Lexipedia

23.1051 · Anfrage · 2023-09-28

Parlament

Erledigt

Wortlaut

Eine ungenannte amerikanische Bundes-Behörde entdeckte im Juni illegale Zugriffe auf ihre Konten in der Microsoft Azure Cloud. Wie eine Untersuchung ergab, war es chinesischen Angreifern gelungen, einen sogenannten Master-Key von Microsoft zu entwenden und ihn für ihre Zwecke zu missbrauchen. Microsoft musste später einräumen, dass der Schlüssel nicht nur Zugang zu beliebigen Email-Konten, sondern auch Zugang zu beliebigen Accounts mit persönlicher Authentisierung wie Sharepoint, die Konferenz-Software Teams, OneDrive, Kundenapplikationen mit Microsoft-Login etc. zuliess. Aus einer Sicherheitsperspektive kann nicht ausgeschlossen werden, dass Teile der Cloud-Infrastruktur kompromittiert bleiben.

Das Parlament hat jüngst den Betrieb der E-Mail sowie die Büroautomation für Ratsmitglieder und Parlamentsdienste auf Office365 resp. die Microsoft Cloud migriert.

  1. Wie schätzen die Parlamentsdienste das Ausmass des Vorfalls für den Bundeshausbetrieb ein?

  2. Verfügen die Parlamentsdienste über Auditrechte beim Lieferanten?

  3. Wurden die zusätzlichen durch Microsoft den Kunden zur Verfügung gestellten Log-Dateien überprüft und was wurde dabei herausgefunden?

  4. Welche Massnahmen haben die Parlamentsdienste ergriffen, um eine allfällige Kompromittierung der Microsoft-Applikationen zu erkennen?

Stellungnahme des Bundesrates

Seit 2021 befinden sich die Mailboxen der Ratsmitglieder, jedoch nicht diejenigen der Parlamentsdienstmitarbeitenden in der Cloud von Microsoft, wobei die Datenhaltung in der Schweiz vertraglich zugesichert ist. Im Rahmen der Produktgruppe Microsoft 365 stehen den Ratsmitgliedern auch weitere Tools wie Teams und die Büroautomations-Produkte von Office 365 zur Verfügung.

Mit den am 1. September 2023 erlassenen Grundsätzen für die Datenbearbeitung in der Cloud bestätigte die Verwaltungsdelegation die Zulässigkeit dieser Form der Cloud-gestützten Datenbearbeitung, soweit nicht vertraulich oder geheim klassifizierte Informationen oder besonders schützenswerte Personendaten betroffen sind. Zugelassen sind namentlich auch die Verwendung von Microsoft 365 und die Durchführung virtueller Kommissionssitzungen mit Teams in Umsetzung von Artikel 45b ParlG, der am 4. Dezember 2023 in Kraft tritt.

Beim genannten Vorfall, dessen Ursache durch Microsoft bereits beseitigt wurde, gelangte ein Microsoft-interner sogenannter Master Key in die Hände einer chinesischen Hackergruppe, wodurch sich diese in unbefugter Weise Zugriff auf Outlook-Mailkonten – begrenzt auf Nordamerika – verschaffen konnte. Im Juli 2023 informierte Microsoft darüber, und im September 2023 wurden die Untersuchungsergebnisse zu diesem unter der Bezeichnung «Storm-0558 Key Acquisition» bekannten Angriff publiziert.

Die Parlamentsdienste waren von diesem Vorfall nicht betroffen, wurden jedoch seitens Microsoft informiert. Weder die Mailkonten der Ratsmitglieder noch diejenigen der Parlamentsdienstmitarbeitenden wurden kompromittiert.

Die Parlamentsdienste überwachen in Zusammenarbeit mit Swisscom sowohl den PARL-Tenant von Microsoft 365 als auch die internen Serversysteme während 7x24 Stunden. Swisscom ist beauftragt und befugt, alle angesammelten Log-Dateien auf Anomalien und Auffälligkeiten hin zu überprüfen und ggf. selbsttätig einzugreifen. Ein im Oktober 2023 durchgeführter interner Audit des PARL-Tenants zeigte keine Unregelmässigkeiten, und auch das Überwachungsteam von Swisscom meldete in den letzten Wochen keine Auffälligkeiten.

Microsoft wird regelmässig durch unabhängige Firmen auditiert, und die jeweiligen Auditberichte werden publiziert. Die Parlamentsdienste verfügen über kein direktes Auditrecht.