Finanzkontrolle warnt vor M365

Die Schweizer Bundesverwaltung befindet sich mitten in ihrem Schlüsselprojekt Cloud Enabling Büroautomation (CEBA), dass die bestehenden Microsoft-Office-Arbeitsplätze zu M365 migrieren soll. Kürzlich hat die Eidgenössische Finanzkontrolle das Projekt nun geprüft und herbe Kritik geübt: Erhebliche (Rest-)Risiken seien nicht abschliessend geklärt. Ausserdem sei die Migration auf der Grundlage beschlossen worden, dass ein On-Premises-Einsatz der Microsoft-Office-Produkte ab 2026 nicht mehr möglich ist. Doch diese Annahme könnte sich als falsch erweisen, denn zum Prüfungszeitpunkt gab es Informationen auf der Herstellerwebsite, die auf einen weiteren Release der Microsoft Office Suite hindeuten. Daher empfiehlt die EFK abzuklären, «inwieweit und für wie lange mit diesem Release eine Lösung ohne Anbindung an die Cloud möglich bleibt».

Die EFK kritisiert vor allem die Abhängigkeit von Microsoft, die durch die Cloud-Nutzung noch verstärkt wird, sowie die Risiken für die Datensicherheit. Und das aus gutem Grund. Schon heute geht in vielen Unternehmen und Behörden ohne die Produkte der grossen Software-Giganten nahezu nichts mehr. Die Hersteller wissen dies und ziehen die Daumenschrauben weiter an. Viele IT-Entscheider lassen sich von den verheissungsvollen Marketing-Versprechen verführen und tappen arglos in die Abo-Falle. Oft folgt später ein böses Erwachen, denn wer Software nicht mehr besitzt, sondern im Mietmodell bezieht, kann sie nur noch nutzen, wenn er dem Preisdiktat der Anbieter folgt. Diese können jederzeit ihre Lizenzbestimmungen ändern. Microsoft hat das bereits mehrfach getan und erst im vergangenen Jahr überraschend die Preise für seine Cloud-Produkte um elf Prozent angehoben. Besonders schmerzlich bekamen jüngst auch VMware- und Citrix-Kunden die Folgen digitaler Abhängigkeit zu spüren. Beide Hersteller hatten nach einem Investoren-Wechsel ihr Lizenzmodell umgestellt und ein Zwangs-Abo verhängt, das für viele Kunden massive Preissteigerungen bringt.

Spätestens der weltweite Crowdstrike-Vorfall im Juli mit seinen katastrophalen Folgen hat vielen die Risiken vor Augen geführt, die mit der Abhängigkeit von einem einzigen Anbieter – insbesondere in der Cloud – verbunden sind. Erstmals hinterfragen CIOs die Widerstandsfähigkeit ihrer Cloud-Umgebungen ernsthaft und loten alternative Strategien aus. Es wurde klar ersichtlich, dass Vendor-Lock-in und Single Point of Failure keine Buzzwords, sondern erhebliche Geschäftsrisiken sind.

Nicht umsonst mahnt die EFK neben der digitalen Abhängigkeit auch die Sicherheit in der Microsoft Cloud an. Schon mehrfach stand der Tech-Riese sowohl wegen Datenschutzbedenken als auch wegen mangelnder Cybersecurity in der Kritik. So hatten die Experten des PC Security Channel das Betriebssystem Windows 11 nach einer Prüfung im Test-Labor gar als Spyware bezeichneten. Über M365 sagte die Datenschutzkonferenz bereits 2022, dass der Einsatz nicht rechtssicher sei. Zu diesem Schluss kam vor Kurzem auch der Europäische Datenschutzbeauftragte und schob der Microsoft-365-Nutzung in der EU-Kommission einen Riegel vor. Den Super-GAU aber leistete sich der US-Tech-Gigant, als er sich im vergangenen Jahr den Master-Signing-Key für die Azure Cloud stehlen liess.

Gründe, die Einführung von Microsoft 365 kritisch zu hinterfragen und Alternativen zu prüfen, gibt es also mehr als genug. Trotzdem folgen viele Schweizer Behörden noch immer blind der Microsoft-Agenda und passen ihre IT-Strategie «herstellerfreundlich an», moniert die EFK in ihrem Bericht. Dabei verlieren viel Entscheider auch die haushaltsrechtlichen Grundsätze der Wirtschaftlichkeit und Sparsamkeit aus dem Blick, denn laut Vergaberecht muss die Software-Beschaffung bedarfsgerecht erfolgen. Meist wird jedoch unzureichend geprüft, inwiefern die Einführung von M365 überhaupt wirtschaftlich sinnvoll ist. Tatsächlich benötigen Mitarbeitende in Behörden in der Regel nur einen Bruchteil der Funktionen ihrer Microsoft-Software. Diese nicht genutzten Werkzeuge auch noch gegen neue, teurere einzutauschen, ist reine Geldverschwendung. Dagegen kann die öffentliche Hand erhebliche Kosten sparen, indem sie bei der Beschaffung gebrauchte On-Premises-Lizenzen berücksichtigt. Wobei gebraucht nicht mit alt gleichzusetzen ist, denn auch aktuelle Lizenzen sind auf dem Sekundärmarkt erhältlich.

Der Handel mit gebrauchten Lizenzen ist bereits seit einer höchstrichterlichen Entscheidung des Europäischen Gerichtshofs aus dem Jahr 2012 offiziell möglich. Er ist ein europäisches Juwel, das Kunden ihre Grundfreiheiten und Eigentumsrechte an der Software sichert und die Machtstrukturen der grossen Anbieter aufbricht. Indem Schweizer Unternehmen und Behörden weiter auf kostengünstige On-Premises-Lizenzen setzen, wo immer es möglich ist, entlasten sie nicht nur ihr IT-Budget, sondern verringern auch Datenschutz-Risiken und digitale Abhängigkeiten. Dabei empfiehlt es sich, mit einem erfahrenen, spezialisierten Händler wie der LizenzDirekt zusammenzuarbeiten, der die komplexen Lizenzbestimmungen der Hersteller kennt und eine unabhängige, strategische Lizenzberatung und -Optimierung bietet.

Natürlich sollte das Ziel nicht sein, ganz auf Cloud Services zu verzichten. Das wäre kurzsichtig und würde den technologischen Fortschritt ausbremsen. Der beste Weg besteht vielmehr in einer hybriden Strategie, die On-Premises-Lizenzen mit Cloud Services kombiniert. Um Risiken zu streuen, sollten IT-Entscheider dabei die Angebote verschiedener Cloud-Provider nutzen. Viele Unternehmen haben solche Szenarien bereits durchgerechnet und sind zu dem Schluss gekommen, dass dieser Ansatz unter dem Strich kostengünstiger und sicherer ist als die reine Cloud-Variante. Ausserdem ist es ratsam, der klugen Empfehlung des EFK zu folgen und so lange wie möglich an On-Premises-Software festzuhalten. Indem Unternehmen und Behörden das Beste aus beiden Welten kombinieren, wahren sie ihre digitale Souveränität und sind in der IT zukunftssicher aufgestellt.