{"id":305789,"date":"2024-11-05T08:35:36","date_gmt":"2024-11-05T07:35:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305789"},"modified":"2024-11-05T11:31:24","modified_gmt":"2024-11-05T10:31:24","slug":"cloud-splitter-1-deutschland-auf-dem-weg-in-den-goldenen-microsoft-kaefig","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/11\/05\/cloud-splitter-1-deutschland-auf-dem-weg-in-den-goldenen-microsoft-kaefig\/","title":{"rendered":"Cloud-Splitter 1: Deutschland auf dem Weg in den \"goldenen Microsoft-K\u00e4fig\"?"},"content":{"rendered":"

Deutsche Beh\u00f6rden sind beim (Durch-)Marsch in die Microsoft Cloud – trotz vollmundiger Versprechen der Politik. Auf dem Digital-Gipfel der Bundesregierung in Frankfurt wurde die Digitale Souver\u00e4nit\u00e4t Deutschlands wieder einmal zur Chefsache erkl\u00e4rt. Doch insbesondere der Umgang mit Microsoft l\u00e4sst daran zweifeln, wie ernst es der Bundesregierung und einigen Landesregierungen damit wirklich ist. Die Gesellschaft f\u00fcr Informatik warnt jetzt davor, dass wir die digitale Souver\u00e4nit\u00e4t verlieren und fragt, ob Deutschland demn\u00e4chst im goldenen Microsoft-K\u00e4fig landet.<\/p>\n

<\/p>\n

Kleiner R\u00fcckblick<\/h2>\n

\"\"In Sachen digitale Abh\u00e4ngigkeit hatte ich ja schon einige Beitr\u00e4ge hier im Blog – angefangen von Beh\u00f6rden, die Microsoft 365 gro\u00dffl\u00e4chig einf\u00fchren, bis hin zur Delos-Cloud.<\/p>\n

Vom Delos Projekt<\/a> wird eine hersteller- und l\u00f6sungsneutrale sowie anwendungsoffene Cloud-L\u00f6sung versprochen, und auf dem \"Etikett\" steht auch eine SAP-Tochterfirma. Im Hintergrund setzt die\u00a0Delos-Cloud aber auf Microsoft Azure bzw. die Microsoft Cloud. Also ein klassischer Trojaner (siehe auch meinen Beitrag Enkel-f\u00e4hige \"Digitale Souver\u00e4nit\u00e4t\" statt Abh\u00e4ngigkeit von der Delos-Cloud<\/a>) – f\u00fcr den auch noch von Bundeskanzler Scholz lobbiert wird. Gl\u00fccklicherweise hat Scholz sich aber eine Abfuhr geholt (siehe auch Delos-Cloud: Bundeskanzler Scholz bekommt Abfuhr von Bundesl\u00e4ndern<\/a>).<\/p>\n

Beh\u00f6rden navigieren in die Datenfalle<\/h2>\n

Immer\u00a0mehr deutsche Beh\u00f6rden wollen auf die Microsoft-Cloud zur\u00fcckgreifen (siehe z.B. diesen Beitrag<\/a> von heise zu dieser Entwicklung). Der Pferdefu\u00df an der gesamten Sache: Es wandern auch zunehmend sensible B\u00fcrgerdaten in die Finger Microsofts. Die besorgniserregende Abh\u00e4ngigkeit von Microsoft wird nicht nur zementiert sondern weiter ausgebaut.<\/p>\n

In einem\u00a0Interview mit der BBC<\/a> im Jahr 2021 beschreibt der britische Geheimdienstchef Sir Richard Moore, MI6, die Gefahren digitaler Abh\u00e4ngigkeiten. Moore spricht von einer Datenfalle: \"Wenn Sie einem anderen Land erlauben, Zugang zu wirklich kritischen Daten \u00fcber Ihre Gesellschaft zu erhalten, wird das mit der Zeit Ihre Souver\u00e4nit\u00e4t aush\u00f6hlen, da Sie keine Kontrolle mehr \u00fcber diese Daten haben.<\/em>\"<\/p>\n

Schaut man sich die IT-Planungen einiger Bundesl\u00e4nder an, die die Migration zur Microsoft Cloud betreiben, navigieren deutsche Verwaltungen mit Volldampf in die Datenfalle.<\/p>\n

US-Cloud-Act: Zugriff auf B\u00fcrgerdaten<\/h2>\n

Ich hatte es in zahlreichen Beitr\u00e4gen hier im Blog thematisiert (wurde dann oft durch Dritte in der Art \"die Daten liegen ist Europa, wo ist das Problem?\" relativiert).\u00a0Durch diese Verlagerung \u00f6ffentlicher Infrastrukturen und Daten in die Cloud eines US-Unternehmens unterliegen die Daten nicht nur den heimischen, sondern auch den Rechtsvorschriften der USA.<\/p>\n

Das liegt am\u00a0US CLOUD Act.<\/a>\u00a0Er erm\u00e4chtigt US-Beh\u00f6rden, ganz legitim auch auf Daten zuzugreifen, die in Rechenzentren von US-Dienstleistern au\u00dferhalb der USA gehalten werden. Dabei sind diese Dienstleister zum Stillschweigen \u00fcber Zugriffe verpflichtet! Wer Daten in diesen ,Clouds' speichert, verliert somit die Kontrolle \u00fcber seine eigenen Daten. Er muss davon ausgehen, dass er damit ein hohes Risiko eingeht und unf\u00e4hig wird, seine Zukunft selbst\u00e4ndig gestalten zu k\u00f6nnen. Betriebsgeheimnisse und pers\u00f6nliche Daten k\u00f6nnten in falsche H\u00e4nde geraten.<\/p>\n

Digitale Monopole au\u00dfer Kontrolle<\/h2>\n

Der Pr\u00e4sidiumsarbeitskreis \"Digitale Souver\u00e4nit\u00e4t\" und der Arbeitskreis \u201eDatenschutz und IT-Sicherheit\" der Gesellschaft f\u00fcr Informatik (GI) e.V. sieht in der Entwicklung unvertretbare Risiken f\u00fcr die digitale Unabh\u00e4ngigkeit Deutschlands und den Schutz der Daten von B\u00fcrgerinnen und B\u00fcrgern sowie von Unternehmen. Und daf\u00fcr gibt es gleich eine Reihe von Gr\u00fcnden.<\/p>\n

Lehren aus dem VMware-Monopol<\/h3>\n

Die aktuellen Preiserh\u00f6hungen der marktbeherrschenden Virtualisierungssoftware VMware (siehe z.B. meinen Beitrag Der Fluch der neuen Broadcom\/VMware VCF-Lizenzierung in der Praxis<\/a>), zeigen, wie Monopolstellungen wirtschaftlich ausgenutzt werden. Davon sind auch Bund, L\u00e4nder und Kommunen erheblich betroffen<\/a>. Die Nutzer beschweren sich anl\u00e4sslich bis zu zw\u00f6lffacher Preiserh\u00f6hungen \u00fcber \"Verachtung und Brutalit\u00e4t\" von Broadcom, schreibt die Gesellschaft f\u00fcr Informatik (GI) e.V. In Japan und in anderen L\u00e4ndern ermitteln die Wettbewerbsbeh\u00f6rden (siehe\u00a0Neuer \u00c4rger f\u00fcr VMware by Broadcom: Untersuchung in Japan, Klage von AT&T<\/a>). Ich hatte im Beitrag\u00a0Analyse: Mehr als die H\u00e4lfte der VMware-Kunden plant den Abflug<\/a> darauf hingewiesen, dass Unternehmenskunden mittlerweile das Ruder bez\u00fcglich Broadcom herum rei\u00dfen.<\/p>\n

Das Microsoft-Monopol<\/h3>\n

Auch bei Microsoft hat sich die IT in Verwaltung und Unternehmen in die H\u00e4nde eines Monopols begeben und der Hersteller nutzt das inzwischen auch preislich aus.\u00a0Allein im Zeitraum von 2015 bis 2021 (sieben Jahre) haben sich die Ausgaben der Bundesverwaltung f\u00fcr Microsoft fast\u00a0verf\u00fcnffacht<\/a> (siehe auch meinen Beitrag\u00a0Office365 an Schulen unzul\u00e4ssig \u2013 Microsoft-Lizenzkosten f\u00fcr Bund steigen<\/a> sowie den Beitrag Microsoft verdoppelt Kapazit\u00e4t der Azure Cloud in Deutschland, und unsere Beh\u00f6rden zahlen Milliarde<\/a>).<\/p>\n

In der \u00d6ffentlichen Verwaltung sind explodierende IT-Kosten zu erwarten. Die Ressorts der Bundesregierung haben in 2023 die Ausgaben f\u00fcr Software-Lizenzen von rund 771 Millionen Euro im Jahr 2022 auf \u00fcber 1,2 Milliarden in 2023<\/a> gesteigert, wie heise berichtete. Das entspricht einer Zunahme von 441 Millionen Euro beziehungsweise rund 57 Prozent. K\u00fcrzlich hatte ich hier im Blog im Beitrag\u00a0AI + Microsoft: Explodierende Energieverbr\u00e4uche und Kosten<\/a> auf das n\u00e4chste Fass hingewiesen, was Microsoft auf macht.<\/p>\n

Missbrauch der Daten<\/h3>\n

Einen Sachverhalt, den ich nicht auf dem Radar hatte, war der gezielte Missbrauch der zur Verarbeitung erhaltenen Daten. Die Gesellschaft f\u00fcr Informatik (GI) e.V. weist in einer Mail auf die\u00a0ZDF-Dokumentation<\/a> \"Wie Amazon seine Konkurrenz zerst\u00f6rt\" hin. Im Beitrag wird aufgezeigt, wie z.B. Amazon systematisch vertrauliche Daten von Anbietern, die in Amazon Rechenzentren (AWS) gespeichert werden, auswertet, Kopien der Produkte herstellt und diese \"Eigenprodukte\" aggressiv auf der eigenen Plattform vermarktet.<\/p>\n

Es stellt sich f\u00fcr die GI e.V. daher auch die Frage, inwieweit vertrauliche Daten bei Microsoft ausreichend vor Missbrauch gesch\u00fctzt sind. Auch Beh\u00f6rden (z.B. Finanz\u00e4mter, Gewerbe\u00e4mter, etc.) speichern sensible Daten \u00fcber B\u00fcrger und Unternehmen.<\/p>\n

Ich hatte 2021 im Beitrag\u00a0K\u00e4ufe und Kooperationen: Oracle\/Cerner; Microsoft\/Taboola; Microsoft\/Xandr<\/a> bestimmte Verpflechtungen im Bereich des Datenhandels angesprochen. Inzwischen wird die h\u00e4ssliche Fratze dieses Bereichs sichtbar. Die Kollegen von netzpolitik.org<\/a> haben die M\u00f6glichkeit, Daten \u00fcber H\u00e4ndler zu kaufen, analysiert. Der verlinkte Beitrag von netzpolitik.org erm\u00f6glicht einen einzigartigen Einblick in den globalen Datenhandel. \u00dcber Microsofts Datenmarktplatz Xandr k\u00f6nnen Werbetreibende Daten kaufen und dabei aussuchen, ob sie lieber einen Satz \"Gebrechliche Senioren\", \"LGBTQ\" oder \"Moms who shop like crazy\" ansprechen m\u00f6chten. Es gibt auch Listen zu Einkommen, Milit\u00e4rangeh\u00f6rigkeit und psychischer Gesundheit. Ich hatte u.a. im Beitrag\u00a0US-Databroker bieten 3,6 Milliarden Standortdaten deutscher Handy-Nutzer an<\/a> \u00fcber diese Praktiken berichtet.<\/p>\n

Sicherheitsdesaster absehbar<\/h2>\n

Aus meiner Sicht ist ein sich aufbauendes Sicherheitsdesaster absehbar. Je gr\u00f6\u00dfer ein Cloud-Anbieter ist, umso attraktiver ist dieser Ziel von staatlichen und nicht staatlichen Cyberangreifern. Ich hatte gerade den Beitrag\u00a0Microsoft: Angriff auf Cloud-Kunden durch Diebstahl von Anmeldedaten<\/a> im Blog, der die Risiken aufzeigt.<\/p>\n

Man muss es recht heftig ausdr\u00fccken: W\u00e4hrend die deutsche Verwaltung in die Microsoft Cloud dr\u00fcckt, \u00fcberlegen die US-Beh\u00f6rden ihre Abh\u00e4ngigkeit von Microsoft zu reduzieren. Hintergrund sind die laufenden Sicherheitsvorf\u00e4lle in der Microsoft Cloud, die zeigen, dass der Anbieter die Sicherheit nicht im Griff hat.<\/p>\n

Microsofts Sicherheitsvorf\u00e4lle<\/h3>\n

Es scheint schnell vergessen worden zu sein – aber die Microsoft Cloud wurde bereits mehrfach gehackt. Ich erinnere an meinen Beitrag\u00a0China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>, wo Microsoft am Ende des Tages eingestehen musste, das ein geklauter AAD-Schl\u00fcssel einer Hackgruppe weitgehenden Zugang zur Cloud erm\u00f6glichte (siehe GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>).<\/p>\n

Es blieb nicht bei diesem Vorfall, denn im November 2023 drangen mutma\u00dflich russische Hacker der staatlichen Gruppe Midnight Blizzard \u00fcber die Cloud in das Microsoft Unternehmensnetzwerk ein und zogen E-Mails von Microsofts F\u00fchrungskr\u00e4ften ab (siehe Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>
\nWie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten<\/a>). Aber es ist ja nicht nur so, dass Microsoft sein Cloud-Zeug nicht sicher bekommt – auch Kunden sind durch diese Hacks betroffen.<\/p>\n

US-Beh\u00f6rden \u00fcber Microsoft alarmiert<\/h3>\n

Das Vertrauen der US-Beh\u00f6rden in Microsoft ist durch diese Sicherheitsprobleme\u00a0 definitiv ersch\u00fcttert. Das wurde in der Anh\u00f6rung vor dem US-Kongress deutlich (siehe auch den Beitrag\u00a0Microsoft \u00fcbt sich in Schadensbegrenzung bei Kongress-Anh\u00f6rung (13.6.2024): Sicherheit habe Vorrang vor KI<\/a>).<\/p>\n

Die Cyber Security and Infrastructure Security Agency (CISA) hat die Direktive \"ED 24-02: Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System<\/a>\" erlassen. Diese verdeutlicht, dass fremde staatliche Akteure in Microsofts E-Mail-Systeme \u00fcber l\u00e4ngere Zeit eindringen konnten.<\/p>\n

Nach wie vor ist unklar, ob die Risiken durch Microsoft vollst\u00e4ndig beseitigt wurden – es gibt latent den Verdacht, dass die Hacker weiter in der Microsoft-Cloud unterwegs sind. Meinen Informationen nach gibt es bei US-Beh\u00f6rden Bestrebungen weg von der Abh\u00e4ngigkeit von Microsoft zu kommen – ich\u00a0 hatte dies im Beitrag Midnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a> angesprochen.<\/p>\n

Fehlender Wettbewerb<\/h2>\n

Der gro\u00dfe Skandal ist meinen Augen besteht darin, dass es zu einer Vergabe ohne Wettbewerb kommt. Es f\u00fchrt dazu, dass Milliarden-Auftr\u00e4ge ohne EU-Ausschreibung vergeben werden d\u00fcrften. Die GI e.V. hat daher Zweifel an der Rechtkonformit\u00e4t der Vergabe von Auftr\u00e4gen dieser Gr\u00f6\u00dfenordnung ohne vorherige EU-weite Ausschreibung an Microsoft.<\/p>\n

Dabei sind alternativer L\u00f6sungen auf dem Markt verf\u00fcgbar, und diese w\u00e4ren alleine aus Gr\u00fcnden des Datenschutzes, der Datensicherheit und der Kosten vorzuziehen. Das Bundesland Schleswig-Holstein macht es vor<\/a> (siehe auch meinen Blog-Beitrag\u00a0Digitale IT-Souver\u00e4nit\u00e4t: Schleswig-Holstein setzt auf LibreOffice<\/a>).<\/p>\n

Es gibt weitere L\u00f6sungen \"made und hosted in Germany\", schreibt GI e.V. und weist z.B. auf L\u00f6sungen von BITMi- oder OSBA-Unternehmen hin, die infrage kommen. Die Gesellschaft f\u00fcr Informatik fragt zu Recht, was denn nun mit der von der Bundesregierung gef\u00f6rderten Microsoft Alternative openDesk ist? Ich hatte die letzte Entwicklung im Beitrag\u00a0ZenDiS stellt OpenDesk Mitte Oktober 2024 bereit<\/a> angesprochen.<\/p>\n

Digitale Souver\u00e4nit\u00e4t Deutschlands sicherstellen<\/h2>\n

Die Gesellschaft f\u00fcr Informatik (GI) e.V. hat die klare Forderung an die Politik, die digitale Souver\u00e4nit\u00e4t Deutschlands \u00fcber Microsofts Interessen zu stellen. Deutschlands Zukunft darf nicht von der Willk\u00fcr ausl\u00e4ndischer Gro\u00dfkonzerne abh\u00e4ngen.<\/p>\n

Es sei von entscheidender Bedeutung, dass Deutschland seine digitale Zukunft selbstst\u00e4ndig, selbstbestimmt und sicher gestalten kann. Die Digitalisierung der Verwaltung muss die B\u00fcrgerinnen und B\u00fcrger in den Mittelpunkt stellen. Sie darf nicht einem \u00dcberwachungs- und Datenkapitalismus dienen, der digitale Monopole st\u00e4rkt, und die Nutzer manipulieren sowie die deutsche Wirtschaft und Gesellschaft zerst\u00f6ren kann.<\/p>\n

In der\u00a0Digitalstrategie 2022 der Bundesregierung<\/a> wurde die \"St\u00e4rkung der Digitalen Souver\u00e4nit\u00e4t\" Deutschlands zum Leitmotiv erhoben. Es ist \u00fcberf\u00e4llig, dass dies in die Praxis verantwortungsvoll umgesetzt und die fatale Abh\u00e4ngigkeit von digitalen Monopolen vermindert und nicht weiter verst\u00e4rkt wird. Hierzu haben Bund und L\u00e4nder Vorbildfunktion und eine besondere Verantwortung.<\/p>\n

In Teil 2 meines Cloud-Splitters gehe ich auf einen Trend ein, dass sich Unternehmen bez\u00fcglich der Cloud in vielen Teilen wieder auf dem R\u00fcckzug befinden. Zu teuer, zu viele Abh\u00e4ngigkeiten, Sicherheitsprobleme und so weiter sorgen f\u00fcr Ern\u00fcchterung. Und der deutsche Entscheider in den Amtsstuben st\u00fcrmt weiter in die Microsoft Cloud – nicht zu fassen.<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nIT-Planungsrat: Sondersitzung soll Weg f\u00fcr Delos-Cloud-Vertr\u00e4ge frei machen<\/a>
\nDelos-Cloud: Bundeskanzler Scholz bekommt Abfuhr von Bundesl\u00e4ndern<\/a>
\nEnkel-f\u00e4hige \"Digitale Souver\u00e4nit\u00e4t\" statt Abh\u00e4ngigkeit von der Delos-Cloud<\/a>
\nZenDiS stellt OpenDesk Mitte Oktober 2024 bereit<\/a>
\nMicrosoft: Angriff auf Cloud-Kunden durch Diebstahl von Anmeldedaten<\/a>
\nAI + Microsoft: Explodierende Energieverbr\u00e4uche und Kosten<\/a>
\nMicrosoft 365 und die Kostenfalle bei Add-Ons<\/a>
\nMicrosoft verdoppelt Kapazit\u00e4t der Azure Cloud in Deutschland, und unsere Beh\u00f6rden zahlen Milliarde<\/a><\/p>\n

China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nHewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a>
\nWhistleblower: Microsoft ignorierte Warnungen vor Azure AD-Bug; wurde 2020 bei SolarWinds-Hack ausgenutzt<\/a>
\nMidnight Blizzard-Hack-Benachrichtigung: Microsoft schickt Kunden Mail die in SPAM-Ordnern landet<\/a><\/p>\n

Microsoft \u00fcbt sich in Schadensbegrenzung bei Kongress-Anh\u00f6rung (13.6.2024): Sicherheit habe Vorrang vor KI<\/a>
\nMicrosoft Ank\u00fcndigung einer Secure Future Initiative<\/a><\/p>\n

Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>
\nWie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten<\/a>
\nMicrosoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>
\nMicrosoft: Neues vom Midnight Blizzard-Hack \u2013 auch Kunden m\u00f6glicherweise betroffen<\/a>
\nMidnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Deutsche Beh\u00f6rden sind beim (Durch-)Marsch in die Microsoft Cloud – trotz vollmundiger Versprechen der Politik. Auf dem Digital-Gipfel der Bundesregierung in Frankfurt wurde die Digitale Souver\u00e4nit\u00e4t Deutschlands wieder einmal zur Chefsache erkl\u00e4rt. Doch insbesondere der Umgang mit Microsoft l\u00e4sst daran … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,270,7459],"tags":[1171,672,3836],"class_list":["post-305789","post","type-post","status-publish","format-standard","hentry","category-cloud","category-office","category-software","tag-cloud","tag-microsoft","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305789","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305789"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305789\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305789"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305789"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305789"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}