Diskutiert man in sozialen Medien über Themen wie Sicherheit und Souveränität von Business Cloud Diensten, kommen immer wieder die selben Themen zur Sprache. Trump, die Sperre des Mailaccounts beim internationalen Gerichtshof, der Zugriff der US-Geheimdienste usw.
Damit ich mir das Tippen der Antworten jedesmal erspare, gibts hier eine kurze Übersicht über die einzelnen Themen
Microsoft, Khan und IStGH
Vorwurf
Microsoft hat dem Chefankläger des internationalen Strafgerichtshofs, Karim Khan, das Office 365 Mailkonto gesperrt. Basis dafür waren die Sanktionen, die Donald Trump gegen den IStGH im Februar 2025 erlassen hat. Zu diesem Vorfall gibt es eine Reihe von Berichten in unterschiedlichen Onlinemedien.
Fakten
Dazu gibt es Seitens des internationalen Strafgerichtshofes keine offiziellen Aussagen.
Es gibt Seitens Microsoft dazu zwei Aussagen:
Ein Microsoft-Sprecher erläuterte gegenüber heise online schon damals vage: „Seit Februar stehen wir während des gesamten Vorgangs, der zum Ausschluss des sanktionierten Beamten von den Microsoft-Diensten führte, mit dem IStGH in Kontakt.“ (Quelle: Microsoft: Kein Mail-Block für IStGH, startet europäisches Sicherheitsprogramm | heise online )
Und die Aussage von Brad Smith, Präsident von Microsoft, der am 4. Juni klar gesagt hat: „Microsoft did not stop or suspend its services to the International Criminal Court“ (Quelle: Microsoft didn’t cut services to International Criminal Court, its president says – POLITICO)
Microsoft sperrt O365 für einige chinesischen Kunden
Vorwurf
Microsoft hat die Microsoft 365 Dienste für Guangzhou-based Sun Yat-sen Universität in China kurzfristig eingestellt. Lt. einem Helpdesk Mitarbeiters der Uni war dies eine Entscheidung von Microsoft. Ebenfalls soll Microsoft die Microsoft 365 Dienste der BGI Group in China eingestellt haben.
Fakten
Es gibt dazu keine gesicherten Fakten und keine offizielle Stellungnahme von Microsoft. Auch habe ich keinerlei offiziellen Stellungnahmen der betroffenen Firmen gefunden. Dh hier gibt es bis auf die Zeitungsartikel keine verlässlichen Fakten.
Anmerkung
Spannend in diesem Zusammenhang ist, dass Microsoft 365 in China NICHT von Microsoft betrieben wird. Dh hier gibt es keinerlei rechtliche Möglichkeit der US Regierung, Microsoft dazu zu zwingen, in China Dienste einzustellen. Microsoft 365 wird in China von 21Vianet, dem größten unabhängigen Rechenzentrumsbetreiber in China, betrieben und hier hat die USA keine rechtliche Grundlage für irgendwas.
MS gibt vor französischem Parlamentsausschuss zu, Daten nicht vor US Behörden schützen zu können
Vorwurf
Im Juli 2025 hat Anton Carniaux (General Manager, stellvertretender Chefjustiziar (Associate General Counsel) und Direktor für Unternehmenskommunikation, externe Beziehungen und rechtliche Angelegenheiten von Microsoft Frankreich) ausgesagt, dass Microsoft nicht garantieren kann, dass niemals Daten ohne Zustimmung der Kunden (im konkreten Fall der französischen Behörden) an die US-Regierung übermittelt werden
Fakten
US Behörden haben grundsätzlich 2 Wege, um von Microsoft die Herausgabe von Daten von einzelnen Kunden zu verlangen:
Es gibt den „ordentlichen“ Gerichtsweg, also mit Durchsuchungsbefehl bzw Gerichtsbeschluss. Diese gerichtlichen Anforderungen können Regierungen der ganzen Welt stellen und diese sind auch grundsätzlich natürlich DSGVO konform. Hier gibt es einen halbjährlichen Bericht von Microsoft, welches Land wie viele Anfragen stellt Government Requests for Customer Data Report | Microsoft CSR
Und es gibt in den USA 2 Verordnungen, FISA und NSL, die es US Behörden erlauben, Anfragen an US-Telekomanbieter zu stellen, die zwar eine richterliche Genehmigung brauchen, aber nicht den „ordentlichen“ Gerichtsweg beschreiten. NSL erlaubt dabei nur die Anforderung von Verbindungsdaten (zb wer hat mit wem wann kommuniziert), FISA erlaubt auch die Anforderung von Inhaltsdaten. FISA ist klar als „non bulk collection program“ definiert. Dh jede Anfrage nach FISA muss detailliert begründet sein und in einem mehrstufigen Prozess vom Foreign Intelligence Surveillance Court (FISC) geprüft werden. Auch hier gibt es unter dem obenstehenden Link einen Report – hier auf der Seite etwas runter scrollen und die National Security Order Reports auswählen.
Weitere Infos dazu sind hier zu finden: Microsoft EU Boundary Programm, Trump und Co – Cloud und mehr
Anmerkung
ich bin immer wieder erstaunt, welche Reaktionen die Aussage von Anton Carniaux hervorruft. Jedem, der sich auch nur ein wenig mit dem Thema beschäftigt hat, war das immer schon klar. FISA gibt es seit 1979…. Dh wenn diese Aussage für mich eine Überraschung war, hab ich meinen Job vorher schlecht gemacht…
Gestohlener Masterkey
Vorwurf
Im Juni 2023 wurde festgestellt, dass die Hackergruppe Storm-0558 unerlaubte Zugriffe auf Exchange Online Konten von Exchange Online Kunden durchgeführt hat. Ursache war – vereinfacht gesagt – der Diebstahl eines Microsoft consumer signing keys (also ein Schlüssel, mit dem man Zugriffsschlüssel erzeugen kann), was den Angreifern das Erstellen von Zugriffstoken für Exchange Online ermöglicht hat (und damit den unberechtigten Zugriff auf Exchange-Mailboxen)
Fakten
Wie immer nach solchen gravierenden Security-Vorfällen veröffentlicht Microsoft nach Abschluss der Untersuchungen eine ausführliche und öffentliche Stellungnahme mit den Ergebnissen der Untersuchung.
Diese ist hier zu finden: Results of Major Technical Investigations for Storm-0558 Key Acquisition
Meine Zusammenfassung, wie dieser Diebstahl möglich war (für Details bitte den verlinkten Artikel lesen):
- In der isolierten und mit strengen Zugriffsrechten versehenen Consumer-Produktions-Umgebung gab es in einem Signing System im April 2021 einen System-Crash, der automatisch einen Crash-Dump erzeugt hat. Dieser Crash Dump sollte niemals einen Signing-Key enthalten. Aber durch einen Fehler war es in diesem Fall so, dass der Crash-Dump doch einen Signing Key enthalten hat
- Dieser Crash-Dump wurde von einem Microsoft-Mitarbeiter aus dem isolierten Netzwerk in ein debugging-Netzwerk gemoved – die normale Vorgehensweise in so einem Fall. Die Prüfung des Crash-Dumps auf Credentials hat dabei den Key nicht entdeckt.
- Die Hackergruppe Storm-0558 hat erfolgreich den Account eines Microsoft-Engineers übernehmen können, der unter anderem auch Zugriff auf dieses Debugging Netzwerk und den Crash-Dump hatte
Dadurch hatte Storm-0558 Zugriff auf den Key - Grundsätzlich hat ein Consumer-Signin Key keine Möglichkeit, Enterprise Keys auszustellen. Dies wurde von MS 2018 eingeführt. In einer API, die vor 2018 geschrieben wurde, war diese Änderung nicht nachgezogen worden. Damit haben Enterprise Mailsysteme irrtümlich auch Tokens akzeptiert, die von Consumer-Signin Keys ausgestellt wurden
Alle Fehler in dieser Fehlerkette wurden identifiziert und behoben.
Anmerkung
Weder Microsoft noch ich haben jemals behauptet (noch werden jemals behaupten) dass es unmöglich ist, die Cloud zu hacken bzw. dass die Cloud zu 100% sicher ist. Es gibt in der IT schlicht keine 100% Sicherheit vor Hacker.
Die Analyse dieses Vorfalles zeigt, dass hier 4 Fehler in Summe zusammen gespielt haben, um den Angriff zu ermöglichen. Jeder Fehler für sich hätte keine Auswirkung gehabt, erst die Kombination hat den erfolgreichen Angriff ermöglicht.
Ich gehe tauchen – beim Tauchen schützt man sich durch Redundanz ebenfalls vor Fehlern. Allerdings ist es beim Tauchen so, dass ein Problem üblicherweise kein Problem ist. Kommt zu dem einen Problem ein zweites dazu, wird es schon kritisch, beim dritten oder vierten stirbt man.
Ähnlich ist es bei der IT Security: Gegen einen Fehler kann man sich gut schützen. Gegen eine Kombination von 2 Problemen ebenfalls. Aber wenn 3-4 Fehler/Probleme zusammenspielen, verliert man.
Dh ja, es wird auch bei Microsoft wieder zu Security-Vorfällen kommen. (Siehe zb One Token to rule them all – obtaining Global Admin in every Entra ID tenant via Actor tokens – dirkjanm.io – wo MS das Problem binnen 2 Tagen gefixt hat) Aber die Wahrscheinlichkeit davon betroffen zu sein, ist aus meiner Einschätzung massivst geringer als in meiner eigenen IT Umgebung.
Trump kann jederzeit die M365 Services für die EU stoppen
Vorwurf
US Präsident Trump ist unberechenbar und könnte die Abhängigkeit der EU von US-Clouddiensten zur Erpressung nutzen und drohen, die Dienste zu sperren. Die US Firmen müssten dann gehorchen.
Fakten
Grundsätzlich könnte Präsident Trump eine diesbezügliche Verordnung unterschreiben. Und grundsätzlich wären die US-Firmen dann gezwungen, diese Verordnung umzusetzen.
Rein TECHNISCH kann Trump allerdings keine Services in der EU stoppen. Dh technisch können nur die jeweiligen Betreiber (MS, Google, Amazon) die Dienste in der EU stoppen. Selbst wenn Trump alle Internetleitungen zwischen US und Europa kappen lassen würde (was technisch eher schwierig ist) würden die europäischen Datacenter trotzdem weiterlaufen, weil diese technisch nicht von den Datacentern in US abhängig sind. Alle Services laufen innerhalb der EU und dort liegen auch die Daten (beides vertraglich zugesichert von Microsoft)
Anmerkung
Falls Sie diese Ängste haben, empfehle ich ein kleines Gedankenspiel:
Versetzen Sie sich gedanklich an die Stelle von Satya Nadella – dem CEO von Microsoft.
Sie erhalten einen Anruf von Präsident Trump, der Ihnen mitteilt, dass er gerade eine Verordnung unterschrieben hat, die Microsoft und die anderen US Cloudprovider auffordert, die Dienste in der EU ab 1.11. zu stoppen. Solange, bis die EU die Bedingungen der US erfüllt.
Wie würden Sie reagieren ? Würden Sie diese Verordnung umsetzen ?
Wenn ja, was würde das bedeuten ? Als CEO wissen Sie, das Business Cloud Geschäft zu einem hohen Anteil vom Vertrauen der Kunden in die Sicherheit und der Verfügbarkeit der Daten in den Datacentern liegt. (Anders als zb bei den Consumer Cloud Diensten) Als langjähriger Manager bei Microsoft wissen Sie auch, dass Steve Ballmer und Kevin Turner 2010 ein „All-In“ auf die Cloud-Karte gesetzt haben und in den letzten 15 Jahren der gesamte Konzern sich komplett Richtung Cloud gedreht hat und ein zurück nicht mehr möglich ist.
Und Sie wissen auch, stoppen Sie auf Grund dieser Verordnung auch nur für eine Stunde die Cloud-Dienste in Europa, würde das zu einem mittelfristigen Exit von einem Großteil der Kunden in Europa (und wahrscheinlich auch dem Rest der Welt ausgenommen US) bedeuten – weil damit das Vertrauen nachhaltig erschüttert wäre. Dieser mittelfristige Exit würde bedeuten, dass Sie wahrscheinlich der letzte CEO von Microsoft sein werden, weil das Unternehmen das nicht überleben würde.
Dh Sie würden mit ziemlicher Sicherheit alle rechtlichen und alle anderen Möglichkeiten ergreifen, diese Verordnung zu bekämpfen. Bis zu einer klaren Verweigerung, diese Verordnung umzusetzen.
Kann ich das garantieren ? Nein. (Satya hat darüber mit mir noch nicht gesprochen…)
Halte ich es für extremst unwahrscheinlich, dass so ein Szenario eintritt ? Ja.
Weitere Blogartikel zu diesem Thema
Microsoft EU Boundary Programm, Trump und Co – Cloud und mehr
