BSI verklagt Microsoft auf Herausgabe von Informationen zu Security-Desaster

Die oberste deutsche IT-Sicherheitsbehörde ist doch nicht so untätig, wie es den Anschein hatte. Seit Herbst vorigen Jahres steht das Bundesamt für Sicherheit in der Informationstechnik (BSI) offenbar bei Microsoft auf der Matte, um Informationen zu dessen Sicherheitsvorkehrungen zu bekommen. Nachdem Microsoft nicht lieferte und die Kommunikation immer weiter verschleppte, griff das BSI dann zu seinem schärfsten Schwert: Paragraf 7a des BSI-Gesetzes, mit dem es unter anderem die Herausgabe von Informationen einklagen kann. Das wurde jetzt durch ein Leak aus dem Digitalausschuss des Bundestags bekannt.

Das Auskunftsbegehren steht im Kontext der eklatanten Sicherheitsvorfälle bei Microsoft, bei denen staatliche Angreifer mehrfach Informationen von Microsoft selbst, aber auch von deren Cloud-Kunden abgreifen konnten. Konkret geht es um den Diebstahl des Master-Keys zur Microsoft-Cloud. Die vom US-amerikanischen Department of Homeland Security (DHS) eingesetzte Untersuchungskommission diagnostizierte in diesem Fall bereits ein Komplettversagen Microsofts. Mit denen sprach Microsoft immerhin; gegenüber dem BSI hingegen hakte der Informationsfluss so sehr, dass die deutsche Behörde ihre Nachfragen schrittweise immer weiter eskalierten.

Harsche Kritik an Microsoft

"Das BSI hat im weiteren Verlauf der fachlichen Auseinandersetzung mit Microsoft den formellen Weg der Anordnung beschritten, weil die Angaben, die das BSI zuvor in einem regulären Austausch erhalten hat, nicht zufriedenstellend waren", erklärte ein Sprecher des BSI gegenüber heise Security das Vorgehen. Konkret ging es dem BSI dabei unter anderem um den Einsatz der sogenannten Double Key Encryption, die eigentlich einen Datenabfluss zumindest in speziell gesicherten Umgebungen hätte verhindern können. Denn bei diesem Verfahren werden die Daten mit zwei Schlüsseln chiffriert, von denen einer immer beim Kunden verbleibt. Doch die Details dazu sind so unklar, dass man beim BSI offenbar nicht einschätzen kann, ob die Angreifer nicht eventuell doch Klartextdaten abgreifen konnten.

Auch auf wiederholte Nachfragen und Androhung einer Klage lieferte Microsoft die angeforderten Informationen dazu nicht. Daher nutze das BSI jetzt die ihm zur Verfügung stehenden rechtlichen Instrumente, erläutert der BSI-Sprecher, der nach wie vor Informationsbedarf sieht. Er verweist dabei auch explizit auf die harsche Kritik des US-amerikanischen Cyber Security Review Boards, dessen Einschätzung das BSI teile. "Das BSI sieht, dass andere Cloud-Anbieter besser aufgestellt sind, was die technische Realisierung von Sicherheit angeht und wie sie reagieren, wenn es zu einem IT-Sicherheitsvorfall kommt" lautet auch sein Fazit.

Paragraf 7 des BSIG

In Paragraf 7 des BSI-Gesetzes geht es um Warnungen durch das BSI. Paragraf 7a regelt die dazu nötige "Untersuchung der Sicherheit in der Informationstechnik"; demnach kann das Bundesamt "von Herstellern informationstechnischer Produkte und Systeme alle notwendigen Auskünfte, insbesondere auch zu technischen Details, verlangen". Genau das hat das BSI offenbar getan und berichtete darüber im Digitalausschuss des Deutschen Bundestags. Von dort leckten die Informationen anscheinend zum Spiegel, der weitere Details dazu berichtet.

Anmerkung in eigener Sache: Der Autor dieses Artikels hatte angesichts der Aktivitäten der US-amerikanischen CISA und der scheinbaren Untätigkeit des BSI vor einer "gefährlichen Beißhemmung gegenüber Microsoft" gewarnt. Das möchte ich hiermit zurücknehmen – ich bin "officially impressed" von der aktuellen Vorgehensweise und sehr gespannt, was da weiter herauskommt.

(ju)