Thought Leadership
Produkte und Dienste von Microsoft stehen seit längerem wegen Sicherheitslücken, intransparenter Datenübermittlung und damit verbundenen Datenschutzrisiken in der Kritik. Neben der klassischen und vergleichsweise sichereren On-Premise-Software betrifft dies insbesondere die Cloud-Services von Microsoft.
Nach mehreren schweren Sicherheitsvorfällen in Microsoft Azure in den Jahren 2021 und 2022 kam es im Folgejahr zum Super-GAU. Die Krone setzt dem Ganzen nun ein aktueller Bericht des amerikanischen Department of Homeland Security (DHS) auf. Hintergrund ist, dass offenbar die chinesische Hackergruppe Storm-0558 in den Besitz eines Masterkeys gelangt ist, mit dem auf zahlreiche E-Mail-Konten von Microsoft zugegriffen werden konnte. Laut dem Ende März veröffentlichten Bericht waren auch Mitarbeiter der US-Regierung betroffen.
Gehäufte Sicherheitsvorfälle mit höchsten Risiken
Im Juni 2023 wurde Microsoft von einer US-Behörde über ungewöhnliche Aktivitäten in ihren Online-Exchange-Konten informiert. Eine tiefergehende Untersuchung brachte ein weitreichendes Problem ans Licht, das Microsoft nur zögerlich und sukzessiv preisgab. Den Hackern war es gelungen, einen Signaturschlüssel von Microsoft zu stehlen und sich selbst Zugangsberechtigungen zu Outlook Web Access und Outlook.com zu erstellen. Damit konnten sie unter anderem E-Mails und deren Anhänge herunterladen.
Das Ausmaß war aber noch viel größer: Bei dem Schlüssel handelte es sich um einen OpenID Signing Key für das Azure Active Directory. Mit diesem ließ sich nicht nur ein Zugangstoken für die Benutzerkonten nahezu aller Microsoft-Cloud-Dienste erstellen. Die Angreifer konnten auch ungehindert auf von Unternehmen selbst betriebene Azure AD-Instanzen und deren Cloud-Anwendungen zugreifen, wenn diese wiederum anderen AAD-Instanzen vertrauten und beispielsweise ein „Login with Microsoft“ ermöglichten. Zwar sperrte Microsoft daraufhin den Schlüssel – doch inwieweit die gesamte Microsoft-Cloud in der Zwischenzeit mit Hintertüren versehen wurde, ist unklar, wie Heise im Detail aufzeigt.
Auch einen Monat nach dem Vorfall konnte Microsoft nicht klären, wie der Schlüsseldiebstahl stattfand. Ebenso wenig konnte der Branchenriese erklären, warum die mit dem gestohlenen Schlüssel erstellten Zugangsberechtigungen überhaupt funktionierten.
US Cyber Safety Review Board stellt vermeidbare Sicherheitsvorfälle und mangelnde Unternehmenskultur bei Microsoft fest
Aus dem aktuellen Bericht des Cyber Safety Review Board (CSRB) geht nun hervor, dass der Hackerangriff hätte verhindert werden können. Das CSRB identifizierte eine Reihe operativer und strategischer Entscheidungen von Microsoft, die auf eine Unternehmenskultur hindeuten, die Investitionen in die Unternehmenssicherheit und ein rigoroses Risikomanagement vernachlässigt. Dies stünde im Widerspruch zur zentralen Stellung des Unternehmens im Technologie-Ökosystem und dem Vertrauen, das Kunden dem Unternehmen hinsichtlich des Schutzes ihrer Daten und Prozesse entgegenbringen. Das CSRB empfiehlt Microsoft, einen Plan mit konkreten Zeitvorgaben für grundlegende sicherheitsorientierte Reformen im gesamten Unternehmen und seiner Produktpalette zu entwickeln und öffentlich zu machen.
Kritisiert wird noch dazu Microsofts unzureichende Kommunikation. So wusste Microsoft zwar im November 2023, dass sein diesbezüglicher Blogbeitrag vom 6. September 2023 hinsichtlich der Ursache unzutreffend war, aktualisierte den Eintrag aber erst am 12. März 2024, als das CSRB seine Prüfung abgeschlossen und mehrfach nach Microsofts Korrekturplänen gefragt hatte.
Kritische Sicherheitslage dauert an
Selbst im März dieses Jahres gab es offenbar seit geraumer Zeit tagtäglich unbefugte Zugriffe durch Kriminelle der Gruppe „Midnight Blizzard“ auf Microsofts Systeme und darin gespeicherte Daten, wie Microsoft in seinem Blog berichtet – ohne dass es gelungen wäre, die Angreifer zu stoppen.
Gleichzeitig besteht auch auf Kundenseite schon lange dringender Handlungsbedarf. Ob das trotz der massiv bedrohten eigenen Interessen immer konsequent umgesetzt wird oder zumindest entsprechende Schritte zurück aus Cloud-Services vorbereitet werden, erscheint ungewiss.
Zu den Kunden von Microsoft gehört aber bekanntlich auch der Staat mit seinen diversen Institutionen und Behörden, die sich ganz überwiegend über viele Jahrzehnte in eine bescheinigt bedenkliche und unreflektierte Abhängigkeit von Microsoft begeben haben.
Hierauf reagiert der Notbefehl ED 24-02 der Cybersecurity and Infrastructure Security Agency (CISA), wodurch IT-Abteilungen ziviler US-Bundesbehörden in Zugzwang versetzt werden, Schutzmaßnahmen zu ergreifen.
EDPS greift bei EU-Kommission durch
Auch in der EU-Kommission bewegt sich etwas. Nicht, dass die zuständigen Institutionen anlässlich der oben genannten Schlagzeilen selbst Handlungsbedarf erkannt hätten. Angesichts der von der EU proklamierten digitalen Souveränität als strategisches Ziel Europas hätte man erwarten können, dass die höchsten EU-Institutionen selbst mit gutem Beispiel vorangehen. Im Gegenteil: Die Europäische Kommission nutzt Microsoft 365 munter für ihre internen Kommunikations- und Kollaborationsbedürfnisse. Den Riegel hat jetzt der Europäische Datenschutzbeauftragte (EDPS) vorgeschoben. Seinem Bericht zufolge verstößt diese Nutzung von Microsoft 365 gegen das geltende Datenschutzrecht der Europäischen Union. Microsoft 365 ist eine Cloud-basierte Office-Suite, mit der Unternehmen ihre Daten und Dokumente online speichern und verwalten können.
Der EDPS hat die Europäische Kommission aufgefordert, Maßnahmen zu ergreifen, um sicherzustellen, dass die Verwendung von Microsoft 365 den geltenden Datenschutzregeln entspricht. Dazu gehört neben der Sicherstellung, dass personenbezogene Daten ausschließlich für ausdrücklich festgelegte und hinreichend bestimmte Zwecke verarbeitet werden, auch die Implementierung von Maßnahmen zur Sicherung eines angemessenen Datenschutzniveaus. Diese erfordern eine gründliche Überprüfung der vorhandenen Systeme und gegebenenfalls die Umstellung auf Lösungen, die den höchsten Datenschutzstandards gerecht werden.
Damit wurde ausgesprochen, was jeder schon lange wusste – aber offensichtlich kaum einer bereit war zu handeln.
Kunden in der Pflicht
Verblüffend leise fällt noch immer das Echo auf die geballte Wucht an mangelnder Kompetenz, bestehender Ignoranz und unzureichender Kommunikation auf Kundenseite aus. Wer angesichts der nachgewiesenen Datenschutz- und Sicherheitsrisiken immer noch blind auf die Microsoft-Cloud setzt, wenn es um die eigenen Unternehmensdaten, die seiner Kunden oder Bürgerinnen und Bürger sowie um elementare Infrastrukturen geht, kann die Tragweite der Themen nicht verstanden haben.
Entsprechend stellt Andreas E. Thyen, studierter Volkswirt und Verwaltungsratspräsident der LizenzDirekt AG, fest: „Dass Kunden trotz der Vielzahl an Vorfällen, amtlich bestätigten Verfehlungen und Unzulänglichkeiten seitens Microsoft nach wie vor auf Microsoft 365 setzen, erscheint unter Datenschutz und Datensicherheitsaspekten angesichts der eigenen Compliance- und Treue-Pflichten kaum vertretbar. Wie man darüber hinaus einer KI aus diesem Hause Daten anvertrauen kann, möchte ich mir gar nicht ausmalen.“
On-Premise und Anbietermix erhöhen Sicherheit
Eine notwendige Sofortmaßnahme zur Bewältigung der Situation ist der verstärkte Einsatz von On-Premise-Software im Microsoft-Umfeld, die es Unternehmen und Behörden ermöglicht, die Kontrolle über ihre Software, Daten und Infrastruktur zurückzugewinnen bzw. zu erhalten. Auch aktuelle Versionen verschiedener Microsoft-Produkte sind in dieser Form verfügbar.
Im Gegensatz zu reinen Cloud-Lösungen, bei denen die Daten auf Servern externer Anbieter gespeichert werden, ermöglicht On-Premise-Software den Unternehmen, die Software auf ihren eigenen lokalen Servern oder Rechenzentren zu installieren und zu betreiben. Auf diese Weise behalten die Unternehmen die weitgehende Kontrolle über ihre Daten und können sie gemäß ihren eigenen Sicherheitsrichtlinien verwalten. On-Premise-Software bietet zudem eine höhere Datensouveränität, da die Daten wenn vom Kunden gewünscht innerhalb der Europäischen Union verbleiben und somit den strengen Datenschutzstandards der DSGVO unterliegen.
Insbesondere durch den Einsatz von Gebrauchtsoftware können Unternehmen ihre IT-Investitionen optimieren und finanzielle Ressourcen für andere wichtige Bereiche freisetzen. Werden zusätzliche Cloud Services benötigt, sollte ein geeigneter Anbietermix gewählt werden, um Abhängigkeiten zu reduzieren und Sicherheitsrisiken zu minimieren.
www.lizenzdirekt.com
