Wie die Westschweiz eine souveräne Cloud etablieren will
Die Souveränität der Cloud-Dienste, die von der öffentlichen Verwaltung genutzt werden, wird derzeit stark diskutiert. Während der Bund eine souveräne Cloud ausgeschlossen hat, denkt die Romandie ernsthaft darüber nach. Patrick Amaru, CIO des Kantons Waadt, sagt im Interview mehr dazu.
Seit der Bund entschieden hat, statt auf eine selbstentwickelte Cloud auf fünf internationale Anbieter zu setzen, schwillt die Polemik in der politisch-wirtschaftlichen Welt der Schweiz und vor allem der Romandie an. Einige Anbieter fühlen sich von der Ausschreibung ungerechtfertigt ausgeschlossen (Anforderungen an die geografische und technische Abdeckung) und einige Politiker sowie Politikerinnen kritisieren einen Verlust an Souveränität (und im weiteren Sinne einen Staat, der im digitalen Bereich hinterherhinkt). Die Erklärungen und Präzisierungen der Regierung konnten die Polemik nicht auslöschen. Der Druck könnte noch zunehmen, nachdem kürzlich bekannt wurde, dass der Bund die Forderung des Datenschutzbeauftragten, Datenschutzkriterien in die Ausschreibung aufzunehmen, ignoriert und das Dokument wissentlich für die Cloud-Giganten massgeschneidert hat.
In diesem Zusammenhang enthüllte die Waadtländer Staatsrätin Nuria Gorrite Mitte Dezember gegenüber "Blick" den Plan der lateinischen Konferenz der kantonalen Digitaldirektoren, die Westschweiz mit einer souveränen Cloud auszustatten. Der Kanton Waadt hat eine Machbarkeitsstudie für das Konzept in Auftrag gegeben, die von Catherine Pugin, der Digitalbeauftragten des Kantons, geleitet wird.
Die Thematik ist nicht nur für die Schweiz von Interesse, wenn man an das europäische Projekt Gaia-X denkt, das sich nur schwer konkretisieren lässt. Oder wenn man die jüngste Initiative von T-Systems und Google berücksichtigt, gemeinsam eine souveräne Cloud unter der Kontrolle des deutschen Betreibers aufzubauen. Der CEO von T-Systems sagte: "Wir freuen uns, dass wir unseren Kunden eine sichere und souveräne Cloud-Lösung anbieten können, die auch Zugang zu den Innovationen und der Skalierbarkeit der Google Cloud in Deutschland bietet. Als nächsten Schritt planen wir das Gleiche auch in Österreich und der Schweiz."
Welche souveräne Cloud?
Das wachsende Interesse am Konzept der souveränen Cloud zeigt eine bestimmte Sorge: Dass die zunehmende Digitalisierung mit einem Verlust an Souveränität, Hoheit und Kontrolle für lokale Unternehmen und besonders für öffentliche Verwaltungen und deren Daten einhergehen könnte. Nachdem dies gesagt wurde, bleiben viele Fragen darüber, was unter einer souveränen Cloud zu verstehen ist, auch wenn sie in der aktuellen binären Debatte tendenziell vernachlässigt werden.
Die Fragen fangen beim Grad der Souveränität an: Ist die Cloud eines ausländischen Anbieters, die aus Schweizer Rechenzentren bereitgestellt wird, ausreichend? Muss die Cloud stattdessen von einem Schweizer Unternehmen bereitgestellt werden? Muss die Cloud dem Staat selbst gehören und von ihm betrieben werden? Muss in all diesen Fällen die zugrundeliegende Software- und Infrastrukturschicht ebenfalls "Made in Switzerland" oder zumindest Open Source sein?
Es stellt sich auch die Frage, was in dieser Cloud gespeichert wird: Werden alle Daten und Dienstleistungen der Verwaltung dort gehostet, oder nur die sensibelsten? Wird man Unternehmen und Privatpersonen anbieten, die Cloud für ihre eigenen Daten und Dienstleistungen zu nutzen? Es stellt sich auch die Frage nach den Dienstleistungen, die diese souveräne Cloud bieten soll: Wird man sich auf grundlegende Infrastrukturdienstleistungen (Speicher und VMs) beschränken? Oder will man eine fortschrittliche Cloud-Plattform mit Serverless, Containern, Datenanalysediensten und so weiter, wie sie der Bund in seiner umstrittenen Ausschreibung gefordert hatte?
Die Optionen sind also vielfältig und die Abwägungen zahlreich, möchte man über das gewünschte Mass an Souveränität und die technischen, wirtschaftlichen, rechtlichen und politischen Kompromisse entscheiden, die diese Wahl mit sich bringt.
Wie geht der Kanton Waadt mit der Frage der souveränen Cloud um?
Wie steht es also um das Projekt der lateinischen Kantone und die vom Kanton Waadt initiierte Machbarkeitsstudie? Der Waadtländer Informatikdirektor Patrick Amaru erklärte sich auf Anfrage des ICTjournal bereit, mehr darüber zu erzählen.
Was motiviert den Kanton Waadt, sich für eine souveräne Cloud zu interessieren und eine Machbarkeitsstudie zu diesem Thema zu lancieren?
Es sei daran erinnert, dass die 2018 vorgestellte digitale Strategie des Kantons Waadt Fragen der Souveränität klar in den Vordergrund stellt und dass einer ihrer Pfeiler die Datenpolitik betrifft. In Anbetracht dessen kann man nicht verbergen, was auf dem IT-Markt passiert, mit immer mehr Cloud-Lösungen und Anbietern, die zur Einführung dieser Lösungen drängen. All dies gibt uns zu denken. Ebenso wie die Entscheidung des Bundes, eine Ausschreibung zu verfassen, die die Aspekte der Souveränität vernachlässigt und Schweizer Cloud-Anbieter ausschliesst, und diese Aufträge dann an amerikanische und chinesische Unternehmen zu vergeben. All diese Faktoren haben dazu geführt, dass wir die Dinge beschleunigt haben, um zu sehen, was wir auf Waadtländer Ebene und mit den anderen lateinischen Kantonen tun können. Und wir haben uns darauf geeinigt, dass der Kanton Waadt mit einer Machbarkeitsstudie vorangehen soll. Die Studie wird voraussichtlich sechs bis sieben Monate dauern. Sie wird von unserer Delegierten für digitale Angelegenheiten, Catherine Pugin, geleitet.
Was ist für Sie eine souveräne Cloud?
Wir stellen uns die Frage, was eine souveräne Cloud beinhaltet, welche rechtlichen Aspekte sie hat, was man akzeptiert und was nicht, welche technischen Komponenten dazugehören. Man könnte bis zum Äussersten gehen und einen Begriff der Souveränität verwenden, der alle Schichten der Infrastruktur abdeckt, aber das ist nicht möglich und auch nicht unser Wunsch. Es wäre typischerweise illusorisch, sich von ausländischen Hardwarekomponenten unabhängig machen zu wollen. Unsere Studie soll klären, wie weit wir realistischerweise gehen können.
Was erwarten Sie von der Machbarkeitsstudie? Könnte die Studie zu einem No-Go führen, ähnlich wie es der Bund für seinen Cloud-Bedarf beschlossen hat?
Nein, die Studie sollte nicht zu einem No-Go führen. Wir streben auch kein eigenes Rechenzentrum an, um diese Cloud zu hosten, auch wenn wir diese Möglichkeit nicht ausschliessen. Die Studie soll uns als Orientierung dienen und Projekte anstossen, um eine Cloud mit einem gewissen Mass an Souveränität zu schaffen, möglicherweise auch in Zusammenarbeit mit privaten Anbietern. Wir erwarten nicht, dass die Studie uns alle Antworten auf alle Fragen liefert. Aber sie sollte uns helfen, den Kurs zu setzen und die Kriterien zu bestimmen, unter welchen Bedingungen eine viel genutzte Umgebung, wie eine Online-Bürosuite, als souverän betrachtet werden kann.
Verfügt der Kanton heute über eine detaillierte Übersicht seiner Daten und Workloads, die es ihm ermöglicht, diejenigen zu bestimmen, die unbedingt in einer souveränen Cloud gehostet werden sollten?
Es ist utopisch zu glauben, dass die Kantone über eine detaillierte Übersicht aller von ihnen verwalteten Daten verfügen, zumal es sich um ein lebendiges Ökosystem handelt, das sich ständig weiterentwickelt. Abgesehen davon entwickeln wir im Rahmen unserer digitalen Agenda Datenkategorien und eine Klassifizierung, die es uns ermöglichen werden, besser zu verstehen, was wir in die souveräne Cloud legen. Dies ist jedoch nicht Gegenstand der Studie.
Wird die von Ihnen geplante souveräne Cloud nur für Daten und Dienste der Verwaltung genutzt werden, oder wäre vorstellbar, dass der Staat souveräne Cloud-Dienste für Unternehmen und Privatpersonen anbietet?
Die Studie ist noch nicht fertig, aber ich kann mir nicht vorstellen, dass der Kanton ein eigenes Rechenzentrum baut, um seine Cloud-Dienste anzubieten. Das Projekt für eine souveräne Cloud muss in erster Linie den Bedürfnissen des Staates im weitesten Sinne entsprechen: dem Kanton, aber potenziell auch den Gemeinden oder staatsnahe Einrichtungen. Andererseits wird unsere Arbeit auch zu Kriterien und bewährten Praktiken führen, an denen sich Unternehmen orientieren können, die auf ihre Souveränität bedacht sind - insbesondere KMU. Dieser Aspekt liegt uns sehr am Herzen und ist im Übrigen auch Teil der digitalen Strategie des Kantons. Allgemeiner gesagt: Angesichts der Verwirrung, die über den Begriff der Souveränität herrscht, und angesichts der Unmöglichkeit, eine 100 prozentige Schweizer Cloud von Anfang bis Ende anzubieten, halte ich es für nützlich und wichtig, dass der Staat erklärt und verbreitet, was er als souverän definiert.
Der Erfolg der Cloud beruht unter anderem auf ihrem Potenzial für Kostenreduzierung, Kontinuität und Innovation. Inwieweit ist der Kanton bereit, auf einige dieser Vorteile zu verzichten, um mehr Souveränität zu erlangen?
Ich bin nicht von den Einsparungen durch die Cloud überzeugt, wenn man alle Kosten berücksichtigt - insbesondere die Kosten, die entstehen, wenn man die Cloud verlässt. Was die Kontinuität und Verfügbarkeit betrifft, so sprechen wir von einer Verwaltung, die nicht dieselben Bedürfnisse hat wie ein multinationales Unternehmen, das auf allen Kontinenten vertreten ist. Nun ja, wenn es um Innovation geht, kann es vorkommen, dass wir diesen oder jenen Dienst nutzen möchten, der von einem anderen Land aus angeboten wird - dann müssen wir abwägen. Ganz allgemein glaube ich, dass viele der Vorteile der Cloud in Wirklichkeit falsche Bedürfnisse sind, die von den grossen Anbietern aus dem Nichts geschaffen wurden. Wir dürfen uns nicht einfach auf dieses Terrain führen lassen und unsere Verpflichtungen vernachlässigen, wenn man etwa an das Datenschutzgesetz oder das Amtsgeheimnis denkt.
Das Thema Souveränität gewinnt auch in anderen Ländern an Bedeutung. Glauben Sie, dass sich die Cloud-Giganten an diese neue Situation anpassen werden?
Ich denke, es ist wichtig, starke und klare Signale zu geben, was akzeptabel ist und was nicht. Ich glaube nicht, dass ich die grossen Anbieter zum Einlenken bewegen kann, aber wir sehen, dass sich die Fronten bewegen. Während man anfangs mit einem nur aus den USA angebotenen Dienst gewissermassen vor vollendete Tatsachen gestellt wurde, haben die Vorschriften dazu geführt, dass die grossen Anbieter ihre Dienste nun auch aus Europa und sogar aus der Schweiz anbieten. Man sieht auch in Deutschland, dass eine dieser Gesellschaften eine Einheit mit einem lokalen Anbieter gründet. Es geht also darum, nicht aufzugeben, zu signalisieren, dass uns rechtliche Aspekte und die Souveränität wichtig sind, und zu zeigen, dass wir bereit sind, zusammenzuarbeiten, aber zu akzeptablen Bedingungen.