Deutsche Behörden sind beim (Durch-)Marsch in die Microsoft Cloud – trotz vollmundiger Versprechen der Politik. Auf dem Digital-Gipfel der Bundesregierung in Frankfurt wurde die Digitale Souveränität Deutschlands wieder einmal zur Chefsache erklärt. Doch insbesondere der Umgang mit Microsoft lässt daran zweifeln, wie ernst es der Bundesregierung und einigen Landesregierungen damit wirklich ist. Die Gesellschaft für Informatik warnt jetzt davor, dass wir die digitale Souveränität verlieren und fragt, ob Deutschland demnächst im goldenen Microsoft-Käfig landet.
Anzeige
Kleiner Rückblick
In Sachen digitale Abhängigkeit hatte ich ja schon einige Beiträge hier im Blog – angefangen von Behörden, die Microsoft 365 großflächig einführen, bis hin zur Delos-Cloud.
Vom Delos Projekt wird eine hersteller- und lösungsneutrale sowie anwendungsoffene Cloud-Lösung versprochen, und auf dem "Etikett" steht auch eine SAP-Tochterfirma. Im Hintergrund setzt die Delos-Cloud aber auf Microsoft Azure bzw. die Microsoft Cloud. Also ein klassischer Trojaner (siehe auch meinen Beitrag Enkel-fähige "Digitale Souveränität" statt Abhängigkeit von der Delos-Cloud) – für den auch noch von Bundeskanzler Scholz lobbiert wird. Glücklicherweise hat Scholz sich aber eine Abfuhr geholt (siehe auch Delos-Cloud: Bundeskanzler Scholz bekommt Abfuhr von Bundesländern).
Behörden navigieren in die Datenfalle
Immer mehr deutsche Behörden wollen auf die Microsoft-Cloud zurückgreifen (siehe z.B. diesen Beitrag von heise zu dieser Entwicklung). Der Pferdefuß an der gesamten Sache: Es wandern auch zunehmend sensible Bürgerdaten in die Finger Microsofts. Die besorgniserregende Abhängigkeit von Microsoft wird nicht nur zementiert sondern weiter ausgebaut.
In einem Interview mit der BBC im Jahr 2021 beschreibt der britische Geheimdienstchef Sir Richard Moore, MI6, die Gefahren digitaler Abhängigkeiten. Moore spricht von einer Datenfalle: "Wenn Sie einem anderen Land erlauben, Zugang zu wirklich kritischen Daten über Ihre Gesellschaft zu erhalten, wird das mit der Zeit Ihre Souveränität aushöhlen, da Sie keine Kontrolle mehr über diese Daten haben."
Anzeige
Schaut man sich die IT-Planungen einiger Bundesländer an, die die Migration zur Microsoft Cloud betreiben, navigieren deutsche Verwaltungen mit Volldampf in die Datenfalle.
US-Cloud-Act: Zugriff auf Bürgerdaten
Ich hatte es in zahlreichen Beiträgen hier im Blog thematisiert (wurde dann oft durch Dritte in der Art "die Daten liegen ist Europa, wo ist das Problem?" relativiert). Durch diese Verlagerung öffentlicher Infrastrukturen und Daten in die Cloud eines US-Unternehmens unterliegen die Daten nicht nur den heimischen, sondern auch den Rechtsvorschriften der USA.
Das liegt am US CLOUD Act. Er ermächtigt US-Behörden, ganz legitim auch auf Daten zuzugreifen, die in Rechenzentren von US-Dienstleistern außerhalb der USA gehalten werden. Dabei sind diese Dienstleister zum Stillschweigen über Zugriffe verpflichtet! Wer Daten in diesen ,Clouds' speichert, verliert somit die Kontrolle über seine eigenen Daten. Er muss davon ausgehen, dass er damit ein hohes Risiko eingeht und unfähig wird, seine Zukunft selbständig gestalten zu können. Betriebsgeheimnisse und persönliche Daten könnten in falsche Hände geraten.
Digitale Monopole außer Kontrolle
Der Präsidiumsarbeitskreis "Digitale Souveränität" und der Arbeitskreis „Datenschutz und IT-Sicherheit" der Gesellschaft für Informatik (GI) e.V. sieht in der Entwicklung unvertretbare Risiken für die digitale Unabhängigkeit Deutschlands und den Schutz der Daten von Bürgerinnen und Bürgern sowie von Unternehmen. Und dafür gibt es gleich eine Reihe von Gründen.
Lehren aus dem VMware-Monopol
Die aktuellen Preiserhöhungen der marktbeherrschenden Virtualisierungssoftware VMware (siehe z.B. meinen Beitrag Der Fluch der neuen Broadcom/VMware VCF-Lizenzierung in der Praxis), zeigen, wie Monopolstellungen wirtschaftlich ausgenutzt werden. Davon sind auch Bund, Länder und Kommunen erheblich betroffen. Die Nutzer beschweren sich anlässlich bis zu zwölffacher Preiserhöhungen über "Verachtung und Brutalität" von Broadcom, schreibt die Gesellschaft für Informatik (GI) e.V. In Japan und in anderen Ländern ermitteln die Wettbewerbsbehörden (siehe Neuer Ärger für VMware by Broadcom: Untersuchung in Japan, Klage von AT&T). Ich hatte im Beitrag Analyse: Mehr als die Hälfte der VMware-Kunden plant den Abflug darauf hingewiesen, dass Unternehmenskunden mittlerweile das Ruder bezüglich Broadcom herum reißen.
Das Microsoft-Monopol
Auch bei Microsoft hat sich die IT in Verwaltung und Unternehmen in die Hände eines Monopols begeben und der Hersteller nutzt das inzwischen auch preislich aus. Allein im Zeitraum von 2015 bis 2021 (sieben Jahre) haben sich die Ausgaben der Bundesverwaltung für Microsoft fast verfünffacht (siehe auch meinen Beitrag Office365 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen sowie den Beitrag Microsoft verdoppelt Kapazität der Azure Cloud in Deutschland, und unsere Behörden zahlen Milliarde).
In der Öffentlichen Verwaltung sind explodierende IT-Kosten zu erwarten. Die Ressorts der Bundesregierung haben in 2023 die Ausgaben für Software-Lizenzen von rund 771 Millionen Euro im Jahr 2022 auf über 1,2 Milliarden in 2023 gesteigert, wie heise berichtete. Das entspricht einer Zunahme von 441 Millionen Euro beziehungsweise rund 57 Prozent. Kürzlich hatte ich hier im Blog im Beitrag AI + Microsoft: Explodierende Energieverbräuche und Kosten auf das nächste Fass hingewiesen, was Microsoft auf macht.
Missbrauch der Daten
Einen Sachverhalt, den ich nicht auf dem Radar hatte, war der gezielte Missbrauch der zur Verarbeitung erhaltenen Daten. Die Gesellschaft für Informatik (GI) e.V. weist in einer Mail auf die ZDF-Dokumentation "Wie Amazon seine Konkurrenz zerstört" hin. Im Beitrag wird aufgezeigt, wie z.B. Amazon systematisch vertrauliche Daten von Anbietern, die in Amazon Rechenzentren (AWS) gespeichert werden, auswertet, Kopien der Produkte herstellt und diese "Eigenprodukte" aggressiv auf der eigenen Plattform vermarktet.
Es stellt sich für die GI e.V. daher auch die Frage, inwieweit vertrauliche Daten bei Microsoft ausreichend vor Missbrauch geschützt sind. Auch Behörden (z.B. Finanzämter, Gewerbeämter, etc.) speichern sensible Daten über Bürger und Unternehmen.
Ich hatte 2021 im Beitrag Käufe und Kooperationen: Oracle/Cerner; Microsoft/Taboola; Microsoft/Xandr bestimmte Verpflechtungen im Bereich des Datenhandels angesprochen. Inzwischen wird die hässliche Fratze dieses Bereichs sichtbar. Die Kollegen von netzpolitik.org haben die Möglichkeit, Daten über Händler zu kaufen, analysiert. Der verlinkte Beitrag von netzpolitik.org ermöglicht einen einzigartigen Einblick in den globalen Datenhandel. Über Microsofts Datenmarktplatz Xandr können Werbetreibende Daten kaufen und dabei aussuchen, ob sie lieber einen Satz "Gebrechliche Senioren", "LGBTQ" oder "Moms who shop like crazy" ansprechen möchten. Es gibt auch Listen zu Einkommen, Militärangehörigkeit und psychischer Gesundheit. Ich hatte u.a. im Beitrag US-Databroker bieten 3,6 Milliarden Standortdaten deutscher Handy-Nutzer an über diese Praktiken berichtet.
Sicherheitsdesaster absehbar
Aus meiner Sicht ist ein sich aufbauendes Sicherheitsdesaster absehbar. Je größer ein Cloud-Anbieter ist, umso attraktiver ist dieser Ziel von staatlichen und nicht staatlichen Cyberangreifern. Ich hatte gerade den Beitrag Microsoft: Angriff auf Cloud-Kunden durch Diebstahl von Anmeldedaten im Blog, der die Risiken aufzeigt.
Man muss es recht heftig ausdrücken: Während die deutsche Verwaltung in die Microsoft Cloud drückt, überlegen die US-Behörden ihre Abhängigkeit von Microsoft zu reduzieren. Hintergrund sind die laufenden Sicherheitsvorfälle in der Microsoft Cloud, die zeigen, dass der Anbieter die Sicherheit nicht im Griff hat.
Microsofts Sicherheitsvorfälle
Es scheint schnell vergessen worden zu sein – aber die Microsoft Cloud wurde bereits mehrfach gehackt. Ich erinnere an meinen Beitrag China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt, wo Microsoft am Ende des Tages eingestehen musste, das ein geklauter AAD-Schlüssel einer Hackgruppe weitgehenden Zugang zur Cloud ermöglichte (siehe GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten).
Es blieb nicht bei diesem Vorfall, denn im November 2023 drangen mutmaßlich russische Hacker der staatlichen Gruppe Midnight Blizzard über die Cloud in das Microsoft Unternehmensnetzwerk ein und zogen E-Mails von Microsofts Führungskräften ab (siehe Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Wie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten). Aber es ist ja nicht nur so, dass Microsoft sein Cloud-Zeug nicht sicher bekommt – auch Kunden sind durch diese Hacks betroffen.
US-Behörden über Microsoft alarmiert
Das Vertrauen der US-Behörden in Microsoft ist durch diese Sicherheitsprobleme definitiv erschüttert. Das wurde in der Anhörung vor dem US-Kongress deutlich (siehe auch den Beitrag Microsoft übt sich in Schadensbegrenzung bei Kongress-Anhörung (13.6.2024): Sicherheit habe Vorrang vor KI).
Die Cyber Security and Infrastructure Security Agency (CISA) hat die Direktive "ED 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System" erlassen. Diese verdeutlicht, dass fremde staatliche Akteure in Microsofts E-Mail-Systeme über längere Zeit eindringen konnten.
Nach wie vor ist unklar, ob die Risiken durch Microsoft vollständig beseitigt wurden – es gibt latent den Verdacht, dass die Hacker weiter in der Microsoft-Cloud unterwegs sind. Meinen Informationen nach gibt es bei US-Behörden Bestrebungen weg von der Abhängigkeit von Microsoft zu kommen – ich hatte dies im Beitrag Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen angesprochen.
Fehlender Wettbewerb
Der große Skandal ist meinen Augen besteht darin, dass es zu einer Vergabe ohne Wettbewerb kommt. Es führt dazu, dass Milliarden-Aufträge ohne EU-Ausschreibung vergeben werden dürften. Die GI e.V. hat daher Zweifel an der Rechtkonformität der Vergabe von Aufträgen dieser Größenordnung ohne vorherige EU-weite Ausschreibung an Microsoft.
Dabei sind alternativer Lösungen auf dem Markt verfügbar, und diese wären alleine aus Gründen des Datenschutzes, der Datensicherheit und der Kosten vorzuziehen. Das Bundesland Schleswig-Holstein macht es vor (siehe auch meinen Blog-Beitrag Digitale IT-Souveränität: Schleswig-Holstein setzt auf LibreOffice).
Es gibt weitere Lösungen "made und hosted in Germany", schreibt GI e.V. und weist z.B. auf Lösungen von BITMi- oder OSBA-Unternehmen hin, die infrage kommen. Die Gesellschaft für Informatik fragt zu Recht, was denn nun mit der von der Bundesregierung geförderten Microsoft Alternative openDesk ist? Ich hatte die letzte Entwicklung im Beitrag ZenDiS stellt OpenDesk Mitte Oktober 2024 bereit angesprochen.
Digitale Souveränität Deutschlands sicherstellen
Die Gesellschaft für Informatik (GI) e.V. hat die klare Forderung an die Politik, die digitale Souveränität Deutschlands über Microsofts Interessen zu stellen. Deutschlands Zukunft darf nicht von der Willkür ausländischer Großkonzerne abhängen.
Es sei von entscheidender Bedeutung, dass Deutschland seine digitale Zukunft selbstständig, selbstbestimmt und sicher gestalten kann. Die Digitalisierung der Verwaltung muss die Bürgerinnen und Bürger in den Mittelpunkt stellen. Sie darf nicht einem Überwachungs- und Datenkapitalismus dienen, der digitale Monopole stärkt, und die Nutzer manipulieren sowie die deutsche Wirtschaft und Gesellschaft zerstören kann.
In der Digitalstrategie 2022 der Bundesregierung wurde die "Stärkung der Digitalen Souveränität" Deutschlands zum Leitmotiv erhoben. Es ist überfällig, dass dies in die Praxis verantwortungsvoll umgesetzt und die fatale Abhängigkeit von digitalen Monopolen vermindert und nicht weiter verstärkt wird. Hierzu haben Bund und Länder Vorbildfunktion und eine besondere Verantwortung.
In Teil 2 meines Cloud-Splitters gehe ich auf einen Trend ein, dass sich Unternehmen bezüglich der Cloud in vielen Teilen wieder auf dem Rückzug befinden. Zu teuer, zu viele Abhängigkeiten, Sicherheitsprobleme und so weiter sorgen für Ernüchterung. Und der deutsche Entscheider in den Amtsstuben stürmt weiter in die Microsoft Cloud – nicht zu fassen.
Ähnliche Artikel
IT-Planungsrat: Sondersitzung soll Weg für Delos-Cloud-Verträge frei machen
Delos-Cloud: Bundeskanzler Scholz bekommt Abfuhr von Bundesländern
Enkel-fähige "Digitale Souveränität" statt Abhängigkeit von der Delos-Cloud
ZenDiS stellt OpenDesk Mitte Oktober 2024 bereit
Microsoft: Angriff auf Cloud-Kunden durch Diebstahl von Anmeldedaten
AI + Microsoft: Explodierende Energieverbräuche und Kosten
Microsoft 365 und die Kostenfalle bei Add-Ons
Microsoft verdoppelt Kapazität der Azure Cloud in Deutschland, und unsere Behörden zahlen Milliarde
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Whistleblower: Microsoft ignorierte Warnungen vor Azure AD-Bug; wurde 2020 bei SolarWinds-Hack ausgenutzt
Midnight Blizzard-Hack-Benachrichtigung: Microsoft schickt Kunden Mail die in SPAM-Ordnern landet
Microsoft übt sich in Schadensbegrenzung bei Kongress-Anhörung (13.6.2024): Sicherheit habe Vorrang vor KI
Microsoft Ankündigung einer Secure Future Initiative
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Wie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Microsoft: Neues vom Midnight Blizzard-Hack – auch Kunden möglicherweise betroffen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Anzeige
Wie machen es die anderen EU Regierungen? Ist das jetzt ein reines DE Phänomen (imho wahrscheinlich nicht).
Fehlender Wettbewerb ist jetzt so eine Sache, es gibt genug Alternativen, ob Pest oder Cholera ist was anderes. Da auf Bundesebene nichts voran kommt und auf EU Ebene noch weniger passiert, was soll der Staat sonst machen? Jeder will mehr Digitalisierung, nur gibt es keine Plattform dazu in DE, da sind die Lobbyverbände wohl stärker.
Das ganze ist imho ein Thema, da kann man sich immer aufregen und es wird nie was passieren, egal welche Regierung dran ist/war, da fehlen einfach mal Cohones und machen, aber da bekommst dann bestimmt wieder Riegel vorgeschoben. Freie Marktwirtschaft macht einfach und die Daten schaut dann kaum einer drauf. Aber egal, das Thema kannst Durchdiskutieren bis zum Umfallen :-)
Regierungen, Behörden und Ämter von sehr vielen Ländern sind längst im Microsoft, amazon, Google und Apple Käfigen gefangen, sie verdrängen diese totale Abhängigkeit nur meist (noch) aus ihren Risikoanalysen und Denkmodellen ("sind ja unsere Freunde", LOL).
Punkt zum "Fehlender Wettbewerb" das wird ähnlich gehandhabt wie die "Weltraumtheorie" (https://de.wikipedia.org/wiki/Weltraumtheorie)
Wenn auf kleinerer Ebene bei Kommunen und Kreisen etwas ausgeschireben wird und sich mehrere kleine und große Systemhäuser und Microsoft-Partner mit Ihren (Microsoft-) Lösungen bewerben, zählt das als Wettbewerb. Mehrmals in den letzten Jahrzehnten erlebt…
Insofern hilft auch eine EU weite Ausschreibung nur bedingt, es würde etwas gegen den lokalen Klüngel (z.B. bei uns in Südwestfalen oder NRW) helfen, aber kaum an der Sache selbst.
Und was Datenschutz betrifft. Solange jeder Depp behaupten kann, Microsoft sei in Sachen Datenschutz irgendwie konform zu betreiben, und der Hannoveraner Pressemeldungenabtipper auch noch Kurse dazu anbietet, ändert sich nichts an der Praxis. Da können noch so viele Beschlüsse von Datenschutzkonferenzen und Urteile von Gerichten kommen.
Wie ging das Sprichwort nochmal mit legal, egal, scheißegal?
Schon drollig wie abwertend du hier über den Verlag schreibst, während du ihn in deinem Blog separat in deinem "About" aufführst ;)
Zum Thema, die GI sollte mal näher betrachtet werden – jetzt warnen sie, dabei sind sie scheinbar selbst eine Ursache des Problems:
https://www.danisch.de/blog/2024/10/21/wie-die-gesellschaft-fuer-informatik-die-deutsche-informatik-gegen-die-deutsche-wand-gefahren-hat/
Schauen wir mal ob der Beitrag durchkommt und wenn ja, wie die erwartbaren Reaktionen ausfallen ;)
Warum soll der Beitrag nicht durchkommen – auch wenn er auf Nebenthemen lenkt.
Mitleser sollten zwei Sachen im Hinterkopf behalten:
– Meine Oma meinte "besser spät als nie" – man kann also Standpunkte korrigieren
– Sind die angeführten Punkte, die die GI zusammen fasst, stichhaltig oder nicht – imho ja, die Punkte lassen sich in zahlreichen Blog-Beiträgen von mir über die Jahre nachlesen.
"In Teil 2 meines Cloud-Splitters gehe ich auf einen Trend ein, dass sich Unternehmen bezüglich der Cloud in vielen Teilen wieder auf dem Rückzug befinden. Zu teuer, zu viele Abhängigkeiten, Sicherheitsprobleme und so weiter sorgen für Ernüchterung. Und der deutsche Entscheider in den Amtsstuben stürmt weiter in die Microsoft Cloud – nicht zu fassen."
Ich, in meinem Umfeld und bei mir bekannten IT-Verantwortlichen, gehen sehr viele in Richtung MS Cloud. Es gibt immer zwei Seiten einer Medaille und somit auch Nachteile aber auch Vorteile. Warum sollten Amtsstuben nicht in die MS Cloud gehen?
Die Gründe, warum die Amtsstuben das nicht tun sollten, sind im Artikel ja ausgiebig genannt. Zu Thema "Rückzug aus der Cloud" – ist nicht meine persönliche Beobachtung – ich keine klein Cloud-Jünger – mir ist eine entsprechende Untersuchung untergekommen, die ich aber noch aufbereiten muss.
"Digitale Souveränität Deutschlands" – der Witz des Tages.
Deutschland kann ja nicht mal digital!
Solange staatliche Organisationen bzw. Regierungen im Gegensatz zu Privatpersonen oder Unternehmen nicht datenschutz- oder starfrechtlich "belangt" werden können, wird sich nichts ändern. Bezahlen tut es wie immer Andere nämlich der Steuerzahler.
Nach wie vor bin ich zwar der Meinung, dass es keine wirkliche Alternativen zu Windows gibt, dass heisst aber nicht, dass man die Kontrolle der Computer auch noch zu 100% abgeben muss. Hoffe unserer Regierungen sehen das ein.
Global gesehen sind mir die Amis 100x lieber als jede andere Weltmacht oder solche die entsprechende Ambitionen haben. Keine andere Macht in der gesamten Geschichte der Menschheit lässt sich permanent ans Bein pinkeln und steht dennoch zu "seinen" Untergegebenen. Das gab es meines Wissens noch nie. Trotzdem sollte man die Abhängigkeit nicht auf die Spitze treiben. Das Hauptproblem an der Sache ist, dass es eben die Tech-Firmen sind, die uns in der Hand haben und nicht die Amis.
Mittlerweile empfehlen selbst Sicherheitsexperten von größeren Systemhäusern z.B. die MS Cloud als die sicherste alternative für mittelgroße, bzw. große Firmen.
O-Ton zu uns: […]Wer, wenn nicht der Hersteller selbst, kann seine Produkte am besten absichern? […]
Den Satz zu einem Entscheider, Ende der Diskussion mit der IT…
Vielleicht kommt ja Trump an die Macht und ist versucht zu zeigen wer hier der Größte ist und zieht der EU mal kurz den Stecker …
Dafür ist es egal, wer da an die Macht kommt. Eine "America first" Karte wird gespielt werden, sobald andere Länder, wo die USA strategische Interessen haben, plötzlich ihr eigenes Süppchen kochen wollen würden.
> O-Ton zu uns: […]Wer, wenn nicht der Hersteller selbst, kann seine Produkte am besten absichern? […]
Was er erwiesenermaßen nicht konnte. Die Azure Master-Keys sind weg… die Bude ist de facto abgebrannt!
Ich sehe da vorsätzliche Verstöße gegen geltendes Recht (DSGVO). Und ob der neue
Datenschutzrahmen EU-USA (EU-US Data Privacy Framework) Bestand hat, ist noch offen (min. eine Klage anhängig).