Zum Einstieg in den zweiten Tag der Black Hat 2025 in Las Vegas beschwor die ehemalige New-York-Times-Journalistin Nicole Perlroth vor der versammelten Sicherheitscommunity ein Bild wachsender Cyberbedrohungen. Angreifer zielten mit Desinformationskampagnen auf den öffentlichen Diskurs und mit „Cyberwaffen“ auf kritische Infrastrukturen wie Stromnetze, das Gesundheitswesen und die Wasserversorgung.

Öffentlich-private Partnerschaften ebenso wie KI könnten allerdings gegen zunehmend eskalierende Angriffe helfen. Die Cybersicherheitsbranche brauche angesichts der Lage den Mut, Bedrohungen zu benennen, auch wenn das Konsequenzen nach sich ziehe.

Malware, die via DNS kommuniziert, stoppen

Im Anschluss ging es dann wieder tief in einzelne Lücken, Schwachstellen und Angriffsweisen. Vedang Parasnis demonstrierte, wie DNS als Tunnel für Command-and-Control-Server (C2) ausgenutzt werden kann – und wie man solche Schadprozesse erkennen und auch killen kann. Er hat einen eBPF-Filter und einen Userland-Prozess vorgestellt, der nicht nur den DNS-Verkehr von verdächtigen Prozessen stoppen kann, sondern auch den Malware-Prozess vom Kernel aus beendet. Und wenn dieser erneut aktiv wird, werde er sofort wieder beendet.

Mit KI Schwachstellen in Software finden

Mit dem Thema AI Agents for Offsec with Zero False Positives hat es Brendan Dolan-Gavitt von XBOW geschafft, den Vortragsraum schnell zu füllen. Jeder wollte wissen, wie es ihm gelungen ist, einfach mit LLMs Schwachstellen zu finden, welche keine False-Positives sind.

Als Erstes hat er gezeigt, dass LLMs extrem viele Schwachstellen zutage fördern, welche keine sind. Ein Umstand, der viele Open-Source-Entwickler in den Wahnsinn treibt, da so extrem viele Ressourcen verschwendet werden, ohne die Projekte weiterzubringen. Dolan-Gavitts Ansatz ist ein anderer: Er nutzt die KI-Agenten, um mit Ihnen eine Art „Capture the Flag“ zu spielen.

Er baut in der Software UUID-Flags ein, welche die KI-Agenten finden sollen. So hat er durch einen KI-Bot einen Authentication Bypass bei Redmine gefunden, und in vielen anderen Web-Anwendungen XSS und andere echte Schwachstellen. Dabei unterscheidet er zwischen Business-Logik-Schwachstellen, indem er diese Flags einbaut, und Anwendungen wie Datenbanken, wo er ein Flag in die Admin-SQL-Tabelle oder eine Flag-Datei in das Filesystem legt. So kann er die KI-Agenten nutzen, um Schwachstellen zu suchen, und durch das Auffinden der Flags hat er gleich den Beweis, dass es dort eine Schwachstelle gibt, die sonst unentdeckt wäre.

Durch diese Methode hat die KI 174 echte Schwachstellen gefunden, davon sind 22 CVEs schon zugewiesen und es stehen noch 154 an. Darunter befinden sich Projekte wie GeoServer (XXE), Apache HugeGraph (RCE), Puppy Graph (RCE), Apache TomCat (XXS). Er hat aktuell immer noch einen Backlog von 650 gefundenen Schwachstellen, wobei die größte Schwierigkeit für die Forscher ist, auch die Sicherheitsverantwortlichen für das jeweilige Projekt zu finden.

Hardwarefehler in allen Intel-Prozessoren

Sandro Rüegge und Johannes Wikner von der ETH Zürich zeigten eine Lücke in Intel-Prozessoren auf. Enhanced Indirect Branch Restricted Speculation (eIBRS) ist Intels primäre Abwehrmaßnahme gegen Spectre-Angriffe im Branch Target Injection-Stil (BTI). eIBRS verhindert den Missbrauch nicht vertrauenswürdiger Branch-Target-Predictions in Domänen mit höheren Berechtigungen (zum Beispiel im Kernel-/Hypervisor-Modus), indem es Vorhersagen aus anderen Berechtigungsdomänen als der, für die sie erstellt wurden, einschränkt.

Seit seiner Einführung Ende 2018 ist eIBRS die am besten geeignete BTI-Abwehr, auf die alle gängigen Betriebssysteme und Hypervisoren setzen, und hat Angreifer bisher erfolgreich daran gehindert, beliebige Branch-Target-Vorhersagen über Berechtigungsgrenzen hinweg einzuschleusen. Die Forscher zeigen jedoch, dass mikroarchitektonische Abwehrmaßnahmen wie eIBRS, ähnlich wie Software, anfällig für Race Conditions sind. Daher demonstrieren sie eine Technik, die es Angreifern ermöglicht, diesen Schutz komplett auszuheben über alle CPU-Berechtigungsebenen und Ringe hinweg.

Bei der Zurückverfolgung des Fehlers bis zu seinem Ursprung stellten die Forscher fest, dass er seit der Einführung des eIBRS vorhanden ist. Das bedeutet, dass die Intel-Prozessoren seit Sandy Bridge sind, also seit über sieben Jahren. In einer Live-Demo führten die Sicherheitsforscher vor, dass man mit ihrem Proof of Conzept als normaler Nutzer einfach alle Speicherpages nach dem Inhalt der /etc/shadow erbeuten kann. Diese Password-Datei sollte nur dem System und root zugänglich sein. Der Kernel war ein Linux 6.8, mit allen Mitigations- und Schutzmaßnahmen aktiviert. Das ganze Paper ist hier abrufbar.

Entwickler aus Nordkorea

Unter dem Pseudonym SttyK hat ein Südkoreaner über die IT-Machenschaften des Nordkorea-Regimes berichtet. Dabei werden IT-Mitarbeiter mit falschen Pässen als IT-Dienstleister und Remote-Angestellte eingeschleust, damit sie dann für das Regime Informationen erbeuten oder Devisen beschaffen. Typisch dafür seien Bewerbungen als qualifizierter „Full-Stack-Entwickler“ zu besonders günstigen Gehaltsvorstellungen. Dabei sollte jeder Arbeitgeber oder stutzig werden, wenn Dienstleister plötzlich die Bezahlung in Kryptowährungen haben will.

Die Nordkoreaner bewerben sich auch mit gefälschten Dokumenten, und SttyK hat gezeigt, wie man diese leicht mit Open-Source-Tools erkennen kann. Normale Pässe haben immer Rauschen im Druck. Wenn die Schrift zu perfekt ist, dann liegt eine Manipulation nahe.

(axk)

Die Angst, etwas zu verpassen, bleibt ein starker Antrieb beim anhaltenden Tamtam um Künstliche Intelligenz. Alle machen doch gerade „was mit KI“. KI-Berater geben sich überall die Klinken in die Hand, um ihre Heilsversprechen zu verkünden.

Eine gut gepflegte FAQ-Seite reicht vielen Unternehmen und Behörden längst nicht mehr aus, wenn sie denn je eine hatten. Ein Chatbot muss her, haben doch jetzt alle. Auch klassische Datenbanken und Linked-Data-Lösungen sind so was von 2000er. Ohne Large Language Models mit Retrieval-Augmented Generation ist keine Unterstützung und kein Fördergeld für die notwendige Digitalisierung mehr zu bekommen, ganz egal, ob jemand genauer weiß, was die Technologie unter der Haube hat.

Es scheint, als ob vor allem die bei KI meist gemeinten großen generativen Sprachmodelle zum Selbstzweck werden. Sie werden oft eingesetzt, ohne die Funktionsfähigkeit oder die Alternativen in redlicher Weise geprüft zu haben. Über den Sinn und Unsinn, mit Deep-Neural-Net-Kanonen auf Daten-Spatzen zu schießen, wird dabei selten diskutiert.

Doch gerade der fragliche Sinn ändert auch den Blick auf die dafür notwendige oder eben nicht notwendige Infrastruktur, um die ressourcenhungrigen generativen KI-Systeme zu betreiben. Denn diese Systeme verbrauchen enorme Mengen an Energie und Wasser zur Herstellung und Kühlung der Computer in den Rechenzentren.

Wie genau der Ressourcenbedarf und die sich daraus ergebenden Umweltauswirkungen aussehen, darüber rücken die jeweiligen KI-Anbieter wenig bis gar keine Informationen heraus. Die ganz große Mehrheit der Nutzer, die mit generativer KI interagiert oder vielleicht deren Einsatz planen will, hat so gut wie keine aussagekräftigen Informationen über deren Umweltauswirkungen. Fundierte Entscheidungen zu treffen, die Energie- und Wasserverbrauch und andere Umweltfaktoren von generativen KI-Systeme mit einbeziehen, ist derzeit weitgehend unmöglich.

Amazon, Microsoft und Alphabet

Wem gehören die ganzen Rechenzentren, die Cloud-Infrastrukturen und die Hardware, auf der die generative KI läuft? Wenn man auf Europa und Nordamerika blickt, sind die aktuellen Gegebenheiten bekannt: Amazon, Microsoft und Google-Mutter Alphabet teilen den Cloud-Markt weitgehend unter sich auf.

Microsoft Azure, Amazon Web Services (AWS) und Google Cloud bedienen knapp zwei Drittel aller Cloud-Dienstleistungen. In manchen europäischen Ländern wie beispielsweise Großbritannien sind vor allem AWS und Azure sogar so dominant, dass sie zusammen über siebzig Prozent des Cloud-Markts abgrasen. Und die Erträge können sich sehen lassen: Insgesamt beliefen sich die Einnahmen im gesamten weltweiten Cloud-Markt im letzten Jahr auf etwa 330 Milliarden US-Dollar.

Es sind milliardenschwere Giganten: Jeder der drei genannten Konzerne ist ohnehin schon jahrelang in den Top Ten der weltweiten börsennotierten Unternehmen nach Marktkapitalisierung. Sie werden derzeit mit einem Börsen-Marktwert von jeweils mehr als zwei Billionen US-Dollar bewertet. Das liegt auch daran, dass sie neben dem jedes Jahr wachsenden Cloud-Geschäft ebenfalls die Besitzer vieler Rechenzentren sind. Mehr als zehntausend davon stehen vor allem in Nordamerika und Europa.

Dürfen wir Ihre Informationen durch unsere KI jagen?

Die gehypte generative KI sucht bisher noch ihre Cash Cow und hat zu den Einnahmen dieses Geschäftsfeldes nichts Nennenswertes beigetragen. Vielleicht bringen die neuen Bezahlmodelle bei generierter Programmierung mehr Umsatz. Doch auch wenn der Goldesel bisher noch fehlt, ist generative KI ein starker Antrieb für die Aufrüstung und den Neubau von Großrechenzentren. Denn auch dieses Geschäftsfeld wächst enorm: Seit dem Jahr 2020 hat sich die weltweite Anzahl der großen Rechenzentren auf mehr als 1.000 verdoppelt.

Und mit groß ist hier wirklich gewaltig gemeint: Diese mehr als 1.000 Rechenzentren für Hyperscale Computing bewegen sich in der Dimension von jeweils mehr als 50 Megawatt an elektrischer Leistung und sind jeweils mit zehntausenden von Servern bestückt. Angelehnt an den Begriff Hyperscale Computing werden sie in jüngster Zeit auch Hyperscaler genannt.

Die größten Platzhirsche sind wiederum Amazon, Alphabet und Microsoft, die mehr als die Hälfte der gesamten weltweiten Hyperscale-Rechenzentrumskapazität auf sich vereinen. Amazon hat global leicht die Nase vorn. Aber auch Meta, Apple, ByteDance sowie die chinesischen Giganten JD.com und Alibaba besitzen vom Rest der Kapazität nennenswerte Anteile. Aktuell sind weltweit mehr als 500 weitere Großrechenzentren in der Vorbereitungs- und Bauphase.

Die großen Tech-Unternehmen, darunter Alphabet und Microsoft als größter Anteilseigner von OpenAI, melden zugleich einen beispiellosen Anstieg des eigenen Ressourcenverbrauchs. Dazu wurde auch angekündigt, dass die eigenen Nachhaltigkeitsversprechen nicht erfüllt werden. Die dezidierte Begründung ist der groß angelegte Ausbau für die generative KI.

Manche sagen zu den großen Rechenzentren auch KI-Gigafactory, was sich ein mit Sicherheit technikferner Marketingspezialist erdacht haben dürfte. Hierzulande gibt es nicht allzu viele riesige Rechenzentren, die von europäischen Unternehmen betrieben werden. Allerdings ist auch bei uns ein erhebliches Wachstum der Rechenzentrumskapazitäten geplant. Laut bitkom (pdf) soll es im zwei- bis dreistelligen Megawatt-Bereich liegen. Ob jedes einzelne der geplanten Projekte auch umgesetzt wird, ist aber teilweise unsicher.

Die Hauptschuldigen für die Bremsen im KI-Rechenzentrumsboom sind schon ausgemacht: Es gibt zu viel Bürokratie, um sie hier schnell hochzuziehen. Der neue Kanzler Friedrich Merz hat dagegen schon Abhilfe durch Entbürokratisierung versprochen. Dass sich hinter dem gegenwärtigen Vorstoß zum Bürokratieabbau in diesem Bereich eher eine Lockerung des Umwelt-, Klima- und Arbeitsschutzes verbirgt, ist ein offenes Geheimnis.

Verfolgt man aktuelle Entwicklungen, wird noch eine weitere Dimension offenbar: Es geht auch um Versorgungsengpässe, sowohl bei Strom als auch bei Wasser. So soll beispielsweise das Rechenzentrum FRA7 der US-amerikanischen Firma CyrusOne gemeinsam mit E.ON bis 2029 ausgebaut werden, um zusätzliche 61 Megawatt zu bekommen. Woher die nötige zusätzliche Energie kommt, steht etwas versteckt in der Pressemitteilung: Fossiles Gas soll lokal Energie produzieren.

Das heißt ganz praktisch: Gigantische Gasturbinen sollen im Dauerbetrieb den aberwitzigen Energiehunger stillen. Und was dies bedeutet, können die Einwohnerinnen von Memphis (Tennessee) gerade schmerzlich berichten: Ein riesiges Rechenzentrum, das errichtet wurde, um Chatbots für Elon Musks KI-Wahn zu betreiben, wird mit mindestens 35 Methan-Turbinen betrieben. Nicht einmal die Hälfte davon waren überhaupt behördlich genehmigt worden.

Der KI-Zirkus brummt. Die schlechte Luft der Turbinen wird im Memphis-Fall in einer Gegend ausgestoßen, die bereits eine hohe Asthma-Rate aufweist. Saubere Luft zum Atmen scheint nicht länger ein Grundbedürfnis der Menschen zu sein, sondern offenbar ein zu nutzender Rohstoff eines unkontrolliert wachsenden Wirtschaftszweiges fragwürdigen Nutzens. Denn welches drängende Problem generative KI eigentlich löst, wird sich erst noch zeigen – vielleicht. Das tatsächlich drängende Problem der Klimakrise jedoch wird durch sie in jedem Fall noch verschärft.

Nur Google kann da noch einen draufsetzen: Der Milliardenkonzern kaufte jüngst sagenhafte 200 Megawatt Fusionsenergie, die es bisher noch gar nicht gibt. Dass man den Bär erst erlegen muss, bevor man das Fell verteilt, ist für die Tech-Bros und KI-Gläubigen auch nur noch ein überkommener Spruch.

Nicht so brillant wie von manchen erhofft

Die KI-Wachstumserwartungen

Gerade unter Leuten, die sich mit Informationstechnik auskennen und schon so manchen Hype haben kommen und gehen sehen, wird derzeit bereits milde abgewunken: Nur die Ruhe, der KI-Bohei wird vorübergehen, die Spreu sich vom Weizen trennen. Doch es sind ja keinen bloßen Gedankenspiele, was die KI-Wachstumserwartungen angeht. Denn bevor der sehnlich erhoffte KI-Technologiesprung angepeilt werden kann, müssen die Rechenkapazitäten mitsamt Kühlung, Klimaanlagen und Lüftung ja physisch tatsächlich errichtet werden.

Das führt dazu, dass genau jetzt riesige Rechenzentren in bisher ungekannter Menge geplant und gebaut werden. Ob sich die speziell für generative KI angepasste Computertechnik tatsächlich rentiert, steht auf einem anderen Blatt. Denn auch folgendes Szenario ist nicht unrealistisch: Wenn sich die derzeitige technische Entwicklung nur fortsetzt, könnte den Menschen bewusst werden, dass mehr Rechenleistung die generative KI qualitativ gar nicht nennenswert verbessert.

Denn die KI-begeisterten Milliardäre könnten auch etwas versprochen haben, was nicht eintreten wird. Die Fehlerquoten, Sicherheitsprobleme und Unzuverlässigkeiten könnten auch weiter zu hoch bleiben für einen Einsatz in Bereichen, die weniger fehlertolerant sind als die Generierung bunter Bilder. Deswegen würden Sprachmodelle nicht verschwinden und weiter auch sinnvolle Einsatzzwecke finden, allerdings nicht im versprochenen Masseneinsatz, sondern für spezifische Anwendungen.

Wenn dieses Szenario eintreten sollte, werden viele Investoren auf hohen Schulden für eine Menge gut gekühlter Gebäude voller ungenutzter und veralteter Server-Racks mit wirklich großen Energiesystemen sitzen. Und wir alle sitzen auf einem Berg Elektronikschrott.

Vergessen darf dabei nicht werden, dass auch China massiv investiert. Seit 2022 hat auch die zweite KI-Großmacht neben den Vereinigten Staaten mehr als sechs Milliarden US-Dollar in Rechenzentren investiert. Auch hier ist seither ein steigender Stromverbrauch zu verzeichnen, der bis 2030 um mehr als fünf Prozent wachsen soll.

Größtes Rechenzentrum der Welt von OpenAI

Bisher liegt die Gesamtrechenzentrumsleistung global bei etwa 55 Gigawatt, was ungefähr 480 Terawattstunden jährlich sind. Das ist angesichts von insgesamt globalen 30.000 Terawattstunden noch kein Pappenstiel, aber auch nicht gerade vernachlässigbar, wenn das drastische Wachstum, was vielfach nun angekündigt ist, tatsächlich eintreten wird.

Oracle und OpenAI bauen etwa einen ganzen KI-Rechenzentrumskomplex in Texas, der anfangs ein Gigawatt Energie erzeugt, aber das größte Rechenzentrum der Welt werden soll. Zusätzliche 4,5 Gigawatt kündigte der OpenAI-Chef bereits an. Und das neue ChatGPT-5 wurde gerade mit ordentlich PR auf die Welt losgelassen. Es wird mit reduzierten Fehlerquoten und mehr Zuverlässigkeit beworben, was durch erste Versuche aber vorerst nicht bestätigt werden konnte (siehe Bild).

Derweil frisst die explodierte Chip-Produktion für Graphikprozessoren, die für generative KI notwendig sind, längst enorme Ressourcen und erhöht den CO2-Ausstoß bereits. Der künftige Elektroschrott ist also schon auf die Reise gegangen.

Die Ausmaße des Elektronikabfalls

Big Tech kolportiert gern, dass wahre Innovation dem Entscheidungsmut einiger weniger CEOs entspränge, was auch die absurd hohen Gehälter rechtfertigen soll. Diese Darstellung unterschlägt jedoch, dass auch der Rummel um die energieintensive generative KI ohne eine öffentliche (lies: öffentlich finanzierte) Infrastruktur, die alle benötigten Ressourcen bereitstellt, nicht möglich oder zumindest sehr viel teurer wäre.

Neben den zahlreichen Subventionen, Steuergeschenken und Fördergeldern ist es eben auch die Grundversorgung aller, die wie selbstverständlich angezapft wird. Dazu zählt der bereits erwähnte exorbitante Wasser- und Energieverbrauch generativer KI. Allein bei Google stieg der Verbrauch von 12,7 Milliarden Liter Wasser im Jahr 2021 in nur drei Jahren nach eigenen Angaben auf 30 Milliarden Liter Wasser.

In letzter Zeit häufiger geforderte und zum Teil auch umgesetzte moderne Methoden zur Reduzierung des Wasserverbrauchs haben leider einen Haken: Setzt der Betreiber auf eine Kühlung von Rechenzentren ohne Wasserverbrauch, dann macht er den Betrieb deutlich energieintensiver. Und zum verbrauchten Strom in irrsinniger Menge muss auch die schon erwähnte Atemluft bedacht werden, zudem der Abfall in Hülle und Fülle.

Denn am anderen Ende der Verwertungskette sieht die Sache nicht besser aus, im Gegenteil. Die Ausmaße, die Elektronikabfall von generativer KI annehmen wird, sprengt das Vorstellungsvermögen beinahe: Einer 2024 in Nature Computational Science veröffentlichten Studie zufolge wird der Elektroschrott bis 2030 je nach Prognose-Szenario insgesamt etwa zwischen 1,2 Millionen Tonnen (konservative Schätzung mit restriktiverem KI-Einsatz) und 5 Millionen Tonnen (weit verbreiteter KI-Einsatz) wiegen. Im Vergleich zu den Zahlen aus dem Jahr 2023 ist das etwa tausend Mal mehr Elektroschrott, der allein durch generative KI produziert werden wird.

Um sich diese Masse plastisch vorzustellen, helfen vielleicht anschauliche Vergleiche: Die jährliche Gesamtmasse von 5 Millionen Tonnen Elektroschrott ist etwa wie das Wegwerfen von mehr als zwanzig Milliarden iPhones aktuelleren Datums (um die 180 g pro Stück). Jeder Mensch auf der Erde könnte pro Jahr zwei iPhones auf einen riesigen Elektroschrottberg werfen und der gigantische Abfallhaufen wäre immer noch kleiner als die Elektroschrotthalde der generativen KI.

Wegen der Tatsache, dass die riesigen Rechenzentren wesentlich in drei Gegenden der Erde konzentriert sind, werden diese Elektroschrottberge überwiegend in Nordamerika anfallen, gefolgt von Ostasien und zu einem kleineren Teil (etwa 14 Prozent) in Europa. Verklappt werden sie aber so gut wie immer woanders auf der Welt.

Zumindest die Perspektive auf das KI-Spektakel sollte sich ändern, wenn man sich die Elektroschrotthalden vor Augen führt, in die ganz aktuelle Planungen noch nicht einmal einberechnet sind. Dass der astronomisch hohe Ressourcenverbrauch und generell die ökologischen Fragen nicht mindestens mitbedacht und konkret kalkuliert werden, ist einer modernen Technologie nicht angemessen, die sich anschickt, die Welt verbessern zu wollen. In Zeiten der Klimakrise ist das schlicht unvertretbar.

Eine E-Mail über Outlook verschicken, eine Tabelle mit Excel erstellen oder die nächste Präsentation mit PowerPoint – die Anwendungen von Microsoft 365 nutzen viele Mitarbeiter*innen in Behörden selbstverständlich und vertrauen dem US-amerikanischen Tech-Konzern damit Daten über interne Vorgänge der EU an, etwa Inhalte aus E-Mails oder Präsentationen. Doch wie schützt Microsoft diese Behördendaten? Und vor allem: Wer kontrolliert, wie Microsoft mit den Daten umgeht?

Gute Kundin für Microsoft 365 ist die öffentliche Verwaltung auf EU-Ebene, etwa die Europäische Kommission. Die Behörde beschäftigt 32.860 Mitarbeiter*innen, also eine ganze Menge Nutzer*innen von Microsofts Büro-Software. Das bedeutet eine Menge Daten – und Verantwortung, diese Daten zu schützen. In einem mehrjährigen Verfahren musste die Kommission belegen, dass das gelingt.

Nun hat der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski das dazugehörige Verfahren abgeschlossen. Mitte Juli bescheinigte er der Kommission die „Datenschutzkonformität bei der Nutzung von Microsoft 365“. In einem Brief an die Generaldirektorin Veronica Gaffey stellte er fest:

Die Kommission hat nun die Kontrolle darüber, was bei der Nutzung der Microsoft 365-Dienste geschieht. Dies ist das Ergebnis zusätzlicher vertraglicher, technischer und organisatorischer Maßnahmen, die in Zusammenarbeit mit Microsoft umgesetzt wurden oder geplant sind.

Ein Grund zur Entwarnung ist das aber nicht. Ein Blick auf die Gesamtsituation zeigt: Nach wie vor gibt es Grund für ernste Bedenken beim Schutz sensibler Behördendaten. Sie fallen bloß nicht mehr in die Zuständigkeit von Datenschutz-Wächter Wojciech Wiewiórowski.

Deshalb zeigt sich Wiewiórowski nun zufrieden

Noch im März 2024 hatte Wiewiórowski die Kommission dazu aufgefordert (PDF), beim Datenschutz massiv nachzubessern. Sein Befund: Die Lizenzvereinbarung mit Microsoft sei lückenhaft, und das präge die Art und Weise, wie die Kommission die Büroanwendungen nutzt. Die Behörde habe versäumt, vertraglich festzulegen, dass Microsoft bestimmte Daten nur zu bestimmten Zwecken verarbeiten dürfe. Zudem seien die Daten nicht ausreichend geschützt, wenn die Kommission sie in Drittländer außerhalb der EU überträgt.

Im Fokus der Aufforderung standen nur ein paar der Bestimmungen eines Gesetzes für die Verwaltung der EU von 2018, wie der EDSB auf Anfrage von netzpolitik.org erklärt. Das Gesetz hat einen langen Namen: „Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr“. Die Datenschutz-Grundverordnung (DSGVO) wiederum sei nicht Teil der Prüfung durch den EDSB. Denn die falle „in die ausschließliche Zuständigkeit der nationalen Datenschutzbehörden“.

Laut Wiewiórowski habe die Kommission inzwischen die Mängel behoben, die er und sein Team bei ihrer Prüfung gefunden haben. Was sich zunächst wie eine gute Nachricht für behördlichen Datenschutz anhört, erweist sich bei näherem Hinsehen allerdings als wenig aussagekräftig. Denn mehrere Gesetze zum transatlantischen Datentransfer stutzen den Einfluss des EDSB auf ein Minimum.

Der kurze Erfolg von „Schrems II“

Als der EDSB im Jahr 2021 seine Untersuchung zur Microsoft-365-Nutzung der Kommission aufgenommen hatte, stand insbesondere in der Kritik, dass die Kommission das „Schrems II“-Urteil nicht berücksichtige (PDF). Diese Einschätzung wiederholte er im Mai 2024. Nun hat der EDSB das Verfahren beigelegt und äußert sich nicht mehr zu „Schrems II“.

Bei „Schrems II“ handelt es sich um ein Urteil des Europäischen Gerichtshofs aus dem Jahr 2020. Damals kippte der Gerichtshof den Privacy Shield, ein Datenschutzabkommen zwischen EU und USA. Anlass war eine Beschwerde des Juristen und Datenschutzaktivisten Max Schrems bei der irischen Datenschutzbehörde: Facebook Irland leite demnach seine Daten an den Mutterkonzern in den USA weiter. Und Schrems hatte Erfolg.

„Schrems II“ besagt: Überträgt eine Behörde personenbezogene Daten ins Ausland, dann muss das Zielland ein bestimmtes Datenschutzniveau aufweisen. Das Unternehmen Microsoft hat seinen Sitz in den Vereinigten Staaten. Die erreichen laut EuGH-Urteil das geforderte Schutzniveau nicht. Denn US-Behörden hätten zu viele Zugriffsmöglichkeiten, was mit den hohen Anforderungen an den Datenschutz in der EU nicht vereinbar sei.

So wurde „Schrems II“ ausgehebelt

Dass der EDSB „Schrems II“ inzwischen nicht mehr erwähnt, mag damit zusammenhängen, dass seit Mitte 2023 der sogenannte Datenschutzrahmen EU-USA gilt (EU-US Data Privacy Framework, kurz DPF). Er hat den Privacy Shield abgelöst. Die EU-Kommission hat hierbei eine Angemessenheitsentscheidung zugunsten der USA getroffen. Demnach sollen die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten können, die aus der EU an US-Unternehmen übertragen werden.

Unterm Strich dürfen US-amerikanische Unternehmen also personenbezogene Daten von EU-Bürger*innen in den USA speichern und verarbeiten, ohne zusätzliche Datenschutzgarantien einrichten zu müssen. Kritiker*innen mahnen, dass „kaum rechtlicher Schutz vor dem anlasslosen wie massenhaften Zugriff der amerikanischen Behörden“ besteht. Schrems bezeichnete dieses neue Abkommen als „Zaubertrick“.

Und der EDSB? Der sei für die Angemessenheitsentscheidung mit den USA beim Thema Microsoft 365 in der Kommissions-Verwaltung schlicht nicht zuständig, wie die Behörde gegenüber netzpolitik.org erklärt. Er verwies lediglich darauf, die Kommission habe detaillierte Vorschriften formuliert, wie entsprechend zertifizierte Unternehmen personenbezogene Daten an US-Behörden zwecks Strafverfolgung und nationaler Sicherheit übermitteln dürfen.

Doch selbst, wenn der DPF erneut vom EuGH gekippt werden würde, kann sich die Kommission dem EDSB zufolge schon jetzt „zurecht“ auf eine Ausnahmeregelung des Gesetzes von 2018 berufen: Sollen Daten an Microsoft in einem Drittland erfolgen, das nicht als angemessen gilt, lässt sich das durch die Kommission mit „wichtigen Gründen des öffentlichen Interesses“ rechtfertigen.

Noch mehr Wege, wie Daten in die USA fließen

Daten der europäischen Verwaltung können zudem per US-amerikanischem Cloud Act (Clarifying Lawful Overseas Use of Data Act) in die USA gelangen. Demnach sind Anbieter, die ihren Unternehmenssitz in den USA haben, dazu verpflichtet, Daten und Informationen zu Nutzer*innen gegenüber US-Behörden offenzulegen, wenn die es verlangen. Das ist unabhängig davon, wo die Daten liegen, etwa auf europäischen Rechenzentren. Zu diesem Schluss kam beispielsweise der Wissenschaftliche Dienst des Deutschen Bundestages in einem Bericht aus dem Jahr 2024.

Auch die Aussage des Chefjustiziars von Microsoft Frankreich, Anton Carniaux, deutet darauf hin. Mitte Juli wurde er im französischen Senat befragt: Können die USA auch Daten einsehen, ohne dass die französischen Behörden zuvor ausdrücklich zugestimmt hätten? Laut Carniaux könne Microsoft nicht garantieren, dass US-Behörden keinen Zugriff auf Nutzer*innendaten erhalten.

Datenschutzbeauftragter mahnt zur Vorsicht

Wie soll die EU also den Zugriff auf Daten regulieren, wenn der Cloud Act US-Behörden derart weitreichende Befugnisse gewährt? Auch auf wiederholte Nachfrage verweist der EDSB dazu lediglich auf zusätzliche Vertragsbestimmungen, die die Kommission mit Microsoft ausgehandelt habe. Demnach hätten alleine die EU oder ihre Mitgliedstaaten das Recht, Microsoft zur Offenlegung von Daten aus Behörden zu verpflichten.

„Uns wurden auch im direkten Austausch mit Microsoft keine technischen Änderungen bekannt, die den Zugriff durch US-Behörden verhindern würden“, schreibt die Datenschutzorganisation noyb auf Anfrage von netzpolitik.org. Sie bezeichnet die Vereinbarungen der Kommission mit Microsoft als Paper-Compliance. Es sei nicht ersichtlich, dass der EDSB ein technisches Audit erstellt habe. Stattdessen vertraue er auf die Vertragsänderungen der EU-Kommission. „Vermutlich kann die NSA weiterhin live in den Dokumenten der EU-Kommission mitlesen“, schätzt noyb.

Denn noch ein weiteres US-Gesetz öffnet dem Datenfluss von der EU in die USA Tür und Tor: der Foreign Intelligence Surveillance Act (FISA), insbesondere dessen berühmt-berüchtigte Section 702. Demnach dürfen US-Behörden wie die National Security Agency (NSA) etwa im Namen der Terrorismus-Bekämpfung großflächig Daten von Online-Diensten abfragen – eine Lizenz zur großflächigen Überwachung des Internets. Im vergangenen Jahr hatte der US-Kongress diese brisante Regelung um zwei weitere Jahre verlängert.

Auch der EDPB hat das auf dem Schirm: Er empfiehlt der Kommission, diese Entwicklungen zu verfolgen.