Höhere Datensicherheit für Behörden durch On-Premises-Lösungen

Erst im April dieses Jahres hat der EU-Datenschutzbeauftragte der EU-Kommission der Nutzung von Microsoft 365 einen Riegel vorgeschoben. Nun zieht die Eidgenössische Finanzkontrolle (EFK) nach. Sie empfiehlt dem Bund, Microsoft Office so lange wie möglich ohne Cloud-Anbindung zu nutzen.

Bisher galt für das Schlüsselprojekt «Cloud Enabling Büroautomation» (CEBA) des Bereichs Digitale Transformation und IKT-Lenkung (DTI) der Bundeskanzlei die Annahme, dass der lokale Betrieb der Produktpalette von Microsoft Office ab 2026 nicht mehr möglich sein wird. Man setzte auf die Cloud. In ihrem Bericht formuliert die Finanzkontrolle nun deutliche Datenschutzbedenken: Mit der Cloud-Nutzung seien Risiken verbunden, die zum Zeitpunkt der Prüfung noch nicht abschließend beurteilt, geschweige denn akzeptiert werden könnten, heißt es hier sinngemäß. Diese Risiken seien durch die Cloud-Nutzung bedingt – und sie seien teilweise erheblich.

Die Kritik der EFK basiert darauf, dass der Umstieg auf Microsoft Office 365 die Bundesverwaltung in eine Abhängigkeit von dem Softwareanbieter versetzt, mit dem Risiken für die Datensicherheit verbunden sind. Die EFK empfiehlt daher, alternative Lösungen zu untersuchen, um diese Abhängigkeit zu verringern. Doch sie sieht nicht nur die Sicherheit der Microsoft-Cloud als kritisch an. Erstmals nimmt sie auch die verantwortlichen Beschaffer in den Blick – und zwar sehr deutlich. Denn noch immer passen zahlreiche Behörden ihre IT-Strategie möglichst herstellerfreundlich an die Microsoft-Agenda an – obwohl strenge Vergabevorschriften gelten und sie im Eigeninteresse ebenso auf Datenhoheit wie auf Kosten- und Lizenzkontrollen sowie eine Streuung der IT-Abhängigkeiten achten sollten.

Bedarfsgerechte Beschaffung gerät aus dem Blickfeld
Die Kritik der EFK ist berechtigt, denn die Deckung des Bedarfs der öffentlichen Hand durch eine sparsame und wirtschaftliche Mittelverwendung ist im Haushaltsrecht als vorrangiges Ziel verankert. Die haushaltsrechtlichen Grundsätze der Sparsamkeit und Wirtschaftlichkeit liegen im Eigeninteresse der öffentlichen Hand und bilden bis heute den grundlegenden Handlungsmaßstab für die Beschaffung.
Doch leider gerät dieser Handlungsmaßstab nur allzu häufig aus dem Blickfeld der Beteiligten. Sie versäumen es, Alternativen intensiv zu prüfen und finden fadenscheinige Argumente, die einer bedarfsgerechten Beschaffung entgegenstehen. Der Bund ist beispielhaft für diese Vorgehensweise, indem er den Ankündigungen Microsofts unkritisch gefolgt ist und blindlings in die Cloud steuert. Und auch zuvor wurde häufig die Software Assurance für notwendig erklärt, obwohl klar war, dass Updates selten in Anspruch genommen werden. Letzteres ist ebenso unnötig wie wettbewerbsbeschränkend.

Auf On-Prem-Lizenzen vom Gebrauchtsoftwaremarkt setzen
Innerhalb Europas werden Software-Lizenzen im Wert von mehreren Milliarden Euro ausgeschrieben und direkt vom Hersteller beschafft, ohne dass eine Prüfung erfolgt, ob dies überhaupt wirtschaftlich sinnvoll beziehungsweise haushalts- und vergaberechtskonform ist. Daraus ergeben sich hohe finanzielle Schäden. Dieser Misere könnten die Beteiligten entkommen, wenn sie auch gebrauchte On-Premises-Software nutzen würden, die – wenn gewünscht – in vielen Fällen ebenfalls in der aktuellen Version verfügbar ist. Ein solches Vorgehen kann die datenschutzrechtlichen Bedenken gegen die Cloud verringern und gleichzeitig den Wettbewerb stärken.

Hinzu kommt: Es muss keineswegs immer der gesamte Werkzeugkoffer sein. Die meisten Behörden benötigen nur das ein oder andere Werkzeug aus dem Microsoft-Portfolio anstelle des kompletten Sortiments. Sie brauchen sozusagen nur den Hammer, obwohl auch Zange, Schraubenschlüssel und Feile bereitliegen. Und sie benötigen in der Regel auch keine Absicherung, dass sie die nicht genutzten Werkzeuge beizeiten gegen weiterhin nicht genutzte, neuere Werkzeuge umtauschen können. Schon allein aufgrund ihres Umfangs sind viele Lösungen teurer als das ursprüngliche Problem.

Das tradierte Beschaffungsverhalten überdenken
Wir haben es also mit einem tradierten Beschaffungsverhalten zu tun, das Händler und Behörden weiterhin ungefragt verfolgen, obwohl es dringend kritisch überprüft gehört. Zusätzlich geraten Behörden durch das Geschäftsgebaren der Hersteller und Großhändler unter Druck und ergeben sich letztlich in ihr Schicksal. Auf diese Weise kommt es zu einer Umverteilung: Geld fließt von den Behörden an die privaten Hersteller, die in ihren Segmenten Jahr um Jahr Milliardengewinne erzielen oder sogar eine Monopolstellung erreichen. Damit einhergehende Verwerfungen werden zum Teil hochemotional diskutiert. Ein Beispiel ist das von VMware und Citrix eingeführte Zwangs-Abo, das auch die Teilnehmer des ITAM-Kongresses in Engelberg fassungslos zurückließ.

Angesichts dieser Zusammenhänge ist die Kritik der EFK am behördlichen Beschaffungsverhalten zu begrüßen. Ihre Aufforderung, so lange wie möglich auf On-Premises-Lösungen zu setzen, ist – ebenso wie ähnliche Entscheidungen von Wettbewerbshütern – so klug wie zukunftsweisend.