Microsoft 365 hört sich super an und ist einfach zu verwenden. Doch wie sieht dies bei Gemeinden aus, welche mit besonders schützenswerte Personendaten arbeiten? Wir denken hier sofort an Amerika, welche unsere Daten abzapfen, sobald diese kurz das Internet berühren. Sendet Microsoft unsere Dokumente nach Amerika und lässt diese zuerst von der NSA scannen?
Immer öfters fragen Mitarbeiter, wieso Microsoft 365 nicht im Einsatz ist. Als Grund wird die Zugriffsmöglichkeit von diversen Geräten auf Dokumente genannt. Die ICT lehnt dies wegen Sicherheitsbedenken schnell ab.
Der Kanton Zürich hat am 14.04.2022 einen Regierungsratsbeschluss im Zusammenhang mit Microsoft 365 für die kantonale Verwaltung veröffentlicht und genehmigt. In diesem Beschluss wird das Thema Sicherheit und Risiko, sowie der «Cloud Act» der USA analysiert.
Cloud Act
Mit dem «Cloud Act» sind amerikanische Unternehmen dazu verpflichtet, bei Verdacht auf Kriminalität, Kundendaten an die USA auszuhändigen. Microsoft mit Datenzentren sowie Niederlassungen in Europa, muss sich dadurch auch an die lokale Gesetzgebung halten. Gemäss einer Anfrage des Kanton Zürich vom 07.12.2021, erklärt Microsoft, dass noch nie Daten der öffentlichen Hand in Europa offengelegt wurden. Ausserdem verpflichtet sich Microsoft vertraglich, Anfragen von Strafverfolgungsbehörden direkt an den Kunden weiterzuleiten.
Das Risiko «Cloud Act» wurde vom Kanton mit der Berechnungsmethode von David Rosenthal berechnet. Diese Methode berechnet die Eintrittswahrscheinlichkeit bei dem eine ausländische Behörde Zugriff auf Daten erhält. Die Eintrittswahrscheinlichkeit der kantonalen Behörde (ZH) liegt bei 0.95% (bei einer Betrachtungsperiode von 5 Jahren). Somit kommt der Kanton zum Schluss, dass es höchst unwahrscheinlich ist, dass Daten von Microsoft 365 ohne Einwilligung an die US-Behörden übermittelt werden.
Cloud sicherer
Unerlaubter Zugriff durch Dritte wird ebenfalls thematisiert. Der Bericht sieht dabei das Risiko eines unerlaubten Zugriffs in der Cloud geringer an, als wenn die Daten On-Premises sind. Als Grund wird angegeben, dass die grossen Cloud-Anbieter die Daten mit neuster Technologie und den höchsten Sicherheitsvorkehrungen schützen und diese an die neusten Bedrohungslage anpassen. Des Weiteren müssen sich Mitarbeitende mit einer Zweifaktoren-Authentisierung authentifizieren, um den Schutz weiter zu erhöhen. Bei der Speicherung oder der Übertragung von Daten in die Cloud (inkl. Exchange Online) werden diese zusätzlich verschlüsselt.
Der Kanton Zürich sieht mehr Nachteile bei einem Verzicht von Microsoft 365als bei einer Einführung. Sicherheitsbedenken sowie technologische Nachteil bei einer On-Premises Lösung spielen dabei eine entscheidende Rolle.
Umsetzung
Dieser Regierungsratsbeschluss des Kanton Zürich, ist ein wichtiges Dokument welches endlich Klarheit für die Gemeinden verschafft. In unserem Fall war die Rechtsgrundlage bisher unklar, ebenso konnte der Kanton nie eine eindeutige Antwort dazu geben.
Der Entscheid zu Microsoft 365 wird somit für viele Gemeinden einfacher werden. Wir können uns nun auf die Umsetzung sowie die Kosten konzentrieren. Vermutlich werden die Kosten höher ausfallen als die On-Premises Lösung. Die Vorteile gegenüber einer On-Premises Lösung übersteigen in meinen Augen jedoch die Mehrkosten.
Der Umstieg zu Microsoft 365 braucht weiterhin viel Vorarbeit, vieles muss auf technischer Ebene geklärt werden und die Geschäftsleitung muss dieses Vorhaben unterstützen. Ist diese weiterhin skeptisch bezüglich der Rechtsgrundlage oder der Sicherheit, kann gut der Regierungsratsabschluss des Kantons Zürich zur Hand genommen werden.
Let’s go Microsoft 365
