Microsoft 365 Daten auf EU-Servern?! Wer's glaubt wird seelig
Beim Einsatz von Microsoft 365, einem Online-Office als sog. Software as a Service (SaaS) für Chat, Filesharing, Kontakt- und Kalenderverwaltung, Videokonferenzen u.v.m, wird bei Datenschutz-Bedenken häufig behauptet, dass die Datenverarbeitung und -speicherung auf Servern in der EU stattfinden würde. Die offizielle Dokumentation soll dies ebenfalls glaubhaft machen.
Die Hochschule Düsseldorf und Microsoft 365
Die Campus IT der Hochschule Düsseldorf (CIT) hat die Abhängigkeit von Microsoft-Diensten schrittweise forciert, bestehende Dienste ersatzlos abgeschafft und durch die Eierlegende Wollmilchsau Microsoft 365 ausgetauscht, sodass inzwischen sogar der Login bei der lokal gehosteten Moodle-Instanz darüber abgewickelt wird. Natürlich müssen Kritiker dann ruhig gestellt werden. Daher hieß es auch schon bei der Verschiebung der E-Mail Postfächer in die Microsoft 365 Cloud:
Selbstverständlich wurden alle relevanten Schritte dafür durch unseren CISO und Datenschutzbeauftragten begleitet. Alle Daten von MS Teams und Exchange Online befinden sich auf Europäischen Boden und erfüllen die DSGVO.
Der Datenschutzbeauftragte äußerst sich allgemein etwas vorsichtiger:
Die Daten werden im Falle von Microsoft Teams zwar tatsächlich weitgehend auf Servern in Deutschland oder in der EU verarbeitet, aber ein Transfer in die USA ist in spezifischen Fällen leider auch nicht ausgeschlossen.
Serverstandort von Microsoft 365 Diensten
Mit der Unterstützung von und angeregt durch einen ehemaligen Kommilitonen wurden einige Dienste von Microsoft 365 getestet und dabei die verwendeten Domains (Internetadressen) untersucht. Durch eine Auflösung in IP-Adressen, konnte für jeden Dienst das zugehörige Netzwerk ermittelt und durch eine Routenverfolgung dessen Standort lokalisiert werden. In den geprüften Fällen konnte festgestellt werden, dass die Standorte der physikalischen Server in Redmond, USA sind.
Bspw. wird beim Teilen einer Datei, diese über folgende URL bereitgestellt: https://fhd-my.sharepoint.com/:i:/r/personal/$EMAILADRESSE/Documents/Microsoft%20Teams%20Chat%20/Files/$DATEINAME?csf=1&web=1
. Für die Variable $EMAILADRESSE
erscheint die E-Mail Adresse des freigebenden Benutzers, in welcher Punkt und At-Zeichen durch Unterstriche ersetzt werden und $DATEINAME
entspricht dem Dateinamen der geteilten Datei. Die Internetadresse hinter https://
und vor dem ersten Slash innerhalb dieser URL gibt dabei den bzw. die Servernamen gefolgt von der Domäne (getrennt durch einen Punkt) an: fhd-my.sharepoint.com. Das folgende Bildschirmfoto zeigt die erhaltene Dateifreigabe. (Personenbezogene Angaben wurden anonymisiert.)
Mit einem Programm zur DNS-Namensauflösung wie dem in Windows beiliegendem nslookup
für die Kommandozeile kann die zugehörige IP-Adresse zur Internetadresse fhd-my.sharepoint.com ermittelt werden:
Schließlich kann mit der quelloffenen und freien Software Open Visual Trace Route eine Routenverfolgung erfolgen, um den Standort oben ermittelten IP-Adresse zu lokalisieren:
Auch weitere Internetadressen von Microsoft 365 Diensten führen ebenfalls auf Server in den USA:
- https://outlook.office.com Webmail Login (bei Cloud-Postfach)
- https://portal.office.com Microsoft (Office) 365 Login
- https://www.office.com Landingpage für Microsoft (Office) 365
- https://login.microsoftonline.com u.a. Moodle-Login
Durch diese Tatsachen kann ich den Aussagen der Campus IT und des Datenschutzbeauftragten nicht mehr vertrauen. Fraglich bleibt, ob die Falschaussagen bewusst erfolgten, um die Kritiker zum Schweigen zu bringen oder blind den Angaben von Microsoft vertraut wurde. So oder so zeugt dieses Verhalten von Nachlässigkeit und/oder willentlicher Verschleierung.
Wer sich selbst überzeugen will, kann die Ergebnisse der Analyse mit o.g. Software überprüfen. Ich freue mich auch, wenn mir bspw. die Campus IT mit Freier Software nachvollziehbar aufzeigen kann, dass es nicht so ist wie es durch diese Faktenlage aussieht.
#HSD #Microsoft365 #Traceroute #Server
Anregungen, Kritik o.ä. an: ecaps(tod)rebu.nev(ta)onag