Ein seltsames Gespür für Timing hat die Bundeskanzlei: Da verkündete sie am 14. Oktober die definitive Einführung von Microsoft 365 für die gesamte Bundesverwaltung (was sie interessanterweise nicht unter dem dem Projekttitel CEBA Cloud Enabling Büroautomation und auch nicht auf der CEBA-Seite unter Medienmitteilungen aufführt). Sprich: einige der Dokumentenablagen und -bearbeitungen der Bundesangestellten findet nun in der Wolke von Microsoft statt (in den Schweizer und Europäischen Rechenzentren laut eigenen Angaben der Bundeskanzlei; genau wissen wir das nicht, da wir die Vertragsinhalte nicht kennen).
Vorausgesetzt, es handelt sich bei der Datei um ein nicht-klassifiziertes Dokument (also nicht intern, nicht vertraulich, nicht geheim). Verantwortlich für das Klassifizierungslabelling sind die Bundesangestellten selbst.
Und prompt melden mehrere Medienberichte ein paar Tage (17.10/18.10) später, dass dem IT-Giganten 1 Monat security-relevante Logdateien für die Cloud-Kunden abhanden gekommen sind.
Sprich: IT-Administratoren von Unternehmen haben keinen Zugriff auf Log-Dateien ihres eigenen Unternehmens. Laut dem Konzern sei es ein Fehler in einem seiner internen Monitoring-Systeme. Dieser habe laut golem.de den Upload von Protokolldaten auf die konzerneigene Logging-Plattform gestört.
Die Log-Daten sind etwa erforderlich, um Fehler ausfindig zu machen, Ursachen für Ausfälle zu ergründen oder mögliche Cyberangriffe frühzeitig zu erkennen. Ohne Zugang zu diesen Daten wird es Administratoren erheblich erschwert, unbefugte Zugriffe auf Netzwerke und Nutzerkonten nachzuvollziehen.
Bevor wir auf den Cybersecurity-Komponente zu sprechen kommen, noch eine Bemerkung, warum das Timing weiter bemerkenswert ist. Die Bundeskanzlei schreibt als Begründung für die gesamte Bundesverwaltung:
„Die aktuell bei der Bundesverwaltung eingesetzte Office-Version muss ersetzt werden, weil wichtige Office-Anwendungen ans Ende ihres Lebenszyklus gelangt sind und vom Hersteller Microsoft in absehbarer Zeit nicht mehr unterstützt werden.“
Medienmitteilung der Bundeskanzlei
Dieselbe Begründung lieferte das DTI — der „Bereich Digitale Transformation und IKT-Lenkung“ der Bundesverwaltung — mir gegenüber bei meiner umfassenden Cloud-Recherche vom September. Sie reagierte damit auf die Kritik der Eidgenössischen Finanzkontrolle (EFK). Die Prüfinstitution des Bundes monierte, dass der Bund durchaus Microsoft-Produkte auf lokalen Rechnern betreiben könnte und den Gang in die M365-Cloud zu voreilig forcierte.
Hier die gesamte Republik-Recherche zum Thema Microsoft 365 und zur Kritik der Eidgenössischen Finanzkontrolle.
Doch nur ein paar Tage nach der Republik-Recherche erschien auf dem Tech-Newsportal golem.de ein Text, dass es „cloudlose“ Microsoft-Produkte geben soll für die Regierungskunden samt Support-Service. Gegen ein paar Abstriche bei den Produkten umgehen Regierungen alle Probleme mit den amerikanischen Überwachungsgesetzen auf einen Schlag.
Das neue Microsoft Office LTSC 2024 richtet sich an Regierungs- und Geschäftskunden, die keine cloudbasierten Funktionen wünschen und kein Abo abschließen wollen. Für Privatanwender heißt das Produkt Office 2024.
Die neue Version bietet ein fünfjähriges Support-Zeitfenster. Im Gegensatz zu den mit der Cloud verbundenen 365er-Versionen können Geräte, auf denen Office LTSC 2024 läuft, vollständig offline betrieben werden, ohne dass eine Verbindung zum Internet erforderlich ist.
(…)
Microsoft hat eine Vergleichstabelle bereitgestellt, um die Unterschiede zwischen Office LTSC 2024 und seinen cloudbasierten Alternativen zu veranschaulichen. Die Offline-Version enthält Word, Excel, Powerpoint und Outlook.
golem.de vom 24.9.2024
Nun ja, die diese abgespeckte Version hat keinen KI-Copilot, keine gleichzeitige Bearbeitung und auch kein Microsoft Teams. Aber für alles gibt es ja bekanntlich Open-Source-Alternativen und andere Office-Suiten von Anbietern aus Ländern mit griffigen Datenschutzgesetzen. Dazu aber mehr in einem späteren Artikel bei DNIP.ch.
Kommen wir nochmals auf die IT-Security zurück.
In meiner Recherche habe ich ausgeführt, wie die Bundeskanzlei nahezu blind der Kompetenz von Microsoft in Sachen IT-Security vertraute. Bundeseigene IT-Experten haben die Sicherheitsfunktionen von Microsoft nie unabhängig überprüft, wie DTI-Vertreter in Gesprächen mit dem Kanton Bern eingeräumt haben: «Es ist ein Grundvertrauen gegenüber Microsoft vorhanden, andernfalls würde dieses Vorhaben keinen Sinn machen.». Das DTI sagte mir im Rahmen der Republik-Recherche bis Ende 2024 werde ein Audit stattfinden (wahrscheinlich das erste überhaupt).
Ebenfalls fand ich heraus, dass die jüngsten Cybersecurity-Vorfälle von Microsoft durchaus intern auch kontrovers diskutiert wurden. Mittels des BGÖ-Gesetzes habe ich nun das Protokoll der besagten Sitzung endlich erhalten.
Hier nochmals der Hintergrund, worum es bei einer der schlimmsten Cyberattacken bei Microsoft ging:
In den letzten zwei Jahren haben gleich zwei spektakuläre Cyberhacks für negative Schlagzeilen gesorgt: Eine chinesische Hackergruppe namens Storm-0558 verschaffte sich Zugang zu Microsoft-Cloud-Diensten und E-Mail-Konten.
Rund 60’000 E-Mails des US-Aussenministeriums wurden abgegriffen. Und die russische Bande Midnight Blizzard stahl den Zugang zur Microsoft-Cloud-Infrastruktur und konnte auf E-Mails von Microsoft-Personal zugreifen. Das US-Department Homeland Security schrieb nach den Vorfällen einen äusserst kritischen Report über die Sicherheitskultur des Big-Tech-Konzerns.
Diese Hacking-Vorfälle wurden laut EFK-Bericht bereits im Sommer 2023 von einem Projektausschuss kritisch diskutiert (die EFK machte keine Angaben dazu, wie sich dieser zusammensetzte)
Republik-Recherche
Oben sieht man den besagten Protokollausschnitt, in denen die Cybervorfälle der Hackergruppe Storm-0558 diskutiert worden sind. Anwesend waren Vertreter:innen des Bundesamts für Informatik und Telekommunikation BIT, der Bundeskanzlei, des Generalsekretariats des Eidgenössischen Justizdepartements und das NCSC (heute überführt in das Bundesamt für Cybersecurity). Die Namen sind von DNIP.ch aus Datenschutzgründen geschwärzt, da sie nicht relevant sind für diese Geschichte.
Die obigen Anmerkungen sind eher knapp gehalten. Sie zeigen, dass man auf so einen Vorfall (Hack der Microsoft-365-Cloud im Regierungsumfeld) nicht wirklich vorbereitet war. Es wird darüber räsonniert welche Folgen so ein Identitätsdiebstahl für alle Cloud-Produkte haben könne. Ausserdem müsste eine Alarmorganisation etabliert werden für solche Vorfälle. Und eine Kontrollinstanz fehle, welche die Einhaltung der Vorgaben der Informationsschutzgrundverordnung kontrolliere.
Eine potenziell interessante Textstelle wurde leider von Seiten der Bundeskanzlei geschwärzt (Namen wieder von DNIP.ch „geschwärzt“):
Brigitte Gerber, die Projektleiterin von CEBA von Seiten der Bundeskanzlei erklärte die Schwärzung wie folgt: „Wir haben eine einzige Stelle eingeschwärzt, durch deren Zugang die innere und äussere Sicherheit der Schweiz gefährdet werden kann und die nach Artikel 7 Absatz 1 Buchstabe c BGÖ nicht zugänglich gemacht werden darf.„
Es wäre jetzt natürlich schon interessant zu wissen, wie dieser Austausch zwischen der Bundesverwaltung und Microsoft nun institutionalisiert wird. Oder was das Bedrohliche an diesem geschwärzten Satz sein könnte.
Jetzt wo also alle anderen Bundesämter ihre nicht-heiklen Dokumente in der Microsoft-365-Cloud bearbeiten und teils sogar speichern dürfen, bleibt zu hoffen, dass der Bund nun auch auf die Notfallszenarien vorbereitet ist und seine Betriebsautonomie erhöht. Und es nicht nur beim „Grundvertrauen“ belässt.
So oder so: dass ein klassifiziertes Dokument potenziell in der 365-Cloud landen könnte, obwohl es nicht da hingehört…, das bestreitet selbst die Bundeskanzlei nicht.
Fazit: Der Bund scheint M365 unbedingt aktivieren zu wollen, entgegen allen Bedenken der EFK und mit der voreiligen Aussage, dass es keine Alternative zur Cloudlösung gäbe, obwohl es die grundsätzlich gibt und Risiken sowohl aus Security-Sicht vorhanden sind und die Bundesangestellten nicht gegen versehentliche Falschnutzung der Plattform geschützt sind.
Einen Kommentar zur Einführung von CEBA und Microsoft erscheint am Freitag in unserer „Vogt am Freitag“-Kolumne.