Datenhoheit und sicherer Microsoft-Support: Eine Realitätsprüfung.

Wenn Sie sich auf Microsoft Unified Support verlassen, stellen Sie sich wahrscheinlich eine einfache Frage: Können wir schnelle, kompetente Hilfe erhalten, ohne unsere Daten zu gefährden? Jüngsten Berichten zufolge ist die Antwort auf diese Frage nicht mehr selbstverständlich – insbesondere für den öffentlichen Sektor und regulierte Workloads.

Führungskräfte fürchten nicht nur Ausfallzeiten – Gefahren können auch dort entstehen, wo Support tatsächlich geleistet wird: Wer greift auf Tickets, Protokolle und Live-Sitzungen zu und unter welchen nationalen Gesetzen? ProPublica fand heraus, dass Microsoft in mehreren US-Behörden Ingenieure aus China einsetzte (mit „digitalen Begleitern“). Microsoft hat zwar Maßnahmen ergriffen, um dies für DoD-Systeme zu unterbinden, doch für andere Umgebungen bleiben Fragen offen.

US Cloud verfolgt diese Entwicklungen für CIOs/CISOs und fasst zusammen, warum Zuständigkeiten und Support-Artefakte (Tickets, Dumps, Sitzungsaufzeichnungen) in Ihr Risikomodell gehören – nicht nur Produktionsdaten. Dieser Beitrag richtet sich an Unternehmen, die einen sicheren Microsoft-Support suchen, ohne Unklarheiten hinsichtlich der Standorte der Mitarbeiter, der Unterauftragsverarbeiter oder des grenzüberschreitenden Zugriffs.

Jeder, der schon einmal um 2 Uhr morgens ein Protokoll in ein Sev-A-Ticket eingefügt hat, weiß, dass Support eine Schwachstelle ist, an der Geheimnisse oder vertrauliche Informationen potenziell nach außen gelangen können. Wir zeigen Ihnen, wie Sie Helpdesks hilfreich und souverän halten können – was Sie Ihren Anbieter fragen sollten und was Sie heute sichern sollten.

• Eine investigative Berichterstattung aus dem Jahr 2025 enthüllte, dass Microsoft Ingenieure aus China einsetzte, um sensible Systeme der US-Regierung zu warten, wobei diese von geringer bezahlten „digitalen Begleitern” aus der Ferne beaufsichtigt wurden.
• Nach der Berichterstattung erklärte Microsoft, dass es keine in China ansässigen Ingenieure mehr für die Unterstützung des Verteidigungsministeriums (DoD) einsetzt, aber es bleiben Fragen zu anderen staatlichen und kommerziellen Aufgabenbereichen offen.
• Gefährdet ist die rechtliche Zuständigkeit – die Gesetze welches Landes könnten den Zugriff auf Ihre Support-Artefakte und -Sitzungen erzwingen –, unabhängig von der Nationalität der unterstützten Organisation.
• Das chinesische Gesetz über nationale Nachrichtendienste (Artikel 7) und damit verbundene Maßnahmen erhöhen das Risiko einer Zwangszugriff, wenn Support aus China geleistet wird, wodurch die Datenhoheit und der Standort der Support-Mitarbeiter zu einem wesentlichen Compliance-Thema werden.
• Der Support erzeugt naturgemäß sensible Artefakte, die Geheimnisse oder regulierte Daten enthalten können. Viele Programme behandeln Produktionsdaten sorgfältig, übersehen jedoch diese Support-Datenflüsse.
• Handeln Sie jetzt: Fordern Sie von Ihren Lieferanten Sicherheitsdetails. In Fachkreisen werden diese Alternativen bereits diskutiert.

Wenn Sie ein Sev A-Ticket öffnen, Protokolle weitergeben oder einen Hotfix eskalieren, erstellen oder legen Sie zwangsläufig häufig Folgendes offen:

• Ticket- und Chat-Inhalte, die unter Zeitdruck eingefügte Konfigurationen, IP-Adressen oder Anmeldedaten enthalten können.
• Diagnose-Uploads (Protokolle, Speicherauszüge, Traces), die Schlüssel, Tokens oder personenbezogene Daten enthalten können.
• Remote-Sitzungen (Bildschirmfreigabe/JIT-Admin), die erweiterte Zugriffsrechte für die Fehlerbehebung gewähren.
• Telemetrie- und Absturzberichte, die Systemzustände und manchmal auch Datenausschnitte widerspiegeln.

Wenn diese Artefakte oder privilegierten Sitzungen von Mitarbeitern bearbeitet werden, die sich physisch in einer anderen Gerichtsbarkeit befinden, können Ihre vertraglichen und gesetzlichen Verpflichtungen (Gesetze des öffentlichen Sektors, sektorale Vorschriften oder interne Richtlinien) ausgelöst werden.

Im vergangenen Jahr hat ProPublica über die Herkunft der Microsoft-Supportmitarbeiter berichtet. Hier ist eine Zeitleiste mit den uns bekannten Informationen darüber, wer in diesen Szenarien Unified-Tickets bearbeitet:

• 15. Juli 2025: ProPublica berichtete, dass Microsoft Ingenieure in China für die Wartung von Pentagon-Systemen einsetzte, die von „digitalen Begleitern” überwacht wurden, denen es oft an der technischen Expertise fehlte, um eine effektive Aufsicht auszuüben.
• 18. Juli 2025: Nach dem Bericht gab Microsoft bekannt, dass es keine in China ansässigen Ingenieure mehr für Cloud-Systeme des Verteidigungsministeriums (DoD) einsetzt.
• 18.–20. Juli 2025: Mehrere Medien berichteten über die Änderung und die Überprüfungsmaßnahmen der Bundesbehörden.
• 1. August 2025: ProPublica stellte eine Verbindung zwischen dieser Praxis und SharePoint her und wies auf die Beteiligung chinesischer Ingenieure in einer Zeit hin, in der große Sicherheitsbedenken bestanden.
• 25. Juli 2025: ProPublica berichtete auch über Unterstützung aus China für andere Kunden auf Bundesebene (z. B. Justizministerium, Finanzministerium) und betonte, dass die Ankündigung des Verteidigungsministeriums nicht unbedingt alle Behörden umfasste.
• Reaktion der Branche: Die Analyse von US Cloud fasste die Reaktion der Bundesregierung zusammen und hob das Interesse an Alternativen von Drittanbietern mit Sitz in den USA für sensible Workloads hervor. US Cloud
• Marktsignale: Kommentare von Führungskräften auf LinkedIn haben die Bedenken verstärkt und die SharePoint-Perspektive für Führungskräfte hervorgehoben.

Fazit: Die spezifische Umstellung von Microsoft für das US-Verteidigungsministerium ist bemerkenswert, aber Kunden aus dem öffentlichen Sektor außerhalb des Verteidigungsministeriums und gewerbliche Kunden sollten ohne schriftliche Zusicherungen nicht von identischen Schutzmaßnahmen ausgehen.

Die Ursache dieses Problems liegt nicht nur in den Menschen und dem Ort, von dem aus sie Unterstützung leisten. Es geht auch um die Gesetze, denen diese Unterstützungsexperten unterliegen. Wenn die Unterstützung von innerhalb Chinas erfolgt, unterliegen das Personal und die Unternehmen den chinesischen Gesetzen zur nationalen Sicherheit und zum Nachrichtendienst. Artikel 7 des Nationalen Nachrichtendienstgesetzes besagt, dass Organisationen und Bürger die Arbeit des Nachrichtendienstes „unterstützen, fördern und mit ihm kooperieren“ müssen. Rechtsexperten und Politikanalysten weisen darauf hin, dass dies zu einer Verpflichtung zur Unterstützung führen kann, einschließlich des Zugriffs auf Daten und Systeme.

Für einen CISO bedeutet dies, dass grenzüberschreitende Unterstützung Ihre Angriffsfläche und Ihre Anfälligkeit für Zwangsmaßnahmen vergrößern kann. Datenhoheit ist die Praxis, sicherzustellen, dass Ihre Daten (und Artefakte zu Ihren Daten) unter Ihrer gewählten Gerichtsbarkeit und Kontrolle bleiben – einschließlich der Support-Ebene.

• Öffentlicher Sektor: ProPublica dokumentierte Unterstützung aus China für das Verteidigungsministerium (jetzt geändert), das Justizministerium und das Finanzministerium, was auf eine Gefährdung über den Verteidigungsbereich hinaus hindeutet.
• Regulierte Branchen: Finanzdienstleistungen, Gesundheitswesen und kritische Infrastrukturen nehmen häufig Supportleistungen in Anspruch und übermitteln oft Diagnosedaten, die regulierte oder geheime Informationen enthalten können (z. B. PHI, Authentifizierungsprotokolle, Geheimnisse in Dumps). Selbst wenn Produktionsdaten getrennt gespeichert werden, können Support-Artefakte erneut Risiken mit sich bringen.

Sicherer Microsoft-Support und unsicherer Microsoft-Support können je nach Anbieter desselben Dienstes gleich aussehen. Die folgenden Szenarien sind bei seriösem Support nicht risikobehaftet, können jedoch bei unsicherem Support ernsthafte Sicherheitsrisiken darstellen.

• Ticket-Verlust: Ingenieure fordern „vollständige Protokolle“ oder Screenshots; Geheimnisse gelangen in Artefakte, die außerhalb Ihrer primären Region gespeichert sind.
• Absturz-Dumps und Traces: Speicherabbildungen können API-Schlüssel oder personenbezogene Daten enthalten. Wo werden diese verarbeitet und von wem?
• Fernverwaltungssitzungen: Der „Break-Glass“-Zugriff erweitert die Berechtigungen; Sitzungsinhalte können beobachtet, aufgezeichnet oder gemäß den lokalen Gesetzen offengelegt werden.
• Hotfix-/Quellcodeüberprüfungen: Bei schwerwiegenden Eskalationen können Anbieter Code oder Konfigurationen anfordern, wodurch IP-Adressen und Geheimnisse offengelegt werden können.

Dies sind Routinevorgänge in komplexen Microsoft-Umgebungen, die in vielen Fällen für die Lösung komplizierter IT-Probleme erforderlich sind. Der Unterschied besteht jedoch darin, wo die Personen sitzen, die sich damit befassen.

Es gibt einen Weg, um den unsicheren Microsoft-Support zu umgehen. Als Erstes sollten Sie Ihre Sicherheitsbedenken mit Ihrem Anbieter besprechen. Nachfolgend finden Sie einige Themen, die Sie mit Ihrem Ansprechpartner beim Anbieter besprechen sollten. Wenn dieser Ihre Fragen nicht beantworten kann, müssen Sie Ihre Bedenken möglicherweise weiterleiten oder alternative Support-Lösungen in Betracht ziehen.

Wenn Sie glauben, dass Ihr Microsoft-Support möglicherweise nicht so sicher ist, wie Sie bisher angenommen haben, gibt es Strategien, mit denen Sie Ihrem Team helfen können, Ihren Microsoft-Support wieder sicher zu machen.

Die Änderung von Microsoft, die nur für das Verteidigungsministerium gilt, ist ein Anfang, aber andere Behörden und Unternehmen sollten schriftliche Gleichbehandlung oder strengere Bedingungen verlangen – insbesondere wenn es um gesetzliche Geheimhaltung oder personenbezogene Daten/gesundheitliche Daten geht. Berichten zufolge hat das in China ansässige Personal in der Vergangenheit auch andere Kunden der Bundesregierung unterstützt. Stellen Sie die unangenehmen Fragen und halten Sie die Antworten in Ihren Verträgen fest.

Compliance im IT-Support umfasst mehr als nur SLAs und Reaktionszeiten. Es geht auch darum, wo Ihre Mitarbeiter sitzen, welchen Gesetzen sie unterliegen und wo Ihre Artefakte gespeichert sind. Richten Sie den Support von vornherein auf Datenhoheit aus, bestehen Sie auf klaren Zuständigkeiten und sichern Sie den Support-Pfad durch technische und vertragliche Kontrollen. Die Fakten, die sich im Jahr 2025 abzeichnen, zeigen, worum es geht – und welchen Weg es in die Zukunft gibt.

Vereinbaren Sie noch heute einen Termin mit US Cloud, um sich über sichere Alternativen zum Microsoft-Support zu informieren, wenn Ihr Unified CSAM oder Ihre Vertriebsmitarbeiter Ihnen keine zufriedenstellenden Antworten geben können.