{"id":313586,"date":"2025-07-16T01:50:06","date_gmt":"2025-07-15T23:50:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313586"},"modified":"2025-07-19T20:29:59","modified_gmt":"2025-07-19T18:29:59","slug":"krass-microsoft-laesst-die-cloud-des-us-verteidigungsministeriums-durch-chinesische-software-ingenieure-warten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/16\/krass-microsoft-laesst-die-cloud-des-us-verteidigungsministeriums-durch-chinesische-software-ingenieure-warten\/","title":{"rendered":"Krass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Es ist eine \"Bombe\", die ProPublica da gerade gez\u00fcndet hat. Microsoft setzt Ingenieure in China ein, um die Computersysteme der Cloud des US-Verteidigungsministeriums zu warten. Es erfolgt nur eine minimale \u00dcberwachung durch schlecht qualifiziertes amerikanisches Personal. Microsoft hat bisher alle Warnungen, dass dies T\u00fcr und Tor f\u00fcr Cyber-Spionage oder -Angriffe \u00f6ffnet, in den Wind geschlagen.<\/p>\n

<\/p>\n

\"\"Zwischen den USA und China herrscht nicht nur eine politische Feindschaft, sondern auch wirtschaftlicher Wettbewerb, zumindest was \u00f6ffentliche Verlautbarungen betrifft. Nur Microsoft setzt auf \"Wandel durch Handel\" oder \"in Asien ist Manpower billiger als in den USA\". In Zeiten des Internet ist es auch kein Problem, einen Trupp Administratoren oder Software-Ingenieure in China anzuheuern, um diese f\u00fcr Microsoft schaffen und entwickeln zu lassen.<\/p>\n

Personal aus China f\u00fcr kritische Aufgaben angeheuert<\/h2>\n

Ich bin vor wenigen Stunden \u00fcber nachfolgenden Tweet auf den Beitrag A Little-Known Microsoft Program Could Expose the Defense Department to Chinese Hackers<\/a> von ProPublica gesto\u00dfen. Dieser Beitrag wirft ein g\u00e4nzlich neues Licht auf die Beziehungen Microsofts mit China und den Umgang mit seinen (Cloud)-Kunden bzw. deren Sicherheitsanforderungen.<\/p>\n

\"Microsoft<\/a><\/p>\n

Das Medium berichtet, dass Microsoft Ingenieure in China einsetzt, um die Computersysteme des Verteidigungsministeriums zu warten (gemeint ist wohl die Cloud, die Microsoft f\u00fcr das Ministerium betreibt). Dem Verteidigungsministerium ist das zwar irgendwie bekannt. Aber die Vereinbarung mit dem US-Verteidigungsministerium, die entscheidend daf\u00fcr war, dass Microsoft vor fast einem Jahrzehnt den Zuschlag f\u00fcr das Cloud-Computing-Gesch\u00e4ft der US-Regierung erhielt, beruht auf der Vorgabe, dass US-B\u00fcrger mit Sicherheitsfreigaben, die Arbeit der chinesischen Angestellten als \"digitaler Escorts\" \u00fcberwachen. Die digitalen Escorts sollten als Barriere gegen Spionage und Sabotage dienen. Hat in etwa die Qualit\u00e4t eines Hundes, der in der K\u00fcche die auf dem Tisch stehende Wurst bewachen soll.<\/p>\n

\u00dcberwacher haben keine Ahnung<\/h2>\n

ProPublica hat bei Recherchen herausgefunden, dass den US-Mitarbeitern, die die Arbeit der chinesischen Kollegen \u00fcberwachsen sollen, oft keine Ahnung haben und nicht \u00fcber das entsprechende Fachwissen verf\u00fcgen, um zu beurteilen, was die Leute \u00fcberhaupt so treiben.<\/p>\n

Laut ProPublica fehlt den US-Mitarbeitern oft das technische Know-how, um ausl\u00e4ndische Ingenieure aus China, mit weitaus fortgeschritteneren F\u00e4higkeiten, zu \u00fcberwachen. Einige der US-Mitarbeiter sollen ehemalige Milit\u00e4rangeh\u00f6rige mit wenig Programmiererfahrung, sein, die f\u00fcr ihre Arbeit kaum mehr als den US-Mindestlohn erhalten. Wichtig war f\u00fcr die Einstellung, dass diese aus fr\u00fcheren Zeiten eine Sicherheitsfreigabe hatten.<\/p>\n

\"Wir vertrauen darauf, dass das, was sie [Anm. chinesische Mitarbeiter] tun, nicht b\u00f6swillig ist, aber wir k\u00f6nnen es wirklich nicht sagen\", zitiert ProPublica einem anonym bleiben wollenden US-Mitarbeiter, der als digitaler Escort arbeitet.<\/p>\n

Seit ca. 10 Jahren g\u00e4ngige aber \"unbekannte\" Praxis<\/h2>\n

ProPublica schreibt, dass Microsoft wohl seit fast 10 Jahren so verf\u00e4hrt und behauptet, gegen\u00fcber der US-Bundesregierung Einzelheiten \u00fcber das \"Begleitmodell\" offengelegt zu haben. \u00d6ffentlich bekannt scheint dieses Modell, dass Chinesen warten, aber US-Bedienstet die Aufsicht f\u00fchren, nicht zu sein.<\/p>\n

Bei ihren Recherchen hat ProPublica ehemalige Regierungsmitarbeiter befragt. Diese hatte aber laut Artikel noch nie von diesem Modell mit den \"digitalen Begleitern\" geh\u00f6rt. Selbst die IT-Abteilung des Verteidigungsministeriums hatte Schwierigkeiten, jemanden zu finden, der diese Abmachung zumindest kennt. \"Buchst\u00e4blich niemand scheint etwas dar\u00fcber zu wissen, so dass ich nicht wei\u00df, wie es weitergehen soll\", sagte Deven King, Sprecher der Defense Information Systems Agency gegen\u00fcber dem Medium.<\/p>\n

Von ProPublica befragte Experten f\u00fcr nationale Sicherheit und Cybersicherheit waren ebenfalls \u00fcberrascht, dass eine solche Vereinbarung getroffen wurde. Dies gilt insbesondere, wenn man wei\u00df, dass bereits zum Zeitpunkt, als die Vereinbarung getroffen wurde, die US-Geheimdienste und f\u00fchrende Mitglieder des Kongresses und der Trump-Regierung Chinas digitale F\u00e4higkeiten als gr\u00f6\u00dfte Bedrohung f\u00fcr die USA ansahen.<\/p>\n

Risiken bewusst durch Microsoft Manager ignoriert<\/h2>\n

Der ProPublica-Artikel ist sehr umfangreich und beleuchtet viele Aspekte. Meiner Einsch\u00e4tzung nach d\u00fcrfte der Artikel sehr viel Staub aufwirbeln. Denn einerseits beschuldigen die USA und Microsoft staatliche chinesische Hacker f\u00fcr Angriffe auf US-Computersysteme verantwortlich zu sein. Auf der anderen Seite holt Microsoft \u00fcber windige Vertragskonstruktionen, die kaum \u00f6ffentlich bekannt sind, quasi \"den Bock als G\u00e4rtner\" ins Haus.<\/p>\n

Der Beitrag zeigt die Risiken der Microsoft-Cloud auf – kaum jemand in der US-Administration versteht das Konzept und jeder geht davon aus, dass nur Microsoft-Mitarbeiter mit Sicherheitsfreigabe Zugang zu den IT-Systemen des Verteidigungsministeriums haben.<\/p>\n

Pradeep Nair, ein ehemaliger Vizepr\u00e4sident von Microsoft, der nach eigenen Angaben von Anfang an an der Entwicklung des Konzepts mitgewirkt hat, konnte von ProPublica befragt werden. Laut seiner Aussage steckt hinter den \"digitalen Escorts\" eine Strategie, die es Microsoft erm\u00f6glichte, \"schneller [mit seinen Cloud-Angeboten] auf den Markt zu kommen\". Nur so wurde Microsoft in die Lage versetzt, wichtige Cloud-Vertr\u00e4ge der US-Regierung zu gewinnen. Sicherheitsaspekte wurden von den Microsoft-F\u00fchrungskr\u00e4ften systematisch negiert. Nair sagte ProPublica, dass die \"digitalen Escorts\" vor ihrem Einsatz \"eine rollenspezifische Schulung absolvieren\". Zudem w\u00fcrden eine Reihe von Sicherheitsvorkehrungen, darunter Audit-Protokolle, die digitale Spur der Systemaktivit\u00e4t, Microsoft oder die Regierung auf m\u00f6gliche Probleme aufmerksam machen.<\/p>\n

\"Da diese Kontrollen sehr streng sind, ist das Restrisiko minimal\", meint Ex-Microsoft-Manager Nair. Im ProPublica-Artikel kommen aber auch ehemalige Microsoft Mitarbeiter zu Wort, die vor der gew\u00e4hlten Strategie der digitalen Escorts gewarnt und massive Sicherheitsbedenken geltend gemacht haben. Diese Bedenken wurden ignoriert und einige Mitarbeiter haben Microsoft darauf hin verlassen.<\/p>\n

Wenn man ja mal b\u00f6swillig w\u00e4re und spekuliert, kommen irgendwie komische Fragen auf. Wie war es der chinesischen Gruppe Storm-0558 seinerzeit m\u00f6glich, einen AAD-Schl\u00fcssel zu klauen und Vollzugriff auf Microsofts Cloud samt Outlook Online-Konten zu erhalten? Liest man den ProPublica-Artikel, ist das ein weiterer Beleg f\u00fcr den alten Spruch \"Mit solchen Freunden braucht es keine Feinde mehr\". \"Setzt Du auf Microsoft, brauchst Du dir \u00fcber Sicherheit keine Gedanken mehr zu machen\" (es steht ja eh alles offen). Da kann das Microsoft-Management noch so viel beschwichtigen. Aber ich f\u00fcrchte, weltweit m\u00fcssen die Manager in den Teppich-Etagen noch einige Male die \"lernen durch extreme Schmerzen\"-Therapie absolvieren, bis die Ersten wach werden und Konsequenzen ziehen.<\/p>\n

Erg\u00e4nzung: Microsoft k\u00fcndigt \u00c4nderungen an, siehe\u00a0Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>
\nNachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a>
\nMicrosofts Storm-0558 Cloud-Hack: Schl\u00fcssel stammt aus Windows Crash Dump eines PCs<\/a>
\nInterview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud<\/a>
\nMehr als 60.000 E-Mails des US-Au\u00dfenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen<\/a>
\nStorm-0558 Hack: Microsoft hat Purview Audit generell f\u00fcr US-Beh\u00f6rden seit Feb. 2024 freigegeben<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a>\u00a0\u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a>\u00a0\u2013 Teil 2<\/p>\n

Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 \u2013 Teil 1<\/a>
\nMicrosoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es ist eine \"Bombe\", die ProPublica da gerade gez\u00fcndet hat. Microsoft setzt Ingenieure in China ein, um die Computersysteme der Cloud des US-Verteidigungsministeriums zu warten. Es erfolgt nur eine minimale \u00dcberwachung durch schlecht qualifiziertes amerikanisches Personal. Microsoft hat bisher alle … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[672,4328],"class_list":["post-313586","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-microsoft","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313586","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313586"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313586\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313586"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313586"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313586"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}