Diskutiert man in sozialen Medien über Themen wie Sicherheit und Souveränität von Business Cloud Diensten, kommen immer wieder die selben Themen zur Sprache. Trump, die Sperre des Mailaccounts beim internationalen Gerichtshof, der Zugriff der US-Geheimdienste usw.
Damit ich mir das Tippen der Antworten jedesmal erspare, gibts hier eine kurze Übersicht über die einzelnen Themen
Microsoft, Khan und IStGH
Vorwurf
Microsoft hat dem Chefankläger des internationalen Strafgerichtshofs, Karim Khan, das Office 365 Mailkonto gesperrt. Basis dafür waren die Sanktionen, die Donald Trump gegen den IStGH im Februar 2025 erlassen hat. Zu diesem Vorfall gibt es eine Reihe von Berichten in unterschiedlichen Onlinemedien.
Fakten
Dazu gibt es Seitens des internationalen Strafgerichtshofes keine offiziellen Aussagen.
Es gibt Seitens Microsoft dazu zwei Aussagen:
Ein Microsoft-Sprecher erläuterte gegenüber heise online schon damals vage: „Seit Februar stehen wir während des gesamten Vorgangs, der zum Ausschluss des sanktionierten Beamten von den Microsoft-Diensten führte, mit dem IStGH in Kontakt.“ (Quelle: Microsoft: Kein Mail-Block für IStGH, startet europäisches Sicherheitsprogramm | heise online )
Und die Aussage von Brad Smith, Präsident von Microsoft, der am 4. Juni klar gesagt hat: „Microsoft did not stop or suspend its services to the International Criminal Court“ (Quelle: Microsoft didn’t cut services to International Criminal Court, its president says – POLITICO)
Anmerkung
Hat Microsoft mit der Sperre des Kontos gar nichts zu tun ? Das sagen diese Aussagen definitiv nicht. Ich verstehe diese Aussagen so, dass Microsoft an den IStGH bez. der Sanktion gegen Khan herangetreten ist und es dann von diesem die Entscheidung gab, das Konto zu sperren. Allerdings wird es in Zukunft diese Gespräche lt. Heise mit Kunden nicht mehr geben, weil sich MS auf den Standpunkt stellt, nur die technische Plattform bereitzustellen und der Kunde entscheiden muss, ob er den Mitarbeitern Zugriff gewährt (Was aus meiner Sicht valide ist, weil der Vertragsnehmer ja in diesem Fall nicht Khan ist, sondern der IStGH)
Microsoft sperrt O365 für einige chinesischen Kunden
Vorwurf
Microsoft hat die Microsoft 365 Dienste für Guangzhou-based Sun Yat-sen Universität in China kurzfristig eingestellt. Lt. einem Helpdesk Mitarbeiters der Uni war dies eine Entscheidung von Microsoft. Ebenfalls soll Microsoft die Microsoft 365 Dienste der BGI Group in China eingestellt haben.
Fakten
Es gibt dazu keine gesicherten Fakten und keine offizielle Stellungnahme von Microsoft. Auch habe ich keinerlei offiziellen Stellungnahmen der betroffenen Firmen gefunden. Dh hier gibt es bis auf die Zeitungsartikel keine verlässlichen Fakten.
Anmerkung
Spannend in diesem Zusammenhang ist, dass Microsoft 365 in China NICHT von Microsoft betrieben wird. Dh hier gibt es keinerlei rechtliche Möglichkeit der US Regierung, Microsoft dazu zu zwingen, in China Dienste einzustellen. Microsoft 365 wird in China von 21Vianet, dem größten unabhängigen Rechenzentrumsbetreiber in China, betrieben und hier hat die USA keine rechtliche Grundlage für irgendwas.
MS gibt vor französischem Parlamentsausschuss zu, Daten nicht vor US Behörden schützen zu können
Vorwurf
Im Juli 2025 hat Anton Carniaux (General Manager, stellvertretender Chefjustiziar (Associate General Counsel) und Direktor für Unternehmenskommunikation, externe Beziehungen und rechtliche Angelegenheiten von Microsoft Frankreich) ausgesagt, dass Microsoft nicht garantieren kann, dass niemals Daten ohne Zustimmung der Kunden (im konkreten Fall der französischen Behörden) an die US-Regierung übermittelt werden
Fakten
US Behörden haben grundsätzlich 2 Wege, um von Microsoft die Herausgabe von Daten von einzelnen Kunden zu verlangen:
Es gibt den „ordentlichen“ Gerichtsweg, also mit Durchsuchungsbefehl bzw Gerichtsbeschluss. Diese gerichtlichen Anforderungen können Regierungen der ganzen Welt stellen und diese sind auch grundsätzlich natürlich DSGVO konform. Hier gibt es einen halbjährlichen Bericht von Microsoft, welches Land wie viele Anfragen stellt Government Requests for Customer Data Report | Microsoft CSR
Und es gibt in den USA 2 Verordnungen, FISA und NSL, die es US Behörden erlauben, Anfragen an US-Telekomanbieter zu stellen, die zwar eine richterliche Genehmigung brauchen, aber nicht den „ordentlichen“ Gerichtsweg beschreiten. NSL erlaubt dabei nur die Anforderung von Verbindungsdaten (zb wer hat mit wem wann kommuniziert), FISA erlaubt auch die Anforderung von Inhaltsdaten. FISA ist klar als „non bulk collection program“ definiert. Dh jede Anfrage nach FISA muss detailliert begründet sein und in einem mehrstufigen Prozess vom Foreign Intelligence Surveillance Court (FISC) geprüft werden. Auch hier gibt es unter dem obenstehenden Link einen Report – hier auf der Seite etwas runter scrollen und die National Security Order Reports auswählen.
Weitere Infos dazu sind hier zu finden: Microsoft EU Boundary Programm, Trump und Co – Cloud und mehr
Anmerkung
ich bin immer wieder erstaunt, welche Reaktionen die Aussage von Anton Carniaux hervorruft. Jedem, der sich auch nur ein wenig mit dem Thema beschäftigt hat, war das immer schon klar. FISA gibt es seit 1979…. Dh wenn diese Aussage für mich eine Überraschung war, hab ich meinen Job vorher schlecht gemacht…
Gestohlener Masterkey
Vorwurf
Im Juni 2023 wurde festgestellt, dass die Hackergruppe Storm-0558 unerlaubte Zugriffe auf Exchange Online Konten von Exchange Online Kunden durchgeführt hat. Ursache war – vereinfacht gesagt – der Diebstahl eines Microsoft consumer signing keys (also ein Schlüssel, mit dem man Zugriffsschlüssel erzeugen kann), was den Angreifern das Erstellen von Zugriffstoken für Exchange Online ermöglicht hat (und damit den unberechtigten Zugriff auf Exchange-Mailboxen)
Fakten
Wie immer nach solchen gravierenden Security-Vorfällen veröffentlicht Microsoft nach Abschluss der Untersuchungen eine ausführliche und öffentliche Stellungnahme mit den Ergebnissen der Untersuchung.
Diese ist hier zu finden: Results of Major Technical Investigations for Storm-0558 Key Acquisition
Meine Zusammenfassung, wie dieser Diebstahl möglich war (für Details bitte den verlinkten Artikel lesen):
- In der isolierten und mit strengen Zugriffsrechten versehenen Consumer-Produktions-Umgebung gab es in einem Signing System im April 2021 einen System-Crash, der automatisch einen Crash-Dump erzeugt hat. Dieser Crash Dump sollte niemals einen Signing-Key enthalten. Aber durch einen Fehler war es in diesem Fall so, dass der Crash-Dump doch einen Signing Key enthalten hat
- Dieser Crash-Dump wurde von einem Microsoft-Mitarbeiter aus dem isolierten Netzwerk in ein debugging-Netzwerk gemoved – die normale Vorgehensweise in so einem Fall. Die Prüfung des Crash-Dumps auf Credentials hat dabei den Key nicht entdeckt.
- Die Hackergruppe Storm-0558 hat erfolgreich den Account eines Microsoft-Engineers übernehmen können, der unter anderem auch Zugriff auf dieses Debugging Netzwerk und den Crash-Dump hatte
Dadurch hatte Storm-0558 Zugriff auf den Key - Grundsätzlich hat ein Consumer-Signin Key keine Möglichkeit, Enterprise Keys auszustellen. Dies wurde von MS 2018 eingeführt. In einer API, die vor 2018 geschrieben wurde, war diese Änderung nicht nachgezogen worden. Damit haben Enterprise Mailsysteme irrtümlich auch Tokens akzeptiert, die von Consumer-Signin Keys ausgestellt wurden
Alle Fehler in dieser Fehlerkette wurden identifiziert und behoben.
Anmerkung
Weder Microsoft noch ich haben jemals behauptet (noch werden jemals behaupten) dass es unmöglich ist, die Cloud zu hacken bzw. dass die Cloud zu 100% sicher ist. Es gibt in der IT schlicht keine 100% Sicherheit vor Hacker.
Die Analyse dieses Vorfalles zeigt, dass hier 4 Fehler in Summe zusammen gespielt haben, um den Angriff zu ermöglichen. Jeder Fehler für sich hätte keine Auswirkung gehabt, erst die Kombination hat den erfolgreichen Angriff ermöglicht.
Ich gehe tauchen – beim Tauchen schützt man sich durch Redundanz ebenfalls vor Fehlern. Allerdings ist es beim Tauchen so, dass ein Problem üblicherweise kein Problem ist. Kommt zu dem einen Problem ein zweites dazu, wird es schon kritisch, beim dritten oder vierten stirbt man.
Ähnlich ist es bei der IT Security: Gegen einen Fehler kann man sich gut schützen. Gegen eine Kombination von 2 Problemen ebenfalls. Aber wenn 3-4 Fehler/Probleme zusammenspielen, verliert man.
Dh ja, es wird auch bei Microsoft wieder zu Security-Vorfällen kommen. (Siehe zb One Token to rule them all – obtaining Global Admin in every Entra ID tenant via Actor tokens – dirkjanm.io – wo MS das Problem binnen 2 Tagen gefixt hat) Aber die Wahrscheinlichkeit davon betroffen zu sein, ist aus meiner Einschätzung massivst geringer als in meiner eigenen IT Umgebung.
Trump kann jederzeit die M365 Services für die EU stoppen
Vorwurf
US Präsident Trump ist unberechenbar und könnte die Abhängigkeit der EU von US-Clouddiensten zur Erpressung nutzen und drohen, die Dienste zu sperren. Die US Firmen müssten dann gehorchen.
Fakten
Grundsätzlich könnte Präsident Trump eine diesbezügliche Verordnung unterschreiben. Und grundsätzlich wären die US-Firmen dann gezwungen, diese Verordnung umzusetzen.
Rein TECHNISCH kann Trump allerdings keine Services in der EU stoppen. Dh technisch können nur die jeweiligen Betreiber (MS, Google, Amazon) die Dienste in der EU stoppen. Selbst wenn Trump alle Internetleitungen zwischen US und Europa kappen lassen würde (was technisch eher schwierig ist) würden die europäischen Datacenter trotzdem weiterlaufen, weil diese technisch nicht von den Datacentern in US abhängig sind. Alle Services laufen innerhalb der EU und dort liegen auch die Daten (beides vertraglich zugesichert von Microsoft)
Anmerkung
Falls Sie diese Ängste haben, empfehle ich ein kleines Gedankenspiel:
Versetzen Sie sich gedanklich an die Stelle von Satya Nadella – dem CEO von Microsoft.
Sie erhalten einen Anruf von Präsident Trump, der Ihnen mitteilt, dass er gerade eine Verordnung unterschrieben hat, die Microsoft und die anderen US Cloudprovider auffordert, die Dienste in der EU ab 1.11. zu stoppen. Solange, bis die EU die Bedingungen der US erfüllt.
Wie würden Sie reagieren ? Würden Sie diese Verordnung umsetzen ?
Wenn ja, was würde das bedeuten ? Als CEO wissen Sie, das Business Cloud Geschäft zu einem hohen Anteil vom Vertrauen der Kunden in die Sicherheit und der Verfügbarkeit der Daten in den Datacentern liegt. (Anders als zb bei den Consumer Cloud Diensten) Als langjähriger Manager bei Microsoft wissen Sie auch, dass Steve Ballmer und Kevin Turner 2010 ein „All-In“ auf die Cloud-Karte gesetzt haben und in den letzten 15 Jahren der gesamte Konzern sich komplett Richtung Cloud gedreht hat und ein zurück nicht mehr möglich ist.
Und Sie wissen auch, stoppen Sie auf Grund dieser Verordnung auch nur für eine Stunde die Cloud-Dienste in Europa, würde das zu einem mittelfristigen Exit von einem Großteil der Kunden in Europa (und wahrscheinlich auch dem Rest der Welt ausgenommen US) bedeuten – weil damit das Vertrauen nachhaltig erschüttert wäre. Dieser mittelfristige Exit würde bedeuten, dass Sie wahrscheinlich der letzte CEO von Microsoft sein werden, weil das Unternehmen das nicht überleben würde.
Dh Sie würden mit ziemlicher Sicherheit alle rechtlichen und alle anderen Möglichkeiten ergreifen, diese Verordnung zu bekämpfen. Bis zu einer klaren Verweigerung, diese Verordnung umzusetzen.
Kann ich das garantieren ? Nein. (Satya hat darüber mit mir noch nicht gesprochen…)
Halte ich es für extremst unwahrscheinlich, dass so ein Szenario eintritt ? Ja.
Wir brauchen europäische Lösungen um digital souverän zu werden
Vorwurf
Die Nutzung von US Cloud Diensten macht uns von den Amerikanern abhängig. Wir müssen europäische Lösungen fördern, um eine digitale Unabhängigkeit zu erlangen.
Anmerkung
Ich stehe voll hinter dieser Forderung. Warum das aber nicht einfach ist, möchte ich an 2 Beispielen darlegen:
a) Das Marktauftreten vieler europäischer Hoster
Ganz viele EU-Hoster schüren in sozialen Medien die Angst vor den US-Providern. Tlw. mit unwahren Behauptungen. Und bringen als Hauptargument für ihre Leistungen: „Nimm mich, ich bin in der EU und daher Datenschutzkonform und sicher“. Unabhängig davon, dass ein RZ in der EU weder zwingend das eine noch das andere bedeutet, ist das aus meiner Sicht ein schlechter Weg. Den Mitbewerb schlechter zu machen um selber besser dazustehen, hat mittelfristig noch nie funktioniert.
Auch werden hier (besonders im IaaS und SaaS Bereich) sehr oft Äpfel mit Birnen verglichen. Dh auf der einen Seite ein Provider, der Self-Service bietet, eine minutengenaue Abrechnung, die Möglichkeit, Services binnen Minuten hoch- und runter zu skalieren. Mit einem fast unüberschaubaren Leistungsangebot.
Und auf der anderen Seite grundsolide Hoster. Designed für den sicheren, guten Betrieb von Services, die auf eine gleichbleibende Auslastung 7×24 gebaut sind. Die in Ruhe geplant, angeboten und dann umgesetzt werden um dann Jahre wenn nicht Jahrzehnte zu laufen.
Beide Ausprägungen sind wichtig. Aber eben grundverschieden. Und so wie Azure und Co für das unten beschrieben Szenario zwar grundsätzlich auch gedacht sind und einige Hoster in Ansätzen das erste Szenario bieten, ist beides in der anderen Welt nicht unbedingt optimal. Und diese Abgrenzung fehlt mir halt im Marktauftritt oft.
b) Wenn keiner EU-Dienste nutzt, können die nicht entwickelt werden
Quasi die Katze, die sich in den Schwanz beißt. So lange niemand Alternativen in der EU nutzt, wird sich nie so ein Ökosystem wie bei den US-Providern entwickeln können.
Hier wird aber ein ganz wesentlicher Punkt übersehen:
Microsoft zb hat vor 15 Jahren (!) die Entscheidung getroffen, die komplette Ausrichtung von Microsoft auf die Cloud umzudrehen. Kevin Turner, COO von MS, hat das 2010 auf der WPC in Washington vor tausenden Partnern verkündet: „And our big bold goal for the next couple of decades is we want to have a continuous cloud service for every person and every business. “ […] „So, we’re rebooting, re-pivoting, re-transitioning the whole company around betting big on cloud services.“ […] „We put over $9 billion into R&D. And what are we going to do this year, we could do up to $9.5 billion in R&D this year.“
9 Milliarden Investment in Research & Development. Viel mehr Investment in den Aufbau der Datacenter.
In einer Zeit, wo es nicht klar war, ob das der richtige Weg ist.
Warum schreibe ich das ? Weil das einfach zeigt, wie lande es dauert, wie viel Investment notwendig ist und welchen Mut zur Entscheidung es bedarf, solche Lösungen aufzubauen und zu betreiben.
Ja, wir brauchen lokale Alternativen. Aber wer hat den Mut ? Wer hat das Geld dazu ? Warum schreit hier jeder nach der EU, nach den Regierungen um Unterstützung ?
Nur Alternativen zu nutzen, damit man Alternativen nutzt, das wird nur in Ausnahmefällen funktionieren…
EU Datenschützer verbietet Nutzung von M365 innerhalb der EU-Kommission
Vorwurf
Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hat im März 2025 entschieden, dass die Nutzung des Office-Paketes durch die EU-Kommission rechtswidrig ist und hat die EU-Kommission aufgefordert, die Nutzung auszusetzen.
Fakten
Ja, das ist völlig richtig. Allerdings hat er in einem Schreiben vom 11. Juli 2025 festgestellt, dass die Kommission alle datenschutzrechtlichen Bedenken behoben hat und eine datenschutzkonforme Nutzung daher möglich und erlaubt ist. Der Brief endet übrigens mit folgenden Worten: „I am convinced that, thanks to the EDPS’ thorough investigation, and the Commission’s follow-up – in close coordination with Microsoft – we have jointly contributed to a significant improvement of data protection compliance in the Commission’s use of Microsoft. This marks a meaningful and shared success for all parties involved, and a strong signal of what can be accomplished through constructive cooperation“
Weitere Blogartikel zu diesem Thema
Microsoft EU Boundary Programm, Trump und Co – Cloud und mehr
