Finanzkontrolle blickt kritisch auf die Microsoft-365-Migration des Bundes
Die Bundesverwaltung soll künftig das Cloud-Produkt Microsoft 365 als Office-Lösung nutzen. In ihrem Prüfbericht befindet die Finanzkontrolle, die Migration schreite mit leichter Verzögerung voran und empfiehlt dem Bund, auf Risiken und Doppelspurigkeiten zu achten.
"Ein gemischtes Bild" – so beschreibt die Eidgenössische Finanzkontrolle (EFK), was sie bei der Prüfung der Microsoft-365-Migration der Bundesverwaltung vorfand. Im Rahmen dieses Projektes will der Bund insgesamt 40'000 Arbeitsplätze vom lokal installierten Produktpaket Microsoft Office 2021 auf das cloudbasierte Microsoft 365 migrieren. Die Umstellung ist bereits angelaufen und sollte bis 2025 dauern. Man habe das Projekt nicht aufgrund seines Volumens von 26,5 Millionen Franken als sogenanntes DTI-Schlüsselprojekt eingestuft, merkt die EFK an, sondern weil es sich auf die Arbeitsweise der nahezu gesamten Bundesverwaltung auswirke.
Mehr Zeit?
Die Realisierung des Projektes CEBA ("Cloud Enabling Büroautomation"), wie das Vorhaben heisst, schreite mit leichten Verzögerungen voran, schreibt die EFK in ihrem Bericht, der dem Stand von Ende 2023 entspricht. Konkret erwähnt die Prüfstelle für das Teilprojekt "CEBA Ziellösung" einen Verzug von 6 Wochen und für "Cloud @ Ausland" eine Verspätung von 6 Monaten im Vergleich zur ursprünglichen Planung.
Doch dass das Projekt mehr Zeit in Anspruch nimmt, scheint der EFK in gewisser Hinsicht ganz recht zu sein. Das Projekt CEBA, merkt die Behörde an, basiere auf der Annahme, dass ein lokaler Betrieb der Microsoft-Office-Produktpalette ab 2026 nicht mehr möglich sei; inzwischen gebe es Anzeichen, dass dies eben doch möglich sein sollte. Hierbei verweist die EFK auf von Microsoft veröffentlichte Dokumente. Tatsächlich kündigte der Tech-Gigant erst unlängst eine Office-Version ohne Abo-Lizenz an, wie Sie hier lesen können. Die Finanzkontrolle empfiehlt dem für CEBA verantwortlichen Bundesbereich Digitale Transformation und IKT-Lenkung (DTI), mit Microsoft abzuklären, bis wann ein Einsatz der Microsoft Office Suite ohne Cloud-Anbindung unterstützt werde. Die Prüfstelle erwähnt unter anderem die mit der Cloud-Nutzung verbundenen Restrisiken und findet: "Die möglicherweise veränderte Ausgangslage könnte dem Projekt zusätzliche Zeit verschaffen, um u. a. diese Situation zu bereinigen."
In seiner Stellungnahme akzeptiert der Bereich DTI die Empfehlung zwar. Er fügt aber auch hinzu, dass eine neuerliche Validierung mit Microsoft bereits stattgefunden habe. Resultat: "Microsoft konnte nicht garantieren, dass die Funktionalitäten und Schnittstellen der heutigen On-Prem-Version für die breite Anwendung über 2026 sichergestellt werden."
Weniger Doppelspurigkeiten
Insgesamt enthält der EFK-Bericht acht Empfehlungen zum Projekt CEBA, vier davon auf Prioritätsstufe 1. So bemängelt die Finanzkontrolle etwa das Fehlen eines Konzepts zur Überwachung und Kontrolle von Microsoft. Mit der Einführung von Microsoft 365 reiche es nicht mehr, Microsoft wie einen Lieferanten zu führen und zu steuern, denn neu werde der Tech-Konzern zum Dienstleister. Zwar betreibe Microsoft ein internes Kontrollsystem und stelle seinen Kunden Informationen dazu zur Verfügung. Die EFK stellt aber fest, dass beim Bund noch keine Strategie darüber besteht, wie er diese Daten nutzen soll. Ausserdem fehle "ein Überblick über die Kontrollmöglichkeiten und deren zugrunde liegender Konzepte von interner Kontrolle über Systeme mit verteilter Verantwortung"; findet die EFK und empfiehlt, die Kontrollmöglichkeiten bekanntzumachen und deren Einsatz zu regeln. Der Bereich DTI akzeptiert diese Empfehlung und gibt an, unter anderem Microsofts Cloud-Dienste einem Audit zu unterziehen.
Risiken und Doppelspurigkeiten
Auch zum Informationssicherheits- und Datenschutzkonzept (ISDS) hat die EFK etwas zu sagen. Hier müsse sichergestellt werden, dass die Vollständigkeit der Risiken überprüft werde und ein mit den späteren Nutzern abgestimmtes Risikoverständnis bestehe. Die Restrisiken müssten zudem auf der angemessenen Hierarchiestufe freigegeben werden. In seiner Stellungnahme schreibt der Bereich DTI; dass das Konzept Anfang 2024 fertiggestellt und unterzeichnet worden sei. Die Restrisiken würden vom Bundeskanzler und vom Leiter DTI übernommen. In der Antwort auf eine weitere Empfehlung sichert die Behörde ausserdem zu, die rapportierten Projektrisiken regelmässig mit dem Schlüsselprojektbericht abzugleichen.
Eine vierte Empfehlung auf Priorität 1 betrifft die Konferenz- und Telefonielösung Microsoft Teams. Laut dem Bericht setzt die Bundesverwaltung derzeit noch "Microsoft Skype for Business" ein, dessen Support wiederum Ende Oktober 2025 ausläuft. Teams, das im Rahmen des Projektes CEBA zum Teil ausgerollt werde, ersetze die Telefoniefunktion von "Skype for Business" nicht, sondern "stellt parallel eine weitere Möglichkeit für Chat und Videotelefonie dar", schreibt die EFK. Derweil scheinen gleich mehrere Projekte zur eigentlichen Skype-Ablösung zu laufen. Wenig verwunderlich empfiehlt die Prüfstelle dem Bereich DTI, "enge Abstimmung der Funktionalitäten «Kollaboration» und «Telefonie» sicherzustellen und neue Doppelspurigkeiten zu vermeiden". Diese enge Abstimmung sei gegeben, versichert der Bereich DTI. Die konkrete Planung einer Umstellung erfolge im Rahmen eines separaten Projekts "Hybrid-Telefonie".
Erstmals hat die Eidgenössische Finanzkontrolle im Jahr 2023 die Arbeiten zur E-ID unter die Lupe genommen. Die Programmstruktur findet die Behörde grundsätzlich angemessen. Gleichzeitig fehlen aber noch einige Programmdokumente und Grundlagen im Bereich der Kommunikation, wie Sie hier lesen können.