Sueddeutsche Zeitung, 02.07.2021

Unten ein Artikel von Sueddeutsche Zeitung, Foto Jean-Christophe Bott DPA.

Holt die Schweizer Regierung die Chinesen ins Land? So zumindest beschreibt das auf IT-Nachrichten spezialisierte Onlinemedium Inside Channels eine jüngst publik gewordene Entscheidung der Schweizer Bundeskanzlei: Die Eidgenossenschaft wird künftig staatliche Daten an fünf ausländische Cloud-Anbieter auslagern – darunter auch das chinesische Unternehmen Alibaba. Der finanzielle Rahmen des gesamten Auftrags beläuft sich auf 110 Millionen Franken (etwa 100 Millionen Euro), verteilt auf fünf Jahre.

Cloud-Dienste werden immer wichtiger – für Privatpersonen, Unternehmen, aber eben auch für staatliche Stellen. Vereinfacht gesagt, versteht man unter Cloud-Computing das Auslagern von Daten und Datenverarbeitung an eine externe IT-Infrastruktur, bereitgestellt von einem entsprechenden Unternehmen. Bekannte Anbieter im privaten Bereich sind beispielsweise Dropbox oder Google Drive. Vor allem das Kostenargument spricht dafür, in die Cloud zu gehen: Man spart bei den Ausgaben für Hard- und Software und bezahlt die Rechen- und Speicherkapazität nach Bedarf.

Doch das Auslagern staatlicher Daten an große ausländische Konzerne birgt auch Risiken, weshalb der Großauftrag an vier US-Firmen und einen chinesischen Konzern in der Schweiz auf Kritik stößt. Geheimdienste in den USA und China seien berüchtigt für ihren Datenhunger, schreibt die NZZ. Der Tages-Anzeiger kommentiert, dass sich die Schweiz durch ihren Auftrag an Alibaba zum Gehilfen chinesischer Industriepolitik mache.

Tatsächlich gelten sowohl die US-Konzerne – IBM, Amazon, Oracle und Microsoft – als auch Alibaba als problematische Partner im Hinblick auf Cloud-Dienste, auch wenn sie den Markt eindeutig dominieren. Der chinesische Staat kann faktisch relativ leicht auf die Daten seiner Unternehmen zugreifen. Und in den USA sorgt nicht zuletzt ein Gesetz namens Cloud Act dafür, dass von US-Firmen gespeicherte Daten vor dem Zugriff amerikanischer Behörden nicht sicher sind.

Die „sehr attraktiven Preise“ gaben wohl den Ausschlag

Warum haben sich die fünf Unternehmen trotzdem durchgesetzt? Die öffentlich einsehbare Meldung über die Vertragsvergabe gibt Hinweise: Erstens lautete eine der Bedingungen für die Bewerber, dass sie Rechenzentren auf mindestens drei Kontinenten haben und ihre Dienstleistungen einer internationalen Kundschaft zur Verfügung stellen müssen. Und zweitens hatten unter den Zuschlagskriterien die Faktoren Qualität und Preis das größte Gewicht. Insbesondere Alibaba, so ist der Meldung zu entnehmen, hat den Zuschlag vor allem wegen der „sehr attraktiven Preise“ erhalten. Kleinere Anbieter aus der Schweiz oder Europa hatten entsprechend wenig Chancen bei dieser Ausschreibung.

Gerade der Zuschlag an Alibaba sorgt unter Experten für Erstaunen. Jens Klessmann, Leiter des Bereichs Digital Public Services am Fraunhofer-Institut für Offene Kommunikationssysteme, hält die Schweizer Entscheidung diesbezüglich für bemerkenswert und aus deutscher Sicht für „etwas Neues“. Allerdings bezeichnet er die US-Anbieter ebenfalls als schwierig, wenn es um Datenschutz nach hiesigem Verständnis geht. Ein weiterer Punkt: „Beim Cloud-Computing muss man tatsächlich von einem Management der Abhängigkeiten sprechen“, so der Experte. Vor diesem Hintergrund sei zumindest von Vorteil für die Schweiz, fünf Anbietern aus zwei Ländern den Zuschlag gegeben zu haben.

Wie sicher Schweizer Daten bei diesen Anbietern letztlich sind, hänge von der Art der Daten und ihrer Form ab, sagt Jens Klessmann. „Man kann beispielsweise Daten an Alibaba weitergeben, die ohnehin öffentlich sind. Und sensiblere Informationen können ja vorab verschlüsselt werden.“

Immerhin: Die Schweizer Bundesverwaltung hat im vergangenen Dezember ihre Cloud-Strategie veröffentlicht. Darin steht unter anderem, dass „in einem ersten Schritt“ nur solche Informationen in Clouds landen sollen, die nicht als „vertraulich“ oder „geheim“ klassifiziert sind. Aber: „Basierend auf den Erfahrungen und weiteren rechtlichen Klärungen wird die Empfehlung künftig angepasst.“ Grundsätzlich, so besagt das Strategiepapier, liegt es in der Verantwortung der Schweizer Bundesministerien zu entscheiden, an welchen Stellen sie Cloud-Dienste in Anspruch nehmen wollen. Diese Entscheidung müssen sie „basierend auf einer Risikobeurteilung und Prüfung der Rechtkonformität“ treffen.