Microsoft hat mit seiner Deutschland Cloud-Offensive längst nicht alle überzeugt. Trotz Hostings in deutschen Rechenzentren und mit T-Systems als Treuhänder im Boot. Und das hat offenbar Gründe: Denn ganz datenschutzkonform kann Microsoft seine Dienste laut Recherchen von heise.de auch auf deutschem Boden nicht anbieten.
Azure, Dynamics CRM und Office 365 DE
Der US-Softwarehersteller Microsoft unterhält mehrere Server in Europa, davon viele innerhalb der EU. Nach eigener Aussage werden Kunden mit europäischem Firmensitz auch in einem der EU-Rechenzentren geführt, eine Garantie gibt es aber nicht. Wer sich als Geschäftskunde um den Schutz seiner Firmen- und Kundendaten sorgt, kann seit einiger Zeit die Clouddienste gegen Aufpreis auch aus Deutschland beziehen.
Die Krux an der Sache: Auch wenn Microsoft seine Systeme auf deutschen Servern betreibt, wurden die digitalen Brücken in die Heimat offenbar nie ganz unterbunden. Das hat zum einen wohl US-politische und gesetzliche Gründe, zum anderen dupliziert der Konzern nicht alle Services, die im Hintergrund eine Rolle spielen. Hier fungiert jedoch die Telekomtochter T-Systems als deutscher Datentreuhänder für die datenschutzkonforme Handhabung. Anbieter und Betreiber ist aber weiterhin das US-Unternehmen selbst, dessen DE-Dienste mehrfache Zertifizierungen (ISO, BSI) tragen und durch eine Compliance-Abteilung im Microsoft Trust Center gestützt werden sollen.
Telemetriedaten an US-registrierte IP-Adresse
Die Erfassung von Telemetriedaten ist für Microsoft-Nutzer leider keine Überraschung mehr. Selbst bei der auf kleine und mittelständische Firmen ausgelegten Windows 10 Pro-Edition lässt sich diese nicht komplett unterbinden. Wer reinen Tisch machen will, braucht die Enterprise Edition – und muss Großkunde mit Zugang zu Volumenlizenzen sein. Doch nicht nur Clientsysteme telefonieren nach Hause: Der Windows Server 2016 tut das offenbar ebenso, zumindest bei der MS Azure-Integration.
In den Protokollen des Datenverkehrs sind nach Recherchen von heise.de Pakete an eine in den USA auf Microsoft registrierte IP-Adresse (168.63.129.16) gesendet worden. Da es sich laut Konzern um eine virtuelle öffentliche Adresse handelt, kann der dahinterstehende Rechner nicht genau lokalisiert werden. Microsoft verwendet die virtuelle IP weltweit zum einheitlichen Routing, das Ziel dahinter variiert jedoch in Abhängigkeit der Rechenzentrumsregion. Ob sich dahinter reell ein Ziel innerhalb Deutschlands verbirgt, lässt sich somit nicht nachhalten.
Zudem erfolgt die Übertragung der Telemetriedaten zum Azure Clouddienst teilweise unverschlüsselt, sodass diese problemlos von Dritten einsehbar sind. Dabei soll der zur Verfügung gestellte Azure Network Watcher den Kundenadministratoren doch gerade die Möglichkeit zur Überwachung solchen Datenverkehrs geben. Stattdessen übermittelt Azure bereits bei Einrichtung der Admin-Oberfläche (im Browser) Telemetriedaten, ohne Zustimmung durch den Benutzer (Administrator).
Geltende US-Gesetze vs. DSGVO
Doch nicht allein Microsoft verpasst an mancher Stelle die strengen Auflagen des europäischen Datenschutzes. Dies gilt besonders für die US-amerikanischen Gesetzesvorgaben. Ein gänzlich DSGVO-konformer Betrieb der Clouddienste ist damit per se gar nicht möglich, nicht einmal wenn Microsoft es so wollte…denn:
Der im Jahr 2001 verabschiedete PATRIOT Act erlaubt US-Behörden (FBI, CIA, NSA) den nahezu uneingeschränkten Zugriff auf Telekommunikationsdaten (auch ohne richterliche Anordnung). Seit 2015 dürfen diese Daten zwar nicht mehr durch die Behörden selbst gespeichert werden (USA Freedom Act), ein geringer Verdacht genügt jedoch schon für die Einsichtnahme bei Firmen. Davon betroffen sind sowohl US-Unternehmen wie auch im Ausland ansässige Tochtergesellschaften. Ergo: Die von Microsoft betriebenen Server und Dienste unterliegen im Zweifel dem Zugriff durch US-Behörden.
Der CLOUD Act verschärft die Datenschutzsituation nochmals: Der Zugriff auf Firmenserver im US-Ausland kann so ohne gerichtliche Kontrolle erfolgen. Ein Tochterunternehmen kann sich dabei nicht auf einen benötigten Durchsuchungsbeschluss verlassen, den die zuständige Behörde des jeweiligen Landes ausstellt. Zudem kann es US-Firmen gesetzlich verboten werden, eigene Kunden über CLOUD Act-Zugriffe zu informieren. Dem dürfte sich wohl auch Microsoft im Zweifelsfall fügen.
Souveräne Hostinglösung ohne Fremdanbieter
Die fehlende Transparenz und Gewissheit über den Datenschutz bei Cloud-Diensten verunsichert viele Geschäftskunden. Da es für kleine und mittelständische Unternehmen nur wenige wirtschaftlich vertretbare Inhouse-Lösungen gibt, lohnt sich ein Blick auf die Open Source-Alternativen: Der Univention Corporate Server und die Kopano E-Mail-Lösung. Die Kombination aus beiden bietet eine ideale Nachfolge des schon abgekündigten MS Small Business Servers 2011. Sein Support läuft im Januar 2020 endgültig aus, weshalb Firmenkunden bereits jetzt den Umstieg vorbereiten sollten. Selbiges gilt für Windows 7-Clients, für die es in Kürze ebenfalls keinerlei Sicherheitsupdates mehr gibt.
Wir unterstützen Sie gerne bei der Suche nach einer für Sie passenden Unternehmenslösung. Vereinbaren Sie bitte ein unverbindliches Beratungsgespräch – telefonisch, per E-Mail oder über unser Kontaktformular.
Quellen:
https://www.heise.de/select/ix/2018/9/1535787443285145 (Druckversion: iX 09/2018, S. 82)
https://de.wikipedia.org/wiki/CLOUD_Act
https://de.wikipedia.org/wiki/USA_PATRIOT_Act
https://de.wikipedia.org/wiki/USA_Freedom_Act
Anschrift
viwedis GmbH
Johann-Krane-Weg 27
48149 Münster
+49 (0) 251 144 39 0
info@viwedis.de
Hier finden Sie unsere Anfahrtsbeschreibung.