Bundesweite Cybersicherheitsexperten genehmigen trotz Bedenken Microsoft-Cloud-Dienst

 (propublica.org)
1 Punkte von GN⁺ 2026-03-19 | 1 Kommentare | Auf WhatsApp teilen
  • Das FedRAMP-Programm der US-Regierung genehmigte trotz Sicherheitsbedenken Microsofts Dienst Government Community Cloud High (GCC High)
  • In einem internen Bewertungsbericht hieß es ausdrücklich, man sei „nicht zuversichtlich, den gesamten Sicherheitsstatus bewerten zu können“, und einige Prüfer bezeichneten das System als „heilloses Durcheinander“
  • Microsoft hatte zentrale Sicherheitsdokumente wie die Verschlüsselungsarchitektur und Datenflussdiagramme über Jahre hinweg nicht vollständig vorgelegt, doch da Regierungsbehörden den Dienst bereits nutzten, fiel die Genehmigungsentscheidung dennoch
  • Im Genehmigungsprozess wirkten Interessenkonflikte bei Drittprüfern, Druckausübung zwischen dem Justice Department und Microsoft sowie ein Personalabbau bei FedRAMP zusammen
  • Der Fall zeigt, dass das Cloud-Sicherheitsprüfsystem der US-Regierung zu einem formalen Verfahren verkommen ist, und stellt ein ernstes Risiko für den Schutz staatlicher Geheimnisse dar

FedRAMP-Genehmigung und die Kontroverse um Microsoft GCC High

  • FedRAMP ist ein Programm zur Überprüfung der Sicherheit von Cloud-Diensten für Regierungsbehörden; Microsofts GCC High ist ein Dienst für sensible Regierungsdaten
    • Laut internen Berichten fehlte Microsoft „angemessene Sicherheitsdokumentation“, und die Prüfer konnten sich des Sicherheitsniveaus des Systems nicht sicher sein
    • Trotzdem genehmigte FedRAMP GCC High Ende 2024 in Form einer „bedingten Genehmigung“
  • Die Entscheidung fiel, weil das Justice Department und die Rüstungsindustrie den Dienst bereits nutzten und eine Ablehnung Störungen im Regierungsbetrieb befürchten ließ
  • Das Genehmigungsschreiben enthielt einen Warnhinweis, dass „unbekannte Risiken bestehen, daher sollten die einzelnen Behörden den Dienst mit Vorsicht nutzen“

Unzureichende Sicherheitsdokumentation bei Microsoft und jahrelange Verzögerungen

  • Seit 2020 forderte FedRAMP von Microsoft die Einreichung von Datenverschlüsselungs-Flussdiagrammen, doch das Unternehmen lieferte unter Verweis auf die „Komplexität“ kein vollständiges Material
    • Microsoft reichte nur einige Whitepaper ein und konnte nicht klar erläutern, wann Daten verschlüsselt und entschlüsselt werden
  • Andere Cloud-Anbieter (Amazon, Google) legten vergleichbare Unterlagen vor, während Microsoft in monatelangen Abständen wiederholt unvollständige Antworten lieferte
  • Ein FedRAMP-Prüfer verglich Microsofts System mit einer Struktur, die „wie ein Spaghetti Pie“ verwoben sei, und wies darauf hin, dass die Intransparenz der Datenflüsse das Sicherheitsrisiko erhöhe

Drittprüfer und das Problem von Interessenkonflikten

  • Die von Microsoft beauftragten Unternehmen Coalfire und Kratos teilten FedRAMP inoffiziell mit, sie hätten „von Microsoft nicht genügend Informationen erhalten“
    • Da diese Stellen direkt von Microsoft bezahlt werden, wurden Bedenken hinsichtlich ihrer Unabhängigkeit laut
  • FedRAMP informierte Kratos über einen Plan für Korrekturmaßnahmen, doch das Unternehmen verteidigte die Rechtmäßigkeit seiner Bewertung
  • Microsoft erklärte, man habe „auf alle Anfragen gewissenhaft geantwortet“ und bestritt die Existenz inoffizieller Berichte (Backchannel)

Druck von Regierungsbehörden und Verzerrung des Genehmigungsverfahrens

  • 2023 setzte FedRAMP die Prüfung wegen Microsofts unzureichender Reaktionen aus, nahm sie jedoch nach Lobbying zwischen dem Justice Department und Microsoft wieder auf
    • Ein Microsoft-Vertreter bat das Justice Department, Druck für eine FedRAMP-Genehmigung auszuüben, da sich der Markteintritt verzögere
    • In Sitzungen stellte sich Justices CIO Melinda Rogers auf die Seite von Microsoft und kritisierte die Prüfmethode von FedRAMP
  • Danach veröffentlichte das White House eine Richtlinie, wonach FedRAMP eine „strenge Prüfung durchführen“ müsse, doch GCC High war bereits in zahlreichen Behörden verbreitet

Personalabbau und systemische Grenzen

  • FedRAMP wurde durch Budgetkürzungen auf rund 20 Mitarbeiter und ein Jahresbudget von 10 Millionen US-Dollar reduziert und ist damit faktisch zu einer formalen Genehmigungsstelle der Industrie geworden
  • Die GSA erklärte, die Aufgabe des Programms bestehe „nicht darin, das Sicherheitsniveau zu beurteilen, sondern Informationen bereitzustellen“, und entzog sich damit einer echten Prüfverantwortung
  • Experten kritisieren, FedRAMP habe „seine Rolle als Wächter zum Schutz der Daten der Bevölkerung verloren“

Nachwirkungen und ethische Kontroversen

  • Nach der Berichterstattung von ProPublica kündigte Microsoft an, den Einsatz in China ansässiger Ingenieure bei verteidigungsbezogenen Aufgaben zu beenden
  • Das Justice Department geht mittels der Anklage gegen einen ehemaligen Accenture-Mitarbeiter wegen FedRAMP-Betrugs gegen falsche Angaben zur Cloud-Sicherheit vor
  • 2025 sorgte die Ernennung der ehemaligen stellvertretenden Justizministerin Lisa Monaco, die die FedRAMP-bezogene Cybersicherheitspolitik geleitet hatte, zur Präsidentin von Microsoft Global Affairs für weitere ethische Kontroversen
  • Microsoft erklärte, alle Einstellungen seien „unter Einhaltung von Gesetzen und ethischen Standards“ erfolgt

Fazit: Die Gefahr formalisierter Sicherheitszertifizierung

  • ProPublica zeigt an diesem Fall, dass die FedRAMP-Zertifizierung keine tatsächliche Sicherheitsgarantie ist
  • Microsoft GCC High trägt weiterhin „unbekannte Risiken (unknown unknowns)“, und Regierungsbehörden müssen diese Risiken selbst tragen
  • Experten bewerten das Cloud-Sicherheitssystem der US-Regierung als „Security Theater statt Sicherheit“

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-03-19
Hacker-News-Kommentare

  • GCC High konnte sich in Behörden und der gesamten Verteidigungsindustrie verbreiten, weil Bundesbehörden das Produkt schon während der Prüfung ausrollen konnten
    Am Ende blieb den FedRAMP-Prüfern nichts anderes übrig, als es zu genehmigen, weil es bereits in ganz Washington im Einsatz war, obwohl die vollständige Prüfung noch nicht abgeschlossen war
    Der Maßstab verschob sich also von „Ist dieses Tool sicher?“ zu „Ist es riskant genug oder politisch durchsetzbar genug, um es abzulehnen?“

    • FedRAMP verdient Kritik. Es ist zu langsam und ignoriert Feedback aus der Branche
      Das Ergebnis ist eine Struktur, in der fast jedes Startup, das an die Regierung verkaufen will, eine Palantir-Steuer zahlen muss. Das liegt bei etwa 200.000 bis 500.000 Dollar pro Jahr, und eine direkte FedRAMP-Zertifizierung kostet mindestens 2 bis 3 Millionen Dollar und dauert 2 bis 3 Jahre
      Am Ende sind die meisten Unternehmen gezwungen, sich auf Palantir (oder 2F) zu stützen. Das ist eine von staatlicher Regulierung erzwungene Monopolstruktur
    • Deshalb versuchen große Anbieter, um jeden Preis zuerst einen Fuß in die Tür zu bekommen
      Sobald sie einmal etabliert sind, ist ein Wechsel unmöglich, und es wird faktisch zu einer unendlichen Einnahmequelle
    • Wenn man echte Sicherheit gewährleisten will, ist Vereinfachung wichtiger als komplexe Konfiguration
      Am sichersten wären ein paar abgeschlossene Server im Keller, auf denen nur verifizierte Software läuft

  • Ich habe kürzlich Entra ID benutzt: Allein für MFA gibt es 12 Einstellungen, 20 Arten, Benutzer zu deaktivieren, 4 Authentifizierungsmethoden und bei den Richtlinien für bedingten Zugriff 50 Variablen und Templates
    Man kann alles frei anpassen, aber nach der Konfiguration können sich die Kollegen nicht einmal mehr einloggen. Das gilt dann wohl als Sicherheitsgewinn

    • Der SSO-Login-Flow von Microsoft ist mit Abstand der fehleranfälligste. Es gibt viel zu viele Redirects, und „remember me“ funktioniert nie
    • Microsoft hat viele Funktionen, aber fast nichts funktioniert richtig
    • Es gibt zusätzliche Konfigurationsmöglichkeiten, aber sie sind tief in unerreichbaren SharePoint-Dokumenten versteckt
    • Wir hatten dieselbe Erfahrung. Außerdem werden wöchentlich Entra-ID-Statistikmails erzwungen verschickt, und man kann sie nicht abbestellen
    • Das Problem des modernen Microsoft ist, dass drei Dinge gleichzeitig verfolgt werden
      • schnelle Releases nach dem Motto „Move fast and break things
      • Besessenheit von Abwärtskompatibilität nach dem Motto „We do not break user space
      • Produkte werden über Jahrzehnte nicht eingestellt
        Diese Kombination hat Microsoft-Produkte zu einem Labyrinth aus überlappenden APIs und unfertigen Funktionen gemacht

  • Microsoft war schon immer schwach bei Security, und deshalb ist Cloud-Zentralisierung noch gefährlicher
    Im Fall Storm-0558 konnte man zum Beispiel mit einem einzigen gestohlenen Signaturschlüssel Authentifizierungstoken für alle Azure-AD-Konten fälschen
    Wenn ein Zugriff auf diesem Niveau staatlich ausgenutzt würde, wäre das eine wirtschaftliche Katastrophe

    • Tatsächlich gab es auch Schwachstellen, bei denen man nicht einmal einen Signaturschlüssel stehlen musste. Siehe diesen Artikel
    • Aber so etwas kann bei jedem Unternehmen passieren. Am Ende ist es ein Problem menschlicher Fehler

  • Die Experten hatten recht. Azure ist die chaotischste Plattform, die ich je benutzt habe
    Neue Produkte erben zwanghaft bestehende Azure-Komponenten, dadurch fehlt jede Konsistenz, und zwischen den Teams gibt es keine Kommunikation, sodass überhaupt nichts integriert ist
    Von Log-Formaten bis zu Sicherheitskonzepten ist alles unterschiedlich, sodass man sich fragt, ob Microsoft überhaupt weiß, was ein SIEM ist

    • Ich habe über zehn Jahre bei Microsoft gearbeitet und intern dieselben Probleme wahrgenommen
      Das interne System Cosmos ist zum Beispiel eine hervorragende Datenverarbeitungs-Engine, wurde extern aber spät veröffentlicht und miserabel unterstützt
      Synapse ist gescheitert, Fabric ist die neue Version, wird aber selbst intern kaum genutzt
      Die Account- und Security-Umgebung ist so komplex, dass Arbeiten an sich schmerzhaft ist
      Azure verdient nur wegen der Größe von Microsoft Geld. Faktisch wächst es durch Scheitern
      Link zum Cosmos-Paper
    • Diese evolutionäre Produktstruktur ist seit 2018 Microsoft-Standard
      Wegen schneller Releases und Verbesserungen auf Basis von Nutzerfeedback wirkt am Anfang vieles experimentell, aber nach ein paar Jahren wird es brauchbar
    • Die Geringschätzung gegenüber den Nutzern ist viel zu offensichtlich. Als Ergebnis der Antitrust-Ära hat Microsoft heute nicht einmal mehr das Gefühl, konkurrieren zu müssen
    • Azure ist die Art von Produkt, die Kunden mit dem eigenen Portemonnaie schlägt. Es gibt keinen Zugriff, sondern nimmt Eigentum weg und berechnet Gebühren
    • Dieses Phänomen sieht man auch bei „Marktführer-einholen“-Unternehmen wie GitLab. Wichtiger als ausgereifte Funktionen ist die Zahl der Features in der Tabelle

  • Der CIO des Justizministeriums drängte auf die FedRAMP-Zulassung und trat im Jahr darauf bei Microsoft ein. Das wirkt wie ein Fall, in dem die Genehmigung selbst ungültig sein müsste

  • Mit „pile of shit“ war im Artikel offenbar nicht der eigentliche Service gemeint, sondern das Paket mit den Sicherheitsunterlagen
    Der Kontext war, dass Microsoft keine klaren Informationen geliefert habe und die Bewertung dadurch selbst schwierig gewesen sei

    • Laut internen Berichten konnten die Prüfer wegen der mangelhaften Sicherheitsdokumentation von Microsoft dem Sicherheitsstatus des Systems nicht vertrauen
      Dass ProPublica das zu einem Problem der gesamten Cloud ausweitet, wirkt etwas clickbaitig
    • Am Ende hieß es also: keine Dokumentation, keine Bewertung möglich, und trotzdem genehmigt … einfach „Nächster!“
    • Microsoft hat fast alle technischen Redakteure entlassen, sodass heute nur noch automatisch generierte API-Dokumentation übrig ist
      Zum Beispiel 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      So kann man weder Bedeutung noch Auswirkungen sicherheitsrelevanter Einstellungen erkennen

  • Die Anforderungen scheinen so entworfen zu sein, dass nur die Microsoft-Cloud sie erfüllen kann
    Deshalb läuft im Pentagon Windows

  • Es gibt zu viele Interessenkonflikte rund um Microsoft. Personen, die am Freigabeprozess beteiligt waren, gingen später zu Microsoft

    • Spätestens Ende der 90er hat Microsoft die Regeln dieses Spiels vollständig verstanden. Das fällt mit der Zeit des Antitrust-Verfahrens zusammen
    • Natürlich ist das nicht immer böswillig. Manchmal kennen staatliche Auftragnehmer die Produkte einfach gut und wechseln deshalb auf die Anbieterseite
      Sie sehen es am Ende als dieselbe Mission in einem anderen Team. Als Techniker glauben manche auch, dass sie Probleme vor Ort besser lösen können

  • FedRAMP ist schwer einzuhalten und garantiert trotzdem kein echtes Sicherheitsniveau. Es ist ein doppelt frustrierendes System

    • Wer nie in einem Compliance-Umfeld gearbeitet hat, kennt diesen Schmerz nicht

  • Wenn man die Passage liest, dass „die GCC-High-Prüfer Probleme sowohl in den bewertbaren als auch in den nicht bewertbaren Teilen fanden, FedRAMP und Microsoft sich am Ende aber einigten und die Freigabe am Tag nach Weihnachten 2024 erfolgte“,
    fragt man sich unweigerlich, wie hoch die Spende wohl gewesen sein muss