Hoher Schutzbedarf einsatz in der Behörde

Der Einsatz von MS365 beim hohen Schutzbedarf muss anders betrachtet werden als bei normalen Schutzbedarf.

Doch erstmal was bedeutet "hoher Schutzbedarf"?

Hoher Schutzbedarf

Zuerst ist dies ein Begriff den es auch in der IT-Sicherheit gibt. In der IT-Grundschutz-Methodik werden system in drei Schutzniveaus eingeteilt. Normal,Hoch und sehr Hoch.

Diese sind wie folgt definiert.

LevelDefinition
Sehr HochDie Schadensauswirkungen können ein existenziell bedrohliches, katastrophales
Ausmaß erreichen.
HochDie Schadensauswirkungen können beträchtlich sein.
NormalDie Schadensauswirkungen sind begrenzt und überschaubar.

Wichtig ist dabei auch die Auswirkung dabei. Die Level Vererben sich nämlich. Sollte ein System etwas verarbeiten was aus einem System mit einem höheren Schutzbedarf stammt, so wird automatisch der Schutzbedarf hochgestuft.

Das heißt, wenn ich z.B. Daten in einem System mit hohen Schutzbedarf sammel, und diese danach in meinem lokalen Excel analysieren möchte, wird automatisch der Laptop den ich dafür benutze auch in den hohen Schutzbedarf fallen. Das ist das Vererbungsprinzip. Dies ist besonders wichtig, da die Behörden oft Daten aus verschiedenen Schutzklassen bearbeiten.

Deswegen muss für Behörden, die mit Systemen interagieren die einen hohen Schutzbedarf bedürfen automatisch der hohe Schutzbedarf vorausgesetzt werden.

Hoher Schutzbedarf im Datenschutz

Im Datenschutz gibt es diesen Begriff nicht. Wir können aber etwas ähnliches definieren. Im Datenschutz gibt es den unterschied zu besondere Kategorien von Daten. In Art. 9 werden diese für Daten aus dem Gesundheitsbereich und in Art. 10 für Daten aus dem Vollzug beschrieben. In Deutschland gibt es noch die Besonderheit des Datenschutzes aus dem Sozialgesetzbuch.

Was heißt das nun im Kontext?

Mit "hoher Schutzbedarf" muss deswegen ein eigens erstellter Begriff in der Stadt Hamburg definiert sein. Es geht hier also um Daten, die teilweise beide Kategorien erfüllen. Diese einstufung ist auch außerhalb, der Geheimhaltungseinstufung. Diese hat eine feste definition und auch wie Daten aus diesem Bereich abgesichert werden.

Wie machen es andere Länder z.B. die U.S.A? Haben die auch ihre Daten einfach in MS365? Nein, dort wurde für die Behörden eine eigene Kopie vom normalen Microsft-Netzwerk erstellt. Diese ist die sogenannte Government umgebung. Und Daten dürfen diesen Bereich nicht verlassen. Die Regierung hat sich dafür auch erweiterete Überwachungsrechte geben lassen. So wird dieses Netzwerk nicht ausschließlich vom Microsoft SOC überwacht, welches für diese Umgebung nur extra geprüftes Personal benutzt, sondern auch von den dafür vorgesehenen Geheimdiensten siehe hierzu auch die beschreibung zu US GOV 365.

Also selbst die U.S.A wollen nicht das Standard MS365 nutzen. Dies ist auch eine Entwicklung aus den Sicherheitslücken die 2023 und 2024 aufgedeckt wurden, als die Chinesische Hackinggruppe Storm-0558 sich mehrfach zutritt zu der gesamten Cloudumgebung verschafft hatte1.

Welche Daten konkret?

Darüber lässt sich nur spekulieren. Aber anhand der Kategorien wären dies.

  • Email der jeweiligen Behörden und damit auch Anhänge
  • Vermerke
  • Notizen

Fallakten, sollen eigentlich nur in dem jeweiligen E-Aktensystem behandelt werden. Doch jede Person die mit diesem System schon mal gearbeitet hat, weiß, dass teile von Akten immer noch runter geladen werden müssen, um diese zu bearbeiten.

Dies sind die Daten aus wahrscheinlich den Behörden Justiz und Polizei, Sozialbehörde, Datenschutz, Finanz und Schulen. Auch teile der Bezirksämter dürfte dies betreffen.

1

https://www.cisa.gov/sites/default/files/2025-03/CSRBReviewOfTheSummer2023MEOIntrusion508.pdf

Hamburgs Problem mit der Digitale Souverinität

In der hamburger Verwaltung wird seit diesem Jahr ausschließlich Microsoft 365 eingesetzt. Der Senat hat sich hierbei trotz aller Warnungen dafür entschieden, statt weiter einer Lösung im eigenen Rechenzentrum, alle Daten nach Microsoft zu geben. Das heißt zukünftig werden alle Daten der Bürger:innen von Hamburg auf kurz oder lang bei Microsoft gespeichert. Dies bedeutet auch, dass all diese Daten in zukünftig Trumps Regeierung zur verfügung stehen.

Die Senatzkanzlei bzw. das Amt für IT und Digitalisierung hat dieses Projekt umgesetzt ohne auch nur einmal Kritisch zu hinterfragen, welche folgen dieser Umstieg für alle hat. Auch der Datenschutz für die Mitarbeitende der Stadt Hamburg wird dabei mit den Füßen getreten.

In einer Befragung der Französichen Regierung musste der Chefjustizier von Microsoft zugeben, dass nicht garantiert werden kann, dass keine Daten in die USA fließen. Auch nicht mit dem neuen EU-Angebot von Microsoft1.

Auch die Hoffnung auf die Deloscloud2 hat sich hierzu nicht bewährt. Das Innenministerium von Baden-Würtemberg hat hierzu selbst bestätigt, dass es keine Garantien gibt, solange amerikanische Software eingesetzt wird3.

Es gibt hier also mehrere Probleme die durch den Einsatz von MS365 unlösbar werden.

1. Datenschutz

Ein datenschutzkonformer Einsatz ist nicht möglich. Dataport hat in den Protokollen gezeigt, dass sie nicht wissen, wie eine korrekte Messung von Datenströmen funktioniert. Aufgrundlage dieser schwachen Datenlage wurden allerdings Regelungen getroffen, die die Mitarbeitenden schützen sollen. Auch der Schutz der Daten der Bürger*innen wird nicht ernst genommen. Nicht nur, dass diese zum Teil in die USA gesendet werden. MS365 erleichtert auch den Missbrauch innerhalb der Organisation. Die Tools von MS365 sind darauf ausgelegt, das Daten Analysiert und weiter bearbeitet werden können. Ein korrekte Trennung der Datenbestände wird in Hamburg hierbei nur logisch umgesetzt. Das heißt, alle Behörden arbeiten im gleichen Tenant. Eine einfache falsche Einstellung von Active Directory kann dazu führen, dass Behörden zugriff auf Daten erlangen, den diese nicht benötigen. Datenschutz heißt Missbrauch verhindern vor der Organisation die die Daten hält. Auch kann niemand überprüfen, welche Daten wirklich abfließen oder was mit diesen geschieht.

2. Sicherheit

In den Akten wird oft von "Bring your own Device" geredet. Dies bedeutet, dass auch fremde Geräte genutzt werden sollen für die Arbeit. Hierdurch macht sich das Netzwerk der Stadt unglaublich angreifbar. Diese Geräte werden nicht überwacht und eine Datenpanne ist damit nur ein klick auf einem privaten Gerät entfernt. Nicht zu vergessen, dass es Angreifern erleichtert wird an Daten der Stadt zu gelangen. Wo vorher alle Daten in einem internen Netzwerk auf Servern lagen, über den die Stadt komplette hoheit besessen hat, ist die Sicherheit nun von mehreren äußerlichen Faktoren abhängig. Die Sicherheit ist nun davon abhängig, wie ernst Microsoft diese wirklich schützen will. Und wie gut das Personal der Stadt geschult ist. Vorbereitet ist die IT-Sicherheit hierdrauf nicht. Das eingesetzte SOC kann nicht mal einen 24/7 Betrieb garantieren. Phishing wird erleichtert genauso wie das fortbewegen nach einer Infektion. Das Angriffspotenzial ist gerade schier endlos. Das Microsoft es nicht ernst nimmt mit der Sicherheit der Geräte, bezeugen Berichte aus Amerika4. Und die einzige Behörde, die eine Aufsicht führt in Amerika, wurde geschlossen. Es gibt also defacto keine Sicherheitsaufsicht mehr.

3. Souverinität und Wirtschaft

Hamburg hätte die Schleswig-Holstein auch, dass Geld für die Lizenzen in eigene Software und Infrastruktur stecken können. Dies hätte zum einem dazu geführt, dass neue Jobs und Hamburg und Deutschland geschaffen werden. Zum anderen, wäre eine abhängigkeit zum einem anderen Land damit unterbunden worden. Jetzt kann die USA diese abhängigkeit nutzen um Druck auf Gesetzgebungen auszuüben. Diesen Druck hat die US-Regierung auch schon in anderen Situationen genutzt, z.B. beim Internationen Strafgerichtshof5.

Forderung

Es muss also dringend ein Plan her, damit Hamburg unabhängig wird, vom einsatz von Microsoft. Hier muss der Einsatz von quelloffener und transparenter Software vorangetrieben werden. Der Einsatz von LLMoin muss dringend gestoppt werden, bevor dies in zu vielen Prozessen einzug erhält.