Microsoft-Cloud trotz Sicherheitsbedenken für US-Regierung zugelassen

Ein investigativer Bericht stellt die Sicherheitszertifizierung von Microsofts hochsensibler Regierungs-Cloud und das US-Prüfverfahren in Frage. Trotz gravierender interner Bedenken erhielt der Tech-Riese die Freigabe.

Veröffentlicht am 18. März 2026, wirft der Bericht ein kritisches Licht auf das Federal Risk and Authorization Management Program (FedRAMP). Dieses erteilte die Zulassung für Microsofts GCC High Cloud-Umgebung Ende Dezember 2024 – obwohl Cybersicherheits-Prüfer massive Lücken bei Verschlüsselungsnachweisen und der technischen Architektur dokumentiert hatten. Die Enthüllungen zeigen das Spannungsfeld zwischen Tech-Giganten und staatlichen Aufsichtsbehörden in einer Zeit, in der Behörden zunehmend auf Cloud-Infrastrukturen für klassifizierungsnahe Daten setzen.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und neue Gesetze die Haftungsrisiken verschärfen, erläutern IT-Experten in diesem Report. Erfahren Sie, wie Sie Ihre Infrastruktur mit einfachen Maßnahmen proaktiv schützen. Was Geschäftsführer über Cyber Security 2024 wissen müssen

Fünfjähriger Prüfprozess mit anhaltenden Zweifeln

Der Weg zur Freigabe für GCC High war ein fünf Jahre dauernder Kraftakt. Bundes-Cybersicherheitsteams investierten Hunderte Stunden in die Bewertung der Plattform. Trotz dieser intensiven Prüfung blieb das Misstrauen in die Sicherheitslage des Produkts bestehen.

Interne Kommunikationen der Prüfer zeigen scharfe Kritik an der veralteten Code-Architektur. Technische Experten beschrieben die komplexen, vernetzten Systeme als problematisch, da sie persistente unbekannte Variablen erzeugten, die eine Risikobewertung erschwerten. Im Oktober 2023 setzte die interimistische Programmleitung den Prozess sogar aus und forderte einen kompletten Neustart. Dennoch wurde er fortgesetzt und mündete in die formale Autorisierung am 26. Dezember 2024.

Fehlende Transparenz bei Verschlüsselung

Ein zentraler Streitpunkt war Microsofts Umgang mit der Dokumentation von Verschlüsselung und Datenflüssen. Die Bundesprüfer forderten wiederholt detaillierte Diagramme, die genau zeigen, wo Informationen im Netzwerk verschlüsselt und entschlüsselt werden. Der Untersuchung zufolge hatte der Konzern monatelang Schwierigkeiten, diese technischen Details vorzulegen.

Statt präziser Nachweise reichte Microsoft schließlich allgemeine Strategiedokumente ein, die die geforderten granularen Daten vermissen ließen. Prüfer merkten an, dass andere große Cloud-Anbieter wie AWS oder Google für vergleichbare Dienste routinemäßig diese Detailtiefe lieferten. Das Fehlen klarer Diagramme für Kerndienste ließ die Prüfer im Unklaren über potenzielle Sicherheitslücken – ein fundamentales Problem für die Absicherung von Daten, die nationale Sicherheitsbelange tangieren.

Bereits verbreitete Nutzung ebnete den Weg

Der Bericht legt nahe, dass die letztendliche Freigabe stark von der bereits weiten Verbreitung der Cloud-Lösung in der US-Regierung beeinflusst wurde. Zum Zeitpunkt der finalen Entscheidung war GCC High bereits tief in zahlreichen Bundesbehörden verankert.

Das Justizministerium hatte die Plattform bereits 2020 über einen eigenen behördenspezifischen Weg genehmigt. Auch das Energieministerium und große Rüstungsunternehmen nutzten das System längst für sensible Daten. Die Prüfer kamen zu dem Schluss, dass die Zertifizierung nicht erteilt wurde, weil alle technischen Fragen geklärt waren, sondern vor allem aufgrund der praktischen Tatsache, dass die Technologie in Washington bereits allgegenwärtig war. Dies offenbart ein grundlegendes Dilemma: Die schnelle Einführung von Lösungen durch einzelne Behörden kann zentrale Zertifizierungsstellen unter Druck setzen.

Die mangelhafte Dokumentation technischer Schnittstellen und Datenflüsse führt oft zu massiven Compliance-Lücken und Sicherheitsrisiken. Dieser Experten-Report zeigt mittelständischen Unternehmen effektive Strategien zur Absicherung gegen Cyberkriminelle ohne Budget-Explosion. Experten-Report: Effektive IT-Sicherheitsstrategien entdecken

Systemische Schwächen und knappe Ressourcen

Die Untersuchung zeigt auch systemische Herausforderungen im Aufsichtssystem auf. So nutzten Drittprüforganisationen, die von den Cloud-Anbietern für Audits bezahlt werden, vertrauliche Kanäle, um die Aufsichtsbehörden über unvollständigen Zugang zu Sicherheitsinformationen zu informieren – ein potenzieller Interessenkonflikt.

Zudem wird auf frühere Kontroversen verwiesen: Microsoft setzte bis Juli 2025 Ingenieure mit Standort im Ausland für die Wartung sensibler Regierungssysteme ein, bevor die Praxis nach Medienberichten eingestellt wurde. Verschärft wird die Lage durch drastisch gekürzte Ressourcen der Zertifizierungsstelle. Ihr Jahresbudget schrumpfte auf nur noch zehn Millionen US-Dollar, das Team umfasst etwa zwei Dutzend Mitarbeiter. Ehemalige Mitarbeiter und Branchenbeobachter bezweifeln, dass diese personelle Ausstattung für die rigorose Prüfung komplexer Cloud-Architekturen marktbeherrschender Player ausreicht.

Wendepunkt für Cloud-Sicherheitsstandards

Branchenanalysten sehen in den Enthüllungen einen kritischen Wendepunkt für die Cloud-Sicherheitsstandards der US-Regierung. Sie offenbaren eine systemische Schwachstelle: Die schiere Marktmacht eines Anbieters kann die eigentlich rigorose technische Überprüfung umgehen, die nationale Sicherheitsdaten schützen soll.

Es entstehe ein doppelter Standard: Kleine Anbieter scheitern an hohen finanziellen und bürokratischen Hürden, während etablierte Lösungen von ihrer weiten Verbreitung profitieren. Die Transparenz bei Datenfluss und Verschlüsselung sei jedoch nicht verhandelbar, besonders nach den hochkarätigen, staatlich geförderten Cyberangriffen der letzten Jahre. Die Enthüllungen unterstreichen den wachsenden Konflikt zwischen dem Modernisierungsdruck der Behörden und der mühsamen, zeitintensiven Natur gründlicher Sicherheitsüberprüfungen.

Erhöhter Reformdruck und Ausblick

Die Folgen des Berichts werden wahrscheinlich sofortige Rufe nach strukturellen Reformen der Cybersicherheitsaufsicht auslösen. Aufsichtsbehörden und Regierungsvertreter fordern strengere Governance-Modelle und mehr Transparenz von großen Cloud-Anbietern im Regierungssektor.

Microsoft dürfte unter verstärkten Druck von Gesetzgebern und Verteidigungs-Kunden geraten, seine Alt-Architekturen lückenlos zu dokumentieren und die bisher vorenthaltenen Verschlüsselungsdaten vorzulegen. Das Verteidigungsministerium untersucht derweil weiterhin die früheren Wartungspraktiken. Für das Zertifizierungsprogramm mit seinem geschrumpften Budget und Personal bleibt die Herausforderung, einen wachsenden Stau an Technologiegenehmigungen zu bewältigen und gleichzeitig das Vertrauen in sein Prüfverfahren wiederherzustellen. Branchenbeobachter rechnen damit, dass diese Entwicklungen zu strengeren gesetzlichen Vorgaben für Cloud-Sicherheitsdokumentation und Regulierungsfinanzierung führen könnten.

boerse | 68849306 |