Der demokratische Senator Ron Wyden aus dem US-Bundesstaat Oregon brachte die fragwürdige Geschäftspraxis des Quasi-Monopolisten Microsoft auf den Punkt:
Es geht um die Sicherheit bei Cloud-Diensten und um chinesische Hacker, die Microsoft-Schwachstellen ausnutzten, um wichtige US-Organisationen auszuspionieren.
Der Fall illustriert das Problem, dass viele Microsoft-Kunden, wie etwa Menschenrechtsorganisationen, nicht willens oder finanziell nicht in der Lage waren, für an sich wichtige Sicherheitsfunktionen extra zu bezahlen.
Doch nun hat der Windows-Konzern aus Redmond endlich reagiert und will die Premium-Features gratis anbieten – der öffentliche Druck war wohl nach dem jüngsten gravierenden Sicherheitsvorfall schlicht zu gross geworden.
Der zuständige Microsoft-Manager Vasu Jakkal durfte die frohe Botschaft am Mittwoch verkünden:
Damit bestätigte sich eine Prognose des auf Cybersicherheit spezialisierten US-Mediums Cyberscoop: Dass Microsoft unter dem Druck der US-Regierung möglicherweise seinen Ansatz ändere und die Protokollierungsfunktionen auch für «Lizenzen niedrigerer Stufen» verfügbar mache.
Die zuständige US-Behörde, die Cybersecurity and Infrastructure Security Agency (CISA), begrüsste den überfälligen Schritt: Der Zugriff auf «wichtige Protokollierungsdaten» sei für Microsoft-Kundinnen und -Kunden entscheidend, um gefährliche Cyberangriffe «schnell abzuwehren».
Sicherheitsforscher hatten den Windows-Konzern zuvor wegen seiner Preispolitik kritisiert: Das Unternehmen habe das Sicherheitsniveau für alle Kundinnen und Kunden gesenkt, um «Standard» als «Premium» zu verkaufen und jeder, der es sich nicht leisten könne, sei auf sich allein gestellt.
Im Laufe eines Monats – zwischen dem 15. Mai und dem 16. Juni – konnten chinesische Hacker unbemerkt in die E-Mail-Konten der amerikanischen Handelsministerin Gina Raimondo und von Mitarbeitern des US-Aussenministeriums eindringen. Die Hackerangriffe ereigneten sich ausgerechnet zu dem Zeitpunkt, als sich Aussenminister Tony Blinken auf eine kritische Reise nach China vorbereitete.
Und es kommt noch schlimmer: IT-Sicherheitsspezialisten entdeckten den Angriff erst letzte Woche und nur dank eines Premium-Protokollierungsdienstes von Microsoft. Geschäftskunden werden für diesen Dienst extra zur Kasse gebeten. Ohne ihn wäre der Hack wohl unentdeckt geblieben.
Hochrangige Beamte und Sicherheitsforscher zeigten sich darum gleichermassen verärgert, dass Microsoft-Produkte erneut für einen Geheimdienstcoup genutzt wurden.
Der Vorgang ist aus einem weiteren Grund brisant, respektive ungünstig für das Weisse Haus: Die Biden-Regierung setzt derzeit eine im März vorgestellte nationale Cybersicherheitsstrategie um. Ihr Ansatz: «Secure by Default.»
Der Übergang zu Cloud-basierten Diensten soll laut US-Regierung Sicherheitsvorteile bringen – und gleichzeitig lukrative Aufträge für den Technologiesektor. Das Versagen eines solchen Dienstes, einen raffinierten Angriff zu stoppen, rüttelte jedoch an den Grundfesten der neuen Strategie.
Darum erscheint logisch, dass Microsoft seine Preispolitik nun auf den Herbst hin anpasst und die Sicherheit für Kundinnen und Kunden ohne Premium-Abo erhöht.
Um ihre Operation durchzuführen, konnten die chinesischen Hacker offenbar einen sogenannten Signaturschlüssel beschaffen und damit digitale Zugangscodes (Tokens) erstellen. Damit hatten sie quasi einen Nachschlüssel.
Solche Sicherheits-Tokens sollen eigentlich rechtmässigen Usern ermöglichen, auf Cloud-Dienste (wie Office 365) zuzugreifen. Wie die Hacker an den Schlüssel gelangten, sei ein grosses Rätsel, konstatierten US-Techjournalisten. Dies sei ein schwerwiegender Sicherheitsfehler bei Microsoft.
In einem am 14. Juli veröffentlichten Firmenblog-Beitrag nahm das Unternehmen zum Vorfall Stellung und erklärte, die Methode, mit der die Hacker den Schlüssel erworben konnten, sei noch «Gegenstand laufender Ermittlungen».
Das US-Medium Cyberscoop wies in einem Bericht auf ein grundlegendes Sicherheitsproblem hin: Nämlich auf die Tatsache, dass überhaupt ein solcher Schlüssel verwendet werden könne, um betrügerische Identitäten zu erstellen. Dies lasse Cybersicherheits-Fachleute darüber rätseln, wie Microsoft ein derart unsicheres System betreiben konnte.
Während viele technische Details des chinesischen Angriffs unklar blieben, seien Forscher empört, dass Microsoft-Systeme erneut bei einem Angriff ausgenutzt wurden, der auf gefälschten Authentifizierungstools basiere.
Russische Hacker hätten 2021 eine ähnliche Microsoft-Schwachstelle genutzt, um im Rahmen der Hacking-Kampagne SolarWinds in tausende Systeme einzudringen.
Abschliessend ist auf die Warnungen renommierter Sicherheitsexperten hinzuweisen, die sagen, dass es auch in Zukunft äusserst schwierig bleibe, «Cyberoperationen» durch erfahrene und gut ausgestattete Elite-Hacker zu verhindern. Wenn ein Staat bereit sei, Zeit und Ressourcen für das Eindringen in ein Computersystem aufzuwenden, sei die Verteidigung dagegen immer eine gewaltige Herausforderung.
Dieser Trend zur Cloud ist eine riesige Gefahr.
Man muss sich das mal vorstellen: Die Mehrheit der Unternehmen jeder Branche migrieren ihre Systeme und Daten in die Hände 3 Anbieter (Amazon, Microsoft, Google). Wie Lemminge!