Die Kommunikationsinfrastruktur der Schweizer Energieunternehmen powered by „Microsoft Cloud“. (Microsoft-Report Teil II)

Es ist einige Monate her, seit ich hier über die Kantone Basel-Stadt und Bern geschrieben habe, die gerade mit der Microsoft-Cloud-Thematik hadern.

Einen Folgetext publizierte ich danach bei der Republik.ch im Juni 2025, damit die Kantonsthematik auch einem grösseren Publikum bewusst wird und auch eine grössere Bühne erhält. Die Hauptschlagzeile meiner Geschichte betraf den Kanton Luzern. Dort eskalierte die Einführung von M365 in der Kantonsverwaltung. Das Datenschutzteam, die Gerichte und auch der CISO (Chief Security Officer Kanton Luzern) versuchten die Einführung zu stoppen oder zumindest ein wenig Tempo rauszunehmen. Mit gravierenden personellen Konsequenzen.

Was passierte nach der Veröffentlichung? Und welche Entwicklungen gibt es in anderen Kantonen und Städten?

Dazu gibt es bald mehr bei der republik.ch und auch bei DNIP.ch im dritten Teil des Microsoft-Reports zu lesen. Doch zuerst widmen wir uns einem Sektor, der neben den öffentlichen Verwaltungen bislang noch wenig Beachtung erhalten hat: die Schweizer Energieversorgung.

Axpo und EKZ sowie einige andere Unternehmen

Ein Insider berichtete mir: Viele kantonale und nationale Energieunternehmen steigen derzeit oder stiegen bereits auf Microsoft 365 Cloud um oder nutzen mindestens Microsoft Exchange Online (der Cloud-basierte E-Mail- und Kalenderdienst von Microsoft).

Und es stimmt: Darunter sind die grosse Stromproduzentin Axpo, die EKZ (Elektrizitätswerke des Kantons Zürich), die EWB (Energie Wasser Bern), die mit der Microsoft Cloud 365 ganz oder teilweise arbeiten. Und wie ich herausfand: auch die SAK von St. Gallen ((St.Gallisch-Appenzellische Kraftwerke AG) oder die Primeo Energie mit Sitz in Baselland. Interessant dabei: Obwohl solche Energieunternehmen zur kritischen Infrastruktur des Landes gehören, müssen solche Entscheidungen (Umzug zu einer amerikanischen Cloud) nicht vorab diskutiert oder von einer Behörde geprüft werden.

Doch der Reihe nach.

Wie lassen sich solche Quellenaussagen wie diejenige des Insiders schnell überprüfen?

Dazu gibt es verschiedene Methoden: Diese Informationen kann man entweder mit Konfrontation bei den Anbietern verifizieren. Oder via einem DNS-Tool nachschauen, wer zum Beispiel der Mailprovider eines Energieunternehmens ist. Und nicht zuletzt sagen auch Jobausschreibungen sehr vieles über die genutzten Technologien aus.

Vorab: Wer jetzt in Panik verfällt und meint, Präsident Trump könnte die Energieversorgung in den Kantonen mit einem Knopfdruck ausschalten: Nein, das wird nicht passieren.

Die OT-Systeme (die technischen Systeme, die für die Steuerung, Überwachung und Regelung physischer Prozesse zuständig sind – die Schnittstelle zwischen der digitalen und der realen Welt) die Nuklearteile im Fall von Axpo, die Stromsteuerung insgesamt etc. sind natürlich NICHT „an Microsoft gehängt“, sie befinden sich im isolierten Betrieb. Dasselbe gilt auch für die Stromversorgung der Zürcherischen EKZ. Und überhaupt für sehr wahrscheinlich alle Energieversorger, etwas Anderes wäre absolut absurd.

That said: Energie wird in der Schweiz weiterhin fliessen, egal wer ennet dem Teich regiert und egal wie schlecht oder gut die Beziehungen zwischen den USA und der Schweiz sind.

Doch: Kommunikation, Email, Telefonie, Videokonferenz, Sharepoint Online, viele Pläne und Dokumente wären auf jeden Fall tot oder nicht erreichbar, würde Microsoft auf Geheiss eines Regierungsdekrets reagieren. Das Abschalten von Single Sign On von Microsoft würde bereits reichen. Wer dann physisch in einem Kontrollraum sitzt, ist (ausser vielleicht mit seinem Diensthandy) vielleicht ebenfalls nicht erreichbar.

Dazu kommt: Sämtliche Dateien wären wohl auf Knopfdruck ebenfalls für einen langen Moment weg. Denn beispielsweise der Microsoft Service „Sharepoint Online“ – was im Fall der Axpo und der EKZ genutzt wird- beinhaltet folgendes: die gesamte Dokument-Ablage, alle Daten aus den Features „OneDrive“ (persönliche Dateien der Personen) und „Teams“ (Chats, verschickte Dateien, im „Team“ abgelegte Dateien).

Darunter sind also beispielsweise: Bau- und Planungsdokumente für allfällige Kraftwerke, Netzausbau oder Solar-/Windparks, Strategiepapiere für den Ausbau von erneuerbaren Energien, Netzinfrastruktur, Sitzungsprotokolle von Verwaltungsrat und Management, Compliance-Dokumente, Verträge mit Partnern und Kunden sowie neue Handelsstrategien, wären plötzlich nicht mehr zugänglich. Kurz: die Arbeit steht für einen Moment still.

Auch zieht der Stromproduzent Axpo seine virtuellen Maschinen, sogenannte Applikationsserver, zur Microsoft Azure Cloud um. Das können zum Beispiel HR-Programme mit Lohnabrechnungen oder das Hosting der Website sein.

Was sagen nun die Energieunternehmen zu ihrer Entscheidung für Microsoft 365 (dem Online-Arbeitsplatz mit Office, Calendar, Teams, Mail, Video etc.) und Microsoft Azure grundsätzlich?

Die Axpo antwortete:

„Die Zusammenarbeit mit Microsoft können wir bestätigen. Sie bieten höchste Standards, insbesondere betreffend Datensicherheit. Unsere IT-Strategie stellt aber sicher, dass wir mit mehreren Anbietern zusammenarbeiten und Abhängigkeiten reduzieren. 

Mit dem OT-Security Operation Center in Lupfig bietet Axpo Systems ausserdem eine spezialisierte und zuverlässige Sicherheitslösung, um ihre eigene Infrastruktur effektiv zu schützen. Diese Dienstleistung bieten wir auch Dritten, wie Energieversorgern und anderen systemrelevanten Sektoren.“   

Beim Zürcher Betrieb EKZ scheinen immerhin noch gewisse Bedenken vorhanden zu sein, was den Standort des Big Tech-Unternehmens betrifft.

„Der Entscheid zu Gunsten Microsoft als ein führender Anbieter von IT- und Cloudlösungen fiel vor der Verschärfung der politischen Lage. Ausschlaggebend war die sichere, effiziente und zeitgemässe IT-Infrastruktur. Die Migration ist bereits abgeschlossen. EKZ beobachtet die politischen Entwicklungen laufend im Rahmen des Risikomonitorings.„

Die ewb gab sich zugeknöpft, obwohl weitere Quellen wie auch der MX Record-Toolcheck den Microsoft 365-Einsatz dies belegen. Die St. Galler Betriebe SAK wollte ebenfalls nicht kommentieren.

Hier noch die Stellungnahme der ewb:

„Informationssicherheit und Datenschutz haben für ewb höchste Priorität und aus Informationssicherheitsgründen beziehen wir keine detaillierte Stellung zu Ihrer Anfrage. Wir stehen aber mit der Fach- und Aufsichtsstelle Datenschutz (FADS) der Stadt Bern in engem Austausch. Ausserdem bestehen bei allen, von Ihnen erwähnten Themen bei ewb Vorgaben und Richtlinien, die laufend überprüft werden.„

Nun wollte ich wissen, wie die Stromversorger EKZ und Axpo im Fall eines amerikanischen „UnplugSwitzerland“-Szenarios reagieren würden.

Zum Beispiel, falls Donald Trump die Schweiz noch mehr verärgern will, weil das (aus seiner Sicht vorhandene) Handelsdefizit nicht abgebaut wird und der Bundesrat standhaft bleibt und keine Kompromisse eingehen möchte, und Trump daraufhin via Regierungsdekret anordnet, dass ein paar Big-Tech-Unternehmen mal ein paar Stunden die Kommunikation der Schweiz lahmlegen sollte. Alles rein hypothetisch natürlich.

Konkret: Gibt es Business-Continuity-Management-Pläne bei einem Ausfall und eine unabhängige Backup-Lösung für alle Daten?

Alles in Ordnung, betonen Axpo und EKZ. Die Berner ewb verweist auf obige Antwort.

Axpo antwortet darauf:

„Für den Fall von Störungen bei einzelnen Cloud-Diensten haben wir geeignete organisatorische und technische Vorkehrungen getroffen, um den Geschäftsbetrieb aufrechtzuerhalten. Konkrete Details zu unseren Business-Continuity-Management-Plänen, zu der Technologie-Strategie und den Back-up Lösungen können wir aus Gründen der Cybersecurity nicht kommentieren.“

Die EKZ wiederum sagt:

„EKZ hat selbstverständlich Business Continuity Management Pläne erarbeitet, die verschiedene Szenarien abdecken. Detaillierte Informationen dazu können aus Sicherheitsüberlegungen nicht preisgegeben werden. Unsere Backup-Lösung läuft über eine Drittfirma und deckt die komplette M365-Welt ab.

(…)

So oder so wäre der OT-Betrieb (Hardware und Software, die physische Prozesse und kritische Infrastrukturen überwachen und steuern) von EKZ nicht betroffen. Das heisst: Die Grundversorgung bzw. der Betrieb kritischer Infrastrukturen bliebe von so einem Ausfall komplett unangetastet.„

Das Risiko für langanhaltende Ausfälle von Seiten Microsoft werde als gering eingestuft von der EKZ.

Mich interessierte auch die Frage: Gibt es eine Behörde in Bundesbern, die solche Migrationen zu amerikanischen Hyperscalern mit-verantwortet? Muss hierbei die IT-Infrastruktur wegen potenzieller geopolitischer Risiken nicht abgenickt werden von einer Behörde? Oder sind die Energieunternehmen komplett frei in ihrer Wahl?

Ja, das sind sie.

Im Fall der Axpo habe ich bei verschiedenen Stellen nachgefragt. Der Eidgenössische Datenschutzbeauftragte EDÖB und kantonale Datenschützer:innen sind ja in erster Linie nur für Personendaten zuständig, und fallen damit schon mal weg (schliesslich geht es im Fall der Stromdaten und Kernkraftwerkpläne um andere heikle Daten). Die Axpo ist im Besitz der Kantone. Doch eine Informations- und Meldepflicht vorab (also vor einer Entscheidung für ein IT-Unternehmen) scheint es für die Axpo nicht zu geben. Dasselbe gilt auch für die EKZ und alle weiteren Unternehmen.

Die Frage ist, ob die Axpo, EKZ und alle anderen Energieversorger ihre Schritte der Elcom (Eidgenössische Elektrizitätskommission ElCom) hätten vorab melden müssen?

Offenbar nicht.

Die Elcom antwortete auf meine Anfrage:

„Die Netzbetreiber, Erzeuger und Speicherbetreiber müssen Massnahmen für einen angemessenen Schutz ihrer Anlagen vor Cyberbedrohungen treffen (Art. 8a Abs. 1 StromVG). Artikel 5a StromVV erklärt die Einhaltung gewisser Minimalstandards für verbindlich. Das Erreichen des jeweiligen Schutzniveaus ist der ElCom auf Verlangen nachzuweisen (Art. 5a Abs. 3 StromVV).

Eine Bestimmung, aus welcher abgeleitet werden könnte, dass die Axpo der ElCom ihre Entscheidung, ihre gesamte IT-Infrastruktur auf Microsoft 365 zu migrieren, mitteilen müsste, lässt sich daraus nicht ableiten. Die Verantwortung für den sicheren Netzbetrieb und somit auch die Einschätzung über zusätzliche Risiken einer IT-Infrastruktur auf Microsoft 365 liegen bei der Axpo.„

Nun müsste diese Thematik eigentlich in den IT-Sicherheitsbereich fallen, weil es hier um die Verfügbarkeit geht. Der Konzern Axpo gehört ja zur kritischen Infrastruktur und fällt damit auch unter Informationssicherheitsgesetz ISG. Auch muss die Axpo sicherlich ein ISDS-Konzept (Informationssicherheits- und Datenschutzkonzept- (ISDS-Konzept)) zur Migration von Microsoft 365 Cloud erstellt haben.

Ich habe beim Bundesamt für Cybersecurity BACS nachgefragt, ob die Axpo beispielsweise sich bezüglich der Migration zu M365 bei ihnen melden müsste.

Auch hier lautet die Antwort: Nein.

„Das BACS ist nicht befugt, Vorgaben zu erlassen, wie Betreiberinnen kritischer Infrastrukturen ihre IT beschaffen und betreiben.

Allerdings besteht seit 1. April 2025 eine Meldepflicht für Cybervorfälle bei Betreiberinnen kritischer Infrastrukturen.
Wird eine IT-Dienstleistung ausgelagert und der Dienstleister ist von einem Cybervorfall betroffen, muss dies dem BACS ebenfalls gemeldet werden.

In der Strombranche ist der IKT-Minimalstandard verpflichtend (Anhand den Zielsetzungen der StromVV). Dieser schreibt jedoch nicht vor, dass neue Beschaffungen oder Auslagerungen dem Regulator gemeldet werden müssen.„

Zwischenfazit: Der Wechsel zu Microsoft 365 interessiert niemanden in Bundesbern. Immerhin bestehen nach Angaben der Unternehmen Alternativen, Backups und Ersatzlösungen für den weiteren Betrieb- im Fall eines Ausfalls der gesamten M365-Infrastruktur.

Ich reiche auf jeden Fall noch ein paar BGÖ-Gesuche (Öffentlichkeitsprinzip) ein auf kantonaler und Bundesebene, um mehr über die jeweiligen ISDS-Konzepte zu erfahren.

Ausblick: Nächste Woche erscheint Microsoft-Report Teil III und auch noch ein Text bei der Republik.ch, damit dann noch paar brisante Updates zum Kanton Luzern, (neu) Zug, Basel-Stadt und auch der Stadt Zürich. All die Beispiele diskutiere ich dann auch noch beim Podcast „Hörkombinat: Politik“ mit Elvira Isenring und Dominik Dusek am 12. Oktober.