Topvrouw Dorothee Belz van Microsoft heeft dit losgelaten tegenover het Europese Parlement (EP) in antwoord op een vraag van de Britse Europarlementariër Claude Moraes. "Wat ik in het algemeen kan zeggen is dat vandaag de dag ons server-to-server transport over het algemeen niet versleuteld is", schrijft techblog Ars Technica op uit haar mond.

'Geen directe toegang tot servers'

"Dat is waarom we op dit moment ons securitysysteem evalueren." Belz, die als vice-president bij Microsoft verantwoordelijk is voor juridische zaken in de EMEA-regio, gaf verder geen details. Vóór haar bekentenis dat intern serververkeer bij Microsoft niet versleuteld is, gaf zij samen met topmensen van Google en Facebook het EP de geruststelling dat de Amerikaanse inlichtingendienst NSA "geen directe toegang" heeft tot hun servers.

Die officiële verklaring is door deze en andere grote cloudaanbieders al eerder gegeven. Zij hebben daarmee gereageerd op claims van klokkenluider Edward Snowden dat de NSA directe toegang heeft tot de servers van de grote cloudaanbieders. Zij hebben die beschuldiging ontkend, en die ontkenning is door Snowden weer tegengesproken.

Toegang tot de back-end

“Bedrijven als Google, Facebook, Apple en Microsoft werken samen met de NSA om directe toegang te verlenen tot de back-end van de communicatiesystemen die wij gebruiken”, zei Snowden in juli een videointerview, dat de Britse krant The Guardian in juni al opnam. “Ze geven de NSA toegang die ze zelf niet hoeven te controleren, zodat ze niet aansprakelijk gehouden kunnen worden.”

Inmiddels is al gebleken dat geen directe toegang tot servers in de praktijk weinig uitmaakt voor het aftap- en surveillancewerk van de NSA. Het door The Washington Post onthulde MUSCULAR-project van de inlichtingendienst pakt datastromen ín de clouds van de aanbieders, waar geen versleuteling zit.

Google getipt

Terwijl de verbinding tussen gebruiker en cloudaanbieder wel met encryptie is beveiligd, is dat niet het geval voor de verbindingen tussen servers en datacenters van de cloudbedrijven. Aankloppen bij telecombedrijven met een geheim tapbevel geeft de NSA dan makkelijk toegang. Zo zijn Google en Yahoo gehackt en afgetapt. Eerstgenoemde heeft begin september, vóór de onthulling van MUSCULAR, al aangekondigd dat het end-to-end encryptie versneld doorvoert. Google zou zijn getipt:

Microsoft blijkt nog niet zo ver te zijn met het beveiligen van zijn systemen en de data van gebruikers. De uitspraken van Betz brengen dit nu aan het licht. Het is echter niet bekend welke systemen en datacenters mogelijk al wel zijn voorzien van server-to-server encryptie. En welke (nog) niet.

Van Outlook.com tot Office 365 en SkyDrive

Het Amerikaanse bedrijf biedt diverse clouddiensten: uiteenlopend van gratis webmail Hotmail plus diens opvolger Outlook.com, en gamingdienst Xbox Live, tot zakelijk productiviteitsplatform Office 365 en cloudopslag SkyDrive. De Britse editie van Wired heeft Microsoft om details gevraagd, maar het bedrijf houdt het bij de mededeling dat het nu onderzoek uitvoert om klanteninformatie in het algemeen beter te beveiligen.