Wie sich der Bund für die Public Cloud vorbereitet
In Bern hat die 11. IT-Beschaffungskonferenz stattgefunden. Natürlich wurde dort das revidierte Beschaffungsgesetz thematisiert. Teilnehmende erhielten aber auch einen Einblick in die Public-Cloud-Beschaffung der Bundesverwaltung.
Am 24. August hat die 11. IT-Beschaffungskonferenz stattgefunden. Rund 300 Akteurinnen und Akteure waren der Einladung nach Bern gefolgt, teilen die Veranstalter mit. Das Motto der diesjährigen Konferenz lautete "Make or Buy? Make and Buy!"
Digitalisierung in der Verwaltung: Besser als ihr Ruf
Bezüglich Digitalisierung hat sich sowohl in der öffentlichen Verwaltung als auch in der Politik vieles bewegt in den letzten Jahren. Nationalrat und Unternehmer Gerhard Andrey sieht gar einen Paradigmenwechsel, wie er in seiner Keynote ausführte. Vorangetrieben wurde dieser nicht nur durch die Coronapandemie, sondern auch durch eine Häufung beunruhigender Datenschutzvorfälle. Namentlich nannte er die Plattform "Meineimpfungen.ch" sowie die von einem Cybervorfall betroffene Gemeinde Rolle.
Nationalrat und Unternehmer Gerhard Andrey hält die Keynote der IT-Beschaffungskonferenz (Source: zVg)
Zu den "Tugenden", die den letzten Jahren an Fahrt aufgenommen haben, zählen laut Andrey etwa die digitale Souveränität, Open Source, Programmschnittstellen (APIs) und der Einbezug der Öffentlichkeit in Digitalprojekten. Sehr gut illustrieren lasse sich dies an der App zum Covid-Zertifikat. Dass die Bevölkerung der App vertraut habe, sei nur möglich gewesen, da ihr Quellcode öffentlich verfügbar und jeder zum Testen eingeladen war. Open-Source-Komponenten trugen dazu bei, "das Covid-Zertifikat schnell auf den Boden zu bringen". Und dank der APIs konnten weitere Entwickler das Zertifikat in ihre Apps einbauen.
Weiter lobte der Liip-Mitgründer den Entwicklungsprozess der neuen elektronischen Identität (E-ID). Hier habe der Bund schon zu Beginn mit einem Beirat und einer öffentlichen Konsultation Vertreterinnen und Vertreter aus Politik, Wirtschaft, Wissenschaft und Zivilgesellschaft ins Boot geholt.
Zu vielen digitalen Entwicklungen in der Verwaltung nannte Andrey parallel eingereichte politische Vorstösse und fand: "Die Verwaltung ist ziemlich synchron mit dem, was die Politik will." Entgegen eines oft genannten Clichés hätten Politik und Verwaltung in den letzten Jahren bewiesen, dass man durchaus Digitalisieren könne. Abgeschlossen ist der Prozess noch nicht. "Wir sollten auf ein digitales Ökosystem in der Verwaltung hin arbeiten", skizzierte er seine Vision.
Anna Caroline Müller, Legal Affairs Officer bei der Welthandelsorganisation (Source: zVg)
In eine ähnliche Kerbe schlug Anna Caroline Müller, Legal Affairs Officer bei der Welthandelsorganisation (WTO). Auch die habe ein "angestaubtes Image" und sei jetzt dabei, sich zu modernisieren. Im WTO-Übereinkommen zum Beschaffungswesen (GPA), welches seit 2021 auch für die Schweiz gilt, sei die elektronische Vergabe ein zentrales Thema. Allerdings definiere es nicht ein vollständiges Vergabesystem, sondern lege nur die Mindeststandards fest, die die Schweiz mit der Plattform "simap" umgesetzt habe. Die elektronische Vergabe trage zur Korruptionsbekämpfung bei, fördere die Transparenz und ermögliche es, Daten zu visualisieren und statistisch auszuwerten. Als Beispiel verwies sie auf die Plattform "Opentender". Die Schweiz habe den GPA-Beitritt dazu genutzt, auch ihr nationales Beschaffungsgesetz zu revidieren, lobte Müller und ermutigte die IT-Branche, über die Mindeststandards hinauszugehen "so dass das globale Abkommen nicht das Endziel ist, sondern ein Wegweiser".
Mit Taktik in die Public Cloud
Zu den in der Branche am heftigsten Diskutierten IT-Beschaffungen des Bundes gehört zweifellos das Public-Cloud-Projekt. Die Zuschläge im Gesamtwert von bis zu 110 Millionen Franken hatte der Bund im Sommer 2021 an fünf Anbieter vergeben. Bei der Ausschreibung hatte sich die Bundesverwaltung einige Patzer geleistet, wie Sie hier lesen können.
Doch wie ging der Bund das Projekt nach der Ausschreibung an? Und wie kommen die Verträge mit den Hyperscalern zustande? Antworten darauf lieferte Erica Dubach, Abteilungsleiterin "Transformation und Interoperabilität" im Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei.
Erica Dubach, Abteilungsleiterin "Transformation und Interoperabilität" im Bereich Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei. (Source:zVg)
Bewährt habe sich die Arbeit in klar ausgerichteten Teams. Nach aussen ausgerichtet, habe sich eines um die Vertragsverhandlungen gekümmert, führte Dubach aus. Sehr anschaulich schilderte sie dann, wie sich die fünf Anbieter während des Kick-Off-Meetings beäugten. Das Team des Bundes informierte sie dort über die Rahmenbedingungen und die Kommunikationsregeln. Zu den Bedingungen gehörte, dass die Bundesverwaltung einen Rahmenvertrag und von allen Anbietern das jeweils gleiche Abrufverfahren forderte – "Das war schon eine erste Hürde", kommentierte Dubach.
Eine zentrale Rolle bei den Vertragsverhandlungen spielte dann eine Liste mit 23 vom Bund definierten Anforderungskriterien. Diese glich die Bundesverwaltung mit den von den fünf Anbietern eingereichten Offerten ab. Aus dem anonymisierten und visualisierten Abgleich konnte jeder Anbieter ablesen, wer wie viel erfüllte. Die Taktik des Bundes: Er konfrontierte nun die einzelnen Provider: "Du hast bei diesem Kriterium nur Gelb erreicht; wir hätten dich gern auf Grün; Anbieter Nummer Vier ist bereits Grün", zitierte Dubach beispielhaft.
Auf diese Weise habe man Druck auf die Provider ausüben können – mit Erfolg, findet Dubach. Dank dieser Verhandlungsstrategie habe man bei allen Hyperscalern beispielsweise bessere Schutzstandards aushandeln können. Als weiteres Beispiel nannte sie die SCION-Technologie für sicheren Datentransfer. In der ursprünglichen Ausschreibung sei diese nicht enthalten gewesen. Doch mit der geschilderten Verhandlungstaktik habe der Bund erreicht, dass sie nun in allen Verträgen enthalten sei.
Fit machen für die Cloud
Ein weiterer Projektteil ist nach Innen gerichtet, erläuterte Dubach weiter. "Geht ein Bund auf die Public Cloud, braucht es Governance." So müsse jede Verwaltung, die die Cloud nutzen wolle, ein anbieterneutrales Pflichtenheft erstellen. Dieses gleiche man dann mit den Evaluationskriterien der fünf Anbieter ab, woraus sich dann der ideale Provider ableiten lasse. Definiert werden müssen auch die Rechte und Pflichten des Bundesamtes für Informatik und Telekommunikation (BIT), welches die Cloud-Arbeiten am konkret ausführen werde. Hier gehe es unter anderem um Security Risk und Compliance.
In Arbeit befinde sich ausserdem ein Bericht zum Rechtlichen Rahmen für die Cloudntzung in der Bundesverwaltung. "Wir wissen, dass viele auf diese Arbeit, diese Auslegeordnung, warten", merkte Dubach an. Da noch nicht alle Grundlagenarbeiten abgeschlossen seien, könne man aktuell noch nicht viel dazu sagen, aber: "Wir werden kommunizieren, was wir können."
Im In ihrem Vortrag und in der Fragerunde stellte Dubach klar, dass der Bund auf die Leistung der grossen Cloud-Provider angewiesen sei. Schon seit längerem setze etwa Meteo Schweiz auf die von Amazon gelieferte AWS-Infrastruktur. "Wettermodelle brauchen solche Kapazitäten", erklärte Dubach. Ausserdem betonte sie, dass man keine personenbezogenen Daten auf den Servern der Hyperscaler, auf die sich die Ausschreibung bezieht, speichern werde. "Die Wetterdaten kann man bedenkenlos in die Cloud geben."
Aktuell muss das Bundesverwaltungsgericht klären, ob es eine ausreichende gesetzliche Grundlage für das Public-Cloud-Projekt des Bundes gibt. Fehlt diese, fordert ein Beschwerdeführer einen unmittelbaren Projektstopp. Von Tech-Journalistin Adrienne Fiechter auf einen möglichen Stopp des Projekts angesprochen, erklärte Dubach, man schätze dieses "Worst Case Scenario" als unwahrscheinlich ein, fügte dann aber an, man sei dabei, mit dem Rechtsdienst ein Szenario auszuarbeiten. "Es würde uns verlangsamen und ich fände es schade für die Schweiz."