Aus der Cloud werden Daten geklaut (Allgemein)
Cyber-Experten der US-Bundesbehörden hielten die Microsoft-Cloud für „einen Haufen Scheiße“. Sie wurde aber trotzdem genehmigt.
Von Renee Dudley, recherchiert von Doris Burke
18. März 2026
Berichtshighlights
• „Cloud First“: Um Bundesbehörden in die Cloud zu verlagern, schuf die Regierung ein Programm namens FedRAMP, dessen Aufgabe es war, die Sicherheit der neuen Technologie zu gewährleisten.
• Sicherheitslücke: ProPublica fand heraus, dass FedRAMP ein Microsoft-Produkt namens GCC High für den Umgang mit sensiblen Regierungsdaten genehmigte, obwohl seit Jahren Bedenken hinsichtlich seiner Sicherheit bestanden.
• Potenzieller Interessenkonflikt: Die Regierung stützt sich bei der Überprüfung von Cloud-Technologie teilweise auf Drittunternehmen, doch diese Firmen werden von dem zu bewertenden Unternehmen beauftragt und bezahlt.
Ende 2024 fällten die Cybersicherheitsgutachter der Bundesregierung ein beunruhigendes Urteil über eines der größten Cloud-Computing-Angebote von Microsoft.
Das „Fehlen einer angemessenen, detaillierten Sicherheitsdokumentation“ des Technologieriesen führte laut einem von ProPublica eingesehenen internen Regierungsbericht dazu, dass die Prüfer „kein Vertrauen in die Bewertung der allgemeinen Sicherheitslage des Systems“ hatten.
Oder, wie es ein Mitglied des Teams formulierte: „Das Paket ist ein Haufen Scheiße.“
Seit Jahren, so die Prüfer, habe Microsoft vergeblich versucht, vollständig zu erklären, wie das Unternehmen sensible Daten in der Cloud zu schützen gedenkt, während diese im digitalen Raum von Server zu Server weitergeleitet werden. Angesichts dieser und anderer Unklarheiten konnten die Regierungsexperten nicht für die Sicherheit der Technologie bürgen.
Solche Urteile wären für jedes Unternehmen, das seine Produkte an die US-Regierung verkaufen möchte, vernichtend, doch für Microsoft hätten sie besonders verheerend sein müssen. Die Produkte des Technologieriesen standen im Mittelpunkt von zwei großen Cyberangriffen auf die USA innerhalb von drei Jahren. In einem Fall nutzten russische Hacker eine Schwachstelle aus, um sensible Daten von einer Reihe von Bundesbehörden zu stehlen, darunter die National Nuclear Security Administration. Im anderen Fall drangen chinesische Hacker in die E-Mail-Konten eines Kabinettsmitglieds und anderer hochrangiger Regierungsbeamter ein.
Die Bundesregierung könnte einem noch größeren Risiko ausgesetzt sein, wenn sie die Cybersicherheit von Microsofts „Government Community Cloud High“ nicht überprüfen könnte – einer Suite cloudbasierter Dienste, die dazu bestimmt ist, einige der sensibelsten Informationen des Landes zu schützen.
Doch in einem höchst ungewöhnlichen Schritt, der in Washington immer noch für Aufsehen sorgt, hat das Federal Risk and Authorization Management Program (FedRAMP) das Produkt dennoch zugelassen und ihm damit quasi das Cybersicherheits-Gütesiegel der Bundesregierung verliehen. Die Entscheidung von FedRAMP – die eine Art „Käufer aufgepasst“-Hinweis für alle Bundesbehörden enthielt, die GCC High in Betracht zogen – verhalf Microsoft dazu, ein milliardenschweres Regierungsgeschäftsimperium aufzubauen.
„BOOM SHAKA LAKA“, prahlte Richard Wakeman, einer der leitenden Sicherheitsarchitekten des Unternehmens, in einem Online-Forum und feierte diesen Meilenstein mit einem Meme von Leonardo DiCaprio aus „The Wolf of Wall Street“. Wakeman reagierte nicht auf Anfragen nach einer Stellungnahme.
Es war nicht die Art von Ergebnis, die sich die politischen Entscheidungsträger auf Bundesebene vor anderthalb Jahrzehnten vorgestellt hatten, als sie die Cloud-Revolution begrüßten und FedRAMP ins Leben riefen, um die Cybersicherheit der Regierung zu gewährleisten. Die mehrstufigen Prüfungen des Programms, zu denen auch eine Bewertung durch externe Experten gehörte, sollten sicherstellen, dass Dienstleister wie Microsoft mit den Geheimnissen der Regierung betraut werden konnten. Doch die Untersuchung von ProPublica – gestützt auf interne FedRAMP-Memos, Protokolle, E-Mails, Sitzungsprotokolle und Interviews mit sieben ehemaligen und aktuellen Regierungsmitarbeitern und Auftragnehmern – deckte an jeder Stelle dieses Prozesses Mängel auf. Sie ergab zudem eine bemerkenswerte Zurückhaltung gegenüber Microsoft, obwohl die Produkte und Praktiken des Unternehmens eine zentrale Rolle bei zwei der verheerendsten Cyberangriffe spielten, die jemals gegen die Regierung verübt wurden.
FedRAMP stellte bereits 2020 erstmals Fragen zur Sicherheit von GCC High und forderte Microsoft auf, detaillierte Diagramme zur Erläuterung seiner Verschlüsselungsverfahren vorzulegen. Doch obwohl das Unternehmen nur nach und nach Informationen vorlegte, die FedRAMP als unvollständig erachtete, lehnten die Programmverantwortlichen den Antrag von Microsoft nicht ab. Stattdessen hielten sie sich wiederholt zurück und ließen die Prüfung fast fünf Jahre lang in die Länge ziehen. Und da es Bundesbehörden gestattet war, das Produkt während der Prüfung einzusetzen, verbreitete sich GCC High sowohl in der Regierung als auch in der Verteidigungsindustrie. Ende 2024 kamen die FedRAMP-Prüfer zu dem Schluss, dass ihnen kaum eine andere Wahl blieb, als die Technologie zuzulassen – nicht, weil ihre Fragen beantwortet worden wären oder ihre Prüfung abgeschlossen war, sondern vor allem mit der Begründung, dass das Produkt von Microsoft bereits in ganz Washington im Einsatz war.
Heute verlassen sich wichtige Bereiche der Bundesregierung, darunter das Justiz- und das Energieministerium sowie der Verteidigungssektor, auf diese Technologie, um hoch-sensible Informationen [1] zu schützen, die, sollten sie bekannt werden, „voraussichtlich schwerwiegende oder katastrophale negative Auswirkungen“ auf Operationen, Vermögenswerte und Einzelpersonen hätten, so die Regierung.
„Dies ist keine erfreuliche Geschichte, was die Sicherheit der USA angeht“, sagte Tony Sager [2], der mehr als drei Jahrzehnte als Informatiker bei der National Security Agency tätig war und heute in leitender Position beim gemeinnützigen Center for Internet Security arbeitet.
Seit Jahren werde der FedRAMP-Prozess mit tatsächlicher Sicherheit gleichgesetzt, so Sager. Die Erkenntnisse von ProPublica würden diese Fassade jedoch zum Einsturz bringen.
„Das ist keine Sicherheit“, sagte er. „Das ist Sicherheitstheater.“
ProPublica deckt erstmals die Vorbehalte der Regierung gegenüber diesem beliebten Produkt auf. Wir enthüllen zudem, dass Microsoft jahrelang nicht in der Lage war, die von den Prüfern der Bundesbehörden geforderten Verschlüsselungsunterlagen und Nachweise vorzulegen.
Die Enthüllungen kommen zu einer Zeit, in der das Justizministerium die Überprüfung der Technologie-Auftragnehmer der Regierung intensiviert. Im Dezember gab das Ministerium die Anklage [3] gegen eine ehemalige Mitarbeiterin von Accenture bekannt, die angeblich Bundesbehörden über die Sicherheit der Cloud-Plattform des Unternehmens und deren Konformität mit den FedRAMP-Standards getäuscht haben soll. Sie hat sich nicht schuldig bekannt. Accenture, gegen das keine Vorwürfe erhoben wurden, erklärte [4], dass es „die Regierung proaktiv auf diese Angelegenheit aufmerksam gemacht“ habe und dass es „sich der Einhaltung höchster ethischer Standards verschrieben“ habe.
Auch Microsoft sah sich Fragen zu seinen Offenlegungen gegenüber der Regierung gegenüber. Wie ProPublica im vergangenen Jahr berichtete, versäumte es das Unternehmen, das Verteidigungsministerium [5] über den Einsatz von in China ansässigen Ingenieuren [6] zur Wartung der Cloud-Systeme der Regierung zu informieren, obwohl die Vorschriften des Pentagons vorsehen, dass „keine ausländischen Personen“ Zugang zu seinen sensibelsten Daten haben dürfen. Das Ministerium untersucht diese Praxis [7], die laut Beamten die nationale Sicherheit hätte gefährden können.
Microsoft hat sein Programm als „streng überwacht und durch mehrschichtige Sicherheitsmaßnahmen ergänzt“ verteidigt, doch nach der Veröffentlichung des ProPublica-Artikels im vergangenen Juli kündigte das Unternehmen an, für Projekte des Verteidigungsministeriums keine in China ansässigen Ingenieure mehr einzusetzen.
In Beantwortung schriftlicher Fragen zu diesem Artikel sowie in einem Interview räumte Microsoft die jahrelange Auseinandersetzung mit FedRAMP ein, erklärte jedoch auch, dass es während des gesamten Prüfungsverfahrens „umfassende Unterlagen“ vorgelegt und „festgestellte Mängel, soweit möglich, behoben“ habe.
„Wir stehen zu unseren Produkten und den umfassenden Maßnahmen, die wir ergriffen haben, um sicherzustellen, dass alle von FedRAMP zugelassenen Produkte die erforderlichen Sicherheits- und Compliance-Anforderungen erfüllen“, erklärte ein Sprecher in einer Stellungnahme und fügte hinzu, dass das Unternehmen „weiterhin mit FedRAMP zusammenarbeiten werde, um unsere Dienste kontinuierlich zu überprüfen und zu bewerten, damit die Compliance gewährleistet bleibt“.
Doch wie ProPublica herausfand, gibt es bei FedRAMP mittlerweile kaum noch Mitarbeiter [8], mit denen man zusammenarbeiten könnte.
Das Programm war eines der ersten Ziele des Ministeriums für Regierungseffizienz der Trump-Regierung, das Personal und Budget drastisch gekürzt hat. Selbst FedRAMP räumt ein, dass es „mit einem absoluten Minimum an Support-Mitarbeitern“ und „begrenztem Kundenservice“ arbeite. Die rund zwei Dutzend verbleibenden Mitarbeiter seien „voll und ganz darauf konzentriert“, Genehmigungen in Rekordtempo zu erteilen, sagte der Direktor von FedRAMP [9]. Heute beträgt das Jahresbudget nur noch 10 Millionen Dollar – so wenig wie seit einem Jahrzehnt nicht mehr –, obwohl das Programm eine Rekordzahl an neuen Genehmigungen für Cloud-Produkte vorweisen kann.
Die Folge all dessen ist, wie ehemalige FedRAMP-Mitarbeiter gegenüber ProPublica erklärten, dass das Programm mittlerweile kaum mehr als ein Abnicker für die Industrie ist. Die Auswirkungen einer solchen Schwächung auf die Cybersicherheit der Bundesregierung sind weitreichend, zumal die Regierung die Behörden dazu ermutigt [10], cloudbasierte KI-Tools [11] einzuführen, die auf Unmengen sensibler Daten zurückgreifen.
Die General Services Administration, unter deren Dach FedRAMP angesiedelt ist, verteidigte das Programm und erklärte, es habe seit dem Eintreffen von GCC High im Jahr 2020 „erhebliche Reformen zur Stärkung der Governance“ durchlaufen. „Die Aufgabe von FedRAMP besteht darin, zu beurteilen, ob Cloud-Dienste ausreichende Informationen und Materialien bereitgestellt haben, um für den Einsatz in Behörden geeignet zu sein, und das Programm arbeitet heute mit verstärkten Aufsichts- und Rechenschaftsmechanismen, um genau dies zu gewährleisten“, erklärte ein Sprecher der GSA in einer per E-Mail übermittelten Stellungnahme.
Die Behörde antwortete nicht auf schriftliche Fragen zu GCC High.
Eine „Cloud First“-Welt
[..]
Weiter im Link: https://www.propublica.org/article/microsoft-cloud-fedramp-cybersecurity-government
[1] https://www.fedramp.gov/archive/2017-11-16-understanding-baselines-and-impact-levels/
[2] https://www.cisecurity.org/about-us/leadership/tony-sager
[3] https://www.justice.gov/opa/pr/senior-manager-government-contractor-charged-cybersecurity-fraud-scheme
[4] https://fedscoop.com/government-contractor-fedramp-compliance-justice-department-army-veterans-affairs/
[5] https://www.propublica.org/article/microsoft-china-defense-department-cloud-computing-security
[6] https://www.propublica.org/article/microsoft-digital-escorts-pentagon-defense-department-china-hackers
[7] https://www.propublica.org/article/microsoft-china-defense-department-digital-escorts-investigation-warning
[8] https://www.fedramp.gov/2025-09-30-fedramp-built-a-modern-foundation-in-fy25-to-deliver-massive-improvements-in-fy26/
[9] https://github.com/FedRAMP/roadmap?tab=readme-ov-file#how-fedramp-delivers
[10] https://www.whitehouse.gov/wp-content/uploads/2025/07/Americas-AI-Action-Plan.pdf
[11] https://www.fedramp.gov/ai/
gesamter Thread:
- Aus der Cloud werden Daten geklaut -
b.e.richter,
20.03.2026, 13:17
![[*]](themes/wgvdl_f/images/complete_thread.png "gesamten Thread öffnen")