BSI fordert von Microsoft Klarheit über Sicherheitsvorkehrungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein offizielles Verfahren gegen Microsoft eingeleitet, um Informationen zu den Sicherheitsvorkehrungen des Unternehmens zu erhalten. Dies wurde durch ein Leak aus dem Digitalausschuss des Bundestags bekannt.

Hintergrund der Klage

Seit Herbst letzten Jahres versucht das BSI, Informationen von Microsoft über deren Sicherheitsmaßnahmen zu erhalten. Diese Bemühungen stehen im Zusammenhang mit schweren Sicherheitsvorfällen, bei denen staatliche Angreifer Zugang zu sensiblen Informationen von Microsoft und deren Cloud-Kunden erhielten. Insbesondere geht es um den Diebstahl des Master-Keys zur Microsoft-Cloud. Eine Untersuchungskommission des US-amerikanischen Department of Homeland Security (DHS) diagnostizierte in diesem Fall ein Komplettversagen Microsofts.

Eskalation der Nachfragen

Trotz mehrfacher Nachfragen und der Androhung einer Klage erhielt das BSI keine zufriedenstellenden Antworten von Microsoft. Deshalb entschied sich die Behörde, den formellen Weg gemäß Paragraf 7a des BSI-Gesetzes zu beschreiten. Dieser Paragraf erlaubt es dem BSI, von Herstellern informationstechnischer Produkte und Systeme alle notwendigen Auskünfte zu technischen Details zu verlangen.

Ein Sprecher des BSI erklärte gegenüber heise Security, dass das BSI diesen Weg gewählt habe, weil die bisherigen Angaben von Microsoft unzureichend waren. Im Fokus der Nachfragen stand unter anderem der Einsatz der sogenannten Double Key Encryption, bei der Daten mit zwei Schlüsseln chiffriert werden, von denen einer beim Kunden verbleibt. Unklarheiten bei diesem Verfahren führten zu Bedenken, dass Angreifer möglicherweise dennoch auf Klartextdaten zugreifen konnten.

Kritik an Microsofts Sicherheitsvorkehrungen

Das BSI teilt die harsche Kritik des US-amerikanischen Cyber Security Review Boards an Microsoft. Die deutsche Behörde sieht andere Cloud-Anbieter besser aufgestellt, was die technische Realisierung von Sicherheit und die Reaktionsfähigkeit bei IT-Sicherheitsvorfällen angeht. Der BSI-Sprecher betonte, dass weiterhin ein erheblicher Informationsbedarf bestehe und das BSI alle rechtlichen Instrumente nutzen werde, um die notwendigen Informationen zu erhalten.

Paragraf 7 des BSI-Gesetzes

Paragraf 7 des BSI-Gesetzes befasst sich mit Warnungen des BSI. Paragraf 7a regelt die Untersuchung der Sicherheit in der Informationstechnik und erlaubt es dem BSI, von Herstellern alle notwendigen Auskünfte zu verlangen. Das BSI hat diese Bestimmung genutzt, um Microsoft zur Herausgabe von Informationen zu zwingen.

Fazit und persönliche Anmerkung

Die aktuellen Maßnahmen des BSI zeigen, dass die Behörde entschlossen ist, Klarheit über die Sicherheitsvorkehrungen von Microsoft zu schaffen. Dies ist ein wichtiger Schritt, um die IT-Sicherheit in Deutschland zu gewährleisten. Als Autor dieses Artikels möchte ich anmerken, dass ich von der aktuellen Vorgehensweise des BSI beeindruckt bin und gespannt darauf, welche Ergebnisse diese Untersuchung bringen wird.