{"id":313696,"date":"2025-07-19T19:43:50","date_gmt":"2025-07-19T17:43:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313696"},"modified":"2025-08-05T23:03:25","modified_gmt":"2025-08-05T21:03:25","slug":"microsoft-beendet-die-cloud-wartung-des-us-verteidigungsministeriums-durch-chinesische-software-ingenieure","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/19\/microsoft-beendet-die-cloud-wartung-des-us-verteidigungsministeriums-durch-chinesische-software-ingenieure\/","title":{"rendered":"Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Das ging irgendwie schnell, nachdem Microsoft quasi \"mit dem Finger im Honigtopf\" erwischt wurde. Eine Woche nach der Meldung von ProPublica sagt Microsoft dass man keinen Ingenieure mehr in China einsetzt,\u00a0 um die Cloud-Systeme des US-Verteidigungsministeriums (DoD) zu warten.<\/p>\n

<\/p>\n

R\u00fcckblick: Die Bombe von ProPublica<\/h2>\n

\"\"Die Seite ProPublica hatte zum 15. Juli 2025 im Beitrag A Little-Known Microsoft Program Could Expose the Defense Department to Chinese Hackers<\/a> von einer befremdlichen Praxis bei Microsoft berichtet. Das Unternehmen setze Ingenieure in China f\u00fcr die Wartung der Microsoft Cloud beim US-Verteidigungsministerium ein.<\/p>\n

Dem Verteidigungsministerium ist das zwar irgendwie bekannt. Es gibt eine Vereinbarung mit dem US-Verteidigungsministerium, die vor fast einem Jahrzehnt, als Microsoft den Zuschlag f\u00fcr das Cloud-Computing-Gesch\u00e4ft der US-Regierung erhielt, getroffen wurde. Diese sieht vor, dass US-B\u00fcrger mit Sicherheitsfreigaben die Arbeit der chinesischen Software-Ingenieure als \"digitaler Escorts\" \u00fcberwachen. Die digitalen Escorts sollten als Barriere gegen Spionage und Sabotage dienen.<\/p>\n

Wie kann man sich das vorstellen? Ein Ingenieur beschreibt das Szenario so: Die Aufgaben reichen zum Beispiel von der Aktualisierung einer Firewall, \u00fcber die Installation eines Updates bis hin zur Behebung eines Fehlers oder die \u00dcberpr\u00fcfung von Protokollen zur Behebung eines Problems. Der Sub-Contractor aus China gibt vor, was konkret zu tun ist. Der digitale Escort, der die entsprechenden Sicherheitsfreigaben f\u00fcr die DoD-Microsoft-Cloud hat, f\u00fchrt die Anweisungen des chinesischen Software-Ingenieurs in der f\u00f6deralen Cloud aus.<\/p>\n

Das Ganze passiert quasi per Copy & Paste, ohne diese Arbeit zu \u00fcberpr\u00fcfen. Denn den digitalen Escort fehlt oft die technische Expertise, um zu beurteilen, was sie gerade machen. Ich hatte diese Gesch\u00e4ftskonstruktion im Artikel Krass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a> beleuchtet. Das Ganze wurde mutma\u00dflich eingef\u00fchrt, damit Microsoft schneller am Markt war und sich gro\u00dfe Auftr\u00e4ge der US-Beh\u00f6rden sichern konnte.<\/p>\n

Microsoft stoppt dieses Praxis<\/h2>\n

Der Artikel von ProPublica hat in den USA wohl Wellen geschlagen, da es politisch gro\u00dfe Kontroversen mit China gibt und staatsnahe chinesische Hackergruppen beschuldigt werden, in US-IT-Systeme eingedrungen zu sein.<\/p>\n

In einer ersten Erkl\u00e4rung als Reaktion auf den ProPublica-Artikel erkl\u00e4rte Microsoft, dass seine Mitarbeiter und Auftragnehmer \"in einer Weise arbeiten, die mit den Anforderungen und Prozessen der US-Regierung \u00fcbereinstimmt\". Es gebe einen als \"Lockbox\" bezeichneten internen \u00dcberpr\u00fcfungsprozess, um sicherzustellen, dass die Anweisungen der Kontraktoren als sicher angesehen wird oder vor Umsetzung bereits Hinweise liefert, dass der Vorgang Anlass zur Sorge gibt.<\/p>\n

Nur ist es gem\u00e4\u00df obigen Ausf\u00fchrungen so, dass die digitalen Escorts mit Sicherheitsfrage f\u00fcr das US-Verteidigungsministerium (DoD) in der Regel nicht beurteilen k\u00f6nnen, was die Anweisungen bewirken. Es handelt sich bei den Kontrolleuren um Ex-Milit\u00e4rangeh\u00f6rige, die laut ProPublica oft zum Mindestlohn besch\u00e4ftigt werden. Einzig deren Freigabe f\u00fcr das DoD scheint der Grund f\u00fcr die Einstellung gewesen zu sein.<\/p>\n

\"Brief<\/a><\/p>\n

US-Senator Tom Cotton aus Arkansas, und Vorsitzender des Select Committee on Intelligence<\/a> (Kongress-Komitee zur Beaufsichtigung der Nachrichtendienste), hat in einem Brief, den er auf X publiziert<\/a> hat, Druck bei \u00a0US Verteidigungsminister Peter Hegseth gemacht. Es k\u00f6nne nicht sein, dass Software-Ingenieure in China Zugriff auf die US-Cloud des Verteidigungsministeriums bekommen. Hegseth pflichtet Cotton bei und hat eine Untersuchung des Vorgangs angek\u00fcndigt<\/a>.<\/p>\n

\"Hegseth<\/a><\/p>\n

Und dann kam die Sache wohl ans Rollen, wie ProPublica im Artikel\u00a0Microsoft Says It Has Stopped Using China-Based Engineers to Support Defense Department Computer Systems<\/a> bekannt gab. Microsofts Chef-Pressesprecher Frank Shaw hat auf X nachfolgende Aussage<\/a> gepostet:<\/p>\n

In response to concerns raised earlier this week about US-supervised foreign engineers, Microsoft has made changes to our support for US Government customers to assure that no China-based engineering teams are providing technical assistance for DoD Government cloud and related services. We remain committed to providing the most secure services possible to the US government, including working with our national security partners to evaluate and adjust our security protocols as needed.<\/p><\/blockquote>\n

Als Reaktion auf die Anfang dieser Woche ge\u00e4u\u00dferten Bedenken bez\u00fcglich ausl\u00e4ndischer Ingenieure unter US-Aufsicht hat Microsoft \u00c4nderungen am Support f\u00fcr Kunden der US-Regierung vorgenommen. Das soll sicherstellen, dass keine in China ans\u00e4ssigen Ingenieurteams technische Unterst\u00fctzung f\u00fcr die Cloud und damit verbundene Dienste des DoD leisten.<\/p>\n

Abschlie\u00dfend folgt ein Satz, der mir irgendwie bekannt vorkommt: \"Wir sind weiterhin bestrebt, der US-Regierung m\u00f6glichst sichere Dienste zu bieten und arbeiten mit unseren nationalen Sicherheitspartnern zusammen, um unsere Sicherheitsprotokolle zu bewerten und bei Bedarf anzupassen.\" Ich meine, etwas \u00e4hnliches gelesen zu haben, als die chinesische Hackergruppe Storm-0558 in die Microsoft Cloud eingedrungen war. Wie dem auch immer sei, es \u00e4ndert sich was, damit das \"sicherste Cloud-Unternehmen der Welt noch sicherer wird\". Und falls etwas schief geht, hei\u00dft es \"das ist Software, kann man nichts machen\".<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das ging irgendwie schnell, nachdem Microsoft quasi \"mit dem Finger im Honigtopf\" erwischt wurde. Eine Woche nach der Meldung von ProPublica sagt Microsoft dass man keinen Ingenieure mehr in China einsetzt,\u00a0 um die Cloud-Systeme des US-Verteidigungsministeriums (DoD) zu warten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,672,4328],"class_list":["post-313696","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-microsoft","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313696","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313696"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313696\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313696"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313696"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313696"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}