SBB, Zürcher Stadtverwaltung, Unispital: Sie stehen vor ähnlichen Fragen im Umgang mit US-Software. Sie kommen dabei zu unterschiedlichen Antworten, schreibt Kolumnist Reto Vogt.
«I will stand up to Countries that attack our incredible American Tech Companies!» Dieses Zitat braucht keinen Absender. Die Melodie von Donald Trumps Singsang klingt auch so sofort im Ohr. Diese Woche drohte er, Länder mit Zöllen und Exportstopps zu bestrafen, die Digitalsteuern erheben oder strengere Regeln für Google, Microsoft und Co. erlassen. Kurz: Wer den amerikanischen Tech-Giganten Schranken setzt, legt sich mit den USA an.
Treffen Trumps willkürliche Sanktionen nur Staaten? Oder plötzlich vielleicht auch ein Unternehmen, das nach Ansicht des Präsidenten zu wenige Stellen in die USA verlagert? Auszuschliessen ist das nicht. Als Unternehmen oder Behörde mit geschäftskritischer US-Software im Einsatz gilt nach wie vor: «US-Clouds unter Trump? Trau schau wem.» Seit diesem Jahr sitzt ein unkalkulierbares und unkontrollierbares Risiko im Weissen Haus. Was auch immer die Excel-Tabellen in Sachen Restrisiko ausspucken – es ist letztlich irrelevant.
Erst kaufen, dann prüfen
Ob im Unispital Zürich (USZ) kürzlich Excel für eine Riskokalkulation im Einsatz war, weiss ich nicht. Jedenfalls hat sich die Organisation entschieden, das bisherige Klinikinformationssystem vom Schweizer Hersteller Cistec mit der US-Software Epic abzulösen. Knapp 100 Millionen Franken investiert das Spital, es sei denn es gibt noch eine (erfolgreiche) Einsprache (wovon allerdings nicht auszugehen ist).
Interessant ist hingegen die Aussage des USZ, dass die Einführung des Systems erst erfolge, wenn es den «Datenschutzbestimmungen in der Schweiz und im Kanton Zürich ausreichend Rechnung trägt und wir die Prozesse für uns definiert haben». Theoretisch hätten die Datenschutzbestimmungen auch schon in der Ausschreibung geklärt und als Pflichtkriterium aufgenommen werden können. Aber es ist halt einfacher, ein US-System zu beschaffen, wenn man dies erst im Nachhinein erledigt.
Fehlen die Alternativen oder nicht?
Ähnlich agieren die SBB. In einem Referat an der IT-Beschaffungskonferenz in Bern betonte Jochen Decker, CIO des Konzerns, wie wichtig ihm das Thema Souveränität sei. Für die Zusammenarbeit des Bahnbetriebs mit Microsoft gelten die Aussagen offenbar nicht. Die SBB setzen auf M365 aus der Cloud. Physische Exchange-Server hätte man keine mehr, da das «Risiko bei Cloud und On-Premises ohnehin dasselbe ist», sagte Decker.
Dass Trump irgendwann einen Knopf drückt und alles stilllegt, sei denkbar und ein Risiko. Aber eine «finale Chancen-Risiko-Abwägung hat gezeigt, damit umgehen zu können oder zu wollen». Als Volkswirtschaft müssten «wir den Dingen in die Augen schauen». Kurzfristig würden die skalierbaren Alternativen zu Microsoft fehlen, weil es dafür bis vor Trumps Wahl keinen Markt gegeben habe. «Das aufzubauen, dauert ein Jahrzehnt.» In dieser Zeit sei niemand bereit, Abstriche bei Service oder Qualität zu machen.
Zürich mit Exit-Szenario
Doch Alternativen existieren bereits. Die Stadt Zürich startet eine Evaluation der Open-Source-Alternative Opendesk, wie Werner Kipfer, Leiter Workplace bei «Organisation und Informatik» der Stadt Zürich (OIZ) an der Kickoff-Veranstaltung des Netzwerk SDS sagte und ein Ablaufdiagramm für ein M365-Exit-Szenario präsentierte. Die Stadt hat einen Plan B und scheint ernsthaft darüber nachzudenken, Microsoft abzulösen.
Das ist der richtige Weg, auch wenn Unternehmen nach der Evaluation bei der bestehenden Lösung bleiben. Wichtig ist der Unterschied zwischen bewusster Entscheidung und alternativloser Abhängigkeit. Denn digitale Souveränität bedeutet nicht, einfach auf amerikanische Software zu verzichten. Sondern alle Möglichkeiten bedacht zu haben.
