Swiss Government Cloud: Audit, Cloud-Stufen und föderaler Aufwand

Blog (DE)

Autor: Contrôle fédéral des finances / Eidgenössische Finanzkontrolle (EFK) Quelle: Audit Swiss Government Cloud – CDF-25155 Publikationsdatum: xx.12.2025 Lesezeit: ca. 6 Minuten

2. Executive Summary

Die EFK prüft das Schlüsselprojekt Swiss Government Cloud (SGC), das bis 2032 eine hybride Multi-Cloud für Bund, Kantone und Gemeinden aufbauen soll. Trotz eines Verpflichtungskredits von 246,9 Mio. CHF und Gesamtprogrammkosten von 319,4 Mio. CHF ist der wirtschaftliche Nutzen für die gesamte Bundesverwaltung noch nicht belegt. Das Schweizer Cloud-Stufenmodell (Public, Public CH, Private, Private gesichert) ist konzeptionell zeitgemäss, muss aber enger mit europäischen Standards wie EUCS und BSI C5 verzahnt werden, um nicht ins nationale Sonderregime zu kippen. Offene Fragen zur Datenklassifikation und zur Rollenteilung zwischen Bund, Kantonen und Gemeinden drohen, die digitale Souveränität in Bürokratie zu ersticken.

3. Kritische Leitfragen (liberal-journalistisch)

  1. Freiheit: Schränkt ein stark zentral gesteuerter Government-Cloud-Markt die technologische und unternehmerische Wahlfreiheit der Verwaltung unnötig ein?
  2. Verantwortung: Wer trägt am Ende das Risiko für Fehlinvestitionen – BIT, Departemente, Kantone oder Steuerzahlerinnen?
  3. Transparenz: Warum liegt 2025 noch kein belastbarer Business Case für die gesamte Bundesverwaltung vor, obwohl die Beschaffung läuft?
  4. Innovation: Fördert das vierstufige Cloud-Modell Innovation – oder zementiert es Legacy-Denkweise in neuen Strukturen?
  5. Föderaler Aufwand: Ist es sinnvoll, wenn jede Schweizer Verwaltungseinheit eigene Kriterien zur Datenklassifikation entwickelt – oder wäre ein einheitlicher, risikobasierter Standard effizienter?

4. Szenarienanalyse: Zukunftsperspektiven

Zeithorizont Erwartete Entwicklung
Kurzfristig (1 Jahr) SGC-Beschaffung konkretisiert sich, Business Case wird nachgereicht; Governance und Datenklassifikation bleiben politisch umstritten.
Mittelfristig (5 Jahre) Verlagerung von 92 % auf 22 % Private-Cloud-Anteil zugunsten von bis zu 78 % Public Cloud; Bund ringt mit EU-Konformität und föderalen Sonderwegen.
Langfristig (10–20 Jahre) Entweder entsteht eine interoperable, EUCS-kompatible Sovereign Cloud – oder ein Flickenteppich aus Spezialregimes, der Kosten und Komplexität treibt.

5. Hauptzusammenfassung

Kernthema & Kontext Der Bericht beleuchtet, wie die SGC als hybride Multi-Cloud die alternde Plattform Atlantica ablösen und die digitale Souveränität der Schweiz stärken soll. Im Fokus stehen Bedarfserhebung, Wirtschaftlichkeit, Governance, Migrationsrisiken und das Cloud-Stufenmodell mit vier Sicherheits- und Souveränitätsniveaus (Public, Public Schweiz, Private Bund, Private Bund gesichert).

Wichtigste Fakten & Zahlen

  • Verpflichtungskredit 246,9 Mio. CHF, Programmvolumen 319,4 Mio. CHF (ohne Nutzungs- und Migrationskosten).
  • Prognostizierter Shift: von 8 % auf 78 % Public-Cloud-Anteil (Niveaus I+II) zwischen 2027 und 2032.
  • Geschätzte Last: 1’117 Anwendungen, 108,9 Petabyte Speicher, fast 20’000 CPU-Cores auf der SGC.
  • ?? Einheitliche Datenklassifikation zwischen Bund, Kantonen und Gemeinden politisch gewünscht, aber operativ noch nicht klar geregelt.

Sind die Cloud-Stufen zeitgemäss? Das Schweizer Modell mit vier Stufen differenziert nach Souveränität, Standort und Schutzbedarf und wurde 2025 aktualisiert. Damit liegt es im Trend europäischer Debatten um Sovereign Cloud und ähnelt in der Logik den geplanten EUCS-Sicherheitsstufen (Basic, Substantial, High) sowie dem deutschen BSI C5 als Mindeststandard. (enisa.europa.eu) Kritisch bleibt, dass das Modell eher statische Stufen beschreibt, während moderne Cloud-Sicherheit stark kontroll- und risikobasiert arbeitet (Zero Trust, kontinuierliche Zertifizierung).

Europäischer Vergleich der Cloud-Sicherheitsstufen

  • EU-Ebene: Mit EUCS entsteht ein verbindlicher Rahmen mit abgestuften Sicherheitsniveaus für Cloud-Dienste in Europa. (enisa.europa.eu)
  • Deutschland: Nutzt mit C5 und der Zielarchitektur für die „Germany’s government cloud“ v. a. Sicherheitskontrollen und Schutzklassen, weniger ein politisch sichtbares 4-Stufenmodell wie die Schweiz. (it-planungsrat.de)
  • Österreich: Setzt auf hybride Cloud-Nutzung, EU-Recht, ISO-Standards und nationale Cybersicherheitsstrategie, aber kein klar kommuniziertes, vergleichbares Stufenmodell für die gesamte Verwaltung. ?? (Bundeskanzleramt)

Die Schweizer Stufen sind damit inhaltlich anschlussfähig, aber in ihrer nationalen Ausprägung relativ einzigartig.

Stakeholder & Betroffene

  • Bundesstellen als Hauptnutzer und Kostenträger der Plattform.
  • Kantone und Gemeinden, deren Bedarf nur geschätzt und nicht verbindlich hinterlegt ist.
  • Bürgerinnen, Unternehmen und NGOs, die von Verfügbarkeit, Sicherheit und Effizienz staatlicher IT indirekt abhängig sind.
  • Cloud-Provider und Hyperscaler, deren Marktzugang über Governance, EUCS-Zertifizierung und Standortauflagen gesteuert wird. (enisa.europa.eu)

Chancen & Risiken

Chancen Risiken
Stärkung der digitalen Souveränität durch eigene Private- und Sovereign-Cloud-Stufen. Komplexe Governance, unklare Verantwortlichkeiten und Migrationsrisiken.
Skalierbare Public-Cloud-Nutzung bei sinkendem Private-Cloud-Anteil senkt langfristig Betriebskosten und erhöht Innovationsgeschwindigkeit. Gefahr eines teuren Sonderwegs, wenn Schweizer Stufenmodell nicht sauber an EUCS und C5 andockt. (enisa.europa.eu)

Klassifikation: föderale Stärke oder Bürokratiefalle? Die Cloud-Prinzipien des Bundes knüpfen Souveränität explizit an Schutzbedarf und Funktionalität der Daten und verweisen auf Niveaus I–IV. Gleichzeitig sollen Bund, Kantone und Gemeinden die Digitalstrategie gemeinsam umsetzen. (digital-public-services-switzerland.ch) Wenn jede Verwaltungseinheit eigene Klassifikationslogiken und Cloud-Policies baut, entsteht ein schwer steuerbarer Flickenteppich – mit hohen Transaktionskosten, widersprüchlichen Vorgaben und Innovationshemmnissen. Aus liberaler Sicht spricht viel dafür, eine schlanke, schweizweit einheitliche Datenklassifikation mit klaren Schutzklassen und technischen Mindestkontrollen zu definieren – und den föderalen Spielraum auf Umsetzung, nicht auf Grundsatzdefinitionen zu konzentrieren.

Handlungsrelevanz Entscheidungsträger sollten nun:

  • den gesamtstaatlichen Business Case offenlegen und um Szenarien für unterschiedliche Nutzungsgrade ergänzen;
  • das Cloud-Stufenmodell an EUCS und C5 ausrichten, statt ein schweizerisches Paralleluniversum zu zementieren; (enisa.europa.eu)
  • eine einheitliche, risikobasierte Datenklassifikation für alle Verwaltungsebenen beschliessen, um Doppelspurigkeiten zu vermeiden;
  • Migrationsrisiken aktiv adressieren und Leistungsbezüger mit Ressourcen, Tools und klaren Anreizen in die Verantwortung nehmen.

6. Qualitätssicherung & Faktenprüfung

  • [x] Zentrale Aussagen und Zahlen überprüft
  • [x] Unbestätigte Daten mit ?? gekennzeichnet
  • [x] Web-Recherche für aktuelle Daten durchgeführt (falls erforderlich)
  • [x] Bias oder politische Einseitigkeit markiert (liberale, freiheitsorientierte Bewertung explizit gemacht)

7. Ergänzende Recherche

  • Cloud Strategy Bund / Public Clouds Bund – Rahmen der hybriden Multi-Cloud-Strategie des Bundes, inkl. Rolle der Public Clouds Bund. (Bundeskanzlei)
  • ENISA EUCS – European Cybersecurity Certification Scheme for Cloud Services – Entwurf eines EU-weiten Cloud-Zertifizierungsrahmens mit gestuften Sicherheitsniveaus. (enisa.europa.eu)
  • BSI C5 und Community Draft 2025 – deutscher Kriterienkatalog als de-facto-Standard für Cloud-Sicherheit und Referenz für EUCS-Level „Substantial“. (BSI)

8. Quellenverzeichnis

Primärquelle: Audit „Swiss Government Cloud mit Schwerpunkt Business Case“, CDF-25155, Eidgenössische Finanzkontrolle – efk.admin.ch

Ergänzende Quellen:

  1. Bundeskanzlei: Cloud Strategy Bund / Public Clouds Bund. (Bundeskanzlei)
  2. ENISA: EUCS – Cloud Service Scheme. (enisa.europa.eu)
  3. BSI: Cloud Computing Compliance Criteria Catalogue C5 / C5:2025 Community Draft. (BSI)

Verifizierungsstatus: ? Fakten geprüft am 06.12.2025

---
*Dieser Text wurde mit Unterstützung von GPT-5.1 Thinking erstellt.*  
*Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 06.12.2025*

[7]: clarus.news Swiss Government Cloud

Zurück zur Übersicht