In Teil 1 dieser Artikelreihe hatte die die Antworten Microsofts auf meine konkreten Fragen zum Hack der Microsoft Azure Cloud-Infrastruktur durch die mutmaßlich chinesische Gruppe Storm-0558 wiedergegeben. Ich hatte aber auch einige Fragen an die Presseabteilung des Bundesdatenschutzbeauftragten (BfDI), Ulrich Kelber, gerichtet. Von vom BfDI habe ich inzwischen eine substantielle Antwort erhalten, die ich nachfolgende aufbereite.
Anzeige
Beim BfDI nachgefragt
Ich hatte dann im Blog-Beitrag Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche erwähnt, dass Firmen verantwortlich sind, falls Datenschutzvorfälle in der gebuchten Cloud passieren. Und die Firmen haben auch eine Prüfpflicht, wenn Vorfälle bekannt werden – was ja durch die Berichtserstattung zutrifft. Ich hatte daher die Pressestelle des Bundesdatenschutzbeauftragten (BfDI), Ulrich Kelber, angefragt und um Auskunft zu verschiedenen Punkten gegeben (siehe auch Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen). Hier der allgemein Teil der Anfrage:
Aus den Medien ist ja bekannt, dass im Juni 2023 ein Angriff der mutmaßlich chinesischen Cybergruppe Storm-0558 auf die Microsoft Azure AD (IntraID) Infrastruktur stattgefunden hat [1] und (mindestens) auch E-Mail-Konten von Kunden betroffen waren.
Einem Bericht des Sicherheitsanbieters Wiz [2] nach ließen sich mit dem durch die Gruppe Storm-0558 erbeuteten AAD-Schlüssel AAD-Sicherheitstokens generieren, mit denen auf alle Azure Kundenanwendungen zugegriffen werden konnte.
Da Microsoft ja auch Daten europäischer und deutscher Kunden speichert, gehe ich davon aus, dass erstens potentiell auch persönliche Daten dieser Kunden vom Cybersicherheitsvorfall betroffen sein können und zweitens, dass Microsoft Deutschland die zuständige Datenschutzaufsicht vorsorglich informiert hat.
An diese allgemeinen Hinweise schlossen sich dann konkrete Fragen an, die nachfolgend aufgeführt sind. Ich habe am 24. August 2023 eine Rückantwort von Christof Stein, Pressesprecher des BfDI bekommen:
Sehr geehrter Herr Born,
vielen Dank für Ihre Anfrage an den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Gerne lasse ich Ihnen folgende Antworten auf Ihre Fragen zukommen.
Vom BfDI wurde ausführlich geantwortet und ich habe die Freigabe, diese Antworten hier im Blog zu zitieren.
Antworten des BFDI
Nachfolgende sind meine Fragen und die Antworten des BfDI zu finden. Die nachfolgende Frage 1 bezieht sich auf den Sachverhalt, dass Microsoft ja auch Daten europäischer und deutscher Kunden speichert, und ich gehe davon aus, dass erstens potentiell auch persönliche Daten dieser Kunden vom Cybersicherheitsvorfall betroffen sein können und zweitens, dass Microsoft Deutschland die zuständige Datenschutzaufsicht vorsorglich informiert hat.
Anzeige
Frage 1: Wird diese Informationspflicht Microsofts vom BfDI auch so gesehen?
Antwort: Aus unserer Sicht muss Microsoft, als Auftragsverarbeiter, in erster Linie seine Kunden – Verantwortliche – informieren. Tritt bei einem Auftragsverarbeiter im Sinne von Art. 28 DSGVO eine Sicherheitslücke auf, so ist gemäß Artikel 33 Absatz 2 DSGVO der Verantwortliche darüber zu informieren.
Für Verarbeitungen die nicht im Auftrag passieren, sondern in eigener Verantwortung, muss der Vorfall gegebenenfalls der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. In diesem Fall ist das aufgrund des Sitzes von Microsoft Deutschland das Bayerische Landesamt für Datenschutzaufsicht.
Frage 2: Ist Microsoft Deutschland diesbezüglich seiner Informationspflicht nachgekommen und hat den Vorfall gemeldet?
Antwort: Wenden Sie sich diesbezüglich bitte an das Bayerische Landesamt für Datenschutz.
Frage 3: Wird diese Prüfpflicht von Tenant-Kunden vom BfDI aus so gesehen?
Antwort: Ein entsprechende Prüfpflicht ergibt sich Artikel 24 DSGVO. Demnach muss der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. In Verbindung mit Erwägungsgrund 74 wonach Verantwortliche geeignete und wirksame Maßnahmen treffen müssen und nachweisen können, dass die Verarbeitungstätigkeiten im Einklang mit der DSGVO stehen und die Maßnahmen auch wirksam sind, ergibt sich, das bei Bekanntwerden einer, mit einer potentiellen Betroffenheit verbunden Schwachstellen eine entsprechende Prüfung auf eine tatsächlich Betroffenheit durchgeführt werden muss.
Inwieweit in manchen Fällen sogar ein hohes Risiko für betroffene Personen besteht und eine Benachrichtigung derer nach Art. 34 DSGVO notwendig ist, ist letztendlich abhängig vom Einzelfall. Hier ist eine Individualprüfung erforderlich.
Frage 4: Liegen dem BfDI Meldungen deutscher Kunden über eine Kompromittierung aus obigem Fall vor?
Antwort: Uns liegen aktuelle keine Meldungen vor. Der BfDI würde allerdings auch lediglich im Rahmen seiner Zuständigkeit gemäß §9 BDSG Meldungen erhalten.
Frage 5: Besitzt das BfDI Kenntnis, ob eine entsprechende Meldung bei einer der Landesdatenschutzaufsichten der Bundesrepublik Deutschland erfolgt ist, und/oder ob es Meldungen an andere europäische Datenschutzaufsichtsbehörden gegeben hat?
Antwort: Hierzu liegen uns keine Erkenntnisse vor.
In weiten Teilen entsprechen die Antworten des BfDI meinen Erwartungen, und gemäß obigen Erklärungen ist es logisch, dass dem BfDI keine Meldungen über spezifische Vorfälle vorliegen. Ich wollte dann noch eine Einschätzung des Datenschutzbeauftragten in Deutschland zum Vorfall haben.
Frage 6: Wie wertet der Bundesbeauftragte für Datenschutz und Informationsfreiheit den oben genannten Cybersicherheitsvorfall in der Microsoft Cloud?
Antwort: Unserer Kenntnis nach sind lediglich Online-Services von Microsoft betroffen. On-Premise Lösungen sind offenbar nicht von der Schwachstelle betroffen, sofern diese nicht über andere Weg mit betroffen Online-Services von Microsoft verknüpft sind.
Im Zusammenhang mit den Cloud-Angeboten von Microsoft möchten wir darauf hinweisen, das die Datenschutzkonferenz feststellt hat, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten "Datenschutznachtrags vom 15. September 2022" nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden. Sehen Sie hierzu auch den die Zusammenfassung des Abschlussbericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste" (PDF) und die zugehörige Festlegung der DSK (PDF).
Hier macht der BfDI deutlich, welche Datenschutzrisiken bei Microsoft 365 lauern und dieses, auf Grund von Microsofts bereitgestellten Informationen, nicht datenschutzrechtskonform zu betreiben ist, weil der Nachweis nicht geführt werden kann. Der Punkt zeigt, welche Falle da schlummert. Solange nichts passiert ist, ließe sich von den Datenschutzverantwortlichen der Unternehmen argumentieren, dass ja noch kein gerichtliches Verbot ausgesprochen wurde. Kommt es aber zu einem Datenschutzvorfall mit der Cloud, lassen sich den Unternehmen womöglich grob fahrlässiges Verhalten nachweisen. Denn die Verantwortlichen können den Nachweis eines Microsoft 365 datenschutzrechtskonformen Einsatzes nicht führen.
Frage 7: Gibt es zwischen dem BfDI und den Datenschutzbeauftragten andere EU-Staaten Gespräche in Bezug auf den oben genannten Cybersicherheitsvorfall und wie wird das alles in Bezug auf die DSGVO-Sicherheit beim Cloud-Einsatz gesehen?
Antwort: Zu dem konkreten Sicherheitsvorfall gibt es aktuell keine Gespräche. Natürlich gibt es einen regelmäßigen Austausch zu allgemeinen Themen.
In der Rückschau finde ich vor allem die Antwort auf Frage 6 von Interesse, da hier plötzlich Fragestellungen in Richtung Fahrlässigkeit oder Vorsatz auftreten können, die im Falle einer Datenschutzverletzung erschwerend zum Tragen kommen dürften.
In diesem Zusammenhang ist mir gerade eine neue Prognose von Gartner auf den Tisch gekommen, dass sich die Bußgelder aufgrund von Fehlmanagement der Betroffenenrechte bis 2026 auf über eine Milliarde belaufen. Dies entspricht einer Verzehnfachung gegenüber 2022. Gartner definiert Anfragen zu Betroffenenrechte (Subject Rights Requests, kurz SRRs) als eine Reihe von gesetzlichen Rechten, die es Einzelpersonen ermöglichen, Forderungen zu stellen und in einigen Fällen Änderungen vorzunehmen, um Klarheit über die Verwendung ihrer Daten zu erhalten.
"Für Verantwortliche im Sicherheits- und Risikomanagement (SRM) in B2C-Organisationen ist die Automatisierung der Verwaltung von Betroffenenrechten oder Verbraucherdatenschutzrechten zu einer grundlegenden Anforderung und Voraussetzung für den Vertrauensaufbau geworden", sagt Nader Henein, VP Analyst bei Gartner. "Die Verwaltung von Betroffenenrechten kann das Vertrauen der Kunden erhöhen, indem sie eine positive Datenschutz-Nutzererfahrung (UX) bietet." Das aktuelle Zahlenmaterial von Gartner findet sich hier.
Ähnliche Artikel:
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
Nach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0558: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Nachgehakt: Storm-0558 Cloud-Hack und Microsofts Schweigen
Sicherheitsrisiko Microsoft? Feuer von der US-Politik nach Microsofts Azure Cloud-GAU und Forderung zum Microsoft Exit – Teil 1
Sicherheitsrisiko Microsoft? Azure-Schwachstelle seit März 2023 ungepatcht, schwere Kritik von Tenable – Teil 2
Antworten von Microsoft zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 1
Antwort vom BfDI, Ulrich Kelber, zum Hack der Microsoft Azure-Cloud durch Storm-0558 – Teil 2
Anzeige
Volle Punktzahl für Punkt 6
Eigentlich ist alles gesagt was zu sagen ist.
Und nachher hören wir dann alle wieder „konnte keiner wissen und kommen sehen"
Gruß
Dann muss jetzt Microsoft verklagt werden, dass sie die eigenen DSGVO-Aussagen offenbar nicht einhalten. (Und dann gleich bei Google, Amazon usw. weiter machen.) Entweder wird dann MS zu einer riesen Strafe verdonnert, oder sie legen die geforderten Infos offen. Ich glaube eher, dass die Hölle zufriert, als dass ein MS-Kunde sich darauf einlässt, es wird statt dessen eine Risikomeldung mit Eintrittswahrscheinlichkeit, Schadenssumme usw. in den Tresor gelegt und das wars.
Naja, bis zu 2% des Jahreskonzernumsatzes und da steht nirgends was von einer "Einmalzahlung", sprich, wenn die Unternehmen die datenschutzverstoßenden Umstände nicht abstellen, können die Datenschutzbehörden immer wieder Bußgelder verhängen.
Und? 1&1 wurde auch schon zu ner Millionenstrafe verdonnert, sind vor Gericht und zahlten nur noch peanuts und das ist ne deutsche Firma wo die Durchsetzung eigentlich problemlos sein sollte, anders als bei internationalen Unternehmen.
Die wenigsten verhängten Strafen werden da tatsächlich bezahlt.
Du missverstehst, das 2% Umsatzbußgeld dürfen die Unternehmen zahlen, die MS365 einsetzen, nicht Microsoft. Denn die Unternehmen sind letztendlich die Verantwortlichen.
Ja, aber das Beispiel 1:1 zeigt doch deutlich, dass selbst in DE die Strafen seltenst in der Höhe des ersten Urteils gezahlt werden. Oder gab es schon mal irgendwelche nennenswerten Strafen für den Einsatz von MS Cloud Produkten in DE?
Vielleicht ist das auch der Grund, weshalb das Thema nicht so hoch kocht. Bei dem hohen Verbreitungsgrad von MS-Produkten in deutschen Unternehmen wäre wahrscheinlich fast die gesamte deutsche Wirtschaft am A…
Hallo Herr Born,
vielen Dank für die Arbeit.
Können Sie bitte auch noch eine Anfrage an das Bayerische Landesamt für Datenschutz stellen?
Was Du hier gerade mit Teil 1 und vor allem diesem Teil 2 machst, finde ich richtig hilfreich für meine Arbeit.
Ist eigentlich alles bekannt. Aber mit Frage 6, der Antwort dazu und Deiner Fahrlässigkeitsbetrachtung bringst du noch mal was auf den Punkt, was die entscheidenden Leute wohl besser verstehen.
Und an dieser Stelle dann was von Gartner bei der Hand zu haben, das das Thema von der anderen Seite anpiekst, gibt der Argumentation eine zweite, überraschende Stoßrichtung.
Danke.
Und ein schönes Wochenende.
Jo, aber die Antwort auf Frage 6) ist doch keine neue Erkenntnis. Die Aussage, dass MS Cloud Produkte nicht Datenschutzkonform eingesetzt werden können, ist allgemein bekannt und ein alter Hut.
Danke für die Arbeit.
Können Sie bitte auch noch eine Anfrage an das Bayerische Landesamt für Datenschutz stellen?
Da schließe ich mich an:
– Danke für die Arbeit die in dem Thema steckt
– Falls möglich, bitte bei den Bayern nachfragen
Ist doch alles Wurscht, Hauptsache es ist online und gerade hipp – Datenschutz etc. interessiert keine Sau. Wohl auch keine CEO-Sau, daß die Chinesen etc. deren Produkte Dank Zugriff auf die Daten dann bald -made in china/usa- produzieren und die Angestellten dann bald zum Arbeitsamt gehen können. Der CEO hat die Asche im Sack, mögen die unter ihm halt zum Gates gehen.
Wichtige Frage: kann ein Arbeitnehmer die Arbeit mit MS Clouddiensten verweigern, da die DSGVO offensichtlich nicht eingehalten wird?
Das würde mich auch interessieren.
Wie stehen Personal- und Betriebsräte und Gewerkschaften zu dem Thema.
Hier treffen viele Dinge auffeinander. Pauschal lautet die Antwort daher wohl "nein".
– Der Terminus "Arbeitsverweigerung" & Arbeitsrecht
– Die Compliance des Unternehmens
– Div. Gesetze, Normen und Standards
– Die Art der Nutzung der Cloud
– Die Art der verarbeiteten Daten, damit zB das resultierende Datenschutznivau oder Notwendigkeiten
Ein möglicher Weg wäre zB, den DSB des jeweiligen Unternehmens anzusprechen und sauber zu eskalieren.
Ebenso die Betrachtung von regulatorischen Anforderungen resultierend aus eigenen Unternehmens- oder Kundenanforderungen.
Weitere Gedanken: Den Arbeitgeber auf Wege zum "Freimelden" bei Compliance- oder Rechtsbruch zu drängen, (sicher oft) vernachlässigte Unterweisungen (übrigens gesetzl verankert) zum Thema Datenschutz – oder auch der Betriebsrat (seufz – leider nutzt selbst der BR bei Conti in Hannover Clouddienste bis zu Messengern made in USA – also wenig Sensibilität).
Ziel könnte sein: Eine klare Sachlage, das Arbeitsanweisungen oder -Mittel Gesetzen oder eigenen Unternehmensvorgaben entgegenstehen.
Ein weiteres Vorgehen durchaus praktikabel: Bei sensiblen Daten in Einzelfällen auf konträre Vorgaben (Verträge v. Kunden, Eigene Vorgaben, etc)
einzeln hinzuweisen und bei Vorgesetzen explizit Freigabe zu fordern, Email ausdrucken.
Bitte unbedingt am Ball bleiben!
Macht in Deutschland ja leider sonst kaum ein Journalist.