Microsofts Cloud-Dienste sind ganz schön praktisch, doch bei der Sicherheit harzt es.Bild: Shutterstock
Analyse
Mitten im Sommerloch sorgt der Software-Konzern aus Redmond für beunruhigende Nachrichten. Nun ist es Zeit für ein Zwischenfazit.
08.08.2023, 14:1609.08.2023, 11:56
Folge mir
Daten sind das moderne Gold. Und Microsoft betreibt mit seiner Cloud eine der wertvollsten Schatzkammern.
Und nun stell dir vor, es wäre Dieben möglich, sich unbemerkt Zugriff zu verschaffen. Nicht bloss zu einem digitalen Schliessfach oder Tresor, sondern zu allen ...
Das deutsche Techportal heise.de schrieb im Juni vom «Hauptschlüssel zu Microsofts Cloud-Königreich», der in falsche Hände gefallen sei.
Mutmasslich chinesische Hacker konnten einen sogenannten Signaturschlüssel stehlen. Das ganze Ausmass des Schadens ist noch immer unklar. Und mindestens so irritierend wie die Attacke an sich ist das Verhalten Microsofts.
Zwar versprach das Unternehmen unter anderem, eine bis dato kostenpflichtige Sicherheits-Protokollfunktion einem grösseren Kundenkreis in Zukunft gratis anzubieten.
Allerdings war der Fall damit nicht ausgestanden. Die Cloud-Schwachstelle, die nur staatliche Stellen direkt zu betreffen schien, erwies sich als eigentlicher «Super-GAU».
Was inzwischen bekannt ist, zeichnet – einmal mehr – ein beunruhigendes Bild des Techriesen, das weit über technisches Versagen hinausgeht: Redmond hat ernsthafte Defizite in Bezug auf Transparenz und Krisenkommunikation.
Der IT-Sicherheitsforscher Marc Ruef ordnet den aussergewöhnlichen Fall aus Schweizer Sicht ein.
Was macht den Fall so speziell?
Noch immer ist nicht klar, wie die Angreifer den Generalschlüssel zum Cloud-Königreich stehlen konnten. Microsoft hielt und hält sich diesbezüglich bedeckt – und sorgt mit ungenügender Krisenkommunikation weiter für Unruhe.
Der Schweizer IT-Sicherheitsexperte Marc Ruef, der sich mit den Vorgängen befasst hat, erklärt:
«Hierbei handelt es sich um ein verheerendes Problem, das vielen Firmen unmittelbar aufgezeigt hat, dass Cloud-Lösungen von grossen Anbietern nicht pauschal sicher sind. Uns sind verschiedene Firmen in der Schweiz bekannt, die konkrete Probleme mit dieser Schwachstelle haben.»
Falls du es genauer wissen willst, findest du in der Chronologie am Ende des Artikels weitere Informationen.
Was ist so gefährlich an der Schwachstelle?
Dazu erklärt Marc Ruef:
«Falls die Schwachstelle durch professionelle Angreifer unbemerkt ausgenutzt werden konnte, sind die Chancen hoch, dass hier persistente Hintertüren etabliert worden sind.»
In der Informatik respektive der Cybersicherheit bedeutet Persistenz, dass sich versierte Hacker in einem fremden System einnisten. Unbemerkt. Für lange Zeit.
Microsoft gehört mit Amazon und Google zu den drei grossen amerikanischen Cloud-Anbietern, auf deren Dienste unter anderem auch die Schweizer Bundesverwaltung setzt.
Microsoft-Produkte und -Dienstleistungen sind allgegenwärtig und reichen von der einfachen Textverarbeitung bis zur komplexen Cloud-Infrastruktur. Microsoft 365 und Exchange Online bilden Grundpfeiler der heutigen Wirtschaft.
In unserer modernen Welt, die stark vernetzt und Cloud-abhängig ist, wiegt das Versagen von Microsoft umso schwerer. Es ist nicht nur in geschäftlicher Hinsicht unverantwortlich, sondern auch gesellschaftlich gefährlich. Denn damit wird das Vertrauen in digitale Systeme untergraben und es stellt sich die Frage, ob die Techkonzerne wirklich in der Lage sind, die Interessen ihrer Kundinnen und Kunden über die eigenen kurzfristigen Interessen zu stellen.
Warum steht Microsoft bezüglich Kommunikation in der Kritik?
Tatsächlich muss sich Microsoft den Vorwurf gefallen lassen, die Öffentlichkeit nur zögerlich und zu spät über ein potenziell verheerendes Problem informiert zu haben.
Ob und wie die mutmasslich chinesischen Staatshacker die Schwachstelle ausnutzten, war zunächst nicht klar, denn Microsoft versteckte sich hinter nichtssagenden Dementis.
«Letztendlich ist die Entwicklung eines Sicherheitsupdates eine heikle Balance zwischen Aktualität und Qualität und gleichzeitiger Gewährleistung eines maximalen Kundenschutzes bei minimaler Kundenunterbrechung.»
Auszug aus einem Microsoft-Statement
Die von den eigenen PR-Spezialisten «geschliffenen» Verlautbarungen der vergangenen Wochen klangen vergleichsweise harmlos und wichtige Informationen drangen nur häppchenweise nach aussen. Ausserdem spitzte sich der Skandal im journalistischen Sommerloch zu, sodass er abgesehen von Fachmedien stiefmütterlich behandelt wurde.
Dann sprach Ende Juli Amit Yoran, Geschäftsführer der IT-Sicherheitsfirma Tenable, die die Schwachstelle entdeckt und gemeldet hatte, in einem Posting Klartext:
«Was Sie von Microsoft hören, ist ‹Vertrauen Sie uns einfach›. Aber was Sie zurückbekommen, ist sehr wenig Transparenz und eine toxische Kultur der Vernebelung.»
Amit Yoran, CEO von Tenablequelle: linkedin
Der Tenable-Geschäftsführer zeigte sich bei Twitter desillusioniert: «Microsoft fehlt ein moralischer Kompass, wenn es um Cyber-Praktiken und die Gefährdung seiner Kunden geht …»screenshot: twitter
Und nun findet auch Marc Ruef deutliche Worte:
«Aus eigener Erfahrung wissen wir, dass Microsoft ein sehr schwieriger Partner bei der Besprechung, Behebung und Kommunikation von Schwachstellen ist. Gerade im Cloud-Bereich ist der Austausch sehr zäh und weit von einem professionellen Zusammenarbeiten entfernt.
Die Schilderungen von Tenable erstaunen uns also gar nicht. Hier muss bei Microsoft ein Umdenken stattfinden, weil irgendwann hat auch ein Weltkonzern das Vertrauen von Partnern und Nutzern nachhaltig verspielt.»
Was können Microsoft-Kunden tun?
Sicherheitsexperte Ruef rät zu erhöhter Wachsamkeit und findet auch mahnende Worte, was die Abhängigkeit von grossen Cloud-Anbietern wie Microsoft betrifft.
«Die eigene ‹IT-Landschaft› sollte auf verdächtige Änderungen und Aktivitäten geprüft werden. Zudem sollte man das Risiko einer entsprechenden Abhängigkeit durch Drittanbieter neu beurteilen. Viele Unternehmen treffen IT-Entscheidungen aus monetären Gründen und vernachlässigen die Risiken, die mit ihnen einhergehen.»
Anfang August hat Microsoft zudem auf seiner Website ein Hilfsmittel für potenziell betroffenen Kundinnen und Kunden veröffentlicht, wie heise.de berichtete. Das sogenannte «Playbook» solle Azure-Usern dabei helfen, festzustellen, ob ihre Organisation von einem «Token-Diebstahl» betroffen sei und ob es Hintertüren und kompromittierte Zugänge und ihrem Azure AD (Active Directory) gebe.
Was ist bislang passiert?
Die Chronologie der Ereignisse zeigt, wie Microsoft das Sicherheitsproblem zunächst auf die lange Bank schob und es verpasste, potenziell Betroffene zeitnah zu warnen.
- Am 30. März wird Microsoft eine schwerwiegende Schwachstelle gemeldet, die das zentrale Authentifizierungs-System seiner Cloud-Plattformen betrifft. Entdeckt wurde das Problem von der IT-Sicherheitsfirma Tenable.
- Microsoft bestätigt am 3. April gegenüber Tenable, die Meldung erhalten zu haben, lässt dann aber mehrere Monate bis zur Lösung des Problems verstreichen.
- Am 27. Juni hakt Tenable nach.
- Am 6. Juli informiert Microsoft Tenable, dass das Problem behoben sei. Daraufhin prüfen die unabhängigen Sicherheitsforscher den entsprechenden «Fix» und stellen fest, dass er unvollständig sei und die Sicherheitslücke immer noch von Hackern ausgenutzt werden könne.
- Microsoft fordert Tenable auf, die Veröffentlichung von Details zu der Schwachstelle zu verschieben, und die beiden Unternehmen diskutieren wochenlang hin und her.
- Am 11. Juli gibt Microsoft einen schwerwiegenden Hackerangriff gegen seine Cloud-Plattform bekannt, der auf eine chinesische Hackergruppe namens Storm-0558 zurückgeführt werde. Der Angriff zielte hauptsächlich auf Regierungsbehörden in Westeuropa ab und konzentrierte sich auf Spionage, Datendiebstahl und Logins. Gemäss eigenen Angaben hat Microsoft am 16. Juni mit einer Untersuchung der anomalen E-Mail-Aktivitäten begonnen.
- Am 12. Juli veröffentlichen das FBI und die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) einen gemeinsamen Bericht, in dem sie speziell die Betreiber von kritischen Infrastrukturen warnen.
- Am 21. Juli schlägt die IT-Sicherheitsfirma WIZ mit neuen Enthüllungen Alarm: Demnach sei der entwendete Signaturschlüssel «deutlich mächtiger als bisher angenommen». Hacker könnten sich damit nicht nur Zugriff auf Exchange-Konten, sondern auf diverse Microsoft-Cloud-Anwendungen wie Sharepoint oder Teams verschaffen.
- Die Sicherheitsforscher warnen, «selbst Kunden-Apps in der Cloud mit ‹Login with Microsoft› könnten demnach sperrangelweit offen gestanden haben». Dies wird jedoch in ersten Reaktionen von Microsoft relativiert. Man habe die Angriffsmethode blockiert und es seien abgesehen von den früher kommunizierten Zielen keine Opfer bekannt.
- Am selben Tag erhöht Tenable den Druck und informiert Microsoft darüber, dass die Sicherheitsforscher eine Information ohne technische Details oder Machbarkeitsnachweise veröffentlichen werden. Daraufhin erklärt Microsoft gegenüber Tenable, dass es noch bis zum 28. September dauern werde, die Schwachstelle zu beheben.
- Ende Juli schickt der US-Senator Ron Wyden einen Brief an die Cybersecurity and Infrastructure Security Agency (CISA), das amerikanische Justizministerium und die Federal Trade Commission (FTC), in dem er die Behörden auffordert, Microsoft für ein wiederholtes Muster fahrlässiger Cybersicherheitspraktiken zur Rechenschaft zu ziehen.
- Am 2. August kritisiert der CEO von Tenable das zögerliche Verhalten von Microsoft in einem bei LinkedIn veröffentlichten Beitrag aufs Schärfste. Dieses sei «grob unverantwortlich, wenn nicht sogar eklatant fahrlässig».
- Am 3. August veröffentlicht Microsoft ein Sicherheits-Update, das die Schwachstelle beseitigen soll.
- Am 4. August nennt Microsoft in einem Blog-Beitrag Details, wie das «Sicherheitsproblem» behoben wurde. Betroffene Kunden seien bereits informiert worden.
- Zur weiteren Beruhigung heisst es seitens Microsoft, dass die eigene Untersuchung einen «anomalen Zugriff» nur durch den Sicherheitsforscher ergeben habe, der den Vorfall gemeldet hatte, nicht durch andere Akteure.
Quellen
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
1 / 19
Xplain-Hack: Darknet-Leak betrifft Daten des Bundes
Selten hat eine Ransomware-Attacke hierzulande für so viel Aufsehen gesorgt: In der Bildstrecke erfährst du das Wichtigste zum Angriff auf die Schweizer Behörden-Software-Entwicklerin Xplain und wie die Betroffenen reagierten.
quelle: keystone / laurent gillieron
«Dumme Fragen!» - ChatGPT beklagt sich über uns
Video: watson
Das könnte dich auch noch interessieren:
Ein Brief von Bundespräsidentin Viola Amherd nach Moskau, Spitzensaläre von Chefärzten in Schweizer Spitälern und die Reinheit von Mineralwasser in Petflaschen: Das und mehr findet sich in den Sonntagszeitungen.
Bundespräsidentin Viola Amherd hat dem russischen Präsidenten Wladimir Putin zu dessen Wiederwahl im März einen Brief geschrieben. «Der Brief ist kein Gratulationsschreiben», sagte ein Sprecher des Verteidigungsdepartements dem «SonntagsBlick». Der Brief sei vielmehr eine «Aufforderung zum Dialog in schwierigen Zeiten.» Amherd erkläre im Text die Position der Schweiz, wonach die Achtung des Völkerrechts und der Menschenrechte und die in der Uno-Charta verankerten universellen Grundsätze Kompass für das Streben nach Frieden und Wohlstand sein müssten. Der Brief enthält auch Beileidskundgebungen für die Opfer des Terroranschlages in Moskau am 22. März und für die Opfer der Überschwemmungen in mehrere Regionen von Russland. Auf dem Bürgenstock soll Mitte Juni die Ukraine-Friedenskonferenz stattfinden. Russland wird nach eigenen Angaben nicht dabei sein.
Der Schlüsselklau seitens «Storm-0558» ist eigentlich das Schlimmste, was Microsoft passieren kann. Kein Wunder, versuchen sie es herunterzuspielen. Im Grunde stand alles bei welchem man sich mit einem Microsoft-Konto anmelden kann sperrangelweit offen. Die Auswirkungen sind nicht annähernd abzuschätzen, gerade auch weil Mircosoft nicht offen kommuniziert.
Bitte bleib dran.
Tatsächlich nutzen wir und Kunden von uns diverse M365 Dienste und wir sind etwas schokiert, wie schlecht M$ kommuniziert. Wiedereinmal.
Trotzdem möchte ich alle die Ihre Daten zu Hause haben und sich nun unterstützt dabei fühlen, darauf hinweisen das die Meisten Datenverluste die ich in nun bald 20 Jahren IT gesehen habe, vergessene Backups, nicht verschlüsselte Backups, Backups welche nicht Ransomware sicher sind, waren. Habt bitte ein Auge darauf. 👍
Ich werde mit eigenen Mitteln NIE die Sicherheit eines Cloud-Anbieters erreichen. NIE!
Im IT-Keller stehen Geräte aus aller Welt. Gekauft und in der Regel mehr oder weniger gewartet und gepatcht. DAS sind die wahren Einfallstore und erfolgreiche Hacks werden in der Öffentlichkeit schon gar nicht mehr registriert.