Es ist riskant, von Microsoft abhängig zu sein

 (blog.miloslavhomer.cz)
1 Punkte von GN⁺ 2025-06-30 | 1 Kommentare | Auf WhatsApp teilen
  • Wie der jüngste Vorfall um die Sperrung des Mailbox-Zugangs von vom ICC (Internationaler Strafgerichtshof) sanktionierten Personen zeigt, birgt eine übermäßige Abhängigkeit von Microsoft-Produkten Risiken unerwarteter Serviceunterbrechungen und Kosten.
  • Wenn US-politische Faktoren dazukommen – insbesondere Sanktionen oder abrupte politische Entscheidungen –, ist die Wahrscheinlichkeit einer Servicesperre zwar gering, der Schaden im Ernstfall jedoch sehr groß.
  • Große IT-Unternehmen wie Microsoft besitzen im Cloud- und SaaS-Zeitalter faktisch die vollständige Kontrolle über die Daten und Software ihrer Unternehmenskunden.
  • Je stärker sich die IT-Infrastruktur von Unternehmen und Institutionen (E-Mail, Identitätsverwaltung, Dateien, Authentifizierung usw.) auf MS-Dienste konzentriert, desto eher kann eine Serviceunterbrechung den gesamten Betrieb und das Geschäft lahmlegen.
  • Die vernünftige Obergrenze für Investitionen in Risikoprävention und den Aufbau alternativer Infrastrukturen ist in der Praxis sehr niedrig. Risikomanagement ist wenig intuitiv, und grundsätzlich gibt es Grenzen bei Daten und Kostenschätzungen.

Jüngster Vorfall: Kontroverse um MS und die Sperrung einer ICC-Mailbox

  • Nachdem die USA 2025 Sanktionen gegen eine hochrangige ICC-Person verhängt hatten, berichteten mehrere Medien, Microsoft habe den Zugang zu deren dienstlichem E-Mail-Konto gesperrt.
    • Associated Press, NL Times und andere beschrieben den Vorgang als „Sanktionen der Trump-Regierung → MS sperrt einige Konten, darunter das des ICC-Chefanklägers“.
    • Politico betonte, dass es sich nicht um eine Sperrung der gesamten Organisation, sondern einzelner Personen handelte, bestritt aber die Sperrung bestimmter Personen nicht.
  • Der Vorfall löste in den Niederlanden und anderen Teilen Europas eine Debatte darüber aus, ob die Abhängigkeit von US-IT-Unternehmen ein Sicherheitsrisiko für staatliche und öffentliche IT-Infrastrukturen darstellt.
  • MS erklärte, man lege nicht offen, auf welchem Weg das Konto gesperrt wurde und welche genauen Details dahinterstehen, was die Unklarheit über Prozesse und Verantwortlichkeiten bei Servicesperren offenlegt.

Kann so etwas wieder passieren?

  • Das Verfahren zur Servicesperre ist sehr einfach: Sanktionsanordnung des US-Präsidenten (bzw. der US-Regierung) → Sperrung von Diensten durch US-IT-Unternehmen wie MS.
    • Unabhängig von Debatten über die Rechtmäßigkeit wird ein eingetretener Ausschluss sofort zu einem realen Geschäftsschaden.
  • Politische Entscheidungen von Trump und anderen sind schwer vorhersehbar, und jedes Unternehmen kann durch eine einzelne Äußerung oder ein einzelnes Thema ins Visier geraten.
    • Die Befugnisse des US-Präsidenten sind weitreichend, und Unsicherheit verstärkt das politische Risiko.
  • Solche Fälle treten nicht häufig auf, bleiben für Unternehmen und Institutionen mit starker Abhängigkeit von MS-Produkten jedoch ein „Black-Swan“-Risiko.
    • Selbst wenn man bei mehreren Millionen MS-Kunden nur mit 1 bis 2 Fällen pro Jahr rechnet, wäre der Schaden im Trefferfall enorm.

Microsofts Fähigkeit zur Servicesperre

  • Seit der Einführung von Cloud und SaaS verfügt Microsoft über faktische Kontrolle über die Software und Daten seiner Kunden.
    • Früher (in den 1990er- und 2000er-Jahren) waren eigene Mailserver und Offline-Authentifizierung verbreitet, wodurch externe Sperren schwieriger waren.
    • Heute werden alle Dienste (Exchange, Azure, MS 365, Office usw.) zentralisiert betrieben.
  • Beispiel: Bei Python in Excel wird sämtlicher Python-Code nicht lokal, sondern in Azure-Containern ausgeführt.
    • Durch diese zentrale Kontrolle sind Kontensperrungen, die Blockierung des Datenzugriffs und sogar das Abschalten ganzer Dienste möglich.
  • Servicesperren sind nicht zwangsläufig nur negativ und können bei rechtlichen Anforderungen oder im Interesse der öffentlichen Sicherheit auch positiv wirken.
  • Mehr als 2 Millionen Unternehmen weltweit nutzen MS-365-Produkte, und Microsoft könnte die Dienste bei Bedarf sofort kontrollieren.

Die Microsoft-Abhängigkeitsstruktur von Unternehmen und das tatsächliche Schadensausmaß

  • Moderne Unternehmens-IT ist bei zentralen Funktionen wie E-Mail, Zusammenarbeit, Dokumenten, Authentifizierung und Backups nahezu flächendeckend von MS-Produkten abhängig.
    • MS Exchange, Teams, Sharepoint, Office, Active Directory, OneDrive, Windows usw.
  • Gerade E-Mail, Dokumente und Identitätsverwaltung sind essenziell für die Aufrechterhaltung des Echtzeitbetriebs.
  • Tatsächliche Störungsfälle
    • Beim Crowdstrike-Ausfall 2024 entstand bei Fortune-500-Unternehmen im Durchschnitt ein Schaden von 44 Millionen US-Dollar pro Unternehmen.
    • Selbst kleine Unternehmen können pro Minute mehrere tausend bis zehntausend US-Dollar verlieren, bei großen Unternehmen sind laut Gartner und anderen bis zu 16.700 US-Dollar pro Server und Minute möglich.
  • Schon eine kurzfristige Serviceunterbrechung verursacht massive Folgeschäden wie Betriebsstillstand, Migrations- und Wiederherstellungskosten sowie Reputationsverluste.
    • Selbst unter der Annahme, innerhalb von zwei Wochen einen neuen IT-Stack aufzubauen, ist das in der Praxis nahezu unmöglich.

Wie viel lässt sich vernünftigerweise in Risikominderung (Prevention) investieren?

  • Laut der ROSI-Formel (Return on Security Investment) ist das Präventionsbudget, das Unternehmen vernünftigerweise tragen können, extrem klein, weil die Eintrittswahrscheinlichkeit eines einzelnen Vorfalls so gering ist.
    • Kosten eines einzelnen Vorfalls (z. B. 34 Millionen US-Dollar) × jährliche Eintrittswahrscheinlichkeit (1/2.000.000) = erwarteter durchschnittlicher Jahresverlust von 17 US-Dollar.
    • Selbst wenn man eine perfekte Lösung zur vollständigen Risikovermeidung aufbauen könnte, wäre der wirtschaftlich vertretbare Investitionsbetrag gering.
    • Großunternehmen wie Walmart geben zwar jährlich Hunderte Millionen US-Dollar für MS-Dienste aus, doch die Kosten für den Aufbau eigener Cloud- und IT-Systeme sowie die Umschulung der Nutzer wären deutlich höher.
    • Selbst unter Berücksichtigung möglicher Einsparungen bei Service- und Lizenzkosten bleibt der realistische Spielraum für einen vollständigen Ersatz von MS begrenzt.

Grundsätzliche Grenzen und Komplexität des Risikomanagements

  • Im tatsächlichen Risikomanagement kann eine alternative Investition trotz hoher Zerstörungskraft eines Einzelvorfalls als unvernünftig gelten, wenn die Eintrittswahrscheinlichkeit sehr niedrig ist.
  • Bei allen Variablen wie Security-ROI, Vorfallswahrscheinlichkeit und Schadenshöhe besteht große Unsicherheit, und verlässliche Daten fehlen oft schon grundsätzlich.
    • Unter zahlreichen Annahmen und Unsicherheiten neigen Entscheidungen leicht dazu, übermäßig konservativ oder emotional zu werden.
  • Weil schon datenbasierte Entscheidungen selbst schwierig sind, führt das oft zu wenig intuitiven und umstrittenen Management- und Investitionsentscheidungen.
    • Für KMU kann ein einziger Vorfall zur Unternehmensschließung führen, und dennoch kann das rechnerisch akzeptable Ergebnis lauten, das Risiko zu tragen.
  • Staaten und öffentliche Einrichtungen verfolgen dagegen teilweise den Ausstieg aus MS, weil sie nichtfinanzielle Faktoren wie Souveränität, Kontrolle und Datenunabhängigkeit höher gewichten als Kosten (z. B. Dänemark).

Fazit und Implikationen

  • Eine übermäßige Abhängigkeit von MS-Diensten ist ein tatsächlich sehr seltenes Risiko, kann im Ernstfall jedoch sogar die Existenz einer Organisation bedrohen.
  • In der Praxis sind die verfügbaren Ressourcen und Budgets für Prävention und den Aufbau alternativer Infrastrukturen sehr begrenzt.
  • Gleichzeitig ist es Tatsache, dass Organisationen, die Werte statt Gewinn in den Vordergrund stellen (z. B. die dänische Regierung), tatsächlich über unabhängige Alternativen nachdenken.
  • Unternehmen und Institutionen müssen entsprechend ihrer jeweiligen Lage realistische Risikobewertungen und kurz-, mittel- und langfristige Strategien entwickeln.
  • Praktische Gegenmaßnahmen in IT-Politik und Managementstrategie sind unter anderem:
    • Erstellung von Handbüchern für alternative IT-Umgebungen im Notfall
    • Backup geschäftskritischer Daten sowie Diversifizierung von Cloud- und E-Mail-Diensten
    • Redundanz für unverzichtbare Dienste, Notfallübungen für MS-Ausstiegsszenarien usw.
  • Je nach Größe von Unternehmen und Institutionen, Branche und regulatorischen Anforderungen ist eine realistische Risikomanagementstrategie nötig, die Souveränität, Kosten, Business Continuity und weitere Faktoren gemeinsam berücksichtigt.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-06-30
Hacker-News-Meinung
  • Ich denke, man muss bei Microsoft die guten und die schlechten Seiten sorgfältig unterscheiden.
    Microsoft pauschal zu verbieten würde die Auswahl an Lösungen stark einschränken.
    Das Unternehmen ist riesig und intern kulturell sehr vielfältig.
    Produkte wie .NET, MSSQL und Visual Studio haben kaum echte Alternativen, und besonders das Debugger-Erlebnis von Visual Studio ist in der Praxis bei der Lösung komplexer Probleme fast unverzichtbar.
    Deshalb sind auch erstklassige Game-Engines stark von Visual Studio abhängig.
    Allerdings sind Azure und Windows die Bereiche, in denen bei Microsoft die Probleme anfangen.
    • AAA-Game-Engines nutzen Visual Studio, weil die meisten Spielkunden auf der Windows-Plattform sind.
      Wenn 95 % der Gamer macOS nutzen würden, sähe der Tech-Stack der Spieleentwickler völlig anders aus.
    • Ich frage mich, wie man das Gute vom Schlechten trennen soll.
      Microsoft baut durchgängig schlechte Produkte und hat die Tendenz, sogar Dinge, die einmal okay waren, zu verschlechtern.
      Deshalb erwarte ich auch von Produkten, die heute noch okay wirken, nicht, dass sie lange gut bleiben.
    • Wenn Visual Studio nur für AAA-Game-Engines nötig ist, dann ist das als Argument für ein Lob an MS ein viel zu schwaches Lob.
      Die meisten Menschen schreiben keine AAA-Game-Engines.
    • Trotz aller Probleme bei Microsoft halte ich die öffentliche API-Dokumentation für Windows für hervorragend.
      Im Durchschnitt ist sie besser als Manpages für Linux oder BSD und deutlich besser als manche feindselige Dokumentation von Apple.
      Allerdings braucht man für Bug-Reports Insiderwissen über das interne Netzwerk oder muss wissen, wo man überhaupt fragen kann.
    • Abgesehen vom Debugger ist Visual Studio die schlechteste IDE, die ich je benutzt habe.
      Beim Editieren von JavaScript ist die automatische Einrückung praktisch ein Zufallszahlengenerator und komplett kaputt.
      Während ein Projekt läuft, kann man keine neuen Dateien hinzufügen, auch nicht über das Kontextmenü.
      Wenn sich Dateien extern ändern, empfiehlt es nur einen Neustart.
      Dazu kommen unzählige weitere kleine Probleme, besonders die automatische Einrückungsformatierung ist eine Qual.
  • Ich finde es erstaunlich, dass so viele Einzelpersonen und Unternehmen die Cloud-Dienste von Microsoft nutzen.
    Das ist ein Single Point of Failure, den man nicht kontrollieren kann.
    Dasselbe gilt für Google oder YouTube, und es wirkt auf mich ungefähr so riskant, als würde man ein Passagierflugzeug mit nur einem Triebwerk fliegen.
    Ich frage mich, welche Denkweise einen dazu bringt, ein solches Risiko einzugehen.
    • Die meisten Unternehmen schließen formelle Verträge mit Microsoft ab.
      Das ist deutlich sicherer als ein Zwei-Personen-Startup aus einer Garage.
      Im Vertrag werden strenge Bedingungen zu Service-Level, Haftung, Erwartungen usw. garantiert.
      Das ist ähnlich, wie wenn ein Restaurant sein Gemüse von einem großen Bauernhof statt vom Hobbygarten eines Freundes bezieht.
    • Es wird gefragt, ob die Nutzung von AWS ebenfalls als derselbe Single Point of Failure zu sehen ist.
      Realistisch betrachtet braucht man ab einer gewissen Größe mehrere Ausfallpunkte, und in der Praxis ist es sinnvoller, sich auf das Geschäft selbst zu konzentrieren, statt sich über dieses Problem den Kopf zu zerbrechen.
      Es gab tatsächlich Führungskräfte, die sich darüber Sorgen gemacht haben, aber die Kosten für Redundanz waren als Investition immer weniger effizient als andere Ausgaben fürs Geschäft.
    • Die Cloud-Dienste von Microsoft sind günstig und funktionieren gut.
      Sie integrieren sich leicht mit allem, was man braucht.
    • Es wird gefragt, ob das nicht das Wesen einer zivilisierten Gesellschaft ist.
      Die meisten Menschen sind von ihrem Gehalt abhängig und haben nur begrenzte Fähigkeiten zur Nahrungsproduktion oder zur Vorsorge für Notfälle.
      Diese Abhängigkeiten werden immer stärker.
    • Aus Sicht von Kosten und Opportunitätskosten ist es unrealistisch, selbst Alternativen aufzubauen.
      Wenn man die lästigen Probleme bedenkt, die bei einem Wechsel zu weniger populären Diensten entstehen, ist es trotz des bekannten Single Point of Failure letztlich rational, bei den bestehenden Diensten zu bleiben.
  • Vor Kurzem gab es einen Vorfall, bei dem Microsoft die Mailbox einer sanktionierten Person gesperrt hat.
    Wenn eine Organisation stark von MS-Produkten abhängt, sollte sie sich ernsthaft fragen: „Könnte mir das auch passieren?“ und „Wie viel müsste ich investieren, um eine solche Situation zu verhindern?“
    In diesem Text wurde versucht, die Fakten zu klären und das Thema realistisch unter dem Gesichtspunkt des ROI von Sicherheitsinvestitionen zu betrachten.
  • Dieses Risiko gilt für alle Unternehmen mit Hauptsitz in den USA.
    Nicht nur Microsoft, sondern auch Google, Amazon und Apple würden Anforderungen der US-Regierung wohl nicht ablehnen können.
    • Der Grund, warum hier speziell Microsoft genannt wird, ist genau dieser Vorfall mit der gesperrten Mailbox.
  • Das in diesem Text beschriebene Risiko ist kein ausschließliches Microsoft-Risiko.
    Es ist das Problem, nicht ersetzbare Dienste auszulagern.
    Wenn man die Technik flexibel gestaltet, verschwindet dieses Risiko.
    • Aus EU-Sicht braucht es eine vernünftige Reaktion auf monopolartige Anbieter, die von ausländischen Regierungen gesteuert werden können.
      Man sollte MS ein Ultimatum stellen, eine unabhängige juristische Person zu gründen, die direkt der EU-Kontrolle unterliegt, oder eine solche Struktur gesetzlich erzwingen.
      Selbst wenn die Verbindung zu Microsoft USA am Ende gekappt würde, müsste Microsoft EU eigenständig weiterarbeiten können. Wenn eine solche Struktur nicht existiert, ist ein von den USA kontrolliertes Microsoft ein erhebliches Sicherheitsrisiko für Europa.
    • Zu sagen, dass technische Flexibilität das Risiko verschwinden lässt, übersieht das politische Risiko.
      Wenn sich das politische Umfeld ändert und man darauf nicht vorbereitet ist, kann man mit Technik allein nicht reagieren.
  • Für die meisten Unternehmen sind die Kosten und die Schwierigkeit, sich von Microsoft zu lösen, größer als der Nutzen.
    • Das kann stimmen.
      Einige Microsoft-Produkte gehen zwar tief in die Infrastruktur, aber in der Praxis nutzen die meisten Unternehmen keine breite Palette des gesamten Produktportfolios.
      Was die meisten festhält, sind Authentifizierungsdienste (Azure AD usw.).
      Authentifizierung könnte sogar leichter zu verwalten sein.
    • Fast alle US-Unternehmen befolgen Gerichtsbeschlüsse, daher lässt sich diese Sanktion nur vermeiden, wenn man zu einem Unternehmen außerhalb der USA wechselt.
    • Letztlich ist die größte Variable, ob weitere Sanktionen hinzukommen.
      Wenn Microsoft künftig mehr Sanktionen durchsetzen muss, wird das Risiko unerträglich groß.
  • Im Zeitalter der Globalisierung reichte es für Unternehmen, Verträge oder internationale Normen einzuhalten, aber mit dem Rückzug der Globalisierung müssen sie nun die Gesetze einzelner Länder auf alle inländischen und ausländischen Standorte anwenden.
    Diese Risiken muss man künftig immer einkalkulieren.
    • Unternehmen waren nie von den Gesetzen ihres Heimatlandes ausgenommen.
    • In der Praxis ergibt sich die einzuhaltende Rechtslage aus einer seltsamen Vereinigungsmenge der Gesetze der Länder, in denen das Unternehmen tätig ist, und der Länder, in denen seine Nutzer sitzen.
      Wenn sich die Gesetze gut überschneiden, ist es klar, sonst ist es unsicher und schwierig.
      Wie man etwa bei Datenschutz- und Cookie-Gesetzen sieht, ist das äußerst komplex.
  • Der jüngste Trend zur Wiederbelebung des Interesses an mechanischen Uhren, Füllfederhaltern und Steampunk wirkt auf mich wie eine Reaktion auf das gesellschaftliche Problem, dass Technologie das menschliche Verständnis übersteigt.
    Die meisten Menschen können Netzwerk-Stacks, Protokolle oder physikalische Prinzipien kaum erklären.
    Es gibt zwar einige Tech-Visionäre, die ihren eigenen Mailserver betreiben, aber für Einzelpersonen ist das Umfeld extrem hart, wenn man E-Mail allein betreiben will.
    Nicht nur wegen Spam, sondern auch, weil es fast unmöglich ist, bei großen Diensten Vertrauen zu gewinnen.
    Man kann ohne Excel oder ohne Google Sheets leben, aber ohne Tabellenkalkulationen an sich zu arbeiten, ist meiner Meinung nach sehr schwierig.
  • Effektives Business-Continuity-Management ergänzt verschiedenste Risiken durch Versicherungen.
    Auch wenn man statistisch akzeptiert, dass ein Unternehmen in einem Moment zusammenbrechen kann, ist das mit Versicherung zur Risikominderung nicht automatisch Game Over.
    • Ernst gemeinte Frage: Gibt es tatsächlich Versicherungsprodukte, die den politisch bedingten Ausfall eines kritischen Dienstleisters abdecken?
  • Aus Sicht von Unternehmen ist es keine rationale Entscheidung, Microsoft aufzugeben.
    Für Active Directory, Teams, Outlook/Exchange usw. gibt es keine realistischen, tatsächlich austauschbaren Alternativen.
    • Die Erwartungswertlogik („Der wahrscheinliche Schaden ist klein, also passt es schon“) ist hier nicht passend.
      Versicherungen haben immer einen negativen Erwartungswert, trotzdem schließen Unternehmen sie wegen des Risikos ab.
      Außerdem ist es schwer zu glauben, dass das Risiko eines Kontrollverlusts so niedrig wie eins zu zwei Millionen ist.
      Wenn Trump zum Beispiel ein ganzes Land auf die Sanktionsliste setzt, könnten alle Unternehmen dieses Landes abgeschnitten werden.