Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ist das Pendant zum Schweizer Bundesamt für Cybersicherheit. Es wollte von Microsoft Auskünfte zum aufsehenerregenden Hack von E-Mail-Konten, die von Microsoft gehostet wurden.

Von dem wahrscheinlich von einer chinesischen Gruppierung im Mai 2023 durchgeführten Hack waren in den USA Regierungsbehörden und Regierungsvertreter betroffen, darunter das Aussenministerium, der US-Botschafter in China und ein leitender Mitarbeiter des Aussenministeriums. Die US-Security-Behörde Cisa hat den Vorfall untersucht und danach scharfe Kritik an Microsoft geübt. Die Cisa kritisierte allerdings unter anderem eine mangelnde Sicherheitskultur bei Microsoft, beklagte sich aber nicht über die Zusammenarbeit an sich.

Wie der 'Spiegel' exklusiv berichtet (Paywall), scheint das BSI aber ganz andere Erfahrungen gemacht zu haben. Obwohl laut dem Nachrichtenmagazin in Deutschland nur drei Privatpersonen betroffen waren, wollte auch das deutsche Security-Amt mehr Auskünfte von Microsoft. Schliesslich werden die Microsoft-Services auch in Deutschland von den meisten Behörden benützt.

Die Auskünfte fielen jedoch nicht befriedigend aus. "Die unternehmensinterne Aufstellung von Microsoft ist so, dass offensichtlich keine kurzfristigen, dringend erforderlichen Reaktionen auf grundlegende sicherheitstechnische Fragestellungen möglich sind", sagte der BSI-Mitarbeiter Thomas Caspers laut dem Bericht. "Dies entschuldigt jedoch nicht ausbleibende Rückmeldungen, insbesondere auch an das BSI."

Das BSI, so der 'Spiegel', habe monatelang versucht, an weitergehende Informationen zu gelangen, unter anderem bei einem Termin in Redmond im letzten September. Danach habe die Behörde schriftlich weitere Auskünfte angefordert. Die Antworten blieben jedoch unbefriedigend.

Anfang dieses Jahres habe das BSI dann, gemäss 'Spiegel', zum ersten Mal überhaupt in einem solchen Fall die drastische Massnahme ergriffen, juristische Schritte einzuleiten. "Wir haben dann im Verlauf der fachlichen Auseinandersetzung mit Microsoft den formellen Weg der Anordnung beschritten, weil die Angaben, die wir zuvor in unserem regulären Austausch erhalten haben, nicht zufriedenstellend waren", so Caspers gegenüber dem 'Spiegel'. Erst danach habe sich Microsoft dazu bequemt, die Fragen befriedigen zu beantworten.

Gemäss dem Bericht wollte das BSI insbesondere wissen, wie Kunden Double-Key-Encryption wirksam anwenden können. Diese zusätzliche Massnahme hätte demnach den Abfluss von unverschlüsselten Kundendaten verhindern können. Microsoft habe das Amt zu diesem Thema zunächst lediglich auf zwei Blogposts verwiesen. Die dort enthaltenen Informationen hätten aber nicht ausgereicht.