Digitale Souveränität und Microsoft

Microsoft hat nicht unbedingt den besten Ruf. Das liegt auch an den immer wiederkehrenden Sicherheitsproblemen und -vorfällen. Gleichzeitig wünscht man sich in Europa derzeit immer wieder eine gewisse Souveränität.

Einer der letzten Vorfälle zeigt sehr eindrucksvoll, dass die Gewinnmaximierung deutlich über der Sicherheit steht und es sogar um die Souveränität der USA nicht gut bestellt ist.

Um Kosten zu sparen, setzt Microsoft auf Personal aus Ländern mit niedrigeren Löhnen und digital escorts.

Microsoft is using engineers in China to help maintain the Defense Department’s computer systems — with minimal supervision by U.S. personnel — leaving some of the nation’s most sensitive data vulnerable to hacking from its leading cyber adversary, a ProPublica investigation has found.

Das ist die Einleitung eines Artikels A Little-Known Microsoft Program Could Expose the Defense Department to Chinese Hackers. China wird in US-Sicherheitkreisen als der neue große Rivale betrachtet, daher ist es faszinierend zu beobachten, wie Microsoft selbst bei Verträgen, die gutes Geld bringen, trotzdem noch versucht die Gewinne weiter zu erhöhen und es Personen vom "Feind" ermöglicht, auf hochsensible Daten zuzugreifen. Und das Ganze auch noch bei militärischen Projekten.

Wenn ich dran denke, welche Voraussetzungen wir in der Firma für Projekte mit Sicherheitsbehörden erfüllen müssen, mutet das Ganze noch bizarrer an.

Aber was sind nun digital escorts?

Im ProPublica-Artikel werden sie folgendermaßen beschrieben:

The arrangement, which was critical to Microsoft winning the federal government’s cloud computing business a decade ago, relies on U.S. citizens with security clearances to oversee the work and serve as a barrier against espionage and sabotage.

But these workers, known as “digital escorts,” often lack the technical expertise to police foreign engineers with far more advanced skills, ProPublica found. Some are former military personnel with little coding experience who are paid barely more than minimum wage for the work.

Es handelt sich also um Personen, die die entsprechende Sicherheitsfreigabe haben, aber kein bzw. wenig technisches Verständnis. Was kann da schon schiefgehen? Es ist wohl genau diese Art von digitaler Souveränität, die man sich wünscht.

Für europäische Kundinnen und Kunden ist die Situation wohl noch schlimmer.

In Frankreich musste Microsoft eingestehen (Microsoft gesteht: USA könnten sich Zugriff auf EU-Daten in der Cloud verschaffen):

So wirbt etwa Microsoft gern mit dem Begriff "Datensouveränität" und einer Art europäischen Cloud, die garantiere, dass keine Daten in die USA oder andere Regionen gelangen.

Dass dieses Versprechen, freundlich formuliert, lückenhaft (oder weniger freundlich: irreführend) ist, haben Kritikerinnen und Kritiker immer wieder angemerkt. Nun bestätigt das aber jemand, der sehr genau weiß, wovon er spricht: Anton Carniaux, Chefjustiziar von Microsoft Frankreich, gesteht bei einer Anhörung im französischen Parlament, dass er einen Zugriff von US-Behörden auf EU-Daten nicht vollständig ausschließen kann.

Daher kann man dann wohl auch davon ausgehen, dass auf sensible europäische Daten ebenfalls Personen aus Gebieten mit begrenzter Rechtssicherheit zugreifen dürfen.

Sharepoint-Hack

Die on-premises-Versionen von Sharepoint wurden und werden in letzter Zeit vermehrt angegriffen. Diese on-prem-Instanzen wurden bereits einen Tag vor Veröffentlichtung des Patches von chinesischen APT-Gruppen angegriffen. Jetzt suggeriert ProPublica im Artikel Microsoft Used China-Based Engineers to Support Product Recently Hacked by China es könnte da auch einen Zusammenhang geben:

It’s unclear if Microsoft’s China-based staff had any role in the SharePoint hack. But experts have said allowing China-based personnel to perform technical support and maintenance on U.S. government systems can pose major security risks. Laws in China grant the country’s officials broad authority to collect data, and experts say it is difficult for any Chinese citizen or company to meaningfully resist a direct request from security forces or law enforcement.

Ob dem so ist, wird man wahrscheinlich auch gar nicht so leicht herausfinden können. Aber der Vorfall zeigt eindrücklich, man muss den Leuten, die die eigene Infrastruktur betreuen, sehr viel Vertrauen entgegenbringen.

Warum ist das problematisch?

In China wird wohl eher keine Person belangt werden, weil sie europäische Daten entwendet und am chinesischen Markt verkauft hat. Zusätzlich bekommt sie (vielleicht) auch noch einen netten Zuverdienst.

Grundsätzlich sollte spätestens das ein Grund sein, um aus europäischer Sicht zu handeln. Aber die EU-Kommission entscheidet sich eher für einen anderen Weg (siehe auch EU und Microsoft 365). Man begibt sich lieber immer stärker in die Abhängigkeit.

Jürgen Schmidt beschreibt es in einem Kommentar bei Heise gut: Microsofts Secure Future Initiative: "Bullshit!". Er nennt es:

Die Secure Future Initiative ist nur Security-Theater, um den Schein zu wahren, mehr nicht. Wenn es ums Geld geht, ist Microsoft kein Trick mehr zu peinlich, keine Kürzung zu kontraproduktiv und kein Risiko zu hoch – solange es die anderen trifft.

Mein Fazit ist ähnlich. Die oberste Priorität von Microsoft ist der shareholder value und je mehr man sich in die Fänge von Microsoft begibt, desto weniger Kontrolle hat man über die eigenen Daten und das eigene Firmen Know-how.

Man müsste versuchen, zumindest Teile der Cloud-Leistungen von AWS, Google oder Microsoft über europäische Anbieter abzudecken. Leider ist hier auf beiden Seiten (Kunden und Anbietern) eine Diskrepanz hinsichtlich der Erwartungshaltungen vorhanden.

Aber die Hoffnung stirbt zuletzt, dass es Europa vielleicht doch gelingt, (zumindest) kleine Schritte in Richtung Souveränität zu gehen, indem man aus dem Verhalten von Microsoft die richtigen Schlüsse zieht.