Microsoft-Cloud GCC High: Wie FedRAMP eine kritisch bewertete Technologie für US-Behörden genehmigte

Jahrelang konnten US-Regierungsprüfer nicht nachvollziehen, wie Microsoft sensible Regierungsdaten in seiner Cloud schützt. Am Ende gaben sie grünes Licht – nicht weil ihre Fragen beantwortet waren, sondern weil das Produkt längst flächendeckend im Einsatz war. Das legt ein Investigativbericht von ProPublica offen – einer gemeinnützigen Nachrichtenredaktion, die sich auf die Untersuchung von Machtmissbrauch spezialisiert hat. Der Bericht enthüllt, wie es dazu kommen konnte – und welche Konsequenzen das für die Sicherheit der amerikanischen Bundesverwaltung haben könnte.

Ende 2024 legte ein internes Gutachten der US-Bundesregierung gravierende Mängel in Microsofts Regierungs-Cloud offen. Die Prüfer des Federal Risk and Authorization Management Program (FedRAMP) stellten fest, dass ihnen grundlegende Sicherheitsdokumentation fehlte.

Intern sprach ein Mitglied des Prüfteams von einem „Haufen Scheiße“.

Dennoch erteilten die Verantwortlichen die offizielle Zulassung. Wie es dazu kam, hat ProPublica auf Grundlage interner Memos, E-Mails, Sitzungsprotokolle und Interviews mit sieben ehemaligen sowie amtierenden Regierungsmitarbeitern rekonstruiert.

Was ist GCC High?

„Government Community Cloud High“ ist eine Suite cloudbasierter Dienste von Microsoft, die speziell für die Verarbeitung hochsensibler Regierungsdaten konzipiert wurde. Laut offizieller Einstufung handelt es sich um Informationen, deren Bekanntwerden „schwerwiegende oder katastrophale negative Auswirkungen“ auf Behördenoperationen, Vermögenswerte und Einzelpersonen haben könnte. Heute stützen sich das Justizministerium, das Energieministerium sowie Teile des Verteidigungssektors auf GCC High – darunter auch Rüstungsunternehmen wie Boeing, die militärische Waffensysteme entwickeln und warten.

Das Produkt ist damit weit mehr als ein gewöhnliches Geschäftsangebot. Es ist ein zentrales Werkzeug für Strafverfolgungsbehörden, Geheimdienste und das Militär – und seine Sicherheitsarchitektur steht im Kern der Auseinandersetzung, die ProPublica nun öffentlich macht.

Das FedRAMP-System: Idee und Wirklichkeit

FedRAMP wurde 2011 im Rahmen der „Cloud First“-Politik der Obama-Regierung ins Leben gerufen. Hintergrund war ein grundlegender Wandel in der Informationstechnologie der Bundesverwaltung: Statt eigener Server sollten Behörden zunehmend auf Cloud-Dienste privater Anbieter setzen – kostengünstiger, effizienter, skalierbarer. Damit die Sicherheit dieser Dienste gewährleistet blieb, schuf die Regierung FedRAMP als zentrales Zulassungssystem nach dem Prinzip „einmal prüfen, mehrfach nutzen“.

Die Idee war einleuchtend: Statt dass jede Behörde denselben Cloud-Dienst separat bewertet, prüft FedRAMP einmalig und stellt das Ergebnis allen zur Verfügung. Auf dem sogenannten FedRAMP Marketplace werden zugelassene Produkte öffentlich gelistet – eine Art Gütesiegel, das den Beschaffungsprozess beschleunigen und vereinheitlichen soll.

In der Praxis stieß das System jedoch schnell an seine Grenzen:

• FedRAMP war chronisch unterbesetzt und konnte mit der Flut von Anträgen nicht Schritt halten
• Technologieunternehmen drängten auf rasche Genehmigungen, da Milliarden an Bundesaufträgen davon abhingen
• Behörden standen politisch unter Druck, möglichst schnell auf Cloud-Lösungen umzusteigen
• Drittprüfer, die Cloud-Produkte unabhängig bewerten sollten, wurden von den Unternehmen bezahlt, die sie bewerteten – ein struktureller Interessenkonflikt
• Viele Behörden umgingen das Programm ganz und führten eigene Prüfungen durch

Genau dieser Umgehungsweg – der sogenannte „Behördenweg“ – ermöglichte es GCC High, bereits in weiten Teilen der Bundesverwaltung eingesetzt zu werden, bevor FedRAMP seine Prüfung abgeschlossen hatte.

Der Einstieg: Das Justizministerium öffnet die Tür

Anfang 2020 gab das Justizministerium unter seiner stellvertretenden Chief Information Officer Melinda Rogers grünes Licht für GCC High – basierend auf einer eigenen Sicherheitsbewertung, nicht auf einer abgeschlossenen FedRAMP-Prüfung. Das Ministerium verarbeitete hochsensible Gerichts- und Strafverfolgungsakten und hatte besondere Anforderungen: Nur US-Bürger durften Zugang zu seinen IT-Systemen haben.

Die IT-Spezialisten des Ministeriums kamen zu dem Schluss, dass GCC High diese Anforderungen erfüllen könne. Rogers machte die Entscheidung offiziell und rollte GCC High im gesamten Ministerium aus. Die Folge: GCC High erschien auf dem FedRAMP Marketplace als „in Bearbeitung“ – was dem Produkt faktisch eine kostenlose Werbeplattform verschaffte und anderen Behörden signalisierte, dass die Technologie den Bundesstandards genüge. Richard Wakeman, leitender Sicherheitsarchitekt bei Microsoft, feierte den Meilenstein in einem Online-Forum mit einem Meme aus „The Wolf of Wall Street“: „BOOM SHAKA LAKA“.

Im April 2020 landete GCC High schließlich zur formellen Prüfung im FedRAMP-Büro.

Fünf Jahre ohne klare Antworten

Was dann folgte, war ein zähes, jahrelanges Ringen um grundlegende Sicherheitsinformationen. FedRAMP verlangte von Microsoft sogenannte Datenflussdiagramme: visuelle Darstellungen, die zeigen, wie Daten zwischen Servern übertragen werden – und an welchen Punkten sie dabei verschlüsselt und entschlüsselt werden. Diese Anforderung ist keine Besonderheit, sondern Standard: Andere große Cloud-Anbieter wie Amazon und Google lieferten solche Diagramme nach Angaben von FedRAMP-Mitarbeitern routinemäßig.

Microsoft hingegen lieferte wiederholt Unterlagen, die FedRAMP als unzureichend einstufte. Das Muster wiederholte sich über Jahre:

• FedRAMP fordert Diagramme in einem bestimmten Detailgrad an
• Microsoft reicht Dokumente ein, die wesentliche Details auslassen
• FedRAMP stellt weitere Fragen, Microsoft liefert erneut unvollständige Antworten
• Monate vergehen ohne nennenswerten Fortschritt

Als Erklärung für die Schwierigkeiten gilt die technische Architektur von Microsoft selbst. Das Unternehmen baute seine Cloud-Dienste auf jahrzehntealtem Legacy-Code auf – ein verworrenes Geflecht aus Komponenten, das selbst interne Ingenieure kaum vollständig dokumentieren konnten. Ein FedRAMP-Prüfer beschrieb den Datenweg von Punkt A nach Punkt B als Reise von Washington nach New York mit Umwegen per Bus, Fähre und Flugzeug – anstatt direkt mit dem Zug zu fahren. Und jeder dieser Umwege sei eine potenzielle Angriffsfläche, wenn die Daten nicht korrekt verschlüsselt sind.

Tony Sager, der mehr als drei Jahrzehnte als Informatiker bei der NSA arbeitete, bestätigte dieses Bild: Im Gegensatz zu Amazon und Google, die ihre Systeme von Grund auf neu entwickelt hätten, sei Microsofts Architektur „nicht für diese Art der Trennung von ‚sicher‘ und ‚nicht sicher‘ ausgelegt“. FedRAMP-Prüfer kamen nach 480 Arbeitsstunden, 18 technischen Sitzungen und unzähligen E-Mails zu einem ernüchternden Fazit: „Wir sind nie über Exchange Online hinausgekommen. Wir haben nie diesen Detaillierungsgrad erreicht. Wir hatten keinen Einblick in das System.“

Externe Prüfer mit eingeschränktem Blick

Parallel zu FedRAMP sollten externe Prüfungsorganisationen – sogenannte Third Party Assessment Organizations (3PAOs) – unabhängig bewerten, ob GCC High die Bundesstandards erfüllt. Im Fall von GCC High übernahmen zunächst Coalfire, später Kratos diese Rolle.

Beide Unternehmen nutzten einen vertraulichen Hinterkanal, den FedRAMP explizit eingerichtet hatte, um auch Informationen zu erhalten, die externe Prüfer ihren zahlenden Kunden gegenüber nicht offen ansprechen wollten. Über diesen Kanal teilten beide Firmen mit, dass es „schwierig bis unmöglich“ gewesen sei, die nötigen Informationen von Microsoft zu erhalten, um eine vollständige Bewertung durchzuführen – so die Recherche von ProPublica.

FedRAMP war mit der Arbeit von Kratos so unzufrieden, dass das Unternehmen einen „Korrekturmaßnahmenplan“ erhielt, der letztlich zur Aberkennung der Akkreditierung hätte führen können. Kratos wies diese Einschätzung zurück und erklärte, Microsoft habe „alle erforderlichen Diagramme vorgelegt“. Der strukturelle Interessenkonflikt – Prüfer werden von den Unternehmen bezahlt, die sie bewerten – blieb dabei bestehen. Die GSA erklärte auf Anfrage, das System schaffe „keinen inhärenten Interessenkonflikt für professionelle Prüfer“.

Zwei Cyberangriffe, kaum Konsequenzen für den Prozess

Während die Prüfung von GCC High ins Stocken geriet, rückte Microsoft zweimal ins Zentrum schwerwiegender Cyberangriffe auf die US-Regierung. Beim sogenannten SolarWinds-Angriff 2020 nutzten russische Staatshacker eine Schwachstelle in einem Microsoft-Produkt aus, um in Systeme zahlreicher Bundesbehörden einzudringen – darunter das Justizministerium und die National Nuclear Security Administration. Eine seit Jahren bekannte Sicherheitslücke, die Microsoft laut ProPublica trotz interner Warnungen nicht behoben hatte, erleichterte diesen Angriff.

2023 drangen chinesische Staatshacker in GCC – die günstigere Variante von GCC High – ein und stahlen E-Mails des Handelsministers, des US-Botschafters in China und anderer hochrangiger Beamter. Dieser Vorfall veranlasste das Weiße Haus, FedRAMP-Interimsdirektor Brian Conrad direkt zu kontaktieren. Conrad nahm aus dem Gespräch mit: FedRAMP müsse alle Cloud-Anbieter an denselben Standards messen – und würde unter politischen Druck geraten, falls ein genehmigter Dienst gehackt werde. Wenig später teilte Conrad Microsoft schriftlich mit, dass FedRAMP die Zusammenarbeit einstelle und einen Neustart des Verfahrens fordere.

Auf den laufenden FedRAMP-Prüfprozess hatten beide Angriffe nach Aussage ehemaliger Teammitglieder kaum spürbaren Einfluss.

Politischer Druck und ein ungewöhnliches Treffen

Microsoft reagierte auf Conrads Entscheidung mit intensivem Lobbying. John Bergin, der Microsoft-Verbindungsmann und ehemalige Armeeoffizier, wandte sich an führende Regierungsvertreter und bat das Justizministerium, „sein Gewicht in die Waagschale zu werfen“, um die FedRAMP-Zulassung zu sichern. Im Dezember 2023 versammelten sich Vertreter beider Seiten im GSA-Hauptquartier in Washington.

Dort unterstützte Melinda Rogers – inzwischen zur Chief Information Officer des Justizministeriums aufgestiegen – offen die Position von Microsoft und kritisierte die Prüfmethodik von FedRAMP. Aus Sicht ehemaliger FedRAMP-Mitarbeiter hatte Rogers ein eigenes Interesse am Ausgang: Sie war es gewesen, die GCC High im Justizministerium eingeführt hatte. Ohne FedRAMP-Genehmigung wäre sie im Fall eines Sicherheitsvorfalls persönlich verantwortlich gewesen. Rogers wechselte 2025 zu Microsoft – das Unternehmen erklärte, es bestehe „absolut kein Zusammenhang“ zwischen ihrer Einstellung und den Entscheidungen im GCC-High-Prozess.

Gleichzeitig bauten Verteidigungsunternehmen, die GCC High bereits einsetzten, Druck auf. Da das Pentagon verlangt, dass von Auftragnehmern genutzte Cloud-Produkte FedRAMP-konform sind, befürchteten einige Firmen, gegen Vorschriften zu verstoßen – mit möglichen Konsequenzen für ihre Verträge. Auch das Pentagon wandte sich an FedRAMP, um sich nach dem Stand der Zulassung zu erkundigen.

Vernichtendes Urteil, trotzdem genehmigt

Im Sommer 2024 trat Pete Waterman als neuer ständiger FedRAMP-Direktor an. Er nahm die Prüfung mit einem frischen Team wieder auf – und kam zu denselben Schlüssen wie seine Vorgänger. Das Team konnte lediglich zwei der zahlreichen in GCC High enthaltenen Dienste bewerten: Exchange Online und Teams. Schon dabei identifizierten die Prüfer grundlegende Probleme:

• Mängel bei der zeitnahen Behebung von Sicherheitslücken
• Unzureichendes Schwachstellen-Scanning
• Fehlende Sicherheitsdokumentation, die eine fundierte Risikobewertung verhindert
• Kein Vertrauen in die Einschätzung der Gesamtsicherheitslage des Systems

Als ProPublica diese Ergebnisse Bergin, dem Microsoft-Verbindungsmann, vorlas, zeigte sich dieser überrascht und bezeichnete die Formulierungen als „ziemlich vernichtend“ – ein Urteil, das „im Allgemeinen mit einer Feststellung ‚nicht geeignet‘ in Verbindung gebracht worden wäre“.

Dennoch erteilte FedRAMP am 26. Dezember 2024 die Zulassung. Die Begründung: Eine Ablehnung hätte alle Behörden getroffen, die GCC High bereits nutzen. Die Genehmigung wurde mit einem Begleitbericht versehen, der die Mängel festhielt, auf unbekannte Risiken hinwies und Behörden ausdrücklich aufforderte, das Produkt eigenständig zu prüfen und sich bei Fragen direkt an Microsoft zu wenden. Microsoft erklärte gegenüber ProPublica, den Abschlussbericht in dieser Form nicht erhalten zu haben.

Unbekannte Risiken, bekannte Muster

Die Frage, welche weiteren Schwachstellen in GCC High schlummern könnten, beschäftigt Beamte bis heute. Ein konkretes Beispiel: Das Justizministerium erfuhr nicht von Microsoft und nicht von FedRAMP, sondern aus einer ProPublica-Recherche, dass Microsoft bei der Wartung seiner Cloud-Systeme auf in China ansässige Ingenieure zurückgegriffen hatte – obwohl das Ministerium Nicht-US-Bürgern den Zugang zu seinen IT-Systemen untersagt hatte. Der schriftliche Sicherheitsplan für GCC High, den Microsoft dem Ministerium vorgelegt hatte, enthielt keinen Hinweis auf diesen Umstand. Microsoft stellte die Praxis nach Veröffentlichung der ProPublica-Recherche ein.

Hinzu kommt ein weiterer Aspekt, der Beobachter aufhorchen lässt: Lisa Monaco, die stellvertretende US-Generalstaatsanwältin, die 2021 eine Initiative gegen Cybersicherheitsbetrug ins Leben rief und ankündigte, den False Claims Act gezielt gegen Auftragnehmer einzusetzen, die Sicherheitsstandards nicht einhalten – verließ ihre Regierungsposition im Januar 2025. Kurz darauf stellte sie Microsoft als Präsidentin für globale Angelegenheiten ein.

FedRAMP heute: Minimalbetrieb mit Rekordgenehmigungen

Unter der Trump-Regierung wurde FedRAMP durch das Department of Government Efficiency erheblich verkleinert. Personal und Budget wurden drastisch reduziert; das Jahresbudget beläuft sich auf 10 Millionen Dollar – der niedrigste Stand seit einem Jahrzehnt. Das Programm arbeitet nach eigenen Angaben „mit einem absoluten Minimum an Support-Mitarbeitern“ und „begrenztem Kundenservice“. Gleichzeitig erteilt FedRAMP so viele Zulassungen wie nie zuvor.

Die GSA hat ihre Beschreibung der Aufgabe von FedRAMP in diesem Zusammenhang neu gefasst: Die Behörde erklärt nun, die Rolle des Programms bestehe nicht darin, „zu bestimmen, ob ein Cloud-Dienst sicher genug ist“, sondern lediglich darin, „sicherzustellen, dass Behörden über ausreichende Informationen verfügen, um diese Risikobewertungen vorzunehmen“. Das Problem dabei: Den meisten Behörden fehlt das Personal für solche eigenständigen Bewertungen – womit das gesamte System letztlich auf den Angaben der Anbieter und den Einschätzungen der von ihnen bezahlten Prüfer beruht.

Tony Sager, der ehemalige NSA-Informatiker, brachte es auf den Punkt:

„Das ist keine Sicherheit. Das ist Sicherheitstheater.“

Quelle: ProPublica – eine gemeinnützige Nachrichtenredaktion, die Machtmissbrauch untersucht.

Das sollten Sie sich ansehen:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk