Technische und rechtliche Abhängigkeiten
Unternehmen verlieren bei Microsoft Cloud-Diensten einen grossen Teil ihrer Datenhoheit. Die Infrastruktur und Sicherheitskontrollen liegen vollständig beim Anbieter, was bei Änderungen oder Serviceunterbrüchen keine kurzfristigen Eigenlösungen zulässt.
- Microsoft kann einseitig Updates und Policy-Änderungen durchsetzen und erzwingt gegebenenfalls Migrationen auf eigene Kosten.
- Die Monopolstellung wird durch jahrelange Lizenzverträge und hohe Wechselbarrieren verstärkt.
US Cloud Act und Zugriffsrisiken
Der „Clarifying Lawful Overseas Use of Data Act“ verpflichtet US-Unternehmen dazu, Daten auch von Servern im Ausland an US-Behörden herauszugeben. Schweizer Firmen können eine solche Herausgabe selbst bei europäischen Rechenzentren nicht verhindern.
Politische Eingriffe
In einem historischen Fall blockierte Microsoft im Jahr 2022 den E-Mail-Zugang des Chefanklägers des Internationalen Strafgerichtshofs, nachdem US-Sanktionen verhängt wurden. Dieses Beispiel macht deutlich, wie US-Politik und Sanktionen global durchgreifen können.
Datenschutz- und Tracking-Gefahren
Microsoft sammelt umfangreiche Telemetrie- und Nutzungsdaten zur Produktoptimierung. Dies schliesst Metadaten zu Kommunikationsmustern, Systemkonfiguration und Anwendungsnutzung ein, deren Umfang vielen Unternehmen nicht bewusst ist.
- Gefahr des Diebstahls von Wissen und Geschäftsgeheimnissen, wenn Telemetriedaten Sicherheitslücken offenbaren.
- Replikation ruhender Daten zwischen Schweizer, deutschen und irischen Rechenzentren unterliegt EU-Standardvertragsklauseln, schützt aber nicht vor US-Behördenzugriffen.
- Komplexe Datenschutz- und Verschlüsselungskonfigurationen bergen Compliance-Risiken, wenn sie falsch implementiert werden.
Wirtschaftliche und strategische Risiken
Die langfristige Bindung an Microsoft erschwert Budget- und Strategieplanungen. Lizenzkosten steigen mit wachsendem Funktionsumfang, während technische Alternativen vernachlässigt werden.
- Lokale Softwarehersteller und Open-Source-Anbieter werden ausgebremst, weil grosse Budgets in Microsoft-Infrastruktur fliessen.
- Interne Kritiker, wie etwa IT-Verantwortliche, werden in Einzelfällen gemarginalisiert, wenn Sicherheitsbedenken die Einführung von Microsoft 365 in Behörden infrage stellen.
Risiken durch Hackerangriffe
Durch die breite Verbreitung von Microsoft-Produkten erhöhen sich Angriffsflächen. Bekannte Sicherheitslücken in Windows, Office und Exchange werden gezielt ausgenutzt.
- Automatisierte Exploits setzen standardisierte Protokolle wie SMB und RDP ins Visier.
- Phishing-Kampagnen, die auf bekannte Schwachstellen in Outlook und Teams abzielen, können in grossem Massstab stattfinden.
- Mangels vollständiger Transparenz über Telemetrie-Daten fehlt die Übersicht über ungewöhnliche Zugriffsmuster.
Widersprüche zum Schweizer DSG
Viele Microsoft-Standardkonfigurationen entsprechen nicht den Anforderungen des Schweizer Datenschutzgesetzes (DSG). Verarbeitungszweck, Datensparsamkeit und Datenlokalisierung werden oft unzureichend umgesetzt.
- Artikel 24 DSG verlangt technische und organisatorische Maßnahmen zur Wahrung der Vertraulichkeit. Bei falscher Cloud-Konfiguration bleibt dieser Schutz unvollständig (vgl. Artikel 24 DSG).
- Betroffenenrechte und Transparenzpflichten lassen sich nur mit erheblichem Aufwand realisieren.
Empfehlungen zur Risikominderung
Setzen Sie konsequent auf Open-Source-Lösungen, um Abhängigkeiten abzubauen und Datenschutz-Standards einzuhalten:
- Migration zu Linux-basierten Betriebssystemen (z. B. Debian, Ubuntu).
- Einsatz von Nextcloud für Datei- und Kalenderdienste.
- Nutzung von OnlyOffice oder LibreOffice anstelle von Microsoft Office.
- Implementierung von OpenSSH und OpenVPN für sicheren Fernzugriff.
- Austausch von Exchange durch Mailcow oder Mailu.
- Einführung von Open-Source-SIEM-Tools wie Wazuh zur Event-Analyse.
- Nutzung von CryptPad und Jitsi für kollaborative Kommunikation.
Durch diese Open-Source-Strategie bleibt die Souveränität gewahrt und Sie erfüllen die Anforderungen des DSG ohne Hidden Backdoors.
