Microsoft: Techniker aus China betreuten Cloud des US-Verteidigungsministeriums

Seit rund einem Jahrzehnt stellt Microsoft die Azure-basierte Cloud-Infrastruktur des US-Verteidigungsministeriums (Department of Defense, DoD) bereit. Eine Recherche der US-Organisation ProPublica enthüllte nun, dass der Konzern dabei wohl grob fahrlässig mit hochsensiblen Regierungsdaten umging: Die Betreuung der Infrastruktur überließ er auch Technikern aus Nicht-US-Ländern – unter anderem aus China. Kontrolliert wurde deren Arbeit offenbar nur oberflächlich aus der Ferne – von sogenannten „Digital Escorts“, US-Bürgern mit entsprechender Sicherheitsfreigabe.

Akute Gefahr gebannt…

Ob dabei Daten ausspioniert wurden oder Schäden etwa durch eingeschleusten Schadcode entstanden, ist bisher nicht bekannt. Unklar bleibt auch die Dimension der Vorgänge, also etwa die Anzahl der involvierten chinesischen IT-Fachkräfte.

ProPublicas Rechercheergebnisse wurden am vergangenen Freitag zunächst von einem Microsoft-Sprecher indirekt bestätigt: Auf X versicherte Frank X. Shaw, dass der Konzern die Beteiligung chinesischer Entwickler an der Betreuung der DoD-Regierungscloud und „verwandter Services“ gestoppt habe. Als Grund für den Stopp nannte er „Bedenken“, die bezüglich der Beteiligung ausländischer ITler aufgekommen seien.

Eine weitere Bestätigung in deutlich drastischeren Worten folgte kurz darauf von US-Verteidigungsminister Pete Hegseth auf X. Er sprach von „billiger chinesischer Arbeit“ („cheap chinese labour“), deren Inanspruchnahme „offensichtlich inakzeptabel“ sei und die eine potenzielle Schwachstelle in den DoD-Computersystemen darstelle. Ab sofort sei China nicht mehr am Betrieb der DoD-Cloud beteiligt, zudem sei eine Untersuchung eingeleitet worden.

Ganz nebenbei machte Hegseth in seiner kurzen Ansprache die Obama-Regierung mitverantwortlich, da diese den ursprünglichen Cloud-Deal ausgehandelt habe. Microsoft wiederum nannte er nicht namentlich; stattdessen sprach er allgemeiner von „einigen Tech-Firmen“. Laut ProPublica ist indes nicht bekannt, ob auch andere für die US-Regierung tätige Cloud-Provider wie Amazon Web Services oder Google Cloud ebenfalls auf Digital Escorts setzen. Auf Anfrage hätten diese sich nicht äußern wollen.

… Grundproblem verkannt

Daraus ergibt sich die Frage, wie es überhaupt zu solch groben Security-Schnitzern kommen kann. Denn eigentlich macht das Federal Risk and Authorization Management Program (kurz FedRAMP) konkrete Vorgaben. Unter anderem besagt es, dass eingesetzte Server nicht nur von qualifiziertem Personal administriert und gewartet werden müssen. Dieses muss auch über eine Sicherheitsfreigabe verfügen, um sicherzustellen, dass verarbeitete, potenziell sensible Daten nicht in falsche Hände geraten. Diese Clearance ist auf US-Bürger begrenzt.

Um die lukrativen Staatsprojekte trotz mangelndem FedRAMP-kompatiblem Personal zu bekommen, hat Microsoft diese Vorgaben offenbar kreativ uminterpretiert: Ausländische IT-Worker übernahmen die eigentliche Arbeit, während „DoD Secret Cleared Escorts“ aus der Ferne die Freigabe übernahmen. Der Workflow laut ProPublica: Der verantwortliche Techniker erklärt grob, welche Arbeiten ausgeführt werden müssen – etwa ein Firewall-Update oder ein Bugfix. Und der Escort als ausführende Instanz übernimmt die vorgegebenen Befehle per Copy & Paste. Er soll diese dabei zwar auch kontrollieren – aber das dürfte in vielen Fällen seine technische Fähigkeiten weit übersteigen, erklärt ProPublica.

Dass Escorts technisch nicht sehr versiert sein müssen, zeigt beispielhaft eine Jobanzeige für einen „DoD Secret Cleared Escort“: „Nachgewiesene Kenntnisse in der Verwaltung von Windows-Servern, Domänenservern, unterstützenden Desktops, Desktop-Anwendungen und Active Directory“ sind dort lediglich als verzichtbare „Nice to Have „-Fähigkeiten aufgeführt. Die verantwortlichen ausländischen Techniker seien ihren Digital Escorts in Sachen fachlicher Expertise oft haushoch überlegen; in der Praxis seien das etwa ausgemusterte Militärs mit Security-Freigabe aber ohne besondere technische Expertise zu Minimallöhnen. „Wir vertrauen darauf, dass das, was sie tun, nicht bösartig ist, aber wir können es nicht mit Sicherheit sagen“, zitiert die Plattform einen von ihr befragten Escort.

Knackpunkt China

Bislang ist nicht klar, wie viele solcher Tandems aus Escort und ausländischen Technikern Microsoft beschäftigt und aus welchen Ländern diese stammen. Auch ist unklar, wie hoch der Anteil der chinesischen IT-Arbeiter daran ist; nicht einmal eine Größenordnung ist bekannt. Nur an denen hat sich die Diskussion jedoch jetzt entzündet und nur die Chinesen wollen Hegseth und Shaw offenbar ausmustern. In einem offenen Brief an das US-Verteidigungsministerium hat US-Senator Tom Cotton jetzt konkretere Informationen zum konkreten Umfang dieses Problems angefordert. Ob diese geliefert und dann auch öffentlich werden, steht auf einem anderen Blatt.

(ovw)