„Ein Haufen Scheiße“: Wie FedRAMP Microsofts Cloud trotzdem freigab
Was genau passiert ist
FedRAMP‑Prüfer kamen Ende 2024 zu dem Schluss, dass Microsofts Government Community Cloud High (GCC High) keine „proper detailed security documentation“ lieferte und ein Teammitglied die Paket‑Unterlagen als „the package is a pile of shit“ bezeichnete. Trotz offener Fragen – etwa fehlender Detaildiagramme zur Verschlüsselung – autorisierte FedRAMP das Angebot, während es bereits in zahlreichen Behörden und im Verteidigungssektor eingesetzt wurde. Microsoft‑Mitarbeiter feierten die Genehmigung online mit dem Meme „BOOM SHAKA LAKA“ des Sicherheitsarchitekten Richard Wakeman. FedRAMP dokumentierte die Freigabe teils als eine Art „buyer beware“, weil viele Unsicherheiten ungeklärt blieben.
Warum das relevant ist
Die Entscheidung setzt Behörden potenziell großen Risiken aus: Microsoft‑Produkte standen im Zentrum zweier schwerer Cyberangriffe, bei denen unter anderem Daten der National Nuclear Security Administration gestohlen und E‑Mails von Kabinettsmitgliedern kompromittiert wurden. Regierungsdokumente warnen, dass ein Leak „could be expected to have a severe or catastrophic adverse effect“ auf Operationen, Vermögenswerte und Personen haben könnte. Ex‑NSA‑Wissenschaftler Tony Sager fasst die Lage pointiert zusammen: „This is not security. This is security theater.“
Technischer und strategischer Hintergrund
FedRAMP war in der Obama‑Ära als zentrale Bewertungseinheit für Cloud‑Dienste geschaffen worden, flankiert von der Cloud‑First‑Politik von 2011 und dem Prinzip „do once, use many times“. Microsoft durchlief die vorgeschriebene Drittprüfer‑Evaluation, lieferte aber laut FedRAMP über Jahre nur teilweise Antworten auf Anforderungen zu Verschlüsselungsdiagrammen; die Prüfungen zogen sich seit 2020 hin. Hinzu kommt, dass viele Behörden Produkte eigenständig nach FedRAMP‑Standards prüften («agency path») und Dienste bereits während der laufenden Prüfung einsetzten. Microsoft betont, es habe „comprehensive documentation“ geliefert, Befunde bereinigt und nach einer ProPublica‑Recherche im Juli den Einsatz chinesischer Ingenieure für Verteidigungsaufträge gestoppt.
Chancen, Risiken und Marktfolgen
Die Flut an Cloud‑Anfragen traf ein stark geschrumpftes FedRAMP: Das Programm arbeitet laut eigenen Angaben mit rund zwei Dutzend Mitarbeitenden und einem Jahresbudget von 10 Millionen Dollar, dem niedrigsten Stand seit einem Jahrzehnt. Kritiker sagen, die Personal‑ und Budgetkürzungen hätten FedRAMP zu einem Gummistempel für die Branche gemacht, während Microsoft sein Regierungs‑Geschäft zu einem Milliardenmarkt ausbauen konnte. Zugleich erhöht die schwächere Kontrolle das Risiko, dass neue Cloud‑und KI‑Dienste unzureichend geprüft werden, worauf auch die verstärkte Ermittlungs‑ und Strafverfolgungsaktivität des Justizministeriums hindeutet.
Würdest du dieser Cloud‑Technologie das Vertrauen schenken?
