jahr für Unternehmen und Ausgleichskassen. 2024 stellte die EFK fest, dass es kein Konzept gibt für ein effizientes automatisiertes Kontrollsystem zur Vermeidung von Fehlern oder Betrug. Die Potenziale der Digitalisierung werden damit nicht ausgeschöpft.
Im Bereich der Arbeitslosenversicherung gab es durchaus Pläne für automatisierte Missbrauchskontrollen. Aufgrund von Verzögerungen bei der Ablösung des alten Auszahlungssystems für Arbeitslosengelder (ASAL) wurden diese jedoch vorerst auf Eis gelegt, sollen aber zu einem späteren Zeitpunkt implementiert werden. Auch wenn kompensierende Kontrollen vorgesehen sind: Ohne automatisierte Kontrolle bleibt vorerst die Wahrscheinlichkeit hoch, dass ungerechtfertigt bezogene Gelder noch eine Weile unentdeckt bleiben.
Das Bundesamt für Zoll und Grenzsicherheit (BAZG) arbeitet an einer Anwendung, um die Verfahren des Warenverkehrs an der Grenze zu vereinfachen und zu beschleunigen. Mit der Einfuhr nimmt das Amt im Schnitt jährlich rund 13 Milliarden Franken Mehrwertsteuer ein. Die Kontrollen über dieses Massengeschäft werden zwar überarbeitet, allerdings nicht früh genug, um automatisierte Kontrollen rechtzeitig identifizieren und implementieren zu können.
Auch im Projekt eSubventionen im Eidgenössischen Departement des Inneren werden Möglichkeiten wie z. B. automatisierte Vollständigkeitsprüfungen der eingehenden Gesuche nicht genutzt.“
(…)
Schlechte Datenqualität ist eine Tatsache, die die EFK immer wieder in ihren Berichten festhalten muss. Dies trifft häufig dann zu, wenn die Datenpflege dezentral von vielen unterschiedlichen Einheiten erfolgt, keine bzw. nur wenige automatisierte Kontrollen Fehler und unplausible Eingaben verhindern und die nachgelagerte Qualitätssicherung keine ausreichenden Instrumente hat, um allfällige Korrekturen durchzusetzen. Beispiele finden sich beim Personenregister für ausländische Staatsangehörige ZEMIS, beim Handelsregister, im Grundbuchwesen (vor allem im Bereich der Langzeitsicherung), bei den Objektdaten zu den Betriebsimmobilien des Bundesamtes für Zoll und Grenzsicherheit oder dem bundesinternen Cockpit IKT. Datenpflege ist aufwändig und ein fortlaufender Prozess. Die Alternativen sind allerdings verzögerte oder nicht belastbare Entscheide, die auf falschen oder fehlerhaften Daten basieren und mehr Schaden anrichten können, als die Datenpflege kosten würde.„
=> Wie ich in einer anderen Republik-Recherche schon mal aufzeigte, ist eine Hauptursache der mangelnden Digitalisierung des Staates nicht der Mangel an zündenden Ideen, wie Künstliche Intelligenz einzusetzen ist (selbst die EFK ist irrtümlicherweise überzeugt davon, dass der Einsatz von Generative KI grosse Einsparungen zur Folge hat).
Sondern es mangelt an Schnittstellen, Abläufen und Datengouvernan sowie Datenqualität.
Die EFK-Befunde erinnern mich daher ein wenig an die Fax-Misere während der Pandemie als die Papierstapel der eingehenden Covid-Meldungen ausgedruckt, abgemessen, geschätzt und dann wieder eingetippt worden sind. Wie gesagt: KI braucht es hier nicht, um das Fehlerpotenzial einzudämmen.
Es reicht auch einfach die Basics einzuführen, damit die richtigen Daten an den richtigen Ort fliessen und die Mitarbeitenden entlasten.
Und zuletzt: Kostenexplosion aber auch eine gute Nachricht
Der EFK-Bericht offenbart viele weitere Missstände: Oftmals verschätzen sich die Departemente und Ämter bei den Kosten für grosse IT-Projekte und zwar eklatant. „2024 nimmt die EFK beim Staatsekretariat für Migration zur Kenntnis, dass die Gesamtkosten für das Projekt zur Ablösung von ZEMIS (zentrales Migrationsinformationssystem der Schweiz) von den geplanten 65,9 Millionen Franken in 2022 auf mittlerweile 193 Millionen geschätzt werden. Ausserdem hat der Bundesrat das Kostensenkungsziel angepasst. Einsparungen von 15 bis 20 % seien nicht mehr realistisch.“
Die EFK moniert: Es laufen neu einzuführende Systeme parallel zu alten Legacy-Systemen, Personal werde abgezogen und fehle dann woanders. Hier zeigt sich: Sparen beim Bundespersonal ist keine gute Idee, denn die Komplexität vieler IT-Geschäfte wird nur noch grösser.
On the positive note: Die EFK erwähnt vor allem das Eidgenössische Justizdepartment positiv, in Sachen Strategie, Plan und Architektur. Ebenso die Secure Private Cloud, die auch künftig anderen Verwaltungseinheiten zur Verfügung stehen soll.
