Die zunehmende Nutzung von Cloud-Anwendungen des US-Softwareunternehmens Microsoft in Schweizer Bundes- und Kantons-Behörden, aber auch kommunalen Verwaltungen sowie anderen Amtsstellen, erzeugt in der Schweiz wachsenden Unmut.

Vielfach wird die Abhängigkeit von einem US-Konzern und die damit verbundene Gefährdung der digitalen Souveränität kritisiert. Die Bundesverwaltung selbst stellte dazu bereits 2023 in einer Mitteilung fest: „Faktisch ist die Bundesverwaltung heute abhängig von Office-Produkten des Herstellers Microsoft.“ Darüber hinaus sehen Kritiker diverse einhergehende Datenschutzrisiken, vor allem bei der Verarbeitung personenbezogener Daten in der Microsoft-Cloud.

Kritik von Politik und Datenschützern verhallt

Das hat die Grünen des Kantons Luzern nun dazu gebracht, in einem dringlichen Vorstoß einen sofortigen Stopp („Marschhalt„) des Projekts M365 (kurz für Microsoft Office 365) zu fordern. Das soll im Laufe dieses Jahres in der Verwaltung des Kantons ausgerollt werden. Die Investitionskosten sollen 5,8 Millionen Franken (ca. 6 Mio. Euro) betragen, die zusätzlichen Betriebskosten bis 2029 knapp 22 Millionen Franken (23 Mio. Euro).

Nicht nur der Datenschutzbeauftragte des Kantons Luzern hatte in seinem Tätigkeitsbericht 2024 erhebliche Kritik am Projekt geäußert. Auch das Kantonsgericht und interne Sachverständige hätten vor diesem Schritt gewarnt, schreiben die Grünen in einer Mitteilung. Luzern solle sich unabhängiger von US-Konzernen machen und Open-Source-Lösungen prüfen, wie es etwa das Schweizer Bundesgericht oder andere Verwaltungen in Europa bereits tun, so die Partei.

Die Regierung habe die bisherige Kritik ignoriert und sogar einen internen Sachverständigen freigestellt. Zudem hätte die Exekutive darauf verzichtet, Alternativen zu Microsoft zu evaluieren.

Der Datenschutzbeauftragte warnt bei Fortführung des Vorhabens vor dem Verlust der digitalen Souveränität durch Abhängigkeit von Microsoft („Vendor Lock-in“) und konstatiert schwere Eingriffe in das Grundrecht auf informationelle Selbstbestimmung.

Die Luzerner Regierung verteidigt den Entscheid laut Medienberichten. Danach beantwortet der Regierungsrat eine Anfrage von Kantonsrat Fabrizio Misticoni (Grüne), wonach die Daten ausschließlich auf Servern in der Schweiz gespeichert und innerhalb der EU verarbeitet würden. Dennoch seien Datentransfers in die USA nicht ganz auszuschließen. Entgegen der Bedenken will die Kantonsregierung aber an M365 festhalten.

Kantons-CISO muss gehen

An einem internen Kritiker der M365-Migration hat der Luzerner Regierungsrat allerdings nicht festgehalten. Das Online-Magazin Republik berichtet, der „Chief Information Security Officer (CISO) des Kantons sei wegen seiner Bedenken zum zeitlichen Fahrplan von Microsoft 365“ Anfang Juni freigestellt worden.

Der IT-Sicherheitschef habe den Luzerner Regierungsrat darauf hingewiesen, „dass der Kanton die erforderlichen Hausaufgaben zur IT-Sicherheit rund um das Projekt Microsoft Cloud noch nicht erfüllt habe, was wiederum verschiedene Quellen der Republik bestätigt haben“. Der CISO trat deshalb auf die Bremse. Doch die Kantonsregierung bestand auf ihrem Zeitplan, stattdessen musste laut Republik der Kritiker seinen Platz räumen.

„Bis heute hat das zuständige Finanzdepartement weder intern noch öffentlich über die Personalie informiert“, schreibt das Medium. Der IT-Sicherheitschef selbst war für eine Stellungnahme nicht erreichbar, so das Magazin, die Kantonsregierung dementierte derweil: „Der Weggang hat keinen Zusammenhang mit der Einführung von Microsoft 365 beim Kanton Luzern“.

M365-Einführung: Es brodelt hinter den Kulissen

Auch in anderen Kantonen zeigen sich ähnliche Vorgänge bei der Umstellung auf M365. Generell fehlt den Kritikern Transparenz, aber vor allem eine offene Diskussion über eine Exit-Strategie. Vendor-Lockin, digitale Souveränität und Selbstbestimmung stehen zur Debatte, blickt man auf die Politik der US-Regierung oder US-Gesetze wie der Cloud Act.

Doch das Bewusstsein für die inhärenten Probleme wächst. So will auch der Kanton Basel-Stadt ab Herbst 2025 M365-Services in seiner Verwaltung einführen. Die kantonale Datenschutzbeauftragte sprach sich gegen den Entscheid aus und fand politische Unterstützung: Auch im Parlament Basel-Stadt opponiert eine parteiübergreifende Gruppe gegen den geplanten Einsatz von M365. Gefordert werden neue gesetzliche Grundlagen, „ob und welche Personendaten in Clouds ausgelagert werden sollen“.

So lässt sich festhalten: Überall da, wo in der Schweiz gegenwärtig oder künftig M365 eingeführt wird, gibt es reichlich Bedarf an Debatten, Klarheit und Bemühungen um Alternativen. Nicht nur auf Kantonsebene brodelt es, auch beim Bund. Immerhin versuche die Bundeskanzlei, sich zumindest teilweise aus der Microsoft-Umklammerung zu lösen, schreibt Republik.

Auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte verlangte, dass die Verhältnismäßigkeit einer cloudbasierten Bundeslösung geprüft und „mittelfristig einsetzbare Alternativen“ evaluiert werden müssen. Dies geschah bereits vergangenes Jahr in einer „Studie zu Open-Source-Alternativen von Microsoft Services“ – doch zwischenzeitlich ist der Rollout von M365 beim Bund schon sehr vorangekommen.

Seitdem im Sommer 2024 bei den ersten Abteilungen der Bundesverwaltung im Rahmen eines Pilotprojekts M365 eingeführt wurde, läuft derzeit die Umstellung von alten, bald nicht mehr unterstützten MS Office-Versionen auf Microsoft 365. Bei mehr als einem Drittel der 40.000 Arbeitsplätzen war Ende Februar der Rollout von M365 erfolgt. Bis Ende 2025 soll die Einführung vollbracht sein.

(cku)

Meta will Passkeys als neue Anmeldemethode für die Facebook-App einführen. Die Funktion wird zunächst für iOS- und Android-Geräte der Facebook-App ausgerollt. Für den Messenger ist die Einführung in den kommenden Monaten geplant, wie das Unternehmen mitteilte.

Passkeys ermöglichen Nutzern die Anmeldung ohne Passwort, indem sie stattdessen den Fingerabdruck, die Gesichtserkennung oder die PIN ihres Geräts verwenden. „Passkeys sind eine neue Methode zur Identitätsverifizierung und Anmeldung, die einfacher und sicherer ist als herkömmliche Passwörter“, erklärt Meta in seiner Ankündigung.

Interessanterweise ist Facebook innerhalb des Meta-Konzerns selbst ein Nachzügler. Das ebenfalls zu Meta gehörende WhatsApp unterstützt Passkeys bereits seit Oktober 2023 auf Android und seit April 2024 auch auf iOS. Die Funktion wurde damals schrittweise für Nutzer freigeschaltet und ermöglicht seither die biometrische Anmeldung in der Messenger-App.

Mit der Implementierung folgt Meta zahlreichen anderen Diensten, die Passkeys bereits unterstützen. Google, Microsoft, Apple, Amazon, PayPal, eBay, Shopify und viele weitere Anbieter haben die Technik in den vergangenen zwei Jahren in ihre Plattformen integriert. Facebook gehört damit zu den letzten großen Plattformen, die Passkeys einführen.

Resistent gegen Phishing

Von der auf dem FIDO2-Standard aufsetzenden Technik verspricht sich Meta mehrere Vorteile: Sie ist resistent gegen Phishing-Angriffe, Passwörter können nicht erraten werden und es vereinfacht die Anmeldung. Sobald die Passkey-Unterstützung für den Messenger verfügbar ist, kann derselbe Passkey, den Nutzer für Facebook einrichten, auch für den Facebook Messenger genutzt werden.

Die Einrichtung soll über die Kontenübersicht in den Facebook-Einstellungen erfolgen. Alternativ können Nutzer auch beim Login zur Einrichtung eines Passkeys aufgefordert werden. Meta betont, dass die biometrischen Daten, die zur Entsperrung der Passkeys verwendet werden, ausschließlich auf dem Gerät des Nutzers verbleiben und nicht mit dem Unternehmen geteilt werden.

Neben der Anmeldung plant Meta weitere Einsatzgebiete für Passkeys. So sollen Nutzer ihre Passkeys künftig auch verwenden können, um Zahlungsinformationen bei Käufen mit Meta Pay sicher auszufüllen und später auch, um verschlüsselte Nachrichtenbackups zu schützen. Die Nutzung von Passkeys für verschlüsselte Backups befindet sich bei WhatsApp derzeit noch in der Testphase und ist noch nicht allgemein verfügbar.

Passkeys wurden von der FIDO Alliance entwickelt, die sich für die Reduzierung der Abhängigkeit von Passwörtern einsetzt. Trotz der zunehmenden Verbreitung von Passkeys bleiben Herausforderungen wie die Plattformabhängigkeit und die fehlende Möglichkeit, Passkeys zwischen verschiedenen Ökosystemen zu exportieren. Die FIDO Alliance arbeitet mit dem Credential Exchange Protocol (CXP) und dem Credential Exchange Format (CXF) an einer Lösung, die den sicheren Import und Export von Passkeys zwischen verschiedenen Diensten und Plattformen ermöglichen soll. Ein genauer Zeitpunkt für die breite Verfügbarkeit steht aber noch aus.

(mack)

„Die Überwachung verschlüsselter Nachrichten soll durch Installation eines Programms in dem zu überwachenden Computersystem erfolgen, welches ausschließlich gesendete, übermittelte, oder empfangene Nachrichten entweder vor der Verschlüsselung oder nach Entschlüsselung ausleitet.“ Dieses Amtsdeutsch beschreibt den offiziellen Plan der österreichischen Bundesregierung, Malware zu kaufen und zur Überwachung von Bürgern einzusetzen, die keiner Straftat verdächtig sind – wenn andere Ermittlungsmaßnahmen aussichtslos erscheinen.

Auf die entsprechende Novelle des Spionagegesetzes SNG (Staatsschutz- und Nachrichtendienst-Gesetz), des Sicherheitspolizeigesetzes, des Telekommunikationsgesetzes 2021 und weiterer Normen haben sich die Regierungsparteien ÖVP, SPÖ und NEOS am Mittwoch geeinigt. Im vorangegangenen öffentlichen Begutachtungsverfahren ist eine Flut ablehnender Stellungnahmen zu den Vorhaben eingelangt. Ausspioniert werden sollen nicht nur verschlüsselte Nachrichten, sondern auch unverschlüsselte Nachrichten und Informationen, also sonst gespeicherte Daten.

Die Regierung verfolgt laut offiziellen Dokumenten zwei Ziele: Erstens „Vorbeugung bestimmter, besonders schwerwiegender verfassungsgefährdender Angriffe“, die mit zehn Jahren oder längerer Haft bedroht sind, oder wenn es zur Spionageabwehr erforderlich ist. Und zweitens die Überwachung verschlüsselter Nachrichten. Nicht erforderlich ist der Verdacht, dass eine Straftat begangen worden ist.

Dennoch werden auch Dritte verpflichtet, heimlich an der Überwachung mitzuwirken. Als die Volksrepublik China solche Verpflichtungen privater Stellen einführte, hagelte es in westlichen Ländern Kritik. Im Falle Österreichs werden private Unternehmen rund 2,5 Millionen Euro pro Jahr zur Unterstützung der Überwachungsmaßnahmen aufwenden müssen, schätzt die Regierung – denn Netzbetreibern sowie Betreibern von Messengerdiensten sollen nur 80 Prozent ihres Aufwandes ersetzt werden.

Genehmigungsverfahren

Das Innenministerium geht davon aus, jährlich etwa 30-mal die Ausspähung unverschlüsselter Nachrichten zu beantragen, und 5- bis 15-mal die Überwachung verschlüsselter Nachrichten. Erst wenn in einem Kalenderjahr 30-mal tatsächlich verschlüsselte Nachrichten ausgespäht werden, muss der Innenminister den ständigen Unterausschuss des Ausschusses für innere Angelegenheiten des Nationalrates informieren. (Der Nationalrat ist die direkt gewählte Kammer des österreichischen Parlaments, Anmerkung.)

Die neuen Methoden zum Ausspionieren von Nachrichten und Informationen müssen jeweils im Einzelfall vom Bundesverwaltungsgericht genehmigt werden. Am Verfahren beteiligt wird auch ein im Innenministerium selbst angesiedelter Rechtsschutzbeauftragter. Dieser erhält zunächst drei Werktage Zeit, sich zu einem Antrag zu äußern. Dann wird ein Senat aus drei Richtern des Bundesverwaltungsgerichts befasst. In dringlichen Fällen kann auch ein einzelner Richter die Genehmigung erteilen, wofür ein Richterjournaldienst rund um die Uhr eingeführt wird.

Die Gefährdung von Beichtgeheimnis, Redaktionsgeheimnis oder Anwaltsgeheimnis darf das Verwaltungsgericht nur genehmigen, wenn das verhältnismäßig erscheint. Die Arztverschwiegenheit wird auf diese Weise nur im psychischen Bereich geschützt, also bei Psychiatern, Psychologen, Psychotherapeuten, Bewährungshelfern, eingetragenen Mediatoren sowie anerkannten Einrichtungen zu psychosozialer Beratung und Betreuung.