Arbeitsgruppen

Ausgangslage:

In Ergänzung zur bestehenden Arbeitsgruppe IT-Sicherheit, welche sich vermehrt den technischen Anforderungen und Massnahmen widmet, werden in dieser Arbeitsgruppe strategische, organisatorische, finanzielle und rechtliche Fragen koordiniert.

Zielsetzungen

Die Arbeitsgruppe wird die aktuellen Entwicklungen des Datenschutzes in der Schweiz (neue Datenschutzgesetze in den Kantonen), in Europa (DSGVO) und international (z.B. Swiss-US Privacy Shield) aktiv verfolgt und Empfehlungen für die Mitglieder erarbeitet werden, wie sinnvollerweise mit dem Thema umgegangen werden soll.

Im Bereich der Datensicherheit liegt der Fokus nicht im technischen Bereich (dafür ist die separate Arbeitsgruppe IT-Sicherheit zuständig), sondern in übergeordneten Themen der Informationssicherheit und Risikobetrachtung sowie Risikominimierung. In diesen Bereichen sollen mit ausgewiesenen Sicherheitsspezialisten der Privatwirtschaft und der öffentlichen Verwaltungen (Bund, Kantone) Informationen ausgetauscht und mit Privatanbietern Rahmenverträge für Dienstleistungen und Sicherheits-Produkte ausgehandelt werden, um Skaleneffekte für die Vereinsmitglieder zu erzielen.

Ziele für die Arbeitsgruppe für 2024:

1. SOC / SIEM Projekte
2. Umsetzung (teilrevidierte) kantonale Datenschutzgesetze
3. Umstellung auf neue ISO / IEC Norm 27001:2022
4. Neue Technologien / Gefahren (insbesondere: KI, Deepfakes, Quantencomputing)

Koordination:

Christoph Schwalm, CISO der AR Informatik AG (christoph.schwalm@ari-ag.ch)

Ausgangslage:

• Das Thema der Leistungsbeschreibung (Servicekatalog), der Servicepreise und deren Verrechnung sowie der Vergleich der eigenen Services am Markt (Benchmarking) wird auf politischer Seite wie auf Kundenseite verstärkt zum kritischen Erfolgsfaktor für alle Servicedienstleister, seien diese nun interne oder externe Provider. Die Kunden fordern zunehmend eine transparentere Dienstleistung für ICT-Servicedienstleistungen der Städte und Gemeinden. Darum tauschen sich unsere regionalen Mitgliederorganisationen (RMO) zu diesem Thema laufend aus und übergeben einander erarbeitete Grundlagen.

Zielsetzungen:

• Die Erfassung und der Vergleich von Kunden-, Benutzer- und Mitarbeiterzufriedenheit soll in dieser Arbeitsgruppe harmonisiert werden und den Vereinsmitglieder die Möglichkeit geben, sich untereinander in diesen drei Messbereichen in Zukunft zu vergleichen und gemeinsam Verbesserungsmassnahmen abzuleiten.

• abgestimmter Servicekatalog / abgestimmtes Leistungserfassungskonzept und Kenngrössen für Benchmarking
• vergleichbare Führungsinformationen zu ICT-Servicequalität und ICT-Servicekosten
• Erarbeitung gemeinsamer Benchmarking-Konzepte für Politik und Führungskräfte

Weiterführende Informationen zum Thema „Benchmarking der kommunalen IT-Kosten“ finden Sie im Artikel des Kommunalmagazins, Nr. 2 vom April 2012.

Koordination:

• Johannes Dörler, CEO AR Informatik AG.

Im Zusammenhang mit der Ausarbeitung der erweiterten Auslagerungsstrategie für Microsoft-Produkte und Services (MS365) mit Datenbearbeitung und Datenspeicherung in der (Schweizer) Cloud (auch für TEAMS und EXCHANGE) hat der Verein SSGI für die Stadtverwaltung Zug eine Anfrage bei Microsoft Schweiz AG (Cyrill Hollenstein) zum massgeblichen Vertragsframework von Microsoft Schweiz AG für die ausgelagerte Datenbearbeitung (Auftragsdatenverarbeitung ADV) gestartet.

Die Antworten dazu stammen von Cyrill Hollenstein für Microsoft Schweiz AG und werden nachfolgend wiedergegeben. Ebenfalls wurde eine Vertragsübersicht für die Auftragsdatenbearbeitung durch Microsoft Schweiz AG für die öffentlichen Verwaltungen beigelegt.

Wir orientieren an dieser Stelle über diese Rückmeldungen von Microsoft Schweiz AG um zu zeigen, dass offenbar in der Zwischenzeit wieder zahlreiche Erweiterungen zur Bereitstellung von organisatorischen und technischen Sicherungsmassnahmen bei einer vollständigen Auslagerung der Datenbearbeitung und Datenspeicherung unter Einsatz von MS365-Produkten und Services zur Verfügung stehen. Dazu gehören auch Möglichkeiten des Customer-Keys und der Key-Souveränität (vgl. unten).

Der Verein SSGI hat Microsoft nachfolgende Fragen gestellt und dazu folgende Antworten erhalten:

In diesem Zusammenhang fragen wir Sie an,

1.  Ob Microsoft für TEAMS und EXCHANGE (aus der Cloud) zusätzliche spezielle Funktionalitäten für die Transport- und die Speicherverschlüsselung von besonders schützenswerten Personendaten und sensiblen Sachdaten (Amtsgeheimnisdaten, strategische Daten) anbieten kann und wenn ja welche?

MSFT:

• Customer Key findet Anwendung auf data at rest.
• Weiter besteht die Möglichkeit mit Microsoft Purview, daten zu klassifizieren und Labeln und je nach Klassifizierung zusätzliche Verschlüsselung dieser Daten anzuwenden. Wir empfehlen unseren Kunden aus strategischer Sicht, zwingend eine Datenklassifizierung heute schon anzugehen (Hintergrund: eine zukünftige Aktivierung von z.B. KI Lösungen wie Microsoft 365 Copilot Microsoft Copilot für Microsoft 365 wäre sonst sehr risikobehaftet...)
• weiter besteht die Möglichkeit der Nachrichten Verschlüsselung Microsoft Purview-Nachrichtenverschlüsselung | Microsoft Learn
• Bzgl. Customer Key gibt es verschiedene Ansätze wie das Key Management mit Azure KeyVault erfolgen kann. Möchten Kunden maximalen Schutz auf Ihre Schlüssel erlangen, empfehlen wir den Einsatz von Azure Managed HSM Azure Managed HSM Overview - Azure Managed HSM | Microsoft Learn, bei welchem der Zugriff von Microsoft auf die Kundenkeys technisch ausgeschlossen werden kann (Einsatz von Confidential Compute) und somit dem Kunden Schlüsselsouveränität gewährleistet (Key sovereignty, availability, performance, and scalability in Managed HSM | Microsoft Learn.

2.  Zudem bitte ich um Mitteilung, welche vertraglichen Grundlagen Microsoft für den datenschutzkonformen Auftragsdatenverarbeitungsvertrag (ADVV) zwischen der Stadtverwaltung Zug und Microsoft Schweiz AG bietet?

MSFT:

• Uns sind derzeit nur folgende Vertragsunterlagen bekannt:
• Data transfer Agreement (P2P) zwischen Microsoft Ireland Operations Limited (data exporter) und Microsoft Corporation (data importer) vom15.9.2021
• Datenschutznachtrag zu den Produkten und Services von Microsoft – Aktualisierte Version vom 15.9.2022

3.  Gibt es aus Sicht von Microsoft Schweiz AG weitere Vertragsunterlagen, welche in einem ADVV zwischen einer öffentlichen Verwaltung der Schweiz (hier: Stadtverwaltung Zug) und Microsoft Schweiz AG oder Microsoft generell referenziert und einbezogen werden müssten? Wenn ja, könnten Sie uns diese zur Verfügung stellen.

MSFT:

• Die Stadt Zug basiert vertragstechnisch auf dem SIK Rahmenvertrag. Entsprechend ist auch der Datenschutzzusatz (SIKDPA2022) welcher mit Privatim und SIK mit dem neuen Rahmenvertag 2022-25 (Level 2 gemäss Anhang) verhandelt wurde für die Stadt Zug anwendbar. Das SIKDPA2022 müsstet Ihr via SIK beziehen (Greg Hernan).
• Microsoft spricht jedem Kunden standardmässig das Recht zu, sich jeweils auf das aktuellste Microsoft DPA zu beziehen/gerichtlich zu belangen (falls der Fall eintritt). Da das SIKDPA2022 einen "freeze" des anwendbaren Microsoft DPAs beinhaltet (Stand September 2022), empfehlen wir Kunden via Ihren Lizenzpartner (SoftwareOne, Bechtle, etc.) sich das aktuellste Microsoft DPAs mittels zusätzlichem Amendmend schriftlich zum kundenspezifischen Enrollment (hier dem EA der Stadt Zug, Level 3 gemäss Anhang) anhängen zu lassen.
• Aktueller Stand des Microsoft DPAs ist 2. Januar 2024 Licensing Documents (microsoft.com), dieses beinhaltet unter anderem die vertragliche Zusicherung der "EU Databoundary" welche u.a. beinhaltet, dass

        a.) Kundendaten innerhalb von Europa gespeichert und verarbeitet werden und

        b.) neu auch Logdaten/dienstgenerierte Daten welche pseudonymisierte Personendaten enthalten könnten, ebenfalls in Europa verarbeitet und gespeichert werden.      

Für weiterführende Fragen nehmen Sie mit dem Verein SSGI Kontakt auf.

Die Arbeitsgruppe wird neu ab 1.1.2024 ihre Aktivitäten gemäss Zielsetzung- und Leistungsbeschrieb aufnehmen. Der Zielsetzungs- und Leistungsbeschrieb wird an der Vorstandssitzung vom 21.2.2024 verabschiedet.

Sie steht vorerst unter der Leitung des Präsidenten SSGI, bis die Arbeitsgruppe etabliert ist.