Schweizer Kanton feuert CISO im Streit um Nutzung der Microsoft-Cloud

Die zunehmende Nutzung von Cloud-Anwendungen des US-Softwareunternehmens Microsoft in Schweizer Bundes- und Kantons-Behörden, aber auch kommunalen Verwaltungen sowie anderen Amtsstellen, erzeugt in der Schweiz wachsenden Unmut.

Vielfach wird die Abhängigkeit von einem US-Konzern und die damit verbundene Gefährdung der digitalen Souveränität kritisiert. Die Bundesverwaltung selbst stellte dazu bereits 2023 in einer Mitteilung fest: „Faktisch ist die Bundesverwaltung heute abhängig von Office-Produkten des Herstellers Microsoft.“ Darüber hinaus sehen Kritiker diverse einhergehende Datenschutzrisiken, vor allem bei der Verarbeitung personenbezogener Daten in der Microsoft-Cloud.

Kritik von Politik und Datenschützern verhallt

Das hat die Grünen des Kantons Luzern nun dazu gebracht, in einem dringlichen Vorstoß einen sofortigen Stopp („Marschhalt„) des Projekts M365 (kurz für Microsoft Office 365) zu fordern. Das soll im Laufe dieses Jahres in der Verwaltung des Kantons ausgerollt werden. Die Investitionskosten sollen 5,8 Millionen Franken (ca. 6 Mio. Euro) betragen, die zusätzlichen Betriebskosten bis 2029 knapp 22 Millionen Franken (23 Mio. Euro).

Nicht nur der Datenschutzbeauftragte des Kantons Luzern hatte in seinem Tätigkeitsbericht 2024 erhebliche Kritik am Projekt geäußert. Auch das Kantonsgericht und interne Sachverständige hätten vor diesem Schritt gewarnt, schreiben die Grünen in einer Mitteilung. Luzern solle sich unabhängiger von US-Konzernen machen und Open-Source-Lösungen prüfen, wie es etwa das Schweizer Bundesgericht oder andere Verwaltungen in Europa bereits tun, so die Partei.

Die Regierung habe die bisherige Kritik ignoriert und sogar einen internen Sachverständigen freigestellt. Zudem hätte die Exekutive darauf verzichtet, Alternativen zu Microsoft zu evaluieren.

Der Datenschutzbeauftragte warnt bei Fortführung des Vorhabens vor dem Verlust der digitalen Souveränität durch Abhängigkeit von Microsoft („Vendor Lock-in“) und konstatiert schwere Eingriffe in das Grundrecht auf informationelle Selbstbestimmung.

Die Luzerner Regierung verteidigt den Entscheid laut Medienberichten. Danach beantwortet der Regierungsrat eine Anfrage von Kantonsrat Fabrizio Misticoni (Grüne), wonach die Daten ausschließlich auf Servern in der Schweiz gespeichert und innerhalb der EU verarbeitet würden. Dennoch seien Datentransfers in die USA nicht ganz auszuschließen. Entgegen der Bedenken will die Kantonsregierung aber an M365 festhalten.

Kantons-CISO muss gehen

An einem internen Kritiker der M365-Migration hat der Luzerner Regierungsrat allerdings nicht festgehalten. Das Online-Magazin Republik berichtet, der „Chief Information Security Officer (CISO) des Kantons sei wegen seiner Bedenken zum zeitlichen Fahrplan von Microsoft 365“ Anfang Juni freigestellt worden.

Der IT-Sicherheitschef habe den Luzerner Regierungsrat darauf hingewiesen, „dass der Kanton die erforderlichen Hausaufgaben zur IT-Sicherheit rund um das Projekt Microsoft Cloud noch nicht erfüllt habe, was wiederum verschiedene Quellen der Republik bestätigt haben“. Der CISO trat deshalb auf die Bremse. Doch die Kantonsregierung bestand auf ihrem Zeitplan, stattdessen musste laut Republik der Kritiker seinen Platz räumen.

„Bis heute hat das zuständige Finanzdepartement weder intern noch öffentlich über die Personalie informiert“, schreibt das Medium. Der IT-Sicherheitschef selbst war für eine Stellungnahme nicht erreichbar, so das Magazin, die Kantonsregierung dementierte derweil: „Der Weggang hat keinen Zusammenhang mit der Einführung von Microsoft 365 beim Kanton Luzern“.

M365-Einführung: Es brodelt hinter den Kulissen

Auch in anderen Kantonen zeigen sich ähnliche Vorgänge bei der Umstellung auf M365. Generell fehlt den Kritikern Transparenz, aber vor allem eine offene Diskussion über eine Exit-Strategie. Vendor-Lockin, digitale Souveränität und Selbstbestimmung stehen zur Debatte, blickt man auf die Politik der US-Regierung oder US-Gesetze wie der Cloud Act.

Doch das Bewusstsein für die inhärenten Probleme wächst. So will auch der Kanton Basel-Stadt ab Herbst 2025 M365-Services in seiner Verwaltung einführen. Die kantonale Datenschutzbeauftragte sprach sich gegen den Entscheid aus und fand politische Unterstützung: Auch im Parlament Basel-Stadt opponiert eine parteiübergreifende Gruppe gegen den geplanten Einsatz von M365. Gefordert werden neue gesetzliche Grundlagen, „ob und welche Personendaten in Clouds ausgelagert werden sollen“.

So lässt sich festhalten: Überall da, wo in der Schweiz gegenwärtig oder künftig M365 eingeführt wird, gibt es reichlich Bedarf an Debatten, Klarheit und Bemühungen um Alternativen. Nicht nur auf Kantonsebene brodelt es, auch beim Bund. Immerhin versuche die Bundeskanzlei, sich zumindest teilweise aus der Microsoft-Umklammerung zu lösen, schreibt Republik.

Auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte verlangte, dass die Verhältnismäßigkeit einer cloudbasierten Bundeslösung geprüft und „mittelfristig einsetzbare Alternativen“ evaluiert werden müssen. Dies geschah bereits vergangenes Jahr in einer „Studie zu Open-Source-Alternativen von Microsoft Services“ – doch zwischenzeitlich ist der Rollout von M365 beim Bund schon sehr vorangekommen.

Seitdem im Sommer 2024 bei den ersten Abteilungen der Bundesverwaltung im Rahmen eines Pilotprojekts M365 eingeführt wurde, läuft derzeit die Umstellung von alten, bald nicht mehr unterstützten MS Office-Versionen auf Microsoft 365. Bei mehr als einem Drittel der 40.000 Arbeitsplätzen war Ende Februar der Rollout von M365 erfolgt. Bis Ende 2025 soll die Einführung vollbracht sein.

(cku)