{"id":322747,"date":"2026-03-19T08:27:42","date_gmt":"2026-03-19T07:27:42","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=322747"},"modified":"2026-03-19T11:26:18","modified_gmt":"2026-03-19T10:26:18","slug":"microsofts-cloud-wird-von-experten-als-ein-haufen-mist-eingestuft-aber-abgenickt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/03\/19\/microsofts-cloud-wird-von-experten-als-ein-haufen-mist-eingestuft-aber-abgenickt\/","title":{"rendered":"Microsofts Cloud wird von Experten als \"ein Haufen Mist\" eingestuft aber abgenickt"},"content":{"rendered":"

Krasse Geschichte, die mir die Nacht untergekommen ist. Interne Unterlagen und ein Bericht der US-Bundesregierung enth\u00fcllt, dass deren Cyber-Experten von der FedRAMP die Cloud von Microsoft pr\u00fcfen sollten. Da (mangels Unterlagen) kaum etwas gepr\u00fcft werden konnte, bezeichneten die Experten die Microsoft Cloud als \"einen Haufen Mist\" ( \"a pile of shit\"). Trotzdem wurde die Microsoft Cloud in Form des Produkts Namens GCC High f\u00fcr den Einsatz in sensiblen Bereichen der US-Regierung zugelassen.<\/p>\n

<\/p>\n

\"\"Das Thema ist mir die Nacht \u00fcber diverse Tweet, wie den nachfolgenden, untergekommen. Von Arstechnica gibt es diesen Beitrag<\/a> dazu.<\/p>\n

\"Microsoft<\/a><\/p>\n

Den Stein ins Rollen brachte ProPublica, eine eine unabh\u00e4ngige, gemeinn\u00fctzige Redaktion, die investigativen Journalismus im \u00f6ffentlichen Interesse betreibt. Diese hat die Ergebnisse diverser Dokumente und eines internen US-Regierungsberichts im Beitrag Federal Cyber Experts Thought Microsoft's Cloud Was \"a Pile of Shit.\" They Approved It Anyway<\/a>\u00a0ver\u00f6ffentlicht.<\/p>\n

Der Hintergrund: Die Cloud-Hacks bei Microsoft<\/h2>\n

Das Ganze geht wohl bereits auf die Jahre 2023\/2024 zur\u00fcck – in der Zeit geriet Microsoft mit seiner Cloud ja in wildes Fahrwasser, weil diese mehrfach von chinesischen und russischen Angreifern gehackt werden konnte. Im Juli 2023 wurde bekannt, dass staatliche Hacker der chinesischen Gruppe Storm-0558 in Microsoft Konten der Cloud eindringen konnten (siehe China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>). Bei einem zweiten Blick offenbarten sich Abgr\u00fcnde.<\/p>\n

Dann wurde Anfang 2024 bekannt, dass die russische Gruppe Midnight Blizzard in Microsofts Cloud ein- und ausging (siehe Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>).\u00a0Ich hatte die Vorf\u00e4lle und deren Entwicklung hier im Blog aufgegriffen, siehe die Links am Artikelende.<\/p>\n

Versuch einer Evaluierung der MS-Cloud<\/h2>\n

Das f\u00fchrte dann dazu, dass verschiedene Untersuchungen der US-Regierung erfolgten. Darunter auch der Versuch einer Bewertung der Cybersicherheit der Microsoft Cloud durch die US-Bundesregierung.\u00a0Ende des Jahres 2024 legen die Experten f\u00fcr Cybersicherheit der US-Bundesregierung ein beunruhigendes Urteil \u00fcber die Cloud-Computing-Angebote von Microsoft vor und f\u00e4llten ein vernichtendes Urteil.<\/p>\n

Der organisatorische Hintergrund: Um US-Bundesbeh\u00f6rden in die Cloud zu verlagern, schuf die US-Regierung ein Programm namens FedRAMP. Dessen Aufgabe sollte es sein, die Sicherheit der neuen Technologie zu gew\u00e4hrleisten. Dern Cybersicherheitspr\u00fcfer bissen sich aber an Microsoft die Z\u00e4hne aus.<\/p>\n

Seit Jahren, schreiben die Pr\u00fcfer, versuchte Microsoft vergeblich, den Sicherheitsexperten von FedRAMP vollst\u00e4ndig zu erkl\u00e4ren, wie sensible Daten in der Cloud gesch\u00fctzt werden, w\u00e4hrend diese in der Microsoft Cloud von Server zu Server weitergeleitet werden. Der Ansatz blieb aber beim Versuch stecken. Angesichts dieser und anderer Unklarheiten konnten die FedRAMP Regierungsexperten nicht f\u00fcr die Sicherheit der Technologie der Microsoft Cloud b\u00fcrgen.<\/p>\n

ProPublica zitiert aus dem von ihnen eingesehenen internen Regierungsbericht, dass die Pr\u00fcfer wegen des \"Fehlens einer angemessenen, detaillierten Sicherheitsdokumentation kein Vertrauen in die Bewertung der allgemeinen Sicherheitslage des Systems\" hatten. Oder platt ausgedr\u00fcckt: Weil Microsoft auf Anforderung keine detaillierte Sicherheitsdokumentation vorlegen konnte, lie\u00df sich keine Einstufung der Sicherheit vornehmen.<\/p>\n

Einer der Pr\u00fcfer wird mit der Einsch\u00e4tzung, dass die Microsoft Cloud \"ein Haufen Mist sei\" zitiert. Ein solches Urteile w\u00e4ren eigentlich f\u00fcr jedes Unternehmen ein Todesurteil,\u00a0 wenn es seine Produkte bei der US-Regierung unterbringen m\u00f6chte. Aber es sieht so aus, dass die Microsoft Cloud dann doch \"alternativlos\" angesehen und f\u00fcr den Einsatz freigegeben wurde.\u00a0 ProPublica fand heraus, dass FedRAMP ein Microsoft-Produkt namens GCC High f\u00fcr die Verarbeitung sensibler Regierungsdaten zugelassen hatte, obwohl seit Jahren Bedenken hinsichtlich seiner Sicherheit bestanden.<\/p>\n

Das war nicht gerade das erwartete Ergebnis, das sich die politischen Entscheidungstr\u00e4ger auf Ebene der US-Bundesregierung vor anderthalb Jahrzehnten vorgestellt hatten. Damals waren die Weichen in Richtung Marsch in die Cloud gestellt worden. Gleichzeitig wurde die FedRAMP gegr\u00fcndet, um die Cybersicherheit in den US-Bundesbeh\u00f6rden zu gew\u00e4hrleisten. Die Regierung vertraut der Microsoft-Cloud ja sensible Dokumente an.<\/p>\n

Der ProPublica-Bericht deckt, gest\u00fctzt auf interne FedRAMP-Memos, Protokolle, E-Mails, Sitzungsprotokolle und Interviews mit sieben ehemaligen und aktuellen\u00a0 Mitarbeitern der US-Regierung und Auftragnehmern, an jeder Stelle des Pr\u00fcfprozesses M\u00e4ngel auf. \"Das ist keine Sicherheit. Das ist Sicherheitstheater.\" wird Tony Saga, Senior VP & Chief Evangelist for the Center for Internet Security (CIS), im ProPublica-Artikel zitiert.<\/p>\n

F\u00fcnf Jahre \"weggeschaut\" und alles laufen lassen<\/h2>\n

Erkennbar wird aber eine bemerkenswerte Nachsicht der Beh\u00f6rden gegen\u00fcber Microsoft. Obwohl erkennbar wurde, dass Microsoft bei der Vorlage der Cybersicherheitsnachweise patzt, legte die FedRAMP kein Veto ein, als Microsoft die Zulassung der Cloud f\u00fcr Regierungsbeh\u00f6rden beantragte. Vielmehr pr\u00fcfte man \u00fcber ganze f\u00fcnf Jahre die Cloud-Sicherheit.<\/p>\n

Da es Bundesbeh\u00f6rden gestattet war, das Produkt w\u00e4hrend der \u00dcberpr\u00fcfung einzusetzen, verbreitete sich GCC High sowohl in der US-Regierung als auch im Pentagon (US-Verteidigungsministerium) und in der Verteidigungsindustrie. Microsoft vermarktete sein Programm als \"streng \u00fcberwacht und durch mehrschichtige Sicherheitsma\u00dfnahmen erg\u00e4nzt\".<\/p>\n

Im Sommer 2025 machte ProPublica dann ein neues Fass auf, indem es \u00f6ffentlich machte, dass Microsoft seine Cloud durch chinesische Fachleute in China warten lie\u00df. Ich hatte im Beitrag Krass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a> berichtet. Kurz nach Ver\u00f6ffentlichung dieser Praxis gab Microsoft das Ende dieser Praxis bekannt (siehe\u00a0Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure<\/a>).<\/p>\n

Dann kam im Rahmen eines SharePoint-0-day-Hacks der Verdacht auf, dass Insider-Kenntnisse von chinesischen Hackern ausgenutzt worden waren. Ich hatte diesen Sachverhalt im Beitrag\u00a0Neue Insights zum SharePoint-Gate: Mitarbeiter aus China f\u00fcr die Wartung<\/a> angesprochen.<\/p>\n

Abschlie\u00dfende Gedanken<\/h2>\n

Das Ganze zeigt erneut, wie wackelig die Microsoft-Cloud und die darauf aufbauende Infrastruktur im Grunde ist. Geahnt haben die meisten Leute es wohl auf Grund der vielen Sicherheitsvorf\u00e4lle schon. Als ich vor einem Jahr im Beitrag\u00a0Exchange Online- und MS365-Probleme durch Schwachstelle? (M\u00e4rz 2025)<\/a> einen Leserbericht aufgriff, wurde dies als Verschw\u00f6rungstheorie abgetan. Ich hatte keinen Grund, am Bericht eines ungenannt bleiben wollenden Lesers zu zweifeln. Wenn ich die obigen Einsch\u00e4tzungen so lese, f\u00e4llt ein weiteres Puzzle-Teil ins Bild, was passt.<\/p>\n

Microsoft ist ja voriges Jahr 50 geworden, und ich verfolge die Produkte dieses Unternehmen seit ca. 43 Jahren als Nutzer oder IT-Autor. Es zeigt sich seit dieser Zeit eine\u00a0 Konstanz: Es wird immer viel versprochen, aber sobald etwas hart auf hart mit Nachweisen gefordert wird, l\u00f6sen sich die Versprechungen in Luft auf. In den 90er Jahren war der Begriff \"Vaporware\" fest mit Microsoft verbandelt. Heute sprechen wir von den Segnungen der Cloud sowie den Verhei\u00dfungen der KI.<\/p>\n

Die Story vom Einsatz des Microsoft Cloud-Produkts GCC High w\u00e4hrend der Pr\u00fcfung, samt der Unf\u00e4higkeit Microsofts, eine Sicherheitsdokumentation vorlegen zu k\u00f6nnen, erinnert mich etwas an die Situation in Europa. Die Datenschutzkonferenz der deutschen Datenschutzbeauftragten versuchte 2021\/2022 vergeblich Dokumente von Microsoft zu bekommen, die belegen, wie Daten von Microsoft 365 erfasst und verarbeitet werden. Man ist gescheitert, weil Microsoft nicht liefern konnte. Microsoft 365 ist nicht DSGVO-konform einsetzbar, war das Fazit (siehe mein Beitrag Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>).<\/p>\n

Trotzdem werden Microsoft 365 und Microsoft Azure auf breiter Front von Beh\u00f6rden und Unternehmen eingesetzt. Der Einsatz von Microsoft 365 fu\u00dft aus DSGVO-Sicht auf dem \"Transatlantic Data Transfer Privacy Framework\" und dem Angemessenheitsbeschluss der EU-Kommission, die den Datenschutz gew\u00e4hrleistet sieht. Experten argumentieren, dass der Europ\u00e4ische Gerichtshof (EuGH) auch dieses Abkommen, wie die zwei Vorg\u00e4ngerabkommen, in einem Verfahren als nichtig erkl\u00e4rt. Aber solange keine EuGH-Urteil vorliegt, setzt man fr\u00f6hlich weiter auf die Microsoft Produkte. Es funktioniert ja scheinbar – und wann mal wieder was passiert, hei\u00dft es \"wer konnte das schon ahnen\".<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nMicrosofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a>
\nMicrosoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a>
\nNachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen<\/a>
\nMicrosofts Storm-0558 Cloud-Hack: Schl\u00fcssel stammt aus Windows Crash Dump eines PCs<\/a>
\nInterview: Der kleingeredete Storm-0558 Hack der Microsoft Cloud<\/a>
\nMehr als 60.000 E-Mails des US-Au\u00dfenministeriums beim Microsofts Storm-0558 Cloud-Hack abgegriffen<\/a>
\nStorm-0558 Hack: Microsoft hat Purview Audit generell f\u00fcr US-Beh\u00f6rden seit Feb. 2024 freigegeben<\/a>
\nMicrosoft bereinigt Millionen Cloud-Tenants nach Storm-0558-Angriff<\/a><\/p>\n

Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>
\nWie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten<\/a>
\nMicrosoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>
\nMicrosoft: Neues vom Midnight Blizzard-Hack \u2013 auch Kunden m\u00f6glicherweise betroffen<\/a>
\nMidnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a>
\nMidnight Blizzard-Hack-Benachrichtigung: Microsoft schickt Kunden Mail die in SPAM-Ordnern landet<\/a><\/p>\n

Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit<\/a>\u00a0\u2013 Teil 1
\nSicherheitsrisiko Microsoft? Azure-Schwachstelle seit M\u00e4rz 2023 ungepatcht, schwere Kritik von Tenable<\/a>\u00a0\u2013 Teil 2<\/p>\n

Krass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a>
\nNeue Insights zum SharePoint-Gate: Mitarbeiter aus China f\u00fcr die Wartung<\/a><\/p>\n

Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>
\nNachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Krasse Geschichte, die mir die Nacht untergekommen ist. Interne Unterlagen und ein Bericht der US-Bundesregierung enth\u00fcllt, dass deren Cyber-Experten von der FedRAMP die Cloud von Microsoft pr\u00fcfen sollten. Da (mangels Unterlagen) kaum etwas gepr\u00fcft werden konnte, bezeichneten die Experten die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,672,4328],"class_list":["post-322747","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-microsoft","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322747","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=322747"}],"version-history":[{"count":10,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322747\/revisions"}],"predecessor-version":[{"id":322759,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322747\/revisions\/322759"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=322747"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=322747"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=322747"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}