CCCHH Wiki

User Tools

Site Tools

You are here: start » club » ueberwachungsstammtisch » uberlegungen_zu_ms365_und_cloud_act
club:ueberwachungsstammtisch:uberlegungen_zu_ms365_und_cloud_act

Table of Contents

Data Privacy Framework (2023)

  • Man kann sich bei der Nationalen Datenschutzbehörde beschwären, wenn man glaubt von US-Amerikanischen Geheimdiensten überwacht zu werden.
    • BfDI
  • Einmal im Jahr gibt es eine Überprüfung.
  • Der EDSA stellt fest, dass die Überprüfung des Angemessenheitsbeschlusses ein Jahr nach dem Datum der Übermittlung des Angemessenheitsbeschlusses an die Mitgliedstaaten und danach mindestens alle vier Jahre erfolgen wird.
  • Stützt sich auf Executive Order 14086
  • Das Gremium was die EO spezifiziert als Sicherheitsmaßnahme wurde wohl größtenteils von Trump gefeuert?

DSFA MS365 (2023)

  • Die §93 Bürokommunikation wurde nicht geupdated und damit verstößt der Senat grade durchgehend gegen das Gesetz → Opposition
  • “Mitarbeiter der FHH werden außerdem angewiesen, Microsoft 365 so datensparsam wie möglich einzusetzen”
  • Rollenbasierte Zugriffskontrolle (enthalten im Sicherheitsmaßnahmenplan) könnten wir mal anfragen
  • Risiko: Unrechtmäßiger Zugriff auf die Daten
    • “Schließlich sind als Bedrohung mögliche Zugriffe durch Sicherheitsbehörden in Drittstaaten (insbesondere den USA) zu berücksichtigen, die theoretisch in Form von Herausgabeanordnungen gegen den Dienstleister Microsoft denkbar sind.”
  • “Das eingesetzte Personal der Auftragsverarbeiter ist besonders überprüft bzw. verpflichtet: Das Personal von Dataport ist sicherheitsüberprüft. Das Personal von Microsoft ist auf den Datenschutz besonders verpflichtet.”
    • Unwahrscheinlich bei Supportmitarbeitern in Ländern wie China.
  • “Verarbeitung der Daten innerhalb der EU durch Umsetzung der „EU-Datengrenze“ (engl. „EU Data Boundary“) seit dem 1. Januar 2023. Dabei handelt es sich um eine geographisch definierte Grenze, innerhalb derer Microsoft sich verpflichtet, Kundendaten für Onlinedienste, einschließlich Microsoft 365 und die Mehrzahl der Azure-Dienste, zu speichern und zu verarbeiten. Zum momentanen Zeitpunkt werden alle Kundendaten für und von Microsoft 365 ausschließlich auf Servern im EWR gespeichert und verarbeitet (siehe hierzu detailliert Abschnitt 4.4 der Beschreibung der Verarbeitungstätigkeit sowie das Dokument „Was ist die EU-Datengrenze?“, Stand April 2023, abrufbar unter https://learn.microsoft.com/de-de/privacy/eudb/eu-data-boundary-learn; siehe ferner Sicherheitsmaßnahmenplan)”
    • Hat keine Gültigkeit gegenüber Cloud-Act, wie in Frankreich ausgesagt
    • Laut Microsofts gouvernment requests haben sie im Jahr 2024 5 Datensätze von Enterprise Kunden (z.B. Behörden) außerhalb der USA rausgegeben Quelle
      • TODO: Wir haben die Aufzeichnungen seit 2013, müssten wir mal zusammenzählen.
  • “Vertragliche Verpflichtung von Microsoft, personenbezogene Daten nur im Falle rechtlicher Verpflichtungen herauszugeben (siehe”Appendix C — Additional Safeguards Addendum” des Microsoft Product and Services DPA, Stand Januar 2023)”
    • Rechtliche Verpflichtung ist halt Cloud-Act.
  • das Feinkonzept anfragen
    • Wir haben bereits eins von OneDrive und Teams, das ist vollständig geschwärzt Quelle
  • Hier wird das ausschalten Transkription von VoIP versprochen. Was nun wiederum eigneschaltet wurde.
  • “Direkt beim Kunden anzufordern, den Kunden unverzüglich über die Anfrage zu benachrichtigen, es sei denn, dies ist nach dem geltenden Recht untersagt”
    • Im Cloud-Act wird benachrichtigung untersagt.
  • Auf Mastodon eine Sicherheitseinschätzung zu den Praktiken bei Azure einfordern.

Workshop HmbFdDI/MS/Dataport 2.2.24

  • Vermutlich der erste Workshop
  • Workshop wurde als VS NfD eingestuft

Workshop HmbFdDI/MS/Dataport 8.3.24

  • Es wurde sich auf eine Excel Liste “Weisungen - Excel-Liste der Einstellungen & Aufzeichnungen” angemerkt
    • TODO: Anfragen
  • Es wurde erwähnt, dass bei Bürokommunikation (§93), “Eine Speicherung in der Cloud wäre vermutlich kritisch.”
    • Dies ist inzwischen der Fall.

Workshop HmbFdDI/MS/Dataport 12.4.24

  • Workshop war dafür da, um die Messung welche Dinge für den Einsatz von Win11 gesperrt werden müssten zu präsentieren.
  • Telemetriemessung wurde vorgenommen, konnte aber nur DHCP requests erkennen → Opposition
    • Telemetriemessung anfragen, oder workshop slides
  • Endpunkte die gesperrt werden anfragen

Fragen an den Datenschutzausschuss am 23.09.2025

  • Warum schafft Dataport nicht einmal eine vernünftige Telemetriemessung durchzuführen?
    • Laut des durch IFG Anfragen freigegebene Meeting Protokoll vom 12.4.24 hat Dataport versucht die Telemetriedaten von Windows 11 zu messen, hat aber laut eigener Aussagen nur DHCP Pakete gefunden. DHCP Pakete bedeuten, dass der zu testende Rechner fieberhaft nach einer IP Addresse gebeten hat, mit anderen Worten, er nie mit dem Netzwerk verbunden war, nie Internet hatte. Ohne Internet natürlich auch keine Telemetrie, aber so kann man halt keine Messung vornehmen. Dies zeugt von massiver Inkompetenz.
  • Wurde das Security Operation Center (SOC) von Dataport für die Einführung von MS365 aufgestockt und gibt es ein 24/7 SOC?
    • Durch die bring-your-own-device Option und dadurch dass ihre Cloud jetzt public-facing ist und nicht mehr in einem geschützten (VPN) Rahmen ist, hat sich die attack-surface drastisch erhöht. Weiterhin müssen sie jetzt sowohl die MS365 Cloud als auch ihre on-premise Systeme überwachen.
  • Wurde §93/94 der Dienstvereinbarung inzwischen geupdated, oder verstößt der Senat grade wissentlich gegen geltende Gesetze mit ihrer Nutzung von MS365/Teams?
    • Laut Nr. 4 ist Protokollierung von Bürokommunikation (z.B. Teams Meetings) nur zu sehr speziellen Zwecken gestattet, derzeit wird jedoch die automatische Protokollierung von Teams erprobt, welches einen (wissentlichen) Verstoß gegen §93 darstellt.
  • Warum stützen wir unsere Partnerschaft mit US Firmen auf einer Rechtsgrundlage ohne funktionierende Kontrollinstanzen?
    • Sämtliche Personenbezogene Datenübertragung an die US wird gestütz auf das EU-USA Data Privacy Framework von 2023 (nachdem das “Safe Harbor” und das “Privacy Shield” Agreement 2015 bzw. 2020 durch die Schrems I & II Urteile als ungültig berwertet wurden, da Geheimdienste zuviel Zugriff haben).
    • Dieses DPF sieht vor, dass durch Biden’s Executive Order 14086 das “Privacy and Civil Liberties Oversight Board” eine jährliche Bewertung der effektivität von Beschwerdemaßnahmen gegen Zugriff von US Geheimdiensten auf EU Daten durchführen sollte.
    • Im Januar 25 hat Trump verfügt, alle Demokratischen Mitglieder des PCLOBs müssen zurücktreten, und seitdem ist dieses Gremium nicht mehr Beschlussfähig. Die Schutzmaßnahme kann nicht mehr greifen.
    • Die unabhängigkeit der Gerichte ist auch nicht gegeben, da diese nicht in der Justiz sondern in der Exekutive angesiedelt sind. Es gibt also eine direkte Einflussnahme des Präsidenten auf diese beiden Gerichte und das Gremium.
    • Warum wurde das EU-US DPF nicht wie ursprünglich versprochen durch das EDSA ein Jahr nach inkrafttreten (hätte Jul. 24 sein sollen) überprüft?

IFG Anfragen

  • Pürfbericht zur Telemetrie von Dataport zur untersuchung des Sendeverhaltens von MS365 und Windows 11
  • Die Feinkonzpete für den Betrieb von MS365
  • Die Schulungsunterlagen die den FHH-Mitarbeitern zeigt, wie man MS365 Datensparsam nutzt.
  • Der Sicherheitsmaßnahmenplan für MS365
  • Die Exceltabelle welche in dem Workshop erwähnt wird.
  • Gibt es eine Datenschutzprüfung von LLMoin, wie Fuchs das in der Ausschusssitzung Nov gesagt wurde?
club/ueberwachungsstammtisch/uberlegungen_zu_ms365_und_cloud_act.txt · Last modified: by w1ntermute
Except where otherwise noted, content on this wiki is licensed under the following license: CC0 1.0 Universal
CC0 1.0 Universal Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki