News

Alptraum in der Cloud: Microsofts Daten-GAU enthüllt erschreckende Gefahren

Michael Meister

3 min read
Alptraum in der Cloud: Microsofts Daten-GAU enthüllt erschreckende Gefahren
Photo by NOAA / Unsplash

Was ist eigentlich passiert

Die aktuelle Nachrichtenlage schockiert die digitale Welt: Der Diebstahl des Signaturschlüssels aus Microsofts Cloud-Königreich hat die Dunkelheit hinter den strahlenden Fassaden der Cloud-Dienste enthüllt. Dieser beängstigende Vorfall sollte Unternehmen ein dringender Weckruf sein, ihre Daten nicht leichtfertig den Klauen fremder Cloud-Anbieter zu überlassen.

Daten-GAU: Die Pforten zum Cloud-Königreich wurden geplündert

Die ungeheuerliche Vorstellung, dass mutmaßlich chinesische Hacker in Microsofts Cloud eindrangen und sich unbemerkt wie Geister bewegten, wirft Schatten auf die vermeintliche Sicherheit der Cloud. Der gestohlene Signaturschlüssel könnte die Hintertür sein, die es den Angreifern ermöglicht, persistent auf Daten zuzugreifen und sie nach Belieben zu manipulieren.

Kommunikationsdesaster: Microsofts Geheimniskrämerei wirft ein düsteres Licht

Microsofts Reaktion auf diese beispiellose Katastrophe wirft ein beunruhigendes Licht auf die Fähigkeit des Unternehmens, in Krisensituationen angemessen zu agieren. Die undurchsichtige, zögerliche und unzureichende Kommunikation deutet auf eine Kultur der Ignoranz und Vernebelung hin. Selbst Experten wie Tenable, die den Vorfall aufdeckten, wurden von Microsofts Mangel an Transparenz enttäuscht.

Kein Vertrauen in der Cloud: Ein Weckruf für Unternehmen

Der Vorfall bei Microsoft sollte als ernstzunehmender Appell an Unternehmen dienen, die Sicherheit ihrer Daten in die eigenen Hände zu nehmen. Die Illusion von Cloud-Sicherheit ist zerschmettert. Unternehmen müssen die Augen vor den Risiken öffnen, die mit der Hingabe ihrer wertvollsten Informationen an externe Cloud-Anbieter einhergehen.

Fazit: Die dunklen Seiten der Cloud enthüllt

Der Vorfall bei Microsoft sollte als ein düsteres Kapitel in der Geschichte der Cloud-Dienste eingehen. Unternehmen sollten diesen Wendepunkt nutzen, um ihre Sicherheitsstrategien zu überdenken und sich von der vermeintlichen Bequemlichkeit der Cloud zu lösen. Die Schutzmaßnahmen für sensible Daten sollten nicht den Launen und Fehlern externer Anbieter überlassen werden.

Zeitliche Abfolge

Die Chronologie der Ereignisse zeigt, wie Microsoft das Sicherheitsproblem zunächst auf die lange Bank schob und es verpasste, potenziell Betroffene zeitnah zu warnen.

  • Am 30. März wird Microsoft eine schwerwiegende Schwachstelle gemeldet, die das zentrale Authentifizierungs-System seiner Cloud-Plattformen betrifft. Entdeckt wurde das Problem von der IT-Sicherheitsfirma Tenable.
  • Microsoft bestätigt am 3. April gegenüber Tenable, die Meldung erhalten zu haben, lässt dann aber mehrere Monate bis zur Lösung des Problems verstreichen.
  • Am 27. Juni hakt Tenable nach.
  • Am 6. Juli informiert Microsoft Tenable, dass das Problem behoben sei. Daraufhin prüfen die unabhängigen Sicherheitsforscher den entsprechenden «Fix» und stellen fest, dass er unvollständig sei und die Sicherheitslücke immer noch von Hackern ausgenutzt werden könne.
  • Microsoft fordert Tenable auf, die Veröffentlichung von Details zu der Schwachstelle zu verschieben, und die beiden Unternehmen diskutieren wochenlang hin und her.
  • Am 11. Juli gibt Microsoft einen schwerwiegenden Hackerangriff gegen seine Cloud-Plattform bekannt, der auf eine chinesische Hackergruppe namens Storm-0558 zurückgeführt werde. Der Angriff zielte hauptsächlich auf Regierungsbehörden in Westeuropa ab und konzentrierte sich auf Spionage, Datendiebstahl und Logins. Gemäss eigenen Angaben hat Microsoft am 16. Juni mit einer Untersuchung der anomalen E-Mail-Aktivitäten begonnen.
  • Am 12. Juli veröffentlichen das FBI und die amerikanische Cybersecurity and Infrastructure Security Agency (CISA) einen gemeinsamen Bericht, in dem sie speziell die Betreiber von kritischen Infrastrukturen warnen.
  • Am 21. Juli schlägt die IT-Sicherheitsfirma WIZ mit neuen Enthüllungen Alarm: Demnach sei der entwendete Signaturschlüssel «deutlich mächtiger als bisher angenommen». Hacker könnten sich damit nicht nur Zugriff auf Exchange-Konten, sondern auf diverse Microsoft-Cloud-Anwendungen wie Sharepoint oder Teams verschaffen.
  • Die Sicherheitsforscher warnen, «selbst Kunden-Apps in der Cloud mit ‹Login with Microsoft› könnten demnach sperrangelweit offen gestanden haben». Dies wird jedoch in ersten Reaktionen von Microsoft relativiert. Man habe die Angriffsmethode blockiert und es seien abgesehen von den früher kommunizierten Zielen keine Opfer bekannt.
  • Am selben Tag erhöht Tenable den Druck und informiert Microsoft darüber, dass die Sicherheitsforscher eine Information ohne technische Details oder Machbarkeitsnachweise veröffentlichen werden. Daraufhin erklärt Microsoft gegenüber Tenable, dass es noch bis zum 28. September dauern werde, die Schwachstelle zu beheben.
  • Ende Juli schickt der US-Senator Ron Wyden einen Brief an die Cybersecurity and Infrastructure Security Agency (CISA), das amerikanische Justizministerium und die Federal Trade Commission (FTC), in dem er die Behörden auffordert, Microsoft für ein wiederholtes Muster fahrlässiger Cybersicherheitspraktiken zur Rechenschaft zu ziehen.
  • Am 2. August kritisiert der CEO von Tenable das zögerliche Verhalten von Microsoft in einem bei LinkedIn veröffentlichten Beitrag aufs Schärfste. Dieses sei «grob unverantwortlich, wenn nicht sogar eklatant fahrlässig».
  • Am 3. August veröffentlicht Microsoft ein Sicherheits-Update, das die Schwachstelle beseitigen soll.
  • Am 4. August nennt Microsoft in einem Blog-Beitrag Details, wie das «Sicherheitsproblem» behoben wurde. Betroffene Kunden seien bereits informiert worden.
  • Zur weiteren Beruhigung heisst es seitens Microsoft, dass die eigene Untersuchung einen «anomalen Zugriff» nur durch den Sicherheitsforscher ergeben habe, der den Vorfall gemeldet hatte, nicht durch andere Akteure.

Quellen:

  1. tenable.com: Unauthorized Access to Cross-Tenant Applications in Microsoft Power Platform
  2. msrc.microsoft.com: Microsoft mitigates Power Platform Custom Code information disclosure vulnerability (4. August)
  3. cyberscoop.com: Microsoft downplays damaging report on Chinese hacking its own engineers vetted (31. Juli)
  4. podcast.datenschutzpartner.ch: DAT153 Super-GAU bei Microsoft (Podcast, 26. Juli)
  5. heise.de: Microsofts gestohlener Schlüssel mächtiger als vermutet (24. Juli)
  6. wiz.io: Compromised Microsoft Key: More Impactful Than We Thought (21. Juli)