Trotz Abhängigkeit und Datenschutzrisiken: Behörden gehen in die Microsoft-Cloud
Für Behörden galt Microsoft 365 aus Datenschutzgründen lange als tabu. Jetzt wollen sechs Bundesländer mit speziell ausgehandelten Bedingungen in die Cloud.
(Bild: StockStudio/Shutterstock.com)
Den Anfang machte Deutschlands größte Behörde: "Die Bundesagentur für Arbeit führt Microsoft Teams ein", kündigte Stefan Latuski, der Chief Information Officer (CIO) der Bundesbehörde mit über 100.000 Angestellten, im Dezember 2023 auf LinkedIn an, garniert mit einem lachenden Emoji. Innerhalb von nur 21 Wochen und damit in "absoluter Rekordzeit" habe man die Vorbereitungen für den Rollout getroffen.
Peter Neuhauser, Bereichsleiter IT-Sicherheit beim internen IT-Dienstleister der Arbeitsagentur, war jedoch nicht zum Mitjubeln zumute. "Für uns ist das ein trauriger Tag, der uns unseren ohnehin nicht einfachen Job noch ein Stück schwieriger macht", kommentierte er unter dem Beitrag.
Der Dissens zwischen dem CIO der Arbeitsagentur und einem seiner wichtigsten Mitarbeiter steht exemplarisch für eine Diskussion, die zurzeit in vielen deutschen Ministerien und Behörden mit Leidenschaft geführt wird: Sollte auch der Staat die Clouddienste von Microsoft nutzen, die in den meisten Unternehmen längst Standard sind? Oder müssen Behörden auf Teams und Microsoft 365 verzichten, um ihre Daten besser zu schützen und ihre Abhängigkeit von dem US-Konzern nicht noch zu vergrößern?
Eine Umfrage von c’t unter den 16 Landesregierungen zeigt nun, dass die Befürworter der Microsoft-Cloud langsam die Oberhand gewinnen: Mindestens sechs Bundesländer wollen Teams oder das komplette Cloud-Office-Paket Microsoft 365 in ihrer Verwaltung einführen.
(Bild: Christina Czybik / bundesfoto)
Vorreiter unter den Bundesländern ist Niedersachsen, das die Einführung von Teams bereits im April ankündigte. Anfang August berichtete c’t zudem exklusiv, dass Bayern mit Microsoft über einen Vertrag für die Nutzung von 365 verhandelt.
Laut den Ergebnissen der c’t-Umfrage wollen auch Nordrhein-Westfalen, Bremen, Hamburg und das Saarland in die Microsoft-Cloud. In Hamburg soll Microsoft 365 bis Jahresende an 8000 bis 10.000 Verwaltungsarbeitsplätzen "mit normalem Schutzbedarf" verfügbar sein, erklärte ein Senatssprecher. Man arbeite zudem an Maßnahmen, die die Einführung zum Beispiel bei der Polizei und in Sozialbehörden möglich machen würden. Nordrhein-Westfalen plant für das erste Quartal 2025 eine "technische Pilotierung" von Microsoft 365, Bremen die Einführung des Cloudpakets im Oktober 2025. Das Saarland bereitet derzeit die "abschließende Freigabe" von Teams vor, weitere Dienste von Microsoft 365 sind "angedacht".
Pro ...
Die Cloud-Befürworter argumentieren unter anderem damit, dass Microsoft sein Officepaket künftig nur noch aus der Wolke heraus anbieten wird. Nach aktueller Planung läuft im Jahr 2029 der Support für das klassische MS Office 2024 aus.
Der niedersächsische Landes-CIO Horst Baier betont vor allem den Innovationsdruck: "Der Einsatz von automatisiert bereitgestellten Anwendungen und Ressourcen, die Unterstützung der IT-Sicherheit aus der Cloud und nicht zuletzt der Weg zur Nutzung von künstlicher Intelligenz ist zwingend", sagte er im April. Der Eigenbetrieb der IT könne solche Anforderungen "nicht vollständig abdecken". Langfristig seien Clouddienste zudem günstiger, prognostizierte er. "IT aus der Steckdose soll so weit wie möglich eingekauft werden."
... und contra Cloud
Aus Sicht mancher Experten ist IT aus der Microsoft-Steckdose allerdings riskant. In Sachen Cybersicherheit habe es bei dem US-Konzern nachweisbar gefährliche Mängel gegeben, sagt Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen, gegenüber c’t. Er verweist bei diesem Thema auf den gestohlenen Master-Key für Microsofts Azure-Cloud, mit dem mutmaßlich chinesische Hacker unter anderem auf Exchange-Accounts von US-Behörden zugriffen. Die US-Cybersicherheitsbehörde attestierte Microsoft daraufhin eine "Kaskade vermeidbarer Fehler".
Zudem sei die Abhängigkeit von Microsoft wirtschaftlich nachteilig, warnt Kipker. Der US-Konzern könne seine Marktmacht mit hohen Preisen ausspielen. Nicht umsonst habe das Bundeskartellamt Microsoft vor Kurzem unter verschärfte Beobachtung gestellt. "Vor dem Hintergrund dieser Tatsachen wirkt es geradezu fahrlässig, wenn ein Flächenland wie Niedersachsen betont, in Zukunft auf ,IT aus der Steckdose‘ setzen zu wollen", lautet das Fazit des Professors.
Auch viele Datenschützer sehen den Schritt in die Microsoft-Cloud kritisch. Im November 2022 hatten die Datenschutzbeauftragten von Bund und Ländern festgestellt, dass ein datenschutzkonformer Einsatz der Dienste unter Microsofts damaligen Standardregeln nicht möglich ist. "Zwar wurde der Datenschutznachtrag seitdem mehrfach aktualisiert, ohne aber die Kritikpunkte ausräumen zu können", erklärt ein Sprecher der Bundesbeauftragten für den Datenschutz.
Spezialverträge mit Microsoft
Mittlerweile können jedoch zumindest Großkunden bei Microsoft spezielle Datenschutzbedingungen aushandeln. Diesen Weg gingen unter anderem die Bundesagentur für Arbeit und das Land Niedersachsen. Der niedersächsische Landesdatenschutzbeauftragte hatte zuvor Bedingungen formuliert. Das Ergebnis der Verhandlungen zwischen dem Konzern und der Landesregierung betrachtet er zwar als in einigen Punkten verbesserungswürdig, aber insgesamt "akzeptabel".
Zu den Sonderregeln, die Niedersachsen mit Microsoft ausgehandelt hat, gehört zum Beispiel eine Zusage des Konzerns, die Daten nur auf europäischen Servern zu speichern und zu verarbeiten. Der Support soll nur aus Ländern erfolgen, aus denen Unternehmen nach aktueller Lage DSGVO-konform mit Microsoft zusammenarbeiten können.
Auch mit eigenen technischen und organisatorischen Maßnahmen will die Verwaltung ihre Daten schützen. Als Beispiele nennt das niedersächsische Innenministerium die Deaktivierung von Diagnosedaten und Teams Analytics. Die Bundesagentur für Arbeit hat ihren Beschäftigten untersagt, Sozialdaten, also zum Beispiel Daten von Arbeitslosen, auf Teams zu verarbeiten. Die Behörde schließt jedoch nicht aus, dass sich das künftig ändert.
Nicht alle Ministerien und Behörden konsultieren die für sie zuständige Datenschutzbehörde, bevor sie mit Microsoft verhandeln. Man sei in das Vorhaben der Landesregierung "bislang noch nicht konkret eingebunden", sagte ein Sprecher der nordrhein-westfälischen Landesdatenschutzbeauftragten gegenüber c’t.
Die Datenschützer haben bei dem Thema grundsätzlich wenig zu gewinnen: Zunächst einmal können sie die Behörden nicht zwingen, sie überhaupt einzubinden. Verstoßen die Behörden aus ihrer Sicht gegen Datenschutzregeln, können sie, anders als bei Unternehmen, keine Bußgelder verhängen.
Doch nicht nur Datenschützer sehen den Schritt in die Microsoft-Cloud kritisch: Die sechs Bundesländer ärgern mit ihrer Entscheidung auch die Bundesregierung. Diese arbeitet nämlich an einer anderen Lösung für die Cloud-Zukunft: Sie will Microsoft 365 nicht direkt bei Microsoft buchen, sondern bei der SAP-Tochterfirma Delos. Diese plant, die gesamte Palette an Microsoft-Clouddiensten aus eigenen Rechenzentren anzubieten.
Mit der Delos-Cloud will die Bundesregierung die Nachteile der Public Cloud vermeiden, bei der man sowohl Software als auch Infrastruktur bei einem Fremdanbieter bucht. Microsoft soll Delos lediglich die Software und Updates zuliefern und deshalb rechtlich gesehen keine Möglichkeit haben, auf Daten zuzugreifen. Außerdem soll Delos der Bundesregierung Zeit verschaffen, falls etwa ein wiedergewählter US-Präsident Donald Trump Deutschland mit Tech-Sanktionen erpresst. Die Cloud könne auch ohne Updates zumindest ein paar Monate lang autark weiterlaufen, verspricht Delos.
Lesen Sie auch
Digitalisierung der Verwaltung: Bremen fordert eine Revolution
Bundesrechnungshof: Schonungsloser Bericht zum Status der digitalen Verwaltung
Kommentar: Die Grünen machen es sich mit ihrer "Deutschland-App" viel zu einfach
Digitale Behördengänge in der EU: Deutschland dümpelt im hinteren Mittelfeld
Autozulassung nur noch persönlich: KBA sperrt Anfang Januar viele iKfz-Portale
Länder contra Scholz
Die Delos-Cloud ist nicht nur für den Bund gedacht, sondern für die gesamte deutsche Verwaltung inklusive Ländern und Kommunen. Je mehr Behörden bestellen, desto günstiger kann es am Ende für die Einzelnen werden. Doch das Interesse der Länder an Delos ist bislang so gering, dass Bundeskanzler Olaf Scholz im Sommer bei den Ministerpräsidenten persönlich und nachdrücklich Werbung dafür machte: Er würde "einen Vertrag sofort unterschreiben", betonte er laut Handelsblatt.
In der Umfrage von c’t äußern die Landesregierungen sich aber weiterhin zurückhaltend zu Delos. Da die Kosten und der Leistungsumfang noch nicht bekannt seien, könne man das Angebot auch noch nicht beurteilen, hieß es mehr oder weniger wortgleich.
Dass die Länder, die sich bereits für Microsofts Standard-Cloud entschieden haben, später auf Delos umsteigen, ist eher unwahrscheinlich. Schließlich müssen sie bei Delos für die gleichen Dienste mehr bezahlen. "Im Vergleich wird die normale, öffentliche Microsoft-Cloud günstiger sein, weil die Anforderungen der Verwaltung einen erheblichen Zusatzaufwand bedeuten", sagte der damalige Delos-Chef Georges Welz 2023 gegenüber c’t.
Einige Bundesländer warten noch ab. Man könne die eingesetzten On-Premise-Produkte voraussichtlich bis Oktober 2029 lizenzieren, teilte die Landesregierung von Baden-Württemberg mit. Daher sehe man "derzeit keine Notwendigkeit zur Nutzung der Microsoft-Public-Cloud-Dienste. Dieses Vorgehen unterstützt die Souveränitätsinteressen des Landes." Man gehe davon aus, dass bis dahin die Delos-Cloud als Alternative zur Verfügung steht. Parallel verfolge man die Entwicklung von openDesk "mit Interesse".
Bei openDesk handelt es sich um eine Suite aus Open-Source-Office-Apps wie Open-XChange, Nextcloud und Collabora Office. Die Entwicklung dieser Microsoft-365-Alternative koordiniert das von der Bundesregierung gegründete und finanzierte "Zentrum für Digitale Souveränität".
Open Source vernachlässigt
Auf Open Source setzen im Office-Bereich bislang nur zwei Bundesländer: Schleswig-Holstein und Thüringen. Schleswig-Holstein hat bereits den Wechsel von Microsoft Office zu LibreOffice auf den rund 30.000 Rechnern der Beschäftigten des Landes beschlossen. Außerdem eruiert die Landesregierung Anwendungen wie Nextcloud und Open-Xchange. Thüringen arbeitet zurzeit an einer Cloud-Infrastruktur "als Basis für Dienste wie openDesk, Nextcloud, OpenTalk usw.", wie ein Regierungssprecher mitteilte.
Insgesamt ist das Interesse an Open Source in der Politik also eher gering. "Vielleicht wäre das Bild heute ein Anderes, hätte der Bund nicht die Entwicklung von openDesk in den letzten Jahren so ausgebremst", sagt Anke Domscheit-Berg, die Digitalexpertin der Linken im Bundestag. Sie verweist darauf, dass die Bundesregierung die Mittel für das Zentrum für Digitale Souveränität von 50 Millionen Euro im Jahr 2023 auf unter 25 Millionen Euro im laufenden Jahr gekürzt habe. "Und im nächsten Jahr sollen sie sogar auf unter 3 Millionen Euro gekürzt werden."
Gleichzeitig verschleppe der Bund die Aufnahme von Bundesländern in den Gesellschafterkreis des Zentrums, kritisiert Domscheit-Berg. "Das sind verhängnisvolle strategische Fehler, deren Nachwirkungen wir noch lange bei der Informationssicherheit und bei der Höhe der Ausgaben für proprietäre Software-Lizenzen spüren werden."
(cwo)