[English]Das ging irgendwie schnell, nachdem Microsoft quasi "mit dem Finger im Honigtopf" erwischt wurde. Eine Woche nach der Meldung von ProPublica sagt Microsoft dass man keinen Ingenieure mehr in China einsetzt, um die Cloud-Systeme des US-Verteidigungsministeriums (DoD) zu warten.
Anzeige
Rückblick: Die Bombe von ProPublica
Die Seite ProPublica hatte zum 15. Juli 2025 im Beitrag A Little-Known Microsoft Program Could Expose the Defense Department to Chinese Hackers von einer befremdlichen Praxis bei Microsoft berichtet. Das Unternehmen setze Ingenieure in China für die Wartung der Microsoft Cloud beim US-Verteidigungsministerium ein.
Dem Verteidigungsministerium ist das zwar irgendwie bekannt. Es gibt eine Vereinbarung mit dem US-Verteidigungsministerium, die vor fast einem Jahrzehnt, als Microsoft den Zuschlag für das Cloud-Computing-Geschäft der US-Regierung erhielt, getroffen wurde. Diese sieht vor, dass US-Bürger mit Sicherheitsfreigaben die Arbeit der chinesischen Software-Ingenieure als "digitaler Escorts" überwachen. Die digitalen Escorts sollten als Barriere gegen Spionage und Sabotage dienen.
Wie kann man sich das vorstellen? Ein Ingenieur beschreibt das Szenario so: Die Aufgaben reichen zum Beispiel von der Aktualisierung einer Firewall, über die Installation eines Updates bis hin zur Behebung eines Fehlers oder die Überprüfung von Protokollen zur Behebung eines Problems. Der Sub-Contractor aus China gibt vor, was konkret zu tun ist. Der digitale Escort, der die entsprechenden Sicherheitsfreigaben für die DoD-Microsoft-Cloud hat, führt die Anweisungen des chinesischen Software-Ingenieurs in der föderalen Cloud aus.
Das Ganze passiert quasi per Copy & Paste, ohne diese Arbeit zu überprüfen. Denn den digitalen Escort fehlt oft die technische Expertise, um zu beurteilen, was sie gerade machen. Ich hatte diese Geschäftskonstruktion im Artikel Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten beleuchtet. Das Ganze wurde mutmaßlich eingeführt, damit Microsoft schneller am Markt war und sich große Aufträge der US-Behörden sichern konnte.
Anzeige
Microsoft stoppt dieses Praxis
Der Artikel von ProPublica hat in den USA wohl Wellen geschlagen, da es politisch große Kontroversen mit China gibt und staatsnahe chinesische Hackergruppen beschuldigt werden, in US-IT-Systeme eingedrungen zu sein.
In einer ersten Erklärung als Reaktion auf den ProPublica-Artikel erklärte Microsoft, dass seine Mitarbeiter und Auftragnehmer "in einer Weise arbeiten, die mit den Anforderungen und Prozessen der US-Regierung übereinstimmt". Es gebe einen als "Lockbox" bezeichneten internen Überprüfungsprozess, um sicherzustellen, dass die Anweisungen der Kontraktoren als sicher angesehen wird oder vor Umsetzung bereits Hinweise liefert, dass der Vorgang Anlass zur Sorge gibt.
Nur ist es gemäß obigen Ausführungen so, dass die digitalen Escorts mit Sicherheitsfrage für das US-Verteidigungsministerium (DoD) in der Regel nicht beurteilen können, was die Anweisungen bewirken. Es handelt sich bei den Kontrolleuren um Ex-Militärangehörige, die laut ProPublica oft zum Mindestlohn beschäftigt werden. Einzig deren Freigabe für das DoD scheint der Grund für die Einstellung gewesen zu sein.
US-Senator Tom Cotton aus Arkansas, und Vorsitzender des Select Committee on Intelligence (Kongress-Komitee zur Beaufsichtigung der Nachrichtendienste), hat in einem Brief, den er auf X publiziert hat, Druck bei US Verteidigungsminister Peter Hegseth gemacht. Es könne nicht sein, dass Software-Ingenieure in China Zugriff auf die US-Cloud des Verteidigungsministeriums bekommen. Hegseth pflichtet Cotton bei und hat eine Untersuchung des Vorgangs angekündigt.
Und dann kam die Sache wohl ans Rollen, wie ProPublica im Artikel Microsoft Says It Has Stopped Using China-Based Engineers to Support Defense Department Computer Systems bekannt gab. Microsofts Chef-Pressesprecher Frank Shaw hat auf X nachfolgende Aussage gepostet:
In response to concerns raised earlier this week about US-supervised foreign engineers, Microsoft has made changes to our support for US Government customers to assure that no China-based engineering teams are providing technical assistance for DoD Government cloud and related services. We remain committed to providing the most secure services possible to the US government, including working with our national security partners to evaluate and adjust our security protocols as needed.
Als Reaktion auf die Anfang dieser Woche geäußerten Bedenken bezüglich ausländischer Ingenieure unter US-Aufsicht hat Microsoft Änderungen am Support für Kunden der US-Regierung vorgenommen. Das soll sicherstellen, dass keine in China ansässigen Ingenieurteams technische Unterstützung für die Cloud und damit verbundene Dienste des DoD leisten.
Abschließend folgt ein Satz, der mir irgendwie bekannt vorkommt: "Wir sind weiterhin bestrebt, der US-Regierung möglichst sichere Dienste zu bieten und arbeiten mit unseren nationalen Sicherheitspartnern zusammen, um unsere Sicherheitsprotokolle zu bewerten und bei Bedarf anzupassen." Ich meine, etwas ähnliches gelesen zu haben, als die chinesische Hackergruppe Storm-0558 in die Microsoft Cloud eingedrungen war. Wie dem auch immer sei, es ändert sich was, damit das "sicherste Cloud-Unternehmen der Welt noch sicherer wird". Und falls etwas schief geht, heißt es "das ist Software, kann man nichts machen".
Anzeige
Was ich nicht ganz verstehe, Microsoft 365 GCC High und DoD sind autarke Clouds für das Verteidigungsministerium (hier finden sich einige Anforderungen, um diese Lizenzen als Mitarbeiter überhaupt erhalten zu können: https://learn.microsoft.com/de-de/office365/servicedescriptions/office-365-platform-service-description/office-365-us-government/gcc-high-and-dod).
Warum müssen diese autarken Clouds überhaupt von Personal in China gewartet werden? Und dann werden die chinesischen Mitarbeiter wiederum von amerikanischen Mitarbeitern überwacht?
Wieso wartet man diese nicht gleich mit amerikanischem Personal mit Standort USA?
Ich nehme doch an, die Clouds haben ihren physischen Standort in den USA?
na weil ein chinesicher "Spezialist" eben viel viel billiger ist als ein Amerikanischer "Spezialist"… wie immer und überall "outsourcing" zur Gewinnmaximiewung.
Dumm halt das beim Verteidigungsministerium/der US Army zu tun.
MS wird da noch einen ziemlichen Brocken im Nachgang zu schlucken bekommen…
da kennen die Amis nämlich keinen Spass. Da werden noch Köpfe rollen, auch wenns keine Hochrangigen sein werden.
Immerhin dürfte es jetzt keinen mehr wundern warum die Chinesen ganz ganz tief bei MS drin stecken ;-P
Klar, nur da gäbe es ganz sicher viel günstigere Alternativen, ich denke da bspw. an Indien. Das hätte man doch nur noch mit Nordkorea toppen können.
Also der Job der „digitaler Escorts" bestand effektiv darin die Befehle aus China per Copy & Paste auszuführen ohne selber das technische Verständnis dafür zu haben?
Klingt wie Daily Business mit Chat GPT Code!
Die Cloud ist doch schon verbrannt, egal, was Microsoft da jetzt tut.
Weiß Microsoft, ob die Chinesen nicht alles protokolliert haben, was die getan haben?
Und ob die sich nicht Hintertürchen eingebaut haben?
Im Grunde muß man die bestehende Cloud wegwerfen und von Grund auf neu machen, ohne Altlasten mitzuschleppen.
Ach, das ist jetzt auch egal, da die Chinesischen Ingenieure / Admins in der Zeit sicherlich so viele Daten und technische Erkenntnisse entnommen haben, dass sie selbst profitieren und ggf. eigene Entwickelungen starten.
Dann gibt bald eine MS ähnlich aufgebaute Cloud, die aber nur die Hälfte kostet und viele Anziehen wird, deren Schutz der Daten ziemlich egal ist (was bei MS Cloud aber sowieso auch an vielen Stellen auch der Fall ist). War das alles schmön mit meinem C64 in der Jugend…
Lasst die Amerikaner doch einfach mit ihrer Cloud machen, was sie für richtig halten, was interessiert uns das, Microsoft wird schon Wissen was das Richtige für die Cloud des Verteidigungsministerium richtig ist.
[Ironie Aus]
Hauptsache, die Europäer erkennen, wo da der Fehler ist. Ich erinnere mich bei solchen Sachen nur immer wieder gerne an Merkels Diensthandy und den Spruch, Unter Freunden Spioniert man sich nicht aus, das reicht eigentlich völlig, um auf die Microsoft Cloud komplett zu verzichten. Nun behaupten zwar immer noch 20 % der Nutzer, dass sie nichts zu verbergen haben, nur stimmt das aber leider nicht, weil aus den Daten sich noch immer Nutzer und Benutzerprofile erstellen lassen.
Tja da auch die EU auf US Cloud /Software/OS setzt kann uns das eben nicht egal sein. selbst auf die DE/EU Cloud sind wir ja nicht in der Lage auf MS & Co zu verzichten.
Selbst bei Gaia-X sind Microsoft Alibaba Amazon und Google involviert… klar alleine kriegen wir da ja nix gebacken. Wo dümpelt denn Gaia-X geradeso rum? Eben!
[Zitat]Eine Woche nach der Meldung von ProPublica sagt Microsoft dass man keinen Ingenieure mehr in China einsetzt, um die Cloud-Systeme des US-Verteidigungsministeriums (DoD) zu warten.[/Zitat]
Also machen es künftige die Hausmeister und Pufzfrauen? ;)
Das war übrigens halb-ernst, Ingenieure nicht mehr, doch dafür chineseische Admins, IT-Techniker, IT-Supporter, chinesische Blogger und alle die sonst für MS arbeiten.
"Microsoft has made changes to our support for US Government customers to assure that no China-based engineering teams are providing technical assistance for DoD Government cloud and related services" –
Bedeutet also dass die Chinesen nun verstärkt in anderen MS Cloudbereichen eingesetzt sind, vielleicht auch Bereiche die durch EU Unternehmen genutzt werden. Denn ein gänzliches einstellen der Zusammenarbeit mit den Chinesen in sensiblen Bereichen kann ich da nicht erkennen. Die werden bestimmt nur Personal im Unternehmen von A nach B versetzt haben.