"Sicherheitstheater": Microsoft erhält FedRAMP-Zulassung trotz massiver Mängel
Die US-Regierung hat Microsofts Cloudplattform "Government Community Cloud High" (GCC High) offiziell zertifiziert, obwohl interne Prüfer des FedRAMP-Programms erhebliche Sicherheitsbedenken angemeldet hatten. Laut einem Bericht von Propublica(öffnet im neuen Fenster) bezeichnete ein Mitglied des Prüfteams das Sicherheitspaket intern sogar als "Haufen Scheiße" . Dennoch erhielt das Produkt im Dezember 2024 das begehrte Sicherheitssiegel, das den Einsatz für hochsensible Regierungsdaten erlaubt.
Jahrelange Intransparenz bei der Verschlüsselung
Die Prüfung von GCC High zog sich über fast fünf Jahre hin. Knackpunkt war laut den vorliegenden internen Memos die Unfähigkeit oder Unwilligkeit Microsofts, detaillierte Diagramme zum Datenfluss und zur Verschlüsselung vorzulegen. Prüfer kritisierten, dass Microsoft keine klaren Belege dafür lieferte, wie Daten beim Transfer zwischen Servern geschützt werden. Ein Gutachter bezeichnete die Architektur der auf Legacy-Software basierenden Clouddienste als einen völlig unstrukturierten Software-Wildwuchs ( "pile of spaghetti pies" ).
Obwohl FedRAMP die Zusammenarbeit im Jahr 2023 zwischenzeitlich abbrechen wollte, da Microsoft angeblich gemauert hatte, blieb der Druck aus den Behörden hoch. Das US-Justizministerium (DOJ) unter der damaligen CIO Melinda Rogers – die 2025 zu Microsoft wechselte – hatte das System bereits im Vorfeld unter Einbeziehung eines Drittgutachters für "akzeptabel" erklärt und großflächig ausgerollt.
Zertifizierung als Gummistempel
Experten wie Tony Sager, ein ehemaliger NSA-Informatiker, bezeichnen den Vorgang als "Sicherheitstheater" . Die Zulassung sei letztlich erfolgt, weil das Produkt bereits so tief in der Infrastruktur von Behörden wie dem Justiz- und Energieministerium sowie im Verteidigungssektor verwurzelt war, dass ein Rückzug als zu kostspielig galt. Die Prüfer sahen sich gezwungen, die Freigabe zu erteilen, versahen diese jedoch mit einer Art Käuferwarnung bezüglich unbekannter Risiken.
Zusätzlich geriet die Unabhängigkeit der Prüfprozesse in die Kritik. Microsoft-Lobbyisten und Behördenvertreter sollen gemeinsam gegen die Bedenken der FedRAMP-Prüfer opponiert haben. Währenddessen wurde bekannt, dass Microsoft entgegen den Vorschriften des Pentagons auch Ingenieure aus China für die Wartung der Systeme eingesetzt hatte. Microsoft betonte gegenüber Propublica, dass es zur Sicherheit der Produkte stehe und alle Anforderungen erfüllt habe. Kritiker sehen in der aktuellen Entwicklung unter der neuen US-Regierung jedoch eine Schwächung von FedRAMP zu einer bloßen Alibi-Prüfung für die Tech-Industrie.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.