Cloud mit Hintertür – was wir aus dem Super-GAU bei Microsoft lernen
Daten sind das moderne Gold. Und Microsoft betreibt mit seiner Cloud eine der wertvollsten Schatzkammern.
Und nun stell dir vor, es wäre Dieben möglich, sich unbemerkt Zugriff zu verschaffen. Nicht bloss zu einem digitalen Schliessfach oder Tresor, sondern zu allen ...
Das deutsche Techportal heise.de schrieb im Juni vom «Hauptschlüssel zu Microsofts Cloud-Königreich», der in falsche Hände gefallen sei.
Mutmasslich chinesische Hacker konnten einen sogenannten Signaturschlüssel stehlen. Das ganze Ausmass des Schadens ist noch immer unklar. Und mindestens so irritierend wie die Attacke an sich ist das Verhalten Microsofts.
Zwar versprach das Unternehmen unter anderem, eine bis dato kostenpflichtige Sicherheits-Protokollfunktion einem grösseren Kundenkreis in Zukunft gratis anzubieten.
Allerdings war der Fall damit nicht ausgestanden. Die Cloud-Schwachstelle, die nur staatliche Stellen direkt zu betreffen schien, erwies sich als eigentlicher «Super-GAU».
Was inzwischen bekannt ist, zeichnet – einmal mehr – ein beunruhigendes Bild des Techriesen, das weit über technisches Versagen hinausgeht: Redmond hat ernsthafte Defizite in Bezug auf Transparenz und Krisenkommunikation.
Der IT-Sicherheitsforscher Marc Ruef ordnet den aussergewöhnlichen Fall aus Schweizer Sicht ein.
Was macht den Fall so speziell?
Noch immer ist nicht klar, wie die Angreifer den Generalschlüssel zum Cloud-Königreich stehlen konnten. Microsoft hielt und hält sich diesbezüglich bedeckt – und sorgt mit ungenügender Krisenkommunikation weiter für Unruhe.
Der Schweizer IT-Sicherheitsexperte Marc Ruef, der sich mit den Vorgängen befasst hat, erklärt:
Falls du es genauer wissen willst, findest du in der Chronologie am Ende des Artikels weitere Informationen.
Was ist so gefährlich an der Schwachstelle?
Dazu erklärt Marc Ruef:
In der Informatik respektive der Cybersicherheit bedeutet Persistenz, dass sich versierte Hacker in einem fremden System einnisten. Unbemerkt. Für lange Zeit.
Microsoft gehört mit Amazon und Google zu den drei grossen amerikanischen Cloud-Anbietern, auf deren Dienste unter anderem auch die Schweizer Bundesverwaltung setzt.
Microsoft-Produkte und -Dienstleistungen sind allgegenwärtig und reichen von der einfachen Textverarbeitung bis zur komplexen Cloud-Infrastruktur. Microsoft 365 und Exchange Online bilden Grundpfeiler der heutigen Wirtschaft.
In unserer modernen Welt, die stark vernetzt und Cloud-abhängig ist, wiegt das Versagen von Microsoft umso schwerer. Es ist nicht nur in geschäftlicher Hinsicht unverantwortlich, sondern auch gesellschaftlich gefährlich. Denn damit wird das Vertrauen in digitale Systeme untergraben und es stellt sich die Frage, ob die Techkonzerne wirklich in der Lage sind, die Interessen ihrer Kundinnen und Kunden über die eigenen kurzfristigen Interessen zu stellen.
Warum steht Microsoft bezüglich Kommunikation in der Kritik?
Tatsächlich muss sich Microsoft den Vorwurf gefallen lassen, die Öffentlichkeit nur zögerlich und zu spät über ein potenziell verheerendes Problem informiert zu haben.
Ob und wie die mutmasslich chinesischen Staatshacker die Schwachstelle ausnutzten, war zunächst nicht klar, denn Microsoft versteckte sich hinter nichtssagenden Dementis.
Die von den eigenen PR-Spezialisten «geschliffenen» Verlautbarungen der vergangenen Wochen klangen vergleichsweise harmlos und wichtige Informationen drangen nur häppchenweise nach aussen. Ausserdem spitzte sich der Skandal im journalistischen Sommerloch zu, sodass er abgesehen von Fachmedien stiefmütterlich behandelt wurde.
Dann sprach Ende Juli Amit Yoran, Geschäftsführer der IT-Sicherheitsfirma Tenable, die die Schwachstelle entdeckt und gemeldet hatte, in einem Posting Klartext:
Und nun findet auch Marc Ruef deutliche Worte:
Die Schilderungen von Tenable erstaunen uns also gar nicht. Hier muss bei Microsoft ein Umdenken stattfinden, weil irgendwann hat auch ein Weltkonzern das Vertrauen von Partnern und Nutzern nachhaltig verspielt.»
Was können Microsoft-Kunden tun?
Sicherheitsexperte Ruef rät zu erhöhter Wachsamkeit und findet auch mahnende Worte, was die Abhängigkeit von grossen Cloud-Anbietern wie Microsoft betrifft.
Anfang August hat Microsoft zudem auf seiner Website ein Hilfsmittel für potenziell betroffenen Kundinnen und Kunden veröffentlicht, wie heise.de berichtete. Das sogenannte «Playbook» solle Azure-Usern dabei helfen, festzustellen, ob ihre Organisation von einem «Token-Diebstahl» betroffen sei und ob es Hintertüren und kompromittierte Zugänge und ihrem Azure AD (Active Directory) gebe.
Was ist bislang passiert?
Die Chronologie der Ereignisse zeigt, wie Microsoft das Sicherheitsproblem zunächst auf die lange Bank schob und es verpasste, potenziell Betroffene zeitnah zu warnen.
- Am 30. März wird Microsoft eine schwerwiegende Schwachstelle gemeldet, die das zentrale Authentifizierungs-System seiner Cloud-Plattformen betrifft. Entdeckt wurde das Problem von der IT-Sicherheitsfirma Tenable.
- Microsoft bestätigt am 3. April gegenüber Tenable, die Meldung erhalten zu haben, lässt dann aber mehrere Monate bis zur Lösung des Problems verstreichen.
- Am 27. Juni hakt Tenable nach.
- Am 6. Juli informiert Microsoft Tenable, dass das Problem behoben sei. Daraufhin prüfen die unabhängigen Sicherheitsforscher den entsprechenden «Fix» und stellen fest, dass er unvollständig sei und die Sicherheitslücke immer noch von Hackern ausgenutzt werden könne.
- Microsoft fordert Tenable auf, die Veröffentlichung von Details zu der Schwachstelle zu verschieben, und die beiden Unternehmen diskutieren wochenlang hin und her.
- Am 11. Juli gibt Microsoft einen schwerwiegenden Hackerangriff gegen seine Cloud-Plattform bekannt, der auf eine chinesische Hackergruppe namens Storm-0558 zurückgeführt werde. Der Angriff zielte hauptsächlich auf Regierungsbehörden in Westeuropa ab und konzentrierte sich auf Spionage, Datendiebstahl und Logins. Gemäss eigenen Angaben hat Microsoft am 16. Juni mit einer Untersuchung der anomalen E-Mail-Aktivitäten begonnen.
- Am 12. Juli veröffentlichen das FBI und die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) einen gemeinsamen Bericht, in dem sie speziell die Betreiber von kritischen Infrastrukturen warnen.
- Am 21. Juli schlägt die IT-Sicherheitsfirma WIZ mit neuen Enthüllungen Alarm: Demnach sei der entwendete Signaturschlüssel «deutlich mächtiger als bisher angenommen». Hacker könnten sich damit nicht nur Zugriff auf Exchange-Konten, sondern auf diverse Microsoft-Cloud-Anwendungen wie Sharepoint oder Teams verschaffen.
- Die Sicherheitsforscher warnen, «selbst Kunden-Apps in der Cloud mit ‹Login with Microsoft› könnten demnach sperrangelweit offen gestanden haben». Dies wird jedoch in ersten Reaktionen von Microsoft relativiert. Man habe die Angriffsmethode blockiert und es seien abgesehen von den früher kommunizierten Zielen keine Opfer bekannt.
- Am selben Tag erhöht Tenable den Druck und informiert Microsoft darüber, dass die Sicherheitsforscher eine Information ohne technische Details oder Machbarkeitsnachweise veröffentlichen werden. Daraufhin erklärt Microsoft gegenüber Tenable, dass es noch bis zum 28. September dauern werde, die Schwachstelle zu beheben.
- Ende Juli schickt der US-Senator Ron Wyden einen Brief an die Cybersecurity and Infrastructure Security Agency (CISA), das amerikanische Justizministerium und die Federal Trade Commission (FTC), in dem er die Behörden auffordert, Microsoft für ein wiederholtes Muster fahrlässiger Cybersicherheitspraktiken zur Rechenschaft zu ziehen.
- Am 2. August kritisiert der CEO von Tenable das zögerliche Verhalten von Microsoft in einem bei LinkedIn veröffentlichten Beitrag aufs Schärfste. Dieses sei «grob unverantwortlich, wenn nicht sogar eklatant fahrlässig».
- Am 3. August veröffentlicht Microsoft ein Sicherheits-Update, das die Schwachstelle beseitigen soll.
- Am 4. August nennt Microsoft in einem Blog-Beitrag Details, wie das «Sicherheitsproblem» behoben wurde. Betroffene Kunden seien bereits informiert worden.
- Zur weiteren Beruhigung heisst es seitens Microsoft, dass die eigene Untersuchung einen «anomalen Zugriff» nur durch den Sicherheitsforscher ergeben habe, der den Vorfall gemeldet hatte, nicht durch andere Akteure.
Quellen
- tenable.com: Unauthorized Access to Cross-Tenant Applications in Microsoft Power Platform
- msrc.microsoft.com: Microsoft mitigates Power Platform Custom Code information disclosure vulnerability (4. August)
- cyberscoop.com: Microsoft downplays damaging report on Chinese hacking its own engineers vetted (31. Juli)
- podcast.datenschutzpartner.ch: DAT153 Super-GAU bei Microsoft (Podcast, 26. Juli)
- heise.de: Microsofts gestohlener Schlüssel mächtiger als vermutet (24. Juli)
- wiz.io: Compromised Microsoft Key: More Impactful Than We Thought (21. Juli)
