Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!

DatenschutzFAQErste-Hilfe-Team: kontakt@republik.ch.



· editiert

Die Bundeskanzlei setzt mit den Rahmenverträgen zwar neue Massstäbe. Im Gegensatz zu anderen Cloud-Projekten des Bundes hat sie offenbar beachtliche Verhandlungserfolge bei den Anbietern erzielt.

Machen wir uns nichts vor. Seit Snowden's Enthüllungen wissen wir: Solange es technisch möglich ist – sprich die in der Cloud abgelegten Daten nicht Ende-zu-Ende-verschlüsselt sind – werden die Geheimdienste der jeweiligen Host-Länder Zugriff darauf haben. NSA und GCHQ zapften bekanntlich sogar Google und Yahoo's private Glasfaser-Netze an, um an begehrte Daten zu kommen. Mittlerweile gibts den CLOUD Act, womit die staatlichen Schnüffler ganz gewöhnlichen "lawful access" haben.

Wie kurzsichtig kann eine Behörde sein? Die Produktionsmittel zur Erstellung von "Clouds" sind ja zu grossen Teilen frei verfügbar – von Terraform und OpenNebula über OpenStack über Kubernetes und Firecracker bis hin zu den relevanten Linux-Distributionen und dem -Kernel ist allesamt Open-Source-Software. Wieso soll sowas nicht von europäischen, ja gar Schweizer Firmen administriert werden können? Ein Grossauftrag im Umfang von über 100 Mio CHF würde den Aufbau einer entsprechenden Industrie sicherlich ordentlich ankurbeln, sodass sich auch die nötigen IT-Talente rekrutieren liessen, sollten sie denn fehlen.

Stattdessen macht die Bundeskanzlei einen auf unmündige Konsumentin. Zum Heulen, sowas.

23
/
1
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Bei vielem d'accord. Dennoch: Ich tauchte vor einigen Wochen mithilfe von simap.ch und dem BGÖ in den tiefen unübersichtlichen Dschungel der Bundes-Cloud-Projekte ein. Leider gibt es bei diesem Thema keine zentrale Übersicht, ich fürchte die Beschaffungsbehörde BBL hat diese selber auch nicht.

Die Public Cloud-Projekte der Bundeskanzlei sind da nur die Spitze des Eisbergs. Es flossen bisher Millionen Franken schon an IBM, Amazon, Microsoft und SAP bei anderen Themenfeldern. Bei dem was ich bisher recherchiert habe, musste ich festhalten: die Public Cloud-Verträge der Bundeskanzlei scheinen fast schon state of the art mit denjenigen von anderen europäischen Ländern (wie Deutschland oder Frankreich) zu sein, die ebenfalls hart mit den amerikanischen Giganten verhandeln und in keinem Punkt nachgeben.

Daher muss man der Bundeskanzlei fast ein Kränzchen winden. Ganz im Gegensatz zu dem was ich bei der für Bundespersonaldaten eingesetzten SAP-Cloud (die dann in vielen Fällen auch Microsoft Azure-Rechenleistung meint) gesehen habe in puncto Schutzmassnahmen, Hoheit etc. Aber ich muss da noch weiter graben. Mir scheint einfach dass man aus den Mängeln der Beschaffung (Frühjahr 2021) gelernt hat, offensiver und besser nach aussen kommuniziert und vor allem besser verhandelt.

8
/
0
Verfechter offener Systeme
·

Digitale Souveränität wäre das dann.

Aber kaufen scheint (wobei....) einfacher zu sein, als selber sich darum kümmern. Dafür sind wir einmal mehr abhängig und erpressbar.

3
/
0

Gegen Kaufen (der Dienstleistung) spricht meiner Ansicht wenig, ich finde, ein Betrieb sollte sich darauf konzentrieren, was sein Geschäft ist. Aber eine lokale, spezialisierte Unternehmung damit zu beauftragen ist schon sinnvoll.

6
/
0

Wichtig wäre aber vor allem, dass das nicht nur von Schweizer Firmen betrieben würde, sondern dass der Betrieb operativ dafür auch aus der Schweiz heraus erfolgt und nicht, wie auch schon beobachtet, die Admins günstig in Indien eingekauft werden. Damit würden diese Admins dann auch der Schweizerischen Gesetzgebung unterliegen und (hoffentlich) auch Schweizerische Löhne für Ihre Arbeit beziehen (was indirekt auch das Potential für Bestechung deutlich erschwehrt).

6
/
0
Urs Müller
(auch)Cloud-User
·

Als läge es nur um Geld. Zudem, auch in der CH wird nicht jeder System-Engineer gut bezahlt. Wenn man an Daten kommen will, geht man ja üblicherweise eher in Richtung Social Engineering oder Erpressung.
Operativer Betrieb in der CH mit Hardware aus China oder Taiwan, Netzwerkkomponenten von Cisco oder Huawei, what could go wrong… Irgendwo müssen wir bei vielen Abläufen darauf vertrauen, dass die Daten entweder nicht genügend wertvoll oder die versprochenen Sicherheitseinstellungen auch wirklich funktionieren.
Oder lötet hier jemand, ausserhalb des NDB erst alle Chips aus einem Mainbord, um sie zu röntgen?

0
/
0

In Sachen Verwendung von Clouds und die daraus entstehenden Folgen weiss ich nicht viel und lese mich ein, auch dank der Republik. Was mir zu dem Trauerspiel in den Sinn kommt ist, dass anscheinend nichts gelernt wird, bezüglich Abgängigkeit von Giganten ( z. Z. in der Lieferung von Öl und Gas). Jetzt der Versuch die Schweiz vor ein fait accompli zu stellen mit diesen Verträgen (den Grossmächten USA und China). Meine Hochachtung gilt dem Bürger, der sich gerichtlich wehrt und den Fall weiterzieht.

20
/
0

liebe D. A. Sie sprechen mir aus dem Herzen. Das Schaffen von faits accomplis ohne demokratische Mitsprachemöglichkeit der betroffenen Bürger kommt einer Aushöhlung der Demokratie von innen gleich. Dies ist nicht nur empörend, es macht auch Angst. Ich bin sehr froh, dass Jemand es auf sich nimmt, sich zur Wehr zu setzen und der Republik bin ich dankbar, diese Vorgänge publik zu machen.

14
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Herzlichen Dank, Frau Lippuner und Frau A.!

1
/
0
Urs Müller
(auch)Cloud-User
·

Was gelegentlich vergessen geht – und ich aus eigener Erfahrung, sowohl privat als auch geschäftlich sehe – auch wenn man selbst Systeme betreiben will, ist man von diesen «Giganten» abhängig. Hardware für Serversysteme und Netzwerkkomponenten kommen mehr oder weniger aus zwei bis drei Händen, haben teilweise Lieferfristen von mehr als einem halben Jahr.
In einer Cloud kann man gerade Simulationen oder Tests extrem einfach skalieren, ohne dass man selbst teure und energiehungrige Systeme auf Reserve haben muss.
Zudem gibt es sehr viele Fälle, wo der Datenschutz keine Rolle spielt. Warum muss zum Beispiel eine öffentliche Webseite, welche Informationen für die Bürger anbietet, zwingend in einem Rechenzentrum in der Schweiz gespeichert sein?
Selbstverständlich sollen geheime oder vertrauliche Daten entsprechend den Datenschutzbestimmungen an der richtigen Stelle, sei es CH oder EU-Datenschutzraum, gespeichert werden.
Lustigerweise sind ja die Systeme der Republik auch auf der Amazon-Cloud laufend.

3
/
0

Ich bin da ganz bei Ihnen, aber möchte bzgl des Hosting von Webseiten folgendes einwenden:
Es kommt auf die Informationen der besagten öffentlichen Webseite und der mit der Webseite möglichen Interaktionen.
Google zeigt ja immer sehr schön, welche Suchbegriffe wann besonders populär sind, der Betreiber der Cloud sieht aber die tatsächlichen Zugriffe mindestens auf der Netzwerkebene und kann mit entsprechendem (staatlich initiiertem) Aufwand diesen auch deanonymisieren. Was genau passiert, kann dank TLS Verschlüsselung nicht angeschaut werden - ausser es besteht auch direkter Zugriff auf den Server.

Problematisch ist das in Abhängigkeit vom Inhalt der eigentlich öffentlichen Webseite. Wenn die NSA weiss, dass ich offenbar mit der Webseite der Republik interagiere ist das eher unkritisch, trägt aber eventuell zu der Profilschärfung bei, die dort (hoffentlich nicht) über mich betrieben wird.

1
/
0
Johanna Wunderle
Unity in Diversity
·

Danke Adrienne Fichter für die Berichterstattung. Leider musste ich eine Weile suchen bevor ich Ihren Beitrag fand und fürchte nun, dass er wenig gelesen wird, obwohl er so wichtig ist.

12
/
0
· editiert

Es scheint eine neue Mode in Bundesbern zu geben: Verträge zu unterzeichnen, bevor der demokratische und rechtsstaatliche Prozess in einer Sache abgeschlossen ist.

So geschehen beim Kampf­flieger F-35. (...)

Gibt gleich noch ein weiteres Fallbeispiel für diese neue Mode: Justitia.Swiss

Zitat aus dem aktuellen DigiGes-Newsletter:

Neu möchte der Bundesrat interessierten Kantonen erlauben, eigene kantonale Plattformen für die elektronische Kommunikation in der Justiz aufzubauen und zu betreiben. Das stellt eine gewisse Abkehr von der bislang angedachten Zentralisierung dar. Trotzdem dürfte mit dem jüngst erfolgten Zuschlag an die beiden Firmen Zühlke und ELCA für die Entwicklung und den technischen Betrieb der Referenzimplementierung von «Justitia.Swiss» das Parlament vor vollendete Tatsachen gestellt werden. Denn einen Entwurf für die notwendige gesetzliche Grundlage, inkl. technischer Minimalstandards für die Interoperabilität zwischen Referenzimplementierung und allfälligen kantonalen Eigenentwicklungen, wird das zuständige Departement erst Ende Jahr vorlegen. Bis das Gesetz danach beraten und verabschiedet ist, wird die Referenzimplementierung aller Voraussicht nach bereits in Betrieb sein.

Die Digitale Gesellschaft hat alle Detailspezifikationen aus den Ausschreibungsunterlagen zur zweiten Ausschreibungsrunde veröffentlicht.

12
/
0
12
/
0
Verfechter offener Systeme
·

Ich würde laut lachen, wenn es nicht so ein trauriger CloudAct wäre.

Vergessen wir nicht die ganzen Schulen und den grossen Rest der Unternehmen (u.a. mit kritischer Infrastruktur), die sich an der Cloud-Theke munter bedienen. Um dann z.B. regelmässig Lösegelder an Hacker(organisationen) zu bezahlen.

Mir ist jedenfalls noch keine Lösegeldzahlung wegen Ransomware auf offener Software (z.B. Libre Office - statt MS Office oder Odoo statt SAP) untergekommen.

Wir, der Souverän, sollten das selber in die Hand nehmen um nicht die Souveränit endgültig zu verlieren.

4
/
0

Vergessen wir nicht die ganzen Schulen und den grossen Rest der Unternehmen (u.a. mit kritischer Infrastruktur), die sich an der Cloud-Theke munter bedienen. Um dann z.B. regelmässig Lösegelder an Hacker(organisationen) zu bezahlen.

Das hat meiner Ansicht nach nur sehr wenig mit den tatsächlich eingesetzten Produkten zu tun, sondern mit der Art und Weise, wie diese dann betrieben werden. So wie die mir bekannten Vorfälle in Bezug auf Ransomware passiert sind wäre das bei gleichen Fehlern in der Architektur und im Betrieb auch mit Linux passiert. Und der Einfall via LibreOffice wäre technisch genauso möglich - ist für die Hacker nur uninteressant, weil es zu wenig verbreitet ist und damit eine Massenwirkung nicht erreichbar ist.

Ransomware-Attacken finden auch recht selten auf in der Cloud gespeicherte Daten statt sondern zielen immer auf lokal gespeicherte Daten, weil die Datensicherung (sofern vorhanden) in Cloud-Infrastruktur meist professionell betrieben und unereichbar ist (der klassische Fehler ist, dass die Datensicherung von der Ransomware ebenfalls erreicht werden kann und dann vernichtet wird). Also auch hier: Datensicherung ist das A und O, muss aber professionell umgesetzt sein. Und das ist es für lokale Installationen häufig eben nicht, meist, weil das Geld dafür nicht locker gemacht wird.

4
/
0
Urs Müller
(auch)Cloud-User
·

Interessante Diskussionen. Aus einer professionellen Sicht:

  • Einen Rahmenvertrag zu unterzeichnen, heisst noch nicht, dass man ihn nutzen muss

  • Ein unterzeichneter Rahmenvertrag hat üblicherweise keine Kosten

  • Erst ein Leistungsbezug löst Kosten aus

Natürlich ist ein Vorprellen trotzdem unschön.

Eine Cloud-Möglichkeit zu haben, heisst noch lange nicht, dass man dann einfach alle Anwendungen und Daten dort hin schiebt.
Ich kenne eine grosse Institution, welche zB vor zwei Jahren mit mehreren Cloud-Anbietern Rahmenverträge im Millionenbereich abgeschlossen hat, bei einem davon aber noch keine einzige Dienstleistung bezogen hat. Warum man das tut? Vielleicht ergibt sich eine Chance und wenn man dann erst wieder 18 Monate Ausschreiben und Rekurse abwarten muss, ist die Opportunität vorbei.

7
/
2
Adrienne Fichter
Redakteurin @ Republik
·
· editiert

Vielen Dank für die Ergänzung. Natürlich heisst das erstmal noch nichts, ich seh aber eine Problematik: das Bundesverwaltungsgericht wird wahrscheinlich keine vorsorglichen Massnahmen erlassen, das bedeutet dann also grünes Licht für die "Public Cloud-Inbetriebnahme", Nutzung und Verlagerung von Daten in der Cloud. Ganz sicher wird aber der klagende Bürger Riccardo Fischer ( so hab ich ihn anonymisiert) das Urteil weiterziehen.
Was passiert nun in der Zwischenzeit? Wenn die Ämter in dieser Periode dann ein Projekt einreichen, und ein Teil ihrer Daten (worunter sich vielleicht genau die Daten des besagten Herr Fischer befinden) in einen der 5 Clouds verlagert werden, dann werden diese ja bereits verarbeitet. Das ist ja genau Thema der Einsprache von Herrn Fischer. Was passiert nun wenn das Bundesgericht dann aber befindet: Stopp?

Die Datenverarbeitung fand bis zu diesem Zeitpunkt ja bereits statt. Ich denke juristisch ist das Ganze eben nicht so trivial. Mit der Unterschrift unter dem Rahmenvertrag hat sich die Bundesverwaltung in die Startposition begeben. Nach einem "Go" findet der Datenfluss statt, was eben meiner Ansicht nach heikel ist, weil laufende Verfahren diesen Sachverhalt - also die gesetzliche Grundlage für die Datenverarbeitung - erst noch klären.

7
/
0

Erneut ein Beitrag, wo die Republik / Adrienne Fichter einfach kompetenter berichtet und die Themen anders setzt als andere.

Die Politik-Methode, mal Fakten zu schaffen und zu schauen, ob sich wer wehrt galt in der Schweiz lange als nicht akzeptabel - ausser gegenüber armen Menschen. Und das ist genau der Punkt, warum die Art Politik mir nicht gefällt. Sogenannte Notwendigkeiten lassen sich schnell mal behaupten.

5
/
0
Adrienne Fichter
Redakteurin @ Republik
·

Besten Dank, Herr S.!

0
/
0

Die Formulierung "Bundes­parlamentarierinnen wie SP-National­rat Fabian Molina" ist, bei allem Verständnis für Genderfragen, einfach falsch.

5
/
0
Daniel Meyer
Korrektor Republik
·

Lieber Herr G., danke für den Hinweis! Ja, ich bin Ihrer Meinung: Das finde ich auch ein bisschen brachial gegendert. Ich passe das an. Herzlich! DM

4
/
0

Danke! So liest es sich leichter - was das spannende Thema wie auch seine kompetente Aufbereitung im Beitrag verdient haben!

2
/
0

"Bundesparlamentarier wie SVP-Nationalrätin Magdalena Martullo-Blocher" wäre dann auch einfach falsch oder zumindest schwerer lesbar, was diese kompetente Aufbereitung im Beitrag nicht verdient hätte. Oder?

Generisch ist generisch ist generisch. Oder etwa nicht?

3
/
1

Dass es eine gesetzliche Grundlage für einen Cloud-Bezug bräuchte, wäre ein echtes Novum, da kann sich der politische Heimatschutz noch so konsterniert geben. Wenn, dann bräuchte es ein Gesetz, dass die Verwaltung nicht auslagern darf, wollte man das Thema gesetzlich eigens regeln. Aber im Gegenteil: Heute gibt es noch eine historisch bedingte gesetzgeberische Andeutung, im Strafgesetzbuch, dass die Auslagerung durch die Verwaltung nicht so einfach zulässig sein könnte (auch in der Schweiz übrigens!). Dieser Schönheitsfehler wird mit dem neuen Informationssicherheitsgesetz behoben, das Mitte 2023 in Kraft treten soll. Das hat das Parlament in der Schlussabstimmung im Dezember 2020 entschieden, und zwar mit der Stimme von Fabian Molina.

1
/
2
· editiert

Ich denke es geht hier darum, dass ein Grundrecht - Art. 13 wonach eine Person Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten hat - im Raume steht und eine Beschränkung dieses Grundrechts gemäss Artikel 36 BV für Behörden eben nur mit einer gesetzlichen Grundlage zulässig ist. Ich denke nicht, dass wir mit der nDSG in der Pipeline - eine gesetzliche Grundlage für den Bund erarbeiten können - den Schutz der Personendaten der Schweizer Bevölkerung zu beschränken. Es geht in die andere Richtung! Endlich. Nach jahrelanger Naivität.

4
/
0

Aber natürlich gibt es gesetzliche Grundlagen für die Abwicklung der Aufgaben der Öffentlichen Hand. Die Auslagerung von sensitiven Informationen und Prozessen an Dienstleister, die ich von der Schweiz her faktisch nicht überwachen oder gar beeinflussen kann, und die von den politischen Behörden an ihren Standorten dazu gezwungen werden können, die Verträge mit uns zu verletzen, ist nicht konsistent mit der Sorgfaltspflicht jeder Behörde.

4
/
0

Die These der Sorgfaltspflichtverletzung würde ich bestreiten, aber es ist sicher richtig, dass es einen gewissen gesetzlichen Rahmen gibt. Man kann vielleicht ergänzen, dass der Bezug von Cloudleistungen im Einzelfall erfolgt und dort gewisse Prüfungen zugeschaltet sind. Es ist also nicht so, dass die Gesamt- und Letztverantwortung bei der Bundeskanzlei lag oder liegt, die Rahmenverträge unterzeichnet hat.

1
/
0

Anlässlich des gestern ergangenen Urteils des Bundesverwaltungsgerichts erlaube ich mir drei Fragen:

  • darf ich mich auf ein update freuen?

  • eignet sich das Journal als Form für Kurzupdates zu solchen längeren Geschichten (mit Verweisen auf die bisherige Recherche)

  • habt ihr eine Idee im Hut, wie ich solche Serien in einer Art langsamen Newsticker verfolgen kann? Z.B. zu Magazin und Journal eine Rubrik Watchblog für Themen wie Medienkonzentration, Kampffliegerbeschaffung, Cloudbeschaffung

0
/
0
seit 2018

Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz

kontakt@republik.ch
Medieninformationen

Der Republik Code ist Open Source