Die Sicherheitspolitische Kommission des Nationalrats (SIK-N) erachtet es in Folge der zunehmenden Bedrohung der Cybersicherheit als erforderlich, dass die Schweiz für eine eigenständige digitale Infrastruktur sorgt, die insbesondere auch Cloud-Dienste umfasst. Dadurch soll für besonders schützenswerte Personendaten ein Höchstmass an Sicherheit gewährleistet werden. Das Ziel davon ist, dass die Daten unverletzlich sind und dem Schweizer Recht unter­stehen. Mitte Februar hat die SIK-N deshalb einer entsprechenden parlamentarischen Initiative von FDP-­Nationalrätin Isabelle Moret mit 14 zu 10 Stimmen Folge gegeben. In einem nächsten Schritt behandelt die ­Sicherheitspolitische Kommission des Ständerats (SIK-S) die Initiative.

Doch welches sind eigentlich die Argumente für und gegen eine «Swiss Cloud»? Computerworld hat bei zwei in dieser Frage engagierten Nationalräten und IT-Unternehmern – Gerhard Andrey (Grüne, Freiburg) und Franz Grüter (SVP, Luzern) – nachgefragt.

Gerhard Andrey: Eine Schweizer Cloud ist ein Mittel zum Zweck. Und der Zweck ist eine zeitgemässe, sichere und selbstbestimmte Infrastruktur für Daten und Dienste, die das Land nicht verlassen dürfen. Gerade im behördlichen Kontext ist besondere Vorsicht geboten. Zudem sind viele Gemeinden, aber auch kleine Kantone mit der zunehmenden Komplexität der Digitalisierung überfordert, wie zum Beispiel gravierende Hackerangriffe in der Westschweiz vergangenes Jahr zeigten. Eine Schweizer Cloud, welche die Kräfte bündelt und dazu Skaleneffekte generiert, kann da Abhilfe schaffen.

Andrey: Behördliche Aufgaben nimmt der Staat immer öfter digital wahr. Es ist keine Option, sich dieser Veränderung zu verschliessen oder alles vollständig an Private zu delegieren. So hat in der physischen Welt die Nationalbank ihre Banknoten auch immer weiterentwickelt oder der Bund Identitätskarte und Reisepass den technischen Neuerungen angepasst. Dabei haben diese öffentlichen Institutionen auf dem Markt innovative Technologien und Dienstleistungen beschafft, die Kontrolle über das Ganze aber nie abgegeben. Ich sehe nicht, weshalb dies in der Digitalisierung anders sein sollte. Das war überdies auch eines der zentralen Argumente beim gescheiterten E-ID- Gesetz: Die öffentliche Hand muss ihre digitale Fitness frisch halten und ­weiterentwickeln, um ihre hoheitlichen Aufgaben auch im 21. Jahrhundert wahrnehmen zu können.

Andrey: Hackerangriffe haben in jüngster Vergangenheit massiv zugenommen. Es ist mittlerweile eine veritable Erpressungs-Dienstleistungsindustrie entstanden, brandbeschleunigt durch Kryptowährungen.

Daneben nimmt die Abhängigkeit von amerikanischer Plattformökonomie und chinesischer Netzwerktechnologie weiter zu. Das gilt übrigens nicht nur für die Schweiz, sondern für ganz Europa. Ich sehe das Projekt einer «Swiss Cloud» als wichtigen Schritt hin zu einer besseren Cybersicherheit und insgesamt zu mehr digitaler Souveränität.

Andrey: Am dringlichsten finde ich sie für Gemeinden und Kantone. Aber auch in der Schweiz beheimatete internationale Organisationen könnten Interesse an einer von geopolitisch stark exponierten Ländern unabhängigen Infrastruktur haben. Ob hingegen auch staatliche Angebote für Privatpersonen und Unternehmen nötig sind, wage ich zu bezweifeln. Da spielt der Markt schon recht gut.

Andrey: Der Bund betreibt heute bereits eine private Cloud-Infrastruktur mit rund 13 000 Prozessorkernen und 360 Terabyte Arbeitsspeicher, wie mir die Verwaltung berichtet hat. Das ist doch schon beachtlich. Es ist also nicht so, dass der Bund bei Null beginnen müsste. Wie viel grösser diese Cloud sein müsste, kann ich nicht aus dem Stand beurteilen. Das ist aber auch nicht sonderlich relevant, weil eben genau das das Schöne an der Cloud-Technologie ist, dass sie sich relativ einfach skalieren lässt.

Dann finde ich, dass eine solche Infrastruktur Cloud-Dienste bis auf die Ebene Software as Service (SaaS) anbieten sollte. Also nicht nur Infrastruktur (IaaS) oder Plattform (PaaS). Eine Rundum-sorglos-Open-Source-Office-Anwendungsumgebung für die Gemeinden wäre toll. Die Schweizer Anbieter zeigen schon heute, dass das geht und dass sich solche Lösungen mitnichten hinter jenen der grossen Player verstecken müssen. Ich verwende nun seit einigen Jahren sehr zufrieden ein solches Schweizer SaaS-Produkt.

Andrey: Wie gesagt, der Bund respektive das Bundesamt für Informatik tut dies schon heute und wie ich meine, doch insgesamt ganz gut. Darauf lässt sich aufbauen, um anderen Staatsebenen Zugang ermöglichen zu können. Eine gesetzliche Grundlage dafür steht nun mit einer von meiner Nationalratskollegin Isabelle Moret eingereichten parlamentarischen Initiative zur Debatte.

Andrey: Gratis gibt es das sicher nicht. Und ja: Mehr ­Souveränität kostet unter Umständen auch mehr, als vermeintlich finanziell vorteilhafte Angebote, bei denen der Kontrollverlust über Daten eigentlich eingerechnet werden müsste. Ich sehe einen solchen Ausbau aber auch als Zukunftsinvestition in wichtige Fertigkeiten der öffent­lichen Hand. Der langfristige Betrieb muss nicht zwingend teurer sein. Gerade wenn vermehrt auf Open Source gesetzt wird. Verstehen Sie mich aber nicht falsch: Ich habe überhaupt kein Problem damit, wenn der Bund unsensible Daten, die sowieso offen sind – wie beispielsweise das ­Kartenmaterial von Swisstopo –, über einen internationalen Hyperscaler ausliefert. Das braucht das Bundesamt für Informatik nun wirklich nicht nachzubauen. Hier sehe ich ein anderes Thema, auf das der Bund schauen muss: nämlich den ökologischen Fussabdruck der verschiedenen Anbieter. Das wurde bei der Vergabe an vier amerikanische und einen chinesischen Anbieter, die vergangenen Sommer medial Wellen geschlagen hat, leider überhaupt nicht berücksichtigt. 

Andrey: Der Bund unterscheidet zwischen Beschaffungs- und Aufgabenerfüllungs-PPP. Bei der Konzeption, dem Bau und dem Betrieb wird wohl an unterschiedlichsten Stellen mal das eine und dann mal das andere angewendet werden müssen. Zentral ist, dass der Bund bedarfs­gerecht auf Lösungen des Markts zugreifen kann, ohne dabei die Kontrolle über die Gesamtheit der Infrastruktur abgeben zu müssen.

Andrey: Das Parlament wird sich jetzt damit beschäftigen müssen. Ich erwarte eine spannende Diskussion, weil das Thema nicht so leicht schwarz und weiss abgehandelt werden kann. Es dürfte auch zu interessanten Allianzen kommen, wenn ich sehe, wer in der SIK-N dem Geschäft zugestimmt hat: Mitglieder aus allen Fraktionen haben den Vorstoss unterschrieben.

Franz Grüter: Zu einem ganzheitlichen Schutzkonzept vor Cyberkriminalität gehören verschiedene Aspekte: Netzwerk- sowie Datensicherheit und nicht zuletzt ist der physischen Sicherheit von Rechenzentren grosse Beachtung zu schenken. Um sich zu schützen, muss sich jedes Unternehmen bei der Wahl der Cloud-Strategie mit diesen Themen eigenverantwortlich auseinandersetzen. Institutionen wie die Cloud Security Alliance bestehen bereits seit Jahren. Sie haben bewährte Methoden und Leitfäden zu Fragen des Cloud- und damit des Risiko-Managements erarbeitet und Lösungen definiert. Die globalen Cloud-Anbieter investieren hohe Summen in Sicherheits­konzepte sowie den Betrieb und bauen diese stetig aus. Investitionen und Innovationen in diesem Rahmen würden wir in der Schweiz mit einer eigenen «Swiss Cloud» nicht im selben Rahmen realisieren können. Nicht zuletzt ist jedoch der Faktor Mensch grösstenteils mitverantwortlich, dass Cyberangriffe möglich sind. Daher ist es genauso zentral, laufend Aufklärung zu betreiben und zu sensibilisieren.

Grüter: Staatlichkeit ist nicht zwingend, jedoch Klarheit darüber, welche Daten besser in der Schweiz bleiben sollten. Dies würde vielen Unternehmen helfen. Immer mehr private und öffentliche Unternehmen verfolgen eine Cloud-Strategie. Dies birgt je nach Sensitivität der Daten kleinere oder grössere Risiken. Einerseits ist das Bestreben nach Datensouveränität und der Kontrolle, wo die Daten gespeichert werden, sehr gross, andererseits wird die Cloud-Strategie der Unternehmen getrieben vom technologischen Fortschritt, dessen Möglichkeiten und den wirtschaftlichen Kosten. Die unterschiedlichen Risiken einer Cloud-Strategie sind bekannt und gut dokumentiert. Bereits heute ist es möglich, sensitive Daten in der Schweiz, entweder in Private oder Public Clouds zu speichern oder in einer Kombination von beidem. Dieses hybride Modell ermöglicht es, intelligente und effektive Werte für das Unternehmen zu schaffen. Mit diesem Ansatz wird zudem rechtlichen und regulatorischen Anforderungen Rechnung getragen und gleichzeitig kann von der Innovationskraft der grossen Cloud-Anbieter profitiert werden.

Grüter: Die Cloud muss heute als Teil eines grossen Ganzen verstanden werden, das zu einer dynamischen Wertschöpfung beiträgt. Eine «Swiss Cloud» zu entwickeln und technologisch mit den grossen, globalen Cloud-Anbietern mithalten zu wollen, ist im Verhältnis zur Marktgrösse der Schweiz sehr unrealistisch. Es fordert auch niemand, dass wir eine eigene Flugzeugindustrie aufbauen, um als Schweiz unabhängig zu sein. Das ist für mich ein adäquater Vergleich. Die Initialkosten und der laufende Betrieb sowie das konstante Investment in den technologischen Fortschritt wären enorm. Anstelle einer eigenen «Swiss Cloud» sind vom Bund definierte rechtliche Rahmenbedingen zu erlassen, um die Rechtssicherheit im Umgang mit der Cloud zu erhöhen und die Abhängigkeiten anders zu regeln.

Grüter: Public-Cloud-Dienstleistungen werden heute weltweit genutzt. Auch die Schweiz profitiert von der grossen Innovation, Flexibilität und entsprechender Skalierbarkeit. Public Clouds bieten zudem Kosteneffizienz, Schnelligkeit und einen fortwährend aktuellen Stand der Technologie. Auch nimmt das allgemeine Bewusstsein betreffend Umgang mit Daten stetig zu, der zudem rechtlich geregelt wird. Daher ergibt eine eigene «Swiss Cloud» wenig Sinn, dafür sollten wir eher auf eigene kritische Infrastrukturen bauen (Rechenzentren, IT, mobile Netze, Energie).

Grüter: Eine eigene «Swiss Cloud» bietet nicht mehr Sicherheit und Unabhängigkeit. Im Gegenteil: Die Innovationskraft und Möglichkeit der Hyperscaler und die Auswirkung auf die wirtschaftliche Entwicklung sind Treiber, die wir nicht unterschätzen dürfen. Und wo würde es stoppen, die Server sind ja nicht aus der Schweiz, sondern aus den USA, China und anderen Staaten. Wirtschaftlich gesehen bringt uns die «Swiss Cloud» also nicht mehr Unabhängigkeit und punkto Sicherheit investieren die grossen Cloud-Anbieter in solch grossem Rahmen, dass die Schweiz nicht mithalten könnte. Wir sollten vielmehr über die Definition von regulatorischen Rahmenbedingungen sowie über das Schaffen von Möglichkeiten betreffend Umgang mit sensitiven und schützenswerten Daten und die erfolgreiche Gestaltung der «Journey to Cloud» nachdenken.

Grüter: PPP werfen hinsichtlich des Souveränitätsgrads einige Fragen auf, die zwingend geklärt werden müssten, wenn wir die Vorteile des Standorts Schweiz vollumfänglich nutzen wollen. Die Optionen sind vielfältig und die technischen, wirtschaftlichen, rechtlichen und politischen Kompromisse entscheiden, ob eine PPP wirklich den gewünschten Nutzen bringt. Daher kann diese Frage nicht so einfach mit Ja oder Nein beantwortet werden. Neue Kollaborationen werden im Zuge der Weiterentwicklung laufend geprüft werden müssen.

Grüter: Ein solcher ergibt sicherlich Sinn, um sensible Daten unter den Schweizer Datenschutzbestimmungen schützen zu können und die Rechenzentren effizient zu betreiben. Ich denke, es könnten hier sogar Public-Private-Erweiterungen in Betracht gezogen werden. Diese könnten die Verfügbarkeit zusätzlich erhöhen.

Grüter: Unsere rechtlichen Aspekte sowie die Souveränität sind zentral und die sollten wir bewahren. Ziel ist es daher, die Zusammenarbeit mit den grossen Cloud-Anbietern global weiter zu verbessern, damit wir unsere Souveränität und die Stärken der Schweiz aufrechterhalten und gleichzeitig vom Potenzial der Kosteneffizienz und Innovation profitieren können. Noch vor kurzer Zeit wäre es undenkbar gewesen, dass die grossen Cloud-Anbieter ihre Dienste auch aus Europa oder sogar der Schweiz anbieten. Ein hybrides Modell, das die globalen Möglichkeiten nutzt und gleichzeitig Raum für sensible und schützenswerte Daten innerhalb der Schweiz schafft, wäre für mich ein zukunftsweisender Weg für die «Cloud Journey» der Schweiz.