Krasse Geschichte, die mir die Nacht untergekommen ist. Interne Unterlagen und ein Bericht der US-Bundesregierung enthüllt, dass deren Cyber-Experten von der FedRAMP die Cloud von Microsoft prüfen sollten. Da (mangels Unterlagen) kaum etwas geprüft werden konnte, bezeichneten die Experten die Microsoft Cloud als "einen Haufen Mist" ( "a pile of shit"). Trotzdem wurde die Microsoft Cloud in Form des Produkts Namens GCC High für den Einsatz in sensiblen Bereichen der US-Regierung zugelassen.
Das Thema ist mir die Nacht über diverse Tweet, wie den nachfolgenden, untergekommen. Von Arstechnica gibt es diesen Beitrag dazu.
Den Stein ins Rollen brachte ProPublica, eine eine unabhängige, gemeinnützige Redaktion, die investigativen Journalismus im öffentlichen Interesse betreibt. Diese hat die Ergebnisse diverser Dokumente und eines internen US-Regierungsberichts im Beitrag Federal Cyber Experts Thought Microsoft's Cloud Was "a Pile of Shit." They Approved It Anyway veröffentlicht.
Der Hintergrund: Die Cloud-Hacks bei Microsoft
Das Ganze geht wohl bereits auf die Jahre 2023/2024 zurück – in der Zeit geriet Microsoft mit seiner Cloud ja in wildes Fahrwasser, weil diese mehrfach von chinesischen und russischen Angreifern gehackt werden konnte. Im Juli 2023 wurde bekannt, dass staatliche Hacker der chinesischen Gruppe Storm-0558 in Microsoft Konten der Cloud eindringen konnten (siehe China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt). Bei einem zweiten Blick offenbarten sich Abgründe.
Dann wurde Anfang 2024 bekannt, dass die russische Gruppe Midnight Blizzard in Microsofts Cloud ein- und ausging (siehe Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert). Ich hatte die Vorfälle und deren Entwicklung hier im Blog aufgegriffen, siehe die Links am Artikelende.
Versuch einer Evaluierung der MS-Cloud
Das führte dann dazu, dass verschiedene Untersuchungen der US-Regierung erfolgten. Darunter auch der Versuch einer Bewertung der Cybersicherheit der Microsoft Cloud durch die US-Bundesregierung. Ende des Jahres 2024 legen die Experten für Cybersicherheit der US-Bundesregierung ein beunruhigendes Urteil über die Cloud-Computing-Angebote von Microsoft vor und fällten ein vernichtendes Urteil.
Der organisatorische Hintergrund: Um US-Bundesbehörden in die Cloud zu verlagern, schuf die US-Regierung ein Programm namens FedRAMP. Dessen Aufgabe sollte es sein, die Sicherheit der neuen Technologie zu gewährleisten. Dern Cybersicherheitsprüfer bissen sich aber an Microsoft die Zähne aus.
Seit Jahren, schreiben die Prüfer, versuchte Microsoft vergeblich, den Sicherheitsexperten von FedRAMP vollständig zu erklären, wie sensible Daten in der Cloud geschützt werden, während diese in der Microsoft Cloud von Server zu Server weitergeleitet werden. Der Ansatz blieb aber beim Versuch stecken. Angesichts dieser und anderer Unklarheiten konnten die FedRAMP Regierungsexperten nicht für die Sicherheit der Technologie der Microsoft Cloud bürgen.
ProPublica zitiert aus dem von ihnen eingesehenen internen Regierungsbericht, dass die Prüfer wegen des "Fehlens einer angemessenen, detaillierten Sicherheitsdokumentation kein Vertrauen in die Bewertung der allgemeinen Sicherheitslage des Systems" hatten. Oder platt ausgedrückt: Weil Microsoft auf Anforderung keine detaillierte Sicherheitsdokumentation vorlegen konnte, ließ sich keine Einstufung der Sicherheit vornehmen.
Einer der Prüfer wird mit der Einschätzung, dass die Microsoft Cloud "ein Haufen Mist sei" zitiert. Ein solches Urteile wären eigentlich für jedes Unternehmen ein Todesurteil, wenn es seine Produkte bei der US-Regierung unterbringen möchte. Aber es sieht so aus, dass die Microsoft Cloud dann doch "alternativlos" angesehen und für den Einsatz freigegeben wurde. ProPublica fand heraus, dass FedRAMP ein Microsoft-Produkt namens GCC High für die Verarbeitung sensibler Regierungsdaten zugelassen hatte, obwohl seit Jahren Bedenken hinsichtlich seiner Sicherheit bestanden.
Das war nicht gerade das erwartete Ergebnis, das sich die politischen Entscheidungsträger auf Ebene der US-Bundesregierung vor anderthalb Jahrzehnten vorgestellt hatten. Damals waren die Weichen in Richtung Marsch in die Cloud gestellt worden. Gleichzeitig wurde die FedRAMP gegründet, um die Cybersicherheit in den US-Bundesbehörden zu gewährleisten. Die Regierung vertraut der Microsoft-Cloud ja sensible Dokumente an.
Der ProPublica-Bericht deckt, gestützt auf interne FedRAMP-Memos, Protokolle, E-Mails, Sitzungsprotokolle und Interviews mit sieben ehemaligen und aktuellen Mitarbeitern der US-Regierung und Auftragnehmern, an jeder Stelle des Prüfprozesses Mängel auf. "Das ist keine Sicherheit. Das ist Sicherheitstheater." wird Tony Saga, Senior VP & Chief Evangelist for the Center for Internet Security (CIS), im ProPublica-Artikel zitiert.
Fünf Jahre "weggeschaut" und alles laufen lassen
Erkennbar wird aber eine bemerkenswerte Nachsicht der Behörden gegenüber Microsoft. Obwohl erkennbar wurde, dass Microsoft bei der Vorlage der Cybersicherheitsnachweise patzt, legte die FedRAMP kein Veto ein, als Microsoft die Zulassung der Cloud für Regierungsbehörden beantragte. Vielmehr prüfte man über ganze fünf Jahre die Cloud-Sicherheit.
Da es Bundesbehörden gestattet war, das Produkt während der Überprüfung einzusetzen, verbreitete sich GCC High sowohl in der US-Regierung als auch im Pentagon (US-Verteidigungsministerium) und in der Verteidigungsindustrie. Microsoft vermarktete sein Programm als "streng überwacht und durch mehrschichtige Sicherheitsmaßnahmen ergänzt".
Im Sommer 2025 machte ProPublica dann ein neues Fass auf, indem es öffentlich machte, dass Microsoft seine Cloud durch chinesische Fachleute in China warten ließ. Ich hatte im Beitrag Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten berichtet. Kurz nach Veröffentlichung dieser Praxis gab Microsoft das Ende dieser Praxis bekannt (siehe Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure).
Dann kam im Rahmen eines SharePoint-0-day-Hacks der Verdacht auf, dass Insider-Kenntnisse von chinesischen Hackern ausgenutzt worden waren. Ich hatte diesen Sachverhalt im Beitrag Neue Insights zum SharePoint-Gate: Mitarbeiter aus China für die Wartung angesprochen.
Abschließende Gedanken
Das Ganze zeigt erneut, wie wackelig die Microsoft-Cloud und die darauf aufbauende Infrastruktur im Grunde ist. Geahnt haben die meisten Leute es wohl auf Grund der vielen Sicherheitsvorfälle schon. Als ich vor einem Jahr im Beitrag Exchange Online- und MS365-Probleme durch Schwachstelle? (März 2025) einen Leserbericht aufgriff, wurde dies als Verschwörungstheorie abgetan. Ich hatte keinen Grund, am Bericht eines ungenannt bleiben wollenden Lesers zu zweifeln. Wenn ich die obigen Einschätzungen so lese, fällt ein weiteres Puzzle-Teil ins Bild, was passt.
Microsoft ist ja voriges Jahr 50 geworden, und ich verfolge die Produkte dieses Unternehmen seit ca. 43 Jahren als Nutzer oder IT-Autor. Es zeigt sich seit dieser Zeit eine Konstanz: Es wird immer viel versprochen, aber sobald etwas hart auf hart mit Nachweisen gefordert wird, lösen sich die Versprechungen in Luft auf. In den 90er Jahren war der Begriff "Vaporware" fest mit Microsoft verbandelt. Heute sprechen wir von den Segnungen der Cloud sowie den Verheißungen der KI.
Die Story vom Einsatz des Microsoft Cloud-Produkts GCC High während der Prüfung, samt der Unfähigkeit Microsofts, eine Sicherheitsdokumentation vorlegen zu können, erinnert mich etwas an die Situation in Europa. Die Datenschutzkonferenz der deutschen Datenschutzbeauftragten versuchte 2021/2022 vergeblich Dokumente von Microsoft zu bekommen, die belegen, wie Daten von Microsoft 365 erfasst und verarbeitet werden. Man ist gescheitert, weil Microsoft nicht liefern konnte. Microsoft 365 ist nicht DSGVO-konform einsetzbar, war das Fazit (siehe mein Beitrag Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform).
Trotzdem werden Microsoft 365 und Microsoft Azure auf breiter Front von Behörden und Unternehmen eingesetzt. Der Einsatz von Microsoft 365 fußt aus DSGVO-Sicht auf dem "Transatlantic Data Transfer Privacy Framework" und dem Angemessenheitsbeschluss der EU-Kommission, die den Datenschutz gewährleistet sieht. Experten argumentieren, dass der Europäische Gerichtshof (EuGH) auch dieses Abkommen, wie die zwei Vorgängerabkommen, in einem Verfahren als nichtig erklärt. Aber solange keine EuGH-Urteil vorliegt, setzt man fröhlich weiter auf die Microsoft Produkte. Es funktioniert ja scheinbar – und wann mal wieder was passiert, heißt es "wer konnte das schon ahnen".
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Interview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud
Mehr als 60.000 E-Mails des US-Außenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen
Storm-0558 Hack: Microsoft hat Purview Audit generell für US-Behörden seit Feb. 2024 freigegeben
Microsoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Wie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Microsoft: Neues vom Midnight Blizzard-Hack – auch Kunden möglicherweise betroffen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Midnight Blizzard-Hack-Benachrichtigung: Microsoft schickt Kunden Mail die in SPAM-Ordnern landet
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten
Neue Insights zum SharePoint-Gate: Mitarbeiter aus China für die Wartung
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MVP: 2013 – 2016
Wer hätte gedacht, dass der Film "Human Centipede" mal als visionärer Endzeitfilm herhält ;)
Ist hier in der EU/DE auch nicht anders. Die einen sch***, die anderen fressen. Und manchen schmeckt es auch noch.
Das ist im Wesentlichen nichts neues. Jeder technisch versierte Ingenieur, der Microsoft kennt und sich nicht zu den MS Jüngern zählt, wußte das bereits. Ob das bei anderen Hyperscalern wie AWS oder Google besser ist, kann bezweifelt werden. Um so unverständlicher, daß Organisationen ihren ganzen Betrieb auf einen "pile of shit" abstützen. IMHO ein nicht vertretbares Risiko. Das taucht aber bei den Risiken, die Wirtschaftsprüfer in ihren Bericht schreiben nie auf. Das läßt sich eben nur mit der These von Archibald Putt erklären: Technology is dominated by those who manage what they do not understand.
Das interessanteste ist ja, dass MS bis heute nicht ganz genau weiß, wie deren Systeme gehackt wurden und ob es nicht noch weitere "Backdoors" gibt, bzw. ob noch immer von außen auf deren "Cloud" zugegriffen werden kann.
Jeder, absolut jeder, des deren Cloud nutzt, ist in meinen Augen, ein Dummkopf!
Da kann derjenige auch all seinen Scheiß in Tüten packen und am Straßenrand lagern.
Bei jeder anderen "normalen" Firma hätte es geheißen: Die Struktur ist kompromittiert, einmal abreißen und komplett von 0 neu aufbauen. Aber die großen Cloudanbieter sind "Too big to fail", da kann man das nicht verlangen.
Genauso, Zitat von einem Mitarbeiter unserer Cyberversicherung. Alle PCs die mal kompromittiert wurden, müssen ersetzt werden, sprich platt machen reicht nicht. Wer macht nun die Cloud platt? Wir leben in einer Komödie, zumindest was das Thema angeht.
Nicht mein Blech nicht mehr meins und das gilt für jede Cloud!
Es ist aber eben viel einfacher seine Hände in Unschuld zu waschen wenn man die Cloud nutzt: kann man ja nix machen.
Experten On Prem kosten eben und verlagern das Risiko und die Haftung ins eigene Unternehmen.
Ich frage mich eher immer wie es Microsoft geschafft hat so lange mit seiner Software am Leben zu bleiben und wie das BSI immer Microsoft noch als Sichere Software einstuft, wer schmiert da wen.
Ich bin da zum Glück privat längst raus, hänge gerade auf Linux Mint ab, ich glaube zwar das es dort auch nicht ganz so Rosig ausschaut, aber es ist nicht so ganz weit verbreitet wie Microsoft und deren Cloud.
Das bestätigt meine Einschätzung.
Wir führen gerade eine Grundsatzdiskussion, ob wir als IT-Dienstleister uns mehr mit der M365 Cloud beschäftigen sollen. Das alles kam ins Rollen, weil ein Kunde eigentlich alles in der Cloud haben möchte. Ich bin da noch sehr gespalten. Ein Gesellschafter von uns ist der Meinung, dass wir in Gefahr laufen, wenn wir uns nicht damit beschäftigen. Laut seiner Aussage scheinen ja auch Dienstleister, die Cloud only machen, keine Probleme zu haben und gut Kohle zu verdienen. Ich als Admin sehe das etwas anders, habe aber nicht wirklich einen Fahrplan wie aktuell die Lage ist und leider keine Glaskugel wie es in Zukunft aussieht. Ich sehe immer nur Abhängigkeiten – digitale Souveränität, große Komplexität und am Ende doch recht unberechenbare Kosten. Dennoch bekomme ich mit wie immer mehr Firmen in die Cloud wollen oder zumindest mehr damit zu tun haben wollen, weil z.B. das ERP-System ein Plugin anbietet, was aber nur mit M365 funktioniert. Ich bin tatsächlich in gewisser Hinsicht etwas verzweifelt.
"Dennoch bekomme ich mit wie immer mehr Firmen in die Cloud wollen oder zumindest mehr damit zu tun haben wollen, weil z.B. das ERP-System ein Plugin anbietet, was aber nur mit M365 funktioniert. "
Und da liegt meiner Meinung nach eher das Problem. Die Firmen wollen nicht mal zwingend in die Cloud, aber die Hersteller zwingen sie teilweise dazu, da sie einfach ihre Produkte entweder nur noch als Cloud Lösung anbieten oder halt Schnittstellen nicht auf Standards sondern auf spezifische Produkte zuschneiden. Die andere Seite sind dann Entscheider, die nicht das entsprechende Wissen haben und sich von den bunten Marktingblättchen der Vertriebler blenden lassen. Das sieht auf der Präsi alles so toll aus, dass muss doch genau das richtige sein.
Stimmt, von den Entscheidern, die auf jedes Buzzword anspringen habe ich aktuell auch zu Hauf, Stichwort KI. Wir hätten in Europa mit Sicherheit das Potenzial uns unabhängig von Microsoft zu machen, aber am Ende scheint halt doch der Marktanteil entscheidend zu sein und die Akzeptanz zu fehlen. Btw besagtes ERP kommt aus Frankreich.
Beschäftigt Euch vielleicht mit Microsoft-Alternativen. Ich denke, die Nachfrage danach wird steigen und nur wenige bieten es bislang an.
> Trotzdem wurde die Microsoft Cloud in Form des Produkts Namens GCC High für den Einsatz in sensiblen Bereichen der US-Regierung zugelassen.
Compliance-Murks in einer Nussschale! Das ist dieses typische Richtlinien hier und Zertifikate dort Gedöns, bringt nur null Mehrwert oder gar Sicherheit, aber alle machen mit, yay.
Ich weiß, Verschwörungstheorie. Aber kann es nicht sein, dass Microsoft gar kein sicheres Betriebssystem herstellen WILL? Kritisiert wird immer, dass sie es anscheinend nicht KÖNNEN, aber womöglich ist gerade das die Absicht. Wenn ich als Staat einen grotesk aufgeblähten Geheimdienstbereich hätte und paranoid möglichst viele überwachen wollte, wäre ein unsicheres Betriebssystem doch das Beste, was mir passieren kann. Noch besser, wenn die Lücken darin bewusst eingebaut wurden. In "1984" wurde den Menschen das Überwachungssystem noch aufgezwungen, heute holen wir es uns freiwillig ins Haus und in die Unternehmen und bezahlen noch dafür. Ein Weltkonzern, der sich dumm und dämlich verdient und die besten Spezialisten anheuern kann, ist angeblich nicht in der Lage, seine Systeme sicher zu machen? Gut, manche glauben ja noch ans Christkind. So ist auch das Wegschauen der Behörden erklärbar. Komplettiert wird das Ganze durch Wanzen wie Alexa oder smarte Fernseher mit Mikro, Kamera und Bewegungsmelder.
Das liegt einfach in der menschlichen Natur! Es gibt immer Leute die ander unterdrücken, ausspionieren usw. wollen, ganz unabhängig von der Technik.
Hitler, Stalin, Milke, Xi Jingpeng brauchten keine Lücken in einem MS Produkt… funktioniert auch so ganz gut… Der Mensch ist nunmal das gefährlichste Raubtier auf diesem Planeten! Darunter sind eben einige Wölfe und Massen an Schafen.
Laut unseren Informationen sind Midnight Blizzard, Storm-0558 und weitere Gruppen weiterhin aktiv und konnten nicht von Microsoft ausgesperrt werden.
Vibe-Clouding