Ein internes Support-Modell von Microsoft ermöglicht es Technikern in China, indirekt auf US-Regierungsinfrastruktur zuzugreifen. Dabei fehlt es den eingesetzten Aufsichtspersonen oft an technischem Verständnis. Fachleute kritisieren das Modell als erhebliches Sicherheitsrisiko. Microsoft hält so die Kosten niedrig, um seine Cloud-Angebot erfolgreich auszuweiten.

Microsoft setzt bereits seit rund zehn Jahren auf ein spezielles Support-Modell zur Wartung von Cloud-Systemen für US-Behörden, darunter auch das Verteidigungsministerium. Es verhilft zu wettbewerbsfähigen Preisen und der Möglichkeit, die eigenen Cloud-Angebote lukrativ in die Staatsdienste zu expandieren.

Techniker aus dem Ausland – insbesondere aus China – erhalten dabei Zugriff auf sensible Systeme, während US-Bürger mit nationaler Sicherheitsfreigabe als digitale Begleiter (»digital escorts«) fungieren. Nach geltendem Recht dürfen nur US-Bürger Zugang zu besonders sensiblen Daten erhalten.  Diese sollen sicherstellen, dass keine sicherheitsrelevanten Handlungen vorgenommen werden. Doch genau diese Schutzfunktion steht zunehmend in der Kritik.

Anzeige

Mitarbeiter: Geringes Budget für wenig Erfahrung -  aber mit Vertrauensvorschuss

Wie eine Recherche des anerkannten, unabhängigen Journalisten-Netzwerks ProPublica aufzeigt, verfügen viele der eingesetzten digitalen Begleiter schlicht nicht über das nötige technische Wissen, um Eingriffe kompetent zu bewerten. Oft handelt es sich um ehemalige Militärangestellte mit geringer IT-Erfahrung, aber eben mit der erforderlichen nationalen Sicherheitsprüfung.

Sie werden zudem von externen Dienstleistern wie Insight Global per Annonce zu Niedriglöhnen angeworben. Einer dieser Begleiter wird anonym zitiert: »Wir vertrauen darauf, dass das, was sie tun, nicht bösartig ist – aber wir können es nicht wirklich überprüfen.«

Die Rolle der digitalen Begleiter beschränkt sich häufig auf das Weiterleiten oder Einpflegen von Befehlen, ohne deren technischen Inhalt zu verstehen. In der Praxis läuft das System wie folgt ab: Ein Problem wird gemeldet, ein chinesischer Techniker erstellt ein Ticket, ein US-basierter Begleiter übernimmt die Kommunikation und gibt Anweisungen in die Regierungs-Cloud ein, darunter Updates, Bug-fixes und Codes.

Modell unter geringer Aufsicht

Eine offizielle Untersuchung wurde eingeleitet, aber später eingestellt. Offizielle Stellen geben sich ahnungslos: Das Office of the Inspector General (OIG) verwies lediglich auf die interne Verantwortung von DISA. Laut mehreren ehemaligen Regierungsbeamten war in jener Defense Information Systems Agency das Modell in dieser Form innerhalb der zuständigen Behörden kaum bekannt. Einer der Gründe sind Regierungswechsel mit einhergehenden Wechseln im Führungspersonal.

Auch interne Kritiker bei Microsoft fanden für ihre Bedenken offenbar kein Gehör. Selbst innerhalb von Microsoft war der Wissensstand lückenhaft. Fachleute weisen darauf hin, dass so auch schädlicher Code eingeschleust werden könnte, ohne dass dies sofort auffiele.

Microsoft seinerseits verweist auf interne Sicherheitsmechanismen wie das Lockbox-System und Protokollierung aller Aktivitäten. Ein ehemaliger Microsoft-Ingenieur meint: »Wird das entdeckt? Ganz sicher. Wird es entdeckt, bevor Schaden entsteht? Keine Ahnung.«

Einfallstor für staatlich gelenkte Spionage

Wie Propublica berichtet, sehen Experten wie Harry Coker (früher CIA und NSA) das Modell als potenzielles Einfallstor für staatlich gelenkte Spionage. Auch John Sherman, ehemaliger Chief Information Officer des Pentagon, forderte eine umfassende Untersuchung. Die Tatsache, dass in China gesetzlich ein Datenzugriff durch Behörden möglich ist, verstärkt die Bedenken. Laut Analysten sei das Risiko staatlicher Einflussnahme real und nicht auszuschließen.