Die Bundesverwaltung will in die Cloud. Gemäss Cloud-Strategie des Bundes soll der Umzug in die Datenwolke bis Anfang 2025 vollzogen sein und IT-Dienste kombiniert aus Private Clouds und Public Clouds zur Verfügung stehen. Lesen Sie in diesem Blogpost, mit welchen Lösungen die Daten in der Cloud der Bundesverwaltung maximal geschützt werden können.
Die Cloud-Strategie der Bundesverwaltung ist seit Anfang 2022 in Kraft und wird entlang der Roadmap umgesetzt. Vom Tisch ist vorerst die Schaffung einer «Swiss Cloud» durch den Bund. Eine Studie von 2020 ergab, dass in öffentlichen Einrichtungen und der Wirtschaft kein Bedarf für eine öffentlich-rechtliche «Swiss Cloud» besteht.
Aktuell verfügt der Bund über eigene Private Clouds und möchte für die Public Clouds auf kommerzielle Anbieter zurückgreifen. Bis 2025 soll die Hybrid Multi-Cloud der Bundesverwaltung bestehend aus Privaten und Public Clouds live gehen.
Das Zielbild Cloud der Bundesverwaltung 2025 beinhaltet drei wesentliche Kernelemente: Liefermodelle für IT-Dienstleistungen, IT-Sourcing-Optionen und organisatorische Aspekte. Quelle: admin.ch
Mit der Hybrid Multi-Cloud eröffnen sich viele neue Möglichkeiten. So hat der Bund ein Auswahlverfahren durchgeführt und den Grossauftrag für die Cloud-Dienste an die Schweizer Niederlassungen von Amazon, IBM, Microsoft und Oracle erteilt. Ebenfalls berücksichtigt hat der Bund die europäische Tochter des chinesischen Internet-Riesen Alibaba. Ausschlaggebend waren laut des Informationssystems über das öffentliche Beschaffungswesen in der Schweiz (simap) die attraktiven Preise und Rabatte, welche die Anbieter in Aussicht gestellt hätten. Die Unternehmen gelten als Hyperscaler. Sie verfügen über eine breite Palette neuester Technologien und können ihre Dienste sowie die Infrastruktur je nach Bedarf hochskalieren.
Der Entscheid des Bundes hat zu Kritik aus der Politik geführt. Die Sicherheitspolitische Kommission des Nationalrats (SiK-NR) hat im Februar dieses Jahres einer parlamentarischen Initiative Folge gegeben, welche die Schaffung einer «Swiss Cloud» vorschlägt. Der Bund solle zusammen mit den Kantonen, Hochschulen, Forschungsanstalten und der Wirtschaft eine eigenständige digitale Infrastruktur schaffen.
Laut der Initiative soll der Bund die Infrastruktur unterhalten, die Kosten tragen, die Standards für die Cloud Security festlegen und sicherstellen, dass diese umgesetzt werde. Dahinter steht der Wunsch nach Cyber Security, Datensouveränität und Unabhängigkeit der Schweiz in diesem Bereich.
Bedenken in diesen Punkten sind nicht unbegründet. Cyber-Attacken nehmen stetig zu und laut der Sicherheitspolitischen Kommission ist es deshalb notwendig, dass die Schweiz eine eigenständige digitale Infrastruktur schafft.
Aktuell werden die Grundlagen für die Nutzung von Cloud-Diensten erarbeitet. Es geht im Besonderen um eine Checkliste für die Risikoanalyse sowie die Datenschutzfolgeabschätzung, wenn Personendaten in der Cloud verarbeitet oder gespeichert werden sollen. Anwendungen und Daten mit hohem Schutzbedarf hingegen werden nur in den Rechenzentren der Bundesverwaltung betrieben und bearbeitet.
Für Amtspersonen und Mitarbeitende der Bundesverwaltung bedeutet die Cloud-Strategie des Bundes, dass der Schutzbedarf der verschiedenen Geschäftsprozesse und entsprechenden anfallenden Daten evaluiert und definiert werden muss. Die Voraussetzung für diese Einteilung ist eine saubere und konsequente Klassifizierung der Daten – denn die Fachapplikationen in den Private und Public Clouds enthalten unterschiedlich klassifizierte Daten. Dies erreicht man unter anderem durch das Data Tagging. Die eindeutigen und systemweiten Merkmale im Tag sorgen dafür, dass die entsprechenden Daten-Klassifizierung und daraus abgeleiteten Speicherorte sowie Zugriffsrechte und Mechanismen angewendet werden.
Unverzichtbar ist dabei die Sicherheit der Endgeräte, welche auf die Daten zugreifen. Sie sind der entscheidende Punkt in einer Architektur mit einer hybriden Cloud mit Datenklassifikation. Denn das Endgerät ist ausschlaggebend, ob geschützte Inhalte der Cloud geöffnet und angezeigt werden können. Die implementierte Sicherheit des Endgeräts spielt eine entscheidende Rolle, ob die Datenklassifikation und die daraus resultierenden Zugriffsmechanismen und -rechte durchgesetzt werden können.
Das Ziel eines sicheren und effizienten Cloudzugriffs der Behördenmitarbeitenden kann u.a. durch den Einsatz eines Hardware Security-Anchor im Endgerät erreicht werden, welches hoch performante und resilient kryptografische Verfahren unterstützt. Eine reine Software-Lösung genügt bei höher klassifizierten Daten nicht, um die Sicherheit und Performance zu gewährleisten. Denn sensible Daten können in der Public Cloud durch starke Chiffrierung geschützt werden. Der Zugang zu diesen Daten ist aber nur von einem entsprechenden Endgerät mit den nötigen Berechtigungen möglich.
Erfahren Sie im Whitepaper «Datensicherheit für verschiedene Rollen – durch konsequente Zonentrennung» mehr über die zentralen Punkte einer innovativen und sicheren, auf dem «Cyber Defence in Depth»-Ansatz basierenden Arbeitsumgebung mit einer Cloud-Infrastruktur.