Digital
Analyse

Das Microsoft-Cloud-Fiasko: Was wir aus dem Sicherheits-Versagen lernen

Microsoft Azure app seen in App Store on the screen of ipad and blurred finger pointing at it. Selective focus. Stafford, United Kingdom, May 6, 2023
Microsofts Cloud-Dienste sind ganz schön praktisch, doch bei der Sicherheit harzt es.Bild: Shutterstock
Analyse

Cloud mit Hintertür – was wir aus dem Super-GAU bei Microsoft lernen

Mitten im Sommerloch sorgt der Software-Konzern aus Redmond für beunruhigende Nachrichten. Nun ist es Zeit für ein Zwischenfazit.
08.08.2023, 14:1609.08.2023, 11:56
Mehr «Digital»

Daten sind das moderne Gold. Und Microsoft betreibt mit seiner Cloud eine der wertvollsten Schatzkammern.

Und nun stell dir vor, es wäre Dieben möglich, sich unbemerkt Zugriff zu verschaffen. Nicht bloss zu einem digitalen Schliessfach oder Tresor, sondern zu allen ...

Das deutsche Techportal heise.de schrieb im Juni vom «Hauptschlüssel zu Microsofts Cloud-Königreich», der in falsche Hände gefallen sei.

Mutmasslich chinesische Hacker konnten einen sogenannten Signaturschlüssel stehlen. Das ganze Ausmass des Schadens ist noch immer unklar. Und mindestens so irritierend wie die Attacke an sich ist das Verhalten Microsofts.

Zwar versprach das Unternehmen unter anderem, eine bis dato kostenpflichtige Sicherheits-Protokollfunktion einem grösseren Kundenkreis in Zukunft gratis anzubieten.

Allerdings war der Fall damit nicht ausgestanden. Die Cloud-Schwachstelle, die nur staatliche Stellen direkt zu betreffen schien, erwies sich als eigentlicher «Super-GAU».

Was inzwischen bekannt ist, zeichnet – einmal mehr – ein beunruhigendes Bild des Techriesen, das weit über technisches Versagen hinausgeht: Redmond hat ernsthafte Defizite in Bezug auf Transparenz und Krisenkommunikation.

Der IT-Sicherheitsforscher Marc Ruef ordnet den aussergewöhnlichen Fall aus Schweizer Sicht ein.

Was macht den Fall so speziell?

Noch immer ist nicht klar, wie die Angreifer den Generalschlüssel zum Cloud-Königreich stehlen konnten. Microsoft hielt und hält sich diesbezüglich bedeckt – und sorgt mit ungenügender Krisenkommunikation weiter für Unruhe.

Der Schweizer IT-Sicherheitsexperte Marc Ruef, der sich mit den Vorgängen befasst hat, erklärt:

«Hierbei handelt es sich um ein verheerendes Problem, das vielen Firmen unmittelbar aufgezeigt hat, dass Cloud-Lösungen von grossen Anbietern nicht pauschal sicher sind. Uns sind verschiedene Firmen in der Schweiz bekannt, die konkrete Probleme mit dieser Schwachstelle haben.»

Falls du es genauer wissen willst, findest du in der Chronologie am Ende des Artikels weitere Informationen.

Was ist so gefährlich an der Schwachstelle?

Dazu erklärt Marc Ruef:

«Falls die Schwachstelle durch professionelle Angreifer unbemerkt ausgenutzt werden konnte, sind die Chancen hoch, dass hier persistente Hintertüren etabliert worden sind.»

In der Informatik respektive der Cybersicherheit bedeutet Persistenz, dass sich versierte Hacker in einem fremden System einnisten. Unbemerkt. Für lange Zeit.

Microsoft gehört mit Amazon und Google zu den drei grossen amerikanischen Cloud-Anbietern, auf deren Dienste unter anderem auch die Schweizer Bundesverwaltung setzt.

Microsoft-Produkte und -Dienstleistungen sind allgegenwärtig und reichen von der einfachen Textverarbeitung bis zur komplexen Cloud-Infrastruktur. Microsoft 365 und Exchange Online bilden Grundpfeiler der heutigen Wirtschaft.

In unserer modernen Welt, die stark vernetzt und Cloud-abhängig ist, wiegt das Versagen von Microsoft umso schwerer. Es ist nicht nur in geschäftlicher Hinsicht unverantwortlich, sondern auch gesellschaftlich gefährlich. Denn damit wird das Vertrauen in digitale Systeme untergraben und es stellt sich die Frage, ob die Techkonzerne wirklich in der Lage sind, die Interessen ihrer Kundinnen und Kunden über die eigenen kurzfristigen Interessen zu stellen.

Warum steht Microsoft bezüglich Kommunikation in der Kritik?

Tatsächlich muss sich Microsoft den Vorwurf gefallen lassen, die Öffentlichkeit nur zögerlich und zu spät über ein potenziell verheerendes Problem informiert zu haben.

Ob und wie die mutmasslich chinesischen Staatshacker die Schwachstelle ausnutzten, war zunächst nicht klar, denn Microsoft versteckte sich hinter nichtssagenden Dementis.

«Letztendlich ist die Entwicklung eines Sicherheitsupdates eine heikle Balance zwischen Aktualität und Qualität und gleichzeitiger Gewährleistung eines maximalen Kundenschutzes bei minimaler Kundenunterbrechung.»
Auszug aus einem Microsoft-Statement

Die von den eigenen PR-Spezialisten «geschliffenen» Verlautbarungen der vergangenen Wochen klangen vergleichsweise harmlos und wichtige Informationen drangen nur häppchenweise nach aussen. Ausserdem spitzte sich der Skandal im journalistischen Sommerloch zu, sodass er abgesehen von Fachmedien stiefmütterlich behandelt wurde.

Dann sprach Ende Juli Amit Yoran, Geschäftsführer der IT-Sicherheitsfirma Tenable, die die Schwachstelle entdeckt und gemeldet hatte, in einem Posting Klartext:

«Was Sie von Microsoft hören, ist ‹Vertrauen Sie uns einfach›. Aber was Sie zurückbekommen, ist sehr wenig Transparenz und eine toxische Kultur der Vernebelung.»
Amit Yoran, CEO von Tenablequelle: linkedin
Der Tenable-Geschäftsführer zeigte sich bei Twitter desillusioniert: «Microsoft fehlt ein moralischer Kompass, wenn es um Cyber-Praktiken und die Gefährdung seiner Kunden geht …»
Der Tenable-Geschäftsführer zeigte sich bei Twitter desillusioniert: «Microsoft fehlt ein moralischer Kompass, wenn es um Cyber-Praktiken und die Gefährdung seiner Kunden geht …»screenshot: twitter

Und nun findet auch Marc Ruef deutliche Worte:

«Aus eigener Erfahrung wissen wir, dass Microsoft ein sehr schwieriger Partner bei der Besprechung, Behebung und Kommunikation von Schwachstellen ist. Gerade im Cloud-Bereich ist der Austausch sehr zäh und weit von einem professionellen Zusammenarbeiten entfernt.

Die Schilderungen von Tenable erstaunen uns also gar nicht. Hier muss bei Microsoft ein Umdenken stattfinden, weil irgendwann hat auch ein Weltkonzern das Vertrauen von Partnern und Nutzern nachhaltig verspielt.»

Was können Microsoft-Kunden tun?

Sicherheitsexperte Ruef rät zu erhöhter Wachsamkeit und findet auch mahnende Worte, was die Abhängigkeit von grossen Cloud-Anbietern wie Microsoft betrifft.

«Die eigene ‹IT-Landschaft› sollte auf verdächtige Änderungen und Aktivitäten geprüft werden. Zudem sollte man das Risiko einer entsprechenden Abhängigkeit durch Drittanbieter neu beurteilen. Viele Unternehmen treffen IT-Entscheidungen aus monetären Gründen und vernachlässigen die Risiken, die mit ihnen einhergehen.»

Anfang August hat Microsoft zudem auf seiner Website ein Hilfsmittel für potenziell betroffenen Kundinnen und Kunden veröffentlicht, wie heise.de berichtete. Das sogenannte «Playbook» solle Azure-Usern dabei helfen, festzustellen, ob ihre Organisation von einem «Token-Diebstahl» betroffen sei und ob es Hintertüren und kompromittierte Zugänge und ihrem Azure AD (Active Directory) gebe.

Was ist bislang passiert?

Die Chronologie der Ereignisse zeigt, wie Microsoft das Sicherheitsproblem zunächst auf die lange Bank schob und es verpasste, potenziell Betroffene zeitnah zu warnen.

  • Am 30. März wird Microsoft eine schwerwiegende Schwachstelle gemeldet, die das zentrale Authentifizierungs-System seiner Cloud-Plattformen betrifft. Entdeckt wurde das Problem von der IT-Sicherheitsfirma Tenable.
  • Microsoft bestätigt am 3. April gegenüber Tenable, die Meldung erhalten zu haben, lässt dann aber mehrere Monate bis zur Lösung des Problems verstreichen.
  • Am 27. Juni hakt Tenable nach.
  • Am 6. Juli informiert Microsoft Tenable, dass das Problem behoben sei. Daraufhin prüfen die unabhängigen Sicherheitsforscher den entsprechenden «Fix» und stellen fest, dass er unvollständig sei und die Sicherheitslücke immer noch von Hackern ausgenutzt werden könne.
  • Microsoft fordert Tenable auf, die Veröffentlichung von Details zu der Schwachstelle zu verschieben, und die beiden Unternehmen diskutieren wochenlang hin und her.
  • Am 11. Juli gibt Microsoft einen schwerwiegenden Hackerangriff gegen seine Cloud-Plattform bekannt, der auf eine chinesische Hackergruppe namens Storm-0558 zurückgeführt werde. Der Angriff zielte hauptsächlich auf Regierungsbehörden in Westeuropa ab und konzentrierte sich auf Spionage, Datendiebstahl und Logins. Gemäss eigenen Angaben hat Microsoft am 16. Juni mit einer Untersuchung der anomalen E-Mail-Aktivitäten begonnen.
  • Am 12. Juli veröffentlichen das FBI und die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) einen gemeinsamen Bericht, in dem sie speziell die Betreiber von kritischen Infrastrukturen warnen.
  • Am 21. Juli schlägt die IT-Sicherheitsfirma WIZ mit neuen Enthüllungen Alarm: Demnach sei der entwendete Signaturschlüssel «deutlich mächtiger als bisher angenommen». Hacker könnten sich damit nicht nur Zugriff auf Exchange-Konten, sondern auf diverse Microsoft-Cloud-Anwendungen wie Sharepoint oder Teams verschaffen.
  • Die Sicherheitsforscher warnen, «selbst Kunden-Apps in der Cloud mit ‹Login with Microsoft› könnten demnach sperrangelweit offen gestanden haben». Dies wird jedoch in ersten Reaktionen von Microsoft relativiert. Man habe die Angriffsmethode blockiert und es seien abgesehen von den früher kommunizierten Zielen keine Opfer bekannt.
  • Am selben Tag erhöht Tenable den Druck und informiert Microsoft darüber, dass die Sicherheitsforscher eine Information ohne technische Details oder Machbarkeitsnachweise veröffentlichen werden. Daraufhin erklärt Microsoft gegenüber Tenable, dass es noch bis zum 28. September dauern werde, die Schwachstelle zu beheben.
  • Ende Juli schickt der US-Senator Ron Wyden einen Brief an die Cybersecurity and Infrastructure Security Agency (CISA), das amerikanische Justizministerium und die Federal Trade Commission (FTC), in dem er die Behörden auffordert, Microsoft für ein wiederholtes Muster fahrlässiger Cybersicherheitspraktiken zur Rechenschaft zu ziehen.
  • Am 2. August kritisiert der CEO von Tenable das zögerliche Verhalten von Microsoft in einem bei LinkedIn veröffentlichten Beitrag aufs Schärfste. Dieses sei «grob unverantwortlich, wenn nicht sogar eklatant fahrlässig».
  • Am 3. August veröffentlicht Microsoft ein Sicherheits-Update, das die Schwachstelle beseitigen soll.
  • Am 4. August nennt Microsoft in einem Blog-Beitrag Details, wie das «Sicherheitsproblem» behoben wurde. Betroffene Kunden seien bereits informiert worden.
  • Zur weiteren Beruhigung heisst es seitens Microsoft, dass die eigene Untersuchung einen «anomalen Zugriff» nur durch den Sicherheitsforscher ergeben habe, der den Vorfall gemeldet hatte, nicht durch andere Akteure.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
1 / 19
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
Selten hat eine Ransomware-Attacke hierzulande für so viel Aufsehen gesorgt: In der Bildstrecke erfährst du das Wichtigste zum Angriff auf die Schweizer Behörden-Software-Entwicklerin Xplain und wie die Betroffenen reagierten.
quelle: keystone / laurent gillieron
Auf Facebook teilenAuf X teilen
«Dumme Fragen!» - ChatGPT beklagt sich über uns
Video: watson
Das könnte dich auch noch interessieren:
166 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
John H.
08.08.2023 14:54registriert April 2019
Danke Daniel Schurter, dass du das aufnimmst.
Der Schlüsselklau seitens «Storm-0558» ist eigentlich das Schlimmste, was Microsoft passieren kann. Kein Wunder, versuchen sie es herunterzuspielen. Im Grunde stand alles bei welchem man sich mit einem Microsoft-Konto anmelden kann sperrangelweit offen. Die Auswirkungen sind nicht annähernd abzuschätzen, gerade auch weil Mircosoft nicht offen kommuniziert.
Bitte bleib dran.
1102
Melden
Zum Kommentar
avatar
LeChuck
08.08.2023 16:46registriert März 2017
Hej, danke für den Bericht.
Tatsächlich nutzen wir und Kunden von uns diverse M365 Dienste und wir sind etwas schokiert, wie schlecht M$ kommuniziert. Wiedereinmal.
Trotzdem möchte ich alle die Ihre Daten zu Hause haben und sich nun unterstützt dabei fühlen, darauf hinweisen das die Meisten Datenverluste die ich in nun bald 20 Jahren IT gesehen habe, vergessene Backups, nicht verschlüsselte Backups, Backups welche nicht Ransomware sicher sind, waren. Habt bitte ein Auge darauf. 👍
391
Melden
Zum Kommentar
avatar
MeinSenfzumThema
08.08.2023 16:02registriert März 2022
Wenn ich die Wahl habe, meine Daten im Keller zu verwalten oder einem spezialisierten Cloud-Anbieter anzuvertrauen, war und ist meine Meinung eindeutig:
Ich werde mit eigenen Mitteln NIE die Sicherheit eines Cloud-Anbieters erreichen. NIE!
Im IT-Keller stehen Geräte aus aller Welt. Gekauft und in der Regel mehr oder weniger gewartet und gepatcht. DAS sind die wahren Einfallstore und erfolgreiche Hacks werden in der Öffentlichkeit schon gar nicht mehr registriert.
5231
Melden
Zum Kommentar
166
Wegen Flaute bei E-Autos: Mercedes verschiebt Verbrenner-Aus
Der Ausbau der E-Mobilität lahmt aktuell. Mercedes-Benz zieht daraus Konsequenzen. Was das für die kommenden Jahre bedeutet.

Mercedes-Benz will wegen des langsameren Umstiegs der Kunden auf Elektroautos auf eine neue Plattform für die elektrischen Spitzenmodelle S- und E-Klasse verzichten. Statt der ab 2028 geplanten Architektur MB.EA werde aus Kostengründen die bestehende E-Auto-Plattform Electric Vehicle Architecture (EVA2) weiterentwickelt, berichtete das «Handelsblatt» am Montag.

Konkret zu der Plattform äusserte sich der Autobauer zunächst nicht. Mercedes teilte jedoch mit, dass bis in die 2030er-Jahre hinein sowohl Elektroantriebe als auch Verbrenner produziert werden sollen. Die künftige Produktion sei flexibel für Verbrenner- und Elektroantriebe aufgestellt.

Zur Story