{"id":285289,"date":"2023-08-26T03:31:27","date_gmt":"2023-08-26T01:31:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285289"},"modified":"2024-02-11T18:33:02","modified_gmt":"2024-02-11T17:33:02","slug":"antworten-des-bundesdatenschutzbeauftragten-ulrich-kelber-zum-hack-der-microsoft-azure-cloud-durch-storm-0588-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/26\/antworten-des-bundesdatenschutzbeauftragten-ulrich-kelber-zum-hack-der-microsoft-azure-cloud-durch-storm-0588-teil-2\/","title":{"rendered":"Antworten des Bundesdatenschutzbeauftragten, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2"},"content":{"rendered":"

In Teil 1<\/a> dieser Artikelreihe hatte die die Antworten Microsofts auf meine konkreten Fragen zum Hack der Microsoft Azure Cloud-Infrastruktur durch die mutma\u00dflich chinesische Gruppe Storm-0558 wiedergegeben. Ich hatte aber auch einige Fragen an die Presseabteilung des Bundesdatenschutzbeauftragten (BfDI), Ulrich Kelber, gerichtet. Von vom BfDI habe ich inzwischen eine substantielle Antwort erhalten, die ich nachfolgende aufbereite.<\/p>\n

<\/p>\n

Beim BfDI nachgefragt<\/h2>\n

\"\"Ich hatte dann im Blog-Beitrag Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a> erw\u00e4hnt, dass Firmen verantwortlich sind, falls Datenschutzvorf\u00e4lle in der gebuchten Cloud passieren. Und die Firmen haben auch eine Pr\u00fcfpflicht, wenn Vorf\u00e4lle bekannt werden\u00a0 – was ja durch die Berichtserstattung zutrifft. Ich hatte daher die Pressestelle des Bundesdatenschutzbeauftragten (BfDI), Ulrich Kelber, angefragt und um Auskunft zu verschiedenen Punkten gegeben (siehe auch Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a>). Hier der allgemein Teil der Anfrage:<\/p>\n

Aus den Medien ist ja bekannt, dass im Juni 2023 ein Angriff der mutma\u00dflich chinesischen Cybergruppe Storm-0558 auf die Microsoft Azure AD (IntraID) Infrastruktur stattgefunden hat [1<\/a>] und (mindestens) auch E-Mail-Konten von Kunden betroffen waren.<\/p>\n

Einem Bericht des Sicherheitsanbieters Wiz [2<\/a>] nach lie\u00dfen sich mit dem durch die Gruppe Storm-0558 erbeuteten AAD-Schl\u00fcssel AAD-Sicherheitstokens generieren, mit denen auf alle Azure Kundenanwendungen zugegriffen werden konnte.<\/p>\n

Da Microsoft ja auch Daten europ\u00e4ischer und deutscher Kunden speichert, gehe ich davon aus, dass erstens potentiell auch pers\u00f6nliche Daten dieser Kunden vom Cybersicherheitsvorfall betroffen sein k\u00f6nnen und zweitens, dass Microsoft Deutschland die zust\u00e4ndige Datenschutzaufsicht vorsorglich informiert hat.<\/p><\/blockquote>\n

An diese allgemeinen Hinweise schlossen sich dann konkrete Fragen an, die nachfolgend aufgef\u00fchrt sind. Ich habe am 24. August 2023 eine R\u00fcckantwort von Christof Stein, Pressesprecher des BfDI bekommen:<\/p>\n

Sehr geehrter Herr Born,<\/p>\n

vielen Dank f\u00fcr Ihre Anfrage an den Bundesbeauftragten f\u00fcr den Datenschutz und die Informationsfreiheit (BfDI). Gerne lasse ich Ihnen folgende Antworten auf Ihre Fragen zukommen.<\/p><\/blockquote>\n

Vom BfDI wurde ausf\u00fchrlich geantwortet und ich habe die Freigabe, diese Antworten hier im Blog zu zitieren.<\/p>\n

Antworten des BFDI<\/h2>\n

Nachfolgende sind meine Fragen und die Antworten des BfDI zu finden. Die nachfolgende Frage 1 bezieht sich auf den Sachverhalt, dass Microsoft ja auch Daten europ\u00e4ischer und deutscher Kunden speichert, und ich gehe davon aus, dass erstens potentiell auch pers\u00f6nliche Daten dieser Kunden vom Cybersicherheitsvorfall betroffen sein k\u00f6nnen und zweitens, dass Microsoft Deutschland die zust\u00e4ndige Datenschutzaufsicht vorsorglich informiert hat.<\/p>\n

Frage 1: Wird diese Informationspflicht Microsofts vom BfDI auch so gesehen?<\/strong><\/p>\n

Antwort:<\/em> Aus unserer Sicht muss Microsoft, als Auftragsverarbeiter, in erster Linie seine Kunden – Verantwortliche – informieren. Tritt bei einem Auftragsverarbeiter im Sinne von Art. 28 DSGVO eine Sicherheitsl\u00fccke auf, so ist gem\u00e4\u00df Artikel 33 Absatz 2 DSGVO der Verantwortliche dar\u00fcber zu informieren. <\/em><\/p>\n

F\u00fcr Verarbeitungen die nicht im Auftrag passieren, sondern in eigener Verantwortung, muss der Vorfall gegebenenfalls der zust\u00e4ndigen Datenschutzaufsichtsbeh\u00f6rde gemeldet werden. In diesem Fall ist das aufgrund des Sitzes von Microsoft Deutschland das <\/em>Bayerische Landesamt f\u00fcr Datenschutzaufsicht<\/em><\/a>.<\/em><\/p>\n

Frage 2: Ist Microsoft Deutschland diesbez\u00fcglich seiner Informationspflicht nachgekommen und hat den Vorfall gemeldet?<\/strong><\/p>\n

Antwort: Wenden Sie sich diesbez\u00fcglich bitte an das Bayerische Landesamt f\u00fcr Datenschutz. <\/em><\/p>\n

Frage 3: Wird diese Pr\u00fcfpflicht von Tenant-Kunden vom BfDI aus so gesehen?<\/strong><\/p>\n

Antwort:<\/em> Ein entsprechende Pr\u00fcfpflicht ergibt sich Artikel 24 DSGVO. Demnach muss der Verantwortliche unter Ber\u00fccksichtigung der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen geeignete technische und organisatorische Ma\u00dfnahmen umsetzen, um sicherzustellen und den Nachweis daf\u00fcr erbringen zu k\u00f6nnen, dass die Verarbeitung gem\u00e4\u00df der DSGVO erfolgt. In Verbindung mit Erw\u00e4gungsgrund 74 wonach Verantwortliche geeignete und wirksame Ma\u00dfnahmen treffen m\u00fcssen und nachweisen k\u00f6nnen, dass die Verarbeitungst\u00e4tigkeiten im Einklang mit der DSGVO stehen und die Ma\u00dfnahmen auch wirksam sind, ergibt sich, das bei Bekanntwerden einer, mit einer potentiellen Betroffenheit verbunden Schwachstellen eine entsprechende Pr\u00fcfung auf eine tats\u00e4chlich Betroffenheit durchgef\u00fchrt werden muss.<\/em><\/p>\n

Inwieweit in manchen F\u00e4llen sogar ein hohes Risiko f\u00fcr betroffene Personen besteht und eine Benachrichtigung derer nach Art. 34 DSGVO notwendig ist, ist letztendlich abh\u00e4ngig vom Einzelfall. Hier ist eine Individualpr\u00fcfung erforderlich.<\/p>\n

Frage 4: Liegen dem BfDI Meldungen deutscher Kunden \u00fcber eine Kompromittierung aus obigem Fall vor?<\/strong><\/p>\n

Antwort: Uns liegen aktuelle keine Meldungen vor. Der BfDI w\u00fcrde allerdings auch lediglich im Rahmen seiner Zust\u00e4ndigkeit gem\u00e4\u00df \u00a79 BDSG Meldungen erhalten.<\/em><\/p>\n

Frage 5: Besitzt das BfDI Kenntnis, ob eine entsprechende Meldung bei einer der Landesdatenschutzaufsichten der Bundesrepublik Deutschland erfolgt ist, und\/oder ob es Meldungen an andere europ\u00e4ische Datenschutzaufsichtsbeh\u00f6rden gegeben hat?<\/strong><\/p>\n

Antwort: Hierzu liegen uns keine Erkenntnisse vor. <\/em><\/p>\n

In weiten Teilen entsprechen die Antworten des BfDI meinen Erwartungen, und gem\u00e4\u00df obigen Erkl\u00e4rungen ist es logisch, dass dem BfDI keine Meldungen \u00fcber spezifische Vorf\u00e4lle vorliegen. Ich wollte dann noch eine Einsch\u00e4tzung des Datenschutzbeauftragten in Deutschland zum Vorfall haben.<\/p>\n

Frage 6: Wie wertet der Bundesbeauftragte f\u00fcr Datenschutz und Informationsfreiheit den oben genannten Cybersicherheitsvorfall in der Microsoft Cloud?<\/strong><\/p>\n

Antwort: Unserer Kenntnis nach sind lediglich Online-Services von Microsoft betroffen. On-Premise L\u00f6sungen sind offenbar nicht von der Schwachstelle betroffen, sofern diese nicht \u00fcber andere Weg mit betroffen Online-Services von Microsoft verkn\u00fcpft sind.<\/em><\/p>\n

Im Zusammenhang mit den Cloud-Angeboten von Microsoft m\u00f6chten wir darauf hinweisen, das die Datenschutzkonferenz feststellt hat, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten \"Datenschutznachtrags vom 15. September 2022\" nicht gef\u00fchrt werden kann. Solange insbesondere die notwendige Transparenz \u00fcber die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung f\u00fcr Microsofts eigene Zwecke nicht hergestellt und deren Rechtm\u00e4\u00dfigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden. Sehen Sie hierzu auch den die Zusammenfassung des <\/em>Abschlussbericht der Arbeitsgruppe DSK \u201eMicrosoft-Onlinedienste\"<\/em><\/a> (PDF) und die zugeh\u00f6rige <\/em>Festlegung der DSK<\/em><\/a> (PDF).<\/em><\/p>\n

Hier macht der BfDI deutlich, welche Datenschutzrisiken bei Microsoft 365 lauern und dieses, auf Grund von Microsofts bereitgestellten Informationen, nicht datenschutzrechtskonform zu betreiben ist, weil der Nachweis nicht gef\u00fchrt werden kann. Der Punkt zeigt, welche Falle da schlummert. Solange nichts passiert ist, lie\u00dfe sich von den Datenschutzverantwortlichen der Unternehmen argumentieren, dass ja noch kein gerichtliches Verbot ausgesprochen wurde. Kommt es aber zu einem Datenschutzvorfall mit der Cloud, lassen sich den Unternehmen wom\u00f6glich grob fahrl\u00e4ssiges Verhalten nachweisen. Denn die Verantwortlichen k\u00f6nnen den Nachweis eines Microsoft 365 datenschutzrechtskonformen Einsatzes nicht f\u00fchren.<\/p>\n

Frage 7: Gibt es zwischen dem BfDI und den Datenschutzbeauftragten andere EU-Staaten Gespr\u00e4che in Bezug auf den oben genannten Cybersicherheitsvorfall und wie wird das alles in Bezug auf die DSGVO-Sicherheit beim Cloud-Einsatz gesehen?<\/strong><\/p>\n

Antwort: Zu dem konkreten Sicherheitsvorfall gibt es aktuell keine Gespr\u00e4che. Nat\u00fcrlich gibt es einen regelm\u00e4\u00dfigen Austausch zu allgemeinen Themen.<\/em><\/p>\n

In der R\u00fcckschau finde ich vor allem die Antwort auf Frage 6 von Interesse, da hier pl\u00f6tzlich Fragestellungen in Richtung Fahrl\u00e4ssigkeit oder Vorsatz auftreten k\u00f6nnen, die im Falle einer Datenschutzverletzung erschwerend zum Tragen kommen d\u00fcrften.<\/p>\n

In diesem Zusammenhang ist mir gerade eine neue Prognose von Gartner<\/a> auf den Tisch gekommen, dass sich die Bu\u00dfgelder aufgrund von Fehlmanagement der Betroffenenrechte bis 2026 auf \u00fcber eine Milliarde belaufen. Dies entspricht einer Verzehnfachung gegen\u00fcber 2022. Gartner definiert Anfragen zu Betroffenenrechte (Subject Rights Requests, kurz SRRs) als eine Reihe von gesetzlichen Rechten, die es Einzelpersonen erm\u00f6glichen, Forderungen zu stellen und in einigen F\u00e4llen \u00c4nderungen vorzunehmen, um Klarheit \u00fcber die Verwendung ihrer Daten zu erhalten.<\/p>\n

\"F\u00fcr Verantwortliche im Sicherheits- und Risikomanagement<\/a> (SRM) in B2C-Organisationen ist die Automatisierung der Verwaltung von Betroffenenrechten oder Verbraucherdatenschutzrechten zu einer grundlegenden Anforderung und Voraussetzung f\u00fcr den Vertrauensaufbau geworden\", sagt Nader Henein, VP Analyst bei Gartner. \"Die Verwaltung von Betroffenenrechten kann das Vertrauen der Kunden erh\u00f6hen, indem sie eine positive Datenschutz-Nutzererfahrung (UX) bietet.\" Das aktuelle Zahlenmaterial von Gartner findet sich hier<\/a>.<\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>
\nNachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a> \u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a> \u2013 Teil 2<\/p>\n

Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 1<\/a>
\nAntwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

In Teil 1 dieser Artikelreihe hatte die die Antworten Microsofts auf meine konkreten Fragen zum Hack der Microsoft Azure Cloud-Infrastruktur durch die mutma\u00dflich chinesische Gruppe Storm-0558 wiedergegeben. Ich hatte aber auch einige Fragen an die Presseabteilung des Bundesdatenschutzbeauftragten (BfDI), Ulrich … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,451,6932,4328],"class_list":["post-285289","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-datenschutz","tag-dsgvo","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285289","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285289"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285289\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285289"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285289"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285289"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}