Wie Microsoft europäische Regierungen in die Cloud lockt

Inhaltsverzeichnis

Fast acht Jahre liegen die Enthüllungen von Edward Snowden zurück, doch vor Kurzem rückten sie wieder ins Bewusstsein der Öffentlichkeit: Ende Mai deckten mehrere europäische Medien auf, dass die NSA auch mithilfe des dänischen Geheimdienstes europäische Politiker abgehört hatte, darunter Angela Merkel.

Solches "Ausspähen unter Freunden" erklärt, warum die Bundesregierung die Clouddienste amerikanischer Anbieter skeptisch sieht. Ihre Beamten arbeiten und mailen zwar mit Microsoft Office und Exchange – die Software läuft aber in bundeseigenen Rechenzentren. Mails und Dokumente auf Server von US-Firmen zu verlagern, wie es in der Wirtschaft längst normal ist, das hat Berlin stets ausgeschlossen, auch wenn Behörden vereinzelt US-Dienste wie Cisco Webex nutzen.

Aufgeschreckt von Microsofts Cloud-Strategie rief Berlin vor zwei Jahren die "digitale Souveränität" zum Ziel aus und kündigte an, Open-Source-Alternativen zu Microsoft Office und Exchange zu testen. Auch Frankreich propagierte die "souveraineté numérique". Eine Rolle spielte dabei auch die Angst, erpressbar zu werden: Die US-Regierung unter Donald Trump und später auch unter Joe Biden hatte mit ihrem Handelsembargo gegen Huawei klargemacht, dass sie ihre Gegner per Dekret jederzeit auch von US-Clouddiensten abschneiden kann.

Microsoft hat Paris schon überzeugt

Mittlerweile allerdings scheint Microsoft eine Lösung erfunden zu haben, die den Europäern gefällt. Ende Mai verkündete die französische Regierung, dass sie künftig Microsofts Cloud-Office-Suite 365 sowie die "Azure"-Plattform mit über 200 Diensten nutzen will – allerdings nicht aus Microsoft-Rechenzentren heraus. Stattdessen werden die französischen Konzerne Orange und Capgemini die Server betreiben. Microsoft begnügt sich mit der Rolle des Software-Lieferanten.

Das neue Modell sorge für "Immunität von sämtlichen extraterritorialen Gesetzen", schreiben Capgemini und Orange. Gemeint ist der Cloud-Act, der US-Konzerne verpflichtet, den Behörden ihres Heimatlandes bei Bedarf auch jene Kundendaten zur Verfügung zu stellen, die bei ihren Tochtergesellschaften in aller Welt liegen. Auch technisch blieben die Rechenzentren "strikt getrennt" von Microsofts globaler Infrastruktur, betonen Capgemini und Orange. Die französische Cybersicherheitsbehörde ANSSI hat dem Vorhaben bereits ihren Segen erteilt.

Der Bundesregierung hat Microsoft ein solches Modell ebenfalls vorgeschlagen. "Zur Sicherstellung der Anwendbarkeit deutschen Rechts verbleiben Eigentum und Betrieb der souveränen Cloudplattform bei einer Betreibergesellschaft", heißt es in einem vertraulichen Konzeptpapier des Konzerns, das c’t vorliegt. An der Gesellschaft könnten ein oder mehrere deutsche Unternehmen und auch der Staat selbst beteiligt sein. Berlin könnte also Microsoft-Dienste nutzen, die Server aber selbst kontrollieren.

In den Verhandlungen zwischen Microsoft und der Bundesregierung geht es um viel. Die Clouddienste des Unternehmens könnten für Jahrzehnte zum de-facto-Standard des öffentlichen Sektors werden. Die Zahl der Nutzer dürfte siebenstellig sein, wenn Behörden aus Bund, Ländern und Kommunen in die neue Cloud gehen. Dafür müssten mehrere, redundant ausgelegte Rechenzentren aus dem Boden gestampft werden. Die Kosten lägen wohl im dreistelligen Millionenbereich.

Obendrein hätte die Entscheidung Signalwirkung für andere europäische Länder. "Viele schauen jetzt auf Deutschland und Frankreich. Wenn dort Lösungen gefunden werden, könnten weitere Länder dem Beispiel folgen", sagt Frederik Blachetta, Partner bei der Strategieberatung Strategy&, im Gespräch mit c’t.

Wirklich "souverän"?

Doch wie "souverän" ist das neue Microsoft-Modell wirklich? Wie steht es um den Datenschutz und die Unabhängigkeit im Fall von diplomatischen Spannungen? Das soll nun das Bundesamt für Sicherheit in der Informationstechnik (BSI) prüfen, und zwar nicht nur auf dem Papier, wie die Kollegen von der französischen ANSSI. Die Bundesregierung plant auch Praxistests in einem Pilot-Rechenzentrum.

Microsoft hat sich bereiterklärt, einen solchen "Proof of Concept" zu ermöglichen, und will die dafür nötige Software und Support kostenlos bereitstellen. Ein mögliches finanzielles Risiko läge "vollständig bei Microsoft", schreibt der Konzern in seinem Papier.

Fest steht, dass Microsoft mit seinem neuen Modell in Sachen Datenschutz einen weiteren Schritt auf die Europäer zugegangen ist. Anfang Mai hatte der Konzern schon eine "Datengrenze" für seine eigenen Rechenzentren angekündigt: Daten von Kunden aus der EU sollen auch in der EU gespeichert und verarbeitet werden. Doch das schützt die Daten im Ernstfall nicht vor außereuropäischen Gesetzen wie dem Cloud Act.

Vollständige Kontrolle utopisch

Wenn Microsoft die Rechenzentren nicht mehr selbst betreibt, ist das Schutzniveau höher. US-Nachrichtendienste müssten Microsoft dann dazu bringen, bei der Spionage mitzumachen, etwa durch den Einbau von Hintertüren. Das neue Konzept sieht deshalb vor, dass die deutsche Betreibergesellschaft jeden Microsoft-Zugriff autorisieren muss. Updates sollen geprüft werden, bevor sie eingespielt werden. Dabei könne auch eine Quellcode-Einsichtnahme sinnvoll sein, erklärte das BSI auf Anfrage.

Eine vollständige Kontrolle dürfte aber utopisch bleiben – aufgrund der Vielzahl der Updates und der damit verbundenen Datenmengen. Dieses Problem hat die Bundesregierung allerdings schon jetzt. Schließlich erhalten auch die Microsoft-Programme Updates, die in den bundeseigenen Rechenzentren laufen.

Auch beim Thema Verfügbarkeit würde sich im Vergleich zum Status quo wenig ändern. Weil Microsoft die Server nicht selbst betreibt, könnte das Unternehmen sie nicht einfach ausknipsen, es könnte aber von der US-Regierung gezwungen werden, die Versorgung mit Sicherheitsupdates einzustellen. Je nach Bedrohungslage könnte die Cloud dann noch ein paar Tage, Wochen oder Monate mit vertretbarem Risiko weiterlaufen, was bei den aktuell genutzten, hauseigenen Exchange-Servern des Bundes ähnlich ist.

Bei dem neuen Modell kommt es allerdings auch darauf an, welche deutschen Konzerne an der Betreibergesellschaft beteiligt wären. Denkbar ist zum Beispiel, dass die US-Regierung Druck auf deren amerikanische Tochtergesellschaften ausübt.

Kommentar: Azurblauer Käfig

Die ganze Palette an Microsoft-Cloud-Diensten für deutsche Behörden, gehostet von einer deutschen Betreibergesellschaft: Das klingt nach einer perfekten Kombination. Das Angebot bietet die Chance, die chaotischen IT-Strukturen der Verwaltung zu vereinfachen und die Digitalisierung voranzutreiben. Und das Datenschutzniveau wäre ähnlich hoch – oder niedrig, je nach Sichtweise – wie bei der aktuellen Infrastruktur mit proprietärer Microsoft-Software in bundeseigenen Rechenzentren. Denn egal, ob inhouse oder extern, niemand kann sicher sagen, was wirklich in der Software steckt. Auch Quellcode-Analysen ändern daran wenig.

Die wirtschaftliche Abhängigkeit von Microsoft würde allerdings steigen. Denn der US-Konzern packt in die Cloud nicht nur seine Office-Dienste, deren lokale Varianten die Verwaltung sowieso schon nutzt und zu denen es auf absehbare Zeit keine praxistaugliche Alternative gibt. Hinzu kommt das gesamte Paket aus rund 200 "Azure"-Services von Big Data über Containerverwaltung bis hin zu KI. Wenn die Behörden dieses Bündel auch noch mitnehmen, wäre ein späterer Wechsel zur Konkurrenz noch einmal schwieriger. Die MS-Cloud wäre ein hochintegrierter, bequemer, azurblauer Käfig.

Deshalb sollte das Microsoft-Paket so klein wie möglich bleiben. Die Behörden sollten nur das Office-Paket 365 buchen – für andere Anwendungen und Datenspeicher aber mit Open-Source-Alternativen arbeiten.

Unterschiede zur "Microsoft Cloud Deutschland"

In einigen Aspekten der IT-Sicherheit dürfte das neue Cloudmodell Vorteile bieten. Im Moment ist die Bundes-IT zersplittert: Manche Behörden betreiben noch ihre eigenen Rechenzentren, der Umzug zu staatlichen Dienstleistern wie dem ITZ Bund läuft schleppend. Das BSI sieht deshalb auch Chancen in dem Cloud-Konzept, etwa eine "kontinuierliche, hochprofessionelle Administration" und ein "zentralisiertes, hoch automatisiertes Patch-Management". Schwachstellen könnten potenziell schneller behoben werden.

Im Vergleich zur "Microsoft Cloud Deutschland" (MCD) ist der neue Ansatz weiter entwickelt. Im Rahmen der MCD lässt Microsoft seine Clouddienste schon seit einigen Jahren von T-Systems hosten. Allerdings fließen dabei Telemetriedaten weiterhin nach Redmond. Im neuen Konzept würden diese Daten laut BSI hingegen in der nationalen Cloud verbleiben.

Funktional würde die neue Cloud sich ebenfalls von der MCD abheben. Diese fand bei Unternehmen wenig Anklang, weil Microsoft neue Anwendungen wie Teams dort nur verspätet oder gar nicht bereitstellte. Im Herbst stellt Microsoft das Angebot deshalb ein. Die angedachte "souveräne" Cloud soll hingegen funktional dauerhaft ebenbürtig sein – in seinem Konzeptpapier verspricht Microsoft einen "Evergreen". Anders als die MCD stünde das neue Angebot voraussichtlich aber Firmen nicht zur Verfügung.

Umstieg auf Open-Source-Alternative würde dauern

In seinem Papier zeigt Microsoft sich schon jetzt zuversichtlich, sämtliche Anforderungen des BSI erfüllen zu können. Sollten die Sicherheitsexperten sowie der Bundesbeauftragte für den Datenschutz tatsächlich grünes Licht geben, muss letzten Endes die Politik entscheiden.

Der Druck, das Microsoft-Angebot anzunehmen, wird hoch sein, denn eine gleichwertige Alternative gibt es nicht. Die Bundesregierung spricht zwar von einer "Multi-Cloud-Strategie" und will auch Open-Source-Alternativen wie Dataports "Phoenix" fördern. Ein Umstieg auf die quelloffene Office- und Kommunikations-Suite könnte aber wohl, selbst wenn der Bund das ernsthaft vorantreiben sollte, erst in fünf bis zehn Jahren erfolgen.

Und der Druck wird weiter steigen, denn Microsoft drängt seine Kunden langsam, aber sicher in Richtung Cloud. Teams zum Beispiel gibt es nur als Cloud-Angebot. Obendrein hat Corona gezeigt, wie weit die Verwaltung bei der Digitalisierung hinterherhinkt.

T-Systems und Arvato Systems zeigen Interesse

Kandidaten für den Aufbau einer nationalen Betreibergesellschaft stehen jedenfalls schon bereit. "Ja, wir könnten uns vorstellen, eine solche Hyperscaler-basierte souveräne Cloud aufzubauen und zu betreiben", sagte Maximilian Ahrens, der Technikchef von T-Systems, im Gespräch mit c’t. Ebenso wichtig seien allerdings rein europäische Lösungen, betonte er. Ein "grundsätzliches Interesse" am Aufbau einer potenziellen "souveränen Cloud" bestätigte auf Anfrage auch der IT-Dienstleister Arvato Systems.

c’t Ausgabe 14/2021

In c’t 14/2021 zeigen wir, wie Sie unbehelligt von Cookies und Trackern surfen können. c't-Redakteur Mirko Dölle fand heraus, wie sich Apples AirTags als Stalking-Kit ummodeln lassen. Außerdem haben wir den Raspi als Backup-Server aufgerüstet, beleuchten die Technik und Infrastruktur zur Kartenzahlung und erklären, was Sie nach dem Ende von UMTS beachten sollten. Ausgabe 14/2021 finden Sie ab dem 18. Juni im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

[Update, 22.6.] Aussagen der Open-Source-Suite "Phoenix" korrigiert. In einer früheren Version stand, dass diese erst in fünf bis zehn Jahren praxisreif sein dürfte. Korrekt ist, dass sie bereits jetzt einsetzbar ist, die Implementierung und Anpassung an bestehende IT-Strukturen des Bundes jedoch ein aufwendiges Projekt wäre. [/Update] (cwo)