Nutzt die Microsoft Office 365 (DE) Cloud Ressourcen vom Ministry of Defence (UK)?

Für Unternehmen die seriös mit dem Thema Datenschutz umgehen, ist es von großer Bedeutung, dass sie das geltende Recht einhalten sowie dem von ihren Kunden und Geschäftspartnern entgegen gebrachtem Vertrauen gerecht werden. Selbst Firmen, die das Thema Datenschutz und die damit verbundene Einhaltung der Gesetzte eher als ein optionales Thema betrachten, wachen langsam wegen der kommenden Datenschutz-Grundverordnung (DSGVO) auf. 

 

Dieser vom Gesetzgeber erzeugte Handlungsdruck auf die Unternehmen, fußt auch zu einem gewissen Teil darauf, dass es die schwarzen Schafe in der Wirtschaft mit einer beängstigenden Regelmäßigkeit in die Medien schaffen und wegen der Datenverluste letztlich auch das Vertrauen der Kunden in ganze Branchen immer wieder erschüttert wird. Doch nicht nur das dahinterstehende Missmanagement kann für diesen zunehmenden Vertrauensverlust verantwortlich gemacht werden, auch Staaten haben es dank der Whistleblower und der bereits zuvor von Herrn Caspar Bowden publizierten Hinweise geschafft, dass wirklich jeder Bürger zum Schluss kommen könnte, dass die Vertraulichkeit seiner Informationen spätestens an unserer Landesgrenze endet. 

 

Vertrauen ist der Anfang von allem

Diese eingangs erwähnte Verunsicherung hat die Schaffung eines eigenen Marktes für Cloud-Produkte in Deutschland beschleunigt, welcher sich auf die Einhaltung des deutschen Datenschutzrechtes spezialisiert hat und zugleich den Unternehmen die in der Cloud gesehene Flexibilität und Skalierbarkeit von Ressourcen bietet.     

 

Ein noch recht frisches und auf datenschutzaffine Unternehmen ausgerichtetes Produkt, ist die von Microsoft seit Ende 2016 angebotene Office 365 DE Cloud: 

 

Eine Cloud mit deutscher Datentreuhand

Microsoft entwickelt die Cloud durch die Option der deutschen Datentreuhand einen Schritt weiter. Mit der Microsoft Cloud Deutschland werden Kundendaten ausschließlich in Deutschland gespeichert. Die Kontrolle und Entscheidungsgewalt über die Daten obliegt den Kunden selbst. Die Tochtergesellschaft der Deutschen Telekom T-Systems – der Datentreuhänder – agiert unter deutschem Recht und überwacht den Zugriff auf die Kundendaten. 

 

 

Als Datentreuhänder überwacht und kontrolliert T-Systems jeden physischen und technischen Zugriff auf die Kundendaten, mit Ausnahme des Zugriffs durch den Kunden selbst. Der Treuhänder verpflichtet sich vertraglich direkt dem Kunden gegenüber und handelt nur in seinem Auftrag. Die Datenherausgabe an Drittparteien erfolgt nur, wenn der Kunde oder das deutsche Recht es verlangen. Microsoft hat grundsätzlich keinen Zugriff auf die Daten, die in der Microsoft Cloud Deutschland gespeichert sind. Vor „Herausgabeverlangen ausländischer Behörden“ oder richterlichen Anordnungen werden die Kundendaten zusätzlich durch ein Datentreuhändermodell geschützt. Mit der Microsoft Cloud Deutschland mit deutscher Datentreuhand wirkt Microsoft den Bedenken vieler Kunden gegenüber Cloud-Computing entgegen und schafft das Vertrauen, das das Arbeiten mit der Cloud verlangt.“ Quelle: https://www.microsoft.com/de-de/cloud/deutsche-cloud Stand April 2017

 

Ein Cloud-Konzept, welches doch Grenzen überschreitet?

Wie es sich als Vereinsmitglied der Hamburger Datenschutz Gesellschaft (HDG) sowie Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) und Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) gehört, habe ich mir diese Lösung genauer angesehen und bin auf ein Problem gestoßen, welches selbst den Support von Microsoft ins „Staunen“ versetzt hat.  

 

Mir war aufgefallen, dass einzelne eingehende E-Mails nicht an das Office 365 DE Postfach zugestellt wurden. Ferner blieb auch der gemäß dem E-Mailstandard vorgeschriebene Hinweis, für die nicht erfolgreiche Zustellung, an den Absender aus. Für mich war dieser Service somit nicht mehr vertrauenswürdig, da weder der Empfänger noch der Absender über den Fehler bzw. Status der betroffenen Nachrichten informiert wurden. 

Die daraufhin von mir durchgeführte Auswertung des Nachrichtenverlaufs in der Administrationsoberfläche von Exchange ergab, dass die betroffenen E-Mails wegen eines fehlerhaften Serverzertifikates in der von Microsoft angebotenen Advanced Threat Protection nicht zugestellt werden konnten. Für eine ordentliche Bearbeitung des Vorfalls eröffnete ich umgehend ein Störungsticket bei Microsoft und wartete auf die Lösung des Problems. Als mich der Support kurze Zeit später kontaktierte, stellte sich im Gespräch heraus, dass die im Nachrichtenverlauf gelistete IP-Adresse des Servers vom Mitarbeiter nicht zugeordnet werden konnte. Eine von mir schnell durchgeführte Recherche führte zu einem Ergebnis, welches sich weder mit dem Namen des Servers noch mit dem erwarteten Land in Einklang bringen ließ. Denn laut mehrer Quellen im Internet, wie zum Beispiel http://www.utrace.de/?query=25.157.128.88, gehört sowohl der Adressbereich als auch die IP-Adresse dem Ministry of Defence in England.

 

Ministry of Defence (UK)

Wenn es sich nicht um ein Produkt handeln würde, das explizit auf datenschutzaffine Unternehmen in Deutschland ausgerichtet ist, wäre der vorliegende Fall vielleicht nur eine Randnotiz wert. Da dieser Service sich aber gerade an deutsche Berufsgeheimnisträger wie Rechtsanwälte, Ärzte usw. richtet, bekommen die innerhalb der Office 365 DE Cloud verwendeten öffentlichen IP-Adressen eine ganz neue Bedeutung.

 

Der Zertifikatsfehler wurde zwischenzeitlich erfolgreich beseitigt, jedoch habe ich auf meine Frage, ob der Treuhänder T-Systems Ressourcen beim Ministry of Defence für die Erbringung seiner Dienstleistung hinzugebucht hat oder einfach den IP-Adressbereich des Ministeriums verwendet, noch keine Antwort oder Stellungnahme von Microsoft erhalten.