Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

Cloud-Dienste von Microsoft

ShortId

21.4163

Id

20214163

Updated

01.07.2023 10:13

Language

de

Title

Cloud-Dienste von Microsoft

AdditionalIndexing

04;34;09;15

1

PriorityCouncil1

Nationalrat

Texts

• <p>1. Microsoft verfolgt die Strategie "Cloud first" und hat angekündigt, Anwendungen nur noch als Cloud-Lösungen anzubieten. Dies wirft grundlegende Fragen für die Bundesverwaltung auf, die Software von Microsoft nutzt. Um sich frühzeitig mit dieser Herausforderung zu befassen, hat die Bundesverwaltung das Projekt Cloud Enabling Büroautomation, kurz CEBA, gestartet. CEBA konzipiert die Bereitstellung und prüft die Möglichkeit einer Nutzung von Microsoft 365 (M365), welche als "Software as a Service" (SaaS) von Microsoft zur Verfügung gestellt wird. Im Rahmen dieses Projekts soll geprüft werden, ob eine mögliche zukünftige Nutzung der Cloud-Services von Microsoft abgestimmt auf die Cloud-Strategie der Bundesverwaltung und insbesondere auf die Anforderungen an den Datenschutz und Informationsschutz erfolgen kann. Es wird eine Rechtsgrundlagenanalyse erstellt. Ebenfalls werden ein Informationssicherheits- und Datenschutz-Konzept sowie eine Risikoanalyse erarbeitet.</p><p>Die Konzepte für das Projekt CEBA sind noch nicht fertig gestellt. Somit kann der Bundesrat die Frage noch nicht abschliessend beantworten, ob und welche Daten bei einer zukünftigen Nutzung effektiv auf der Public Cloud von Microsoft gespeichert werden. Generell lässt sich Folgendes sagen: Um die Software nutzen zu können, müssen Benutzerkonten in der Public Cloud von Microsoft angelegt werden. Mit dem Anlegen der Benutzerkonten und der Nutzung der M365-Anwendungen und -Dienste werden typischerweise Telemetriedaten und benutzerspezifische Daten in der Public Cloud gespeichert. Beispiele dafür sind Benutzername, Name, Vorname, E-Mail-Adresse und Benutzeranmeldungen (Datum, Benutzer, IP-Adresse, Standort). Bei Ablage von Dokumenten in Microsoft Teams werden in der Regel auch die Metadaten der Benutzerinnen und Benutzer abgespeichert.</p><p>Im Rahmen der konzeptionellen Arbeiten von CEBA wurde mit "CEBA agil" eine von der Bundesinfrastruktur abgetrennte Testplattform bereitgestellt. So können Mitarbeiterinnen und Mitarbeiter der Bundesverwaltung Microsoft Teams nutzen und erste Erfahrungen im Umgang mit cloud-basierten Produkten von Microsoft sammeln. Dabei werden nicht besonders schützenswerte Personendaten in der Cloud gespeichert. Dies betrifft insbesondere Namen und E-Mail-Adressen der Mitarbeitenden, die beim Test mitmachen. Die Nutzer dürfen auf der Testplattform keine besonders schützenswerten Personendaten, keine vertraulichen Dokumente und keine Daten, welche dem Amtsgeheimnis unterliegen, speichern.</p><p>2. Im Rahmen des Projektes CEBA werden auch technische Mechanismen bzw. Verschlüsselungen geprüft, mit denen sichergestellt werden soll, dass schützenswerte Daten - dazu können Informationen über Beschaffungen gehören - auch in externen Clouds sicher bearbeitet werden können. Die Resultate dieser Abklärungen liegen noch nicht vor.</p><p>3. Die Verfügbarkeit von M365 als "Software-as-a-Service Lösung wird vertraglich vereinbart. Im Rahmen des Projektes CEBA prüft der Bund zusätzlich, wie eine Kopie (Backup), der in M365 gespeicherten Daten durch die Bundesverwaltung erfolgen kann. Ebenfalls werden Szenarien für die Sicherstellung des "Business-Continuity Management" erarbeitet.</p><p>4. M365-Anwendungen können klassifizierte Dokumente nur dann erkennen, wenn der Benutzer die entsprechenden Informationen dazu erfasst hat. Schutzmassnahmen (z.B. mittels Verschlüsselung) für klassifizierte Daten und für Personendaten werden im Rahmen der Konzeptphase analysiert. Erst nach dieser Phase wird entschieden, ob M365 produktiv zum Einsatz kommen wird. Der Entscheid zur Frage, ob die Plattform gegebenenfalls auch für die Bearbeitung von VERTRAULICH klassifizierten Informationen benutzt werden darf, steht ebenfalls noch aus. Ausgeschlossen ist, dass GEHEIM klassifizierte Informationen auf einer Public Cloud bearbeitet werden. Der Zugang von Microsoft zu Daten von Kunden in der SaaS-Cloud wird durch die im konkreten Einzelfall anwendbaren, vertraglichen und rechtlichen Bestimmungen, sowie gegebenenfalls technische Massnahmen geregelt.</p><p>5. Der Bundesrat hat den Aufbau einer sogenannten "Swiss Cloud" geprüft. Er kam zum Schluss, dass der Bedarf an einer "Swiss Cloud" in Gestalt einer eigenständigen Infrastruktur nicht ausgewiesen ist (vgl. Medienmitteilung vom 11. Dezember 2020).</p>
• <p>Wie kürzlich bekannt wurde, erhielten Amazon, IBM, Oracle, Microsoft und Alibaba den Zuschlag für die WTO Ausschreibung (20007) 608 Public Clouds Bund.</p><p>Mit der Microsoft Cloud ist auch das Projekt CEBA agil (Projekt Cloud Enabling BA) verbunden. Unter diesem Projekt versteht man die Bestrebung in Zukunft die Office Dienste von der Cloud zu beziehen.</p><p>In diesem Zusammenhang bitte ich den Bundesrat um die Beantwortung folgender Fragen:</p><p>1. Werden durch die AnwendungTelemetriedaten oder benutzerspezifische Daten an Microsoft weitergegeben? Wenn ja, welche? </p><p>2. Mitarbeitende sollen Beschaffungen auch auf der M365 Cloud formulieren. Ist sichergestellt, dass keine Metadaten an Microsoft abfliessen? </p><p>3. Ist sichergestellt, dass die Server jederzeit betrieben werden können? </p><p>4. Erkennt Office 365 automatisch vertrauenswürdige oder geheime Dokumente? Falls ja, läuft ein Algorithmus im Hintergrund, der sämtliche Dokumente auf Inhalte analysiert? Wo werden diese Inhalte bearbeitet?</p><p>5. Hat sich der Bundesrat überlegt, selbst eine autarke Cloud-Infrastruktur für die Schweiz anzustreben?</p>
• Cloud-Dienste von Microsoft

State

Erledigt

Related Affairs

Drafts

• Index

  0

  Texts

  • <p>1. Microsoft verfolgt die Strategie "Cloud first" und hat angekündigt, Anwendungen nur noch als Cloud-Lösungen anzubieten. Dies wirft grundlegende Fragen für die Bundesverwaltung auf, die Software von Microsoft nutzt. Um sich frühzeitig mit dieser Herausforderung zu befassen, hat die Bundesverwaltung das Projekt Cloud Enabling Büroautomation, kurz CEBA, gestartet. CEBA konzipiert die Bereitstellung und prüft die Möglichkeit einer Nutzung von Microsoft 365 (M365), welche als "Software as a Service" (SaaS) von Microsoft zur Verfügung gestellt wird. Im Rahmen dieses Projekts soll geprüft werden, ob eine mögliche zukünftige Nutzung der Cloud-Services von Microsoft abgestimmt auf die Cloud-Strategie der Bundesverwaltung und insbesondere auf die Anforderungen an den Datenschutz und Informationsschutz erfolgen kann. Es wird eine Rechtsgrundlagenanalyse erstellt. Ebenfalls werden ein Informationssicherheits- und Datenschutz-Konzept sowie eine Risikoanalyse erarbeitet.</p><p>Die Konzepte für das Projekt CEBA sind noch nicht fertig gestellt. Somit kann der Bundesrat die Frage noch nicht abschliessend beantworten, ob und welche Daten bei einer zukünftigen Nutzung effektiv auf der Public Cloud von Microsoft gespeichert werden. Generell lässt sich Folgendes sagen: Um die Software nutzen zu können, müssen Benutzerkonten in der Public Cloud von Microsoft angelegt werden. Mit dem Anlegen der Benutzerkonten und der Nutzung der M365-Anwendungen und -Dienste werden typischerweise Telemetriedaten und benutzerspezifische Daten in der Public Cloud gespeichert. Beispiele dafür sind Benutzername, Name, Vorname, E-Mail-Adresse und Benutzeranmeldungen (Datum, Benutzer, IP-Adresse, Standort). Bei Ablage von Dokumenten in Microsoft Teams werden in der Regel auch die Metadaten der Benutzerinnen und Benutzer abgespeichert.</p><p>Im Rahmen der konzeptionellen Arbeiten von CEBA wurde mit "CEBA agil" eine von der Bundesinfrastruktur abgetrennte Testplattform bereitgestellt. So können Mitarbeiterinnen und Mitarbeiter der Bundesverwaltung Microsoft Teams nutzen und erste Erfahrungen im Umgang mit cloud-basierten Produkten von Microsoft sammeln. Dabei werden nicht besonders schützenswerte Personendaten in der Cloud gespeichert. Dies betrifft insbesondere Namen und E-Mail-Adressen der Mitarbeitenden, die beim Test mitmachen. Die Nutzer dürfen auf der Testplattform keine besonders schützenswerten Personendaten, keine vertraulichen Dokumente und keine Daten, welche dem Amtsgeheimnis unterliegen, speichern.</p><p>2. Im Rahmen des Projektes CEBA werden auch technische Mechanismen bzw. Verschlüsselungen geprüft, mit denen sichergestellt werden soll, dass schützenswerte Daten - dazu können Informationen über Beschaffungen gehören - auch in externen Clouds sicher bearbeitet werden können. Die Resultate dieser Abklärungen liegen noch nicht vor.</p><p>3. Die Verfügbarkeit von M365 als "Software-as-a-Service Lösung wird vertraglich vereinbart. Im Rahmen des Projektes CEBA prüft der Bund zusätzlich, wie eine Kopie (Backup), der in M365 gespeicherten Daten durch die Bundesverwaltung erfolgen kann. Ebenfalls werden Szenarien für die Sicherstellung des "Business-Continuity Management" erarbeitet.</p><p>4. M365-Anwendungen können klassifizierte Dokumente nur dann erkennen, wenn der Benutzer die entsprechenden Informationen dazu erfasst hat. Schutzmassnahmen (z.B. mittels Verschlüsselung) für klassifizierte Daten und für Personendaten werden im Rahmen der Konzeptphase analysiert. Erst nach dieser Phase wird entschieden, ob M365 produktiv zum Einsatz kommen wird. Der Entscheid zur Frage, ob die Plattform gegebenenfalls auch für die Bearbeitung von VERTRAULICH klassifizierten Informationen benutzt werden darf, steht ebenfalls noch aus. Ausgeschlossen ist, dass GEHEIM klassifizierte Informationen auf einer Public Cloud bearbeitet werden. Der Zugang von Microsoft zu Daten von Kunden in der SaaS-Cloud wird durch die im konkreten Einzelfall anwendbaren, vertraglichen und rechtlichen Bestimmungen, sowie gegebenenfalls technische Massnahmen geregelt.</p><p>5. Der Bundesrat hat den Aufbau einer sogenannten "Swiss Cloud" geprüft. Er kam zum Schluss, dass der Bedarf an einer "Swiss Cloud" in Gestalt einer eigenständigen Infrastruktur nicht ausgewiesen ist (vgl. Medienmitteilung vom 11. Dezember 2020).</p>
  • <p>Wie kürzlich bekannt wurde, erhielten Amazon, IBM, Oracle, Microsoft und Alibaba den Zuschlag für die WTO Ausschreibung (20007) 608 Public Clouds Bund.</p><p>Mit der Microsoft Cloud ist auch das Projekt CEBA agil (Projekt Cloud Enabling BA) verbunden. Unter diesem Projekt versteht man die Bestrebung in Zukunft die Office Dienste von der Cloud zu beziehen.</p><p>In diesem Zusammenhang bitte ich den Bundesrat um die Beantwortung folgender Fragen:</p><p>1. Werden durch die AnwendungTelemetriedaten oder benutzerspezifische Daten an Microsoft weitergegeben? Wenn ja, welche? </p><p>2. Mitarbeitende sollen Beschaffungen auch auf der M365 Cloud formulieren. Ist sichergestellt, dass keine Metadaten an Microsoft abfliessen? </p><p>3. Ist sichergestellt, dass die Server jederzeit betrieben werden können? </p><p>4. Erkennt Office 365 automatisch vertrauenswürdige oder geheime Dokumente? Falls ja, läuft ein Algorithmus im Hintergrund, der sämtliche Dokumente auf Inhalte analysiert? Wo werden diese Inhalte bearbeitet?</p><p>5. Hat sich der Bundesrat überlegt, selbst eine autarke Cloud-Infrastruktur für die Schweiz anzustreben?</p>
  • Cloud-Dienste von Microsoft

Back to List