Microsoft: Sicherheit oberste Priorität in Produkten, Diensten und intern
In einem internen Memo und einem Blogpost stellt Microsoft Security bei allen Entwicklungen an erste Stelle. Das gilt für Produkte wie Services.
(Bild: Microsoft)
Die im November 2023 von Microsoft angekündigte "Secure Future Initiative" (SFI) wird konkreter. Künftig soll bei allen Produkten, Dienstleistungen und auch dem eigenen Betrieb Sicherheit die oberste Priorität haben. Dies geht aus einer Mitteilung an die Belegschaft von CEO Satya Nadella hervor sowie aus einem ausführlichen Blogpost von Security-Chef Charlie Bell.
In diesem Post führt Bell unter anderem drei einfache Punkte auf: "Secure by design", "Secure by default" und "Secure operations." Letzteres bringt Bell auch ausdrücklich in Verbindung mit den Angriffen der russischen Akteure "Midnight Blizzard", die sich seit Monaten in Microsofts Systemen eingenistet haben. Ebenso bezieht sich Bell auf die Empfehlungen des Cyber Safety Review Board (CSRB) der USA, welches diese nach dem Diebstahl eines Master-Keys für Microsofts Cloud-Dienste erarbeitet hatte. Die per Dekret von US-Präsident Joe Biden gegründete Behörde setzt Microsoft seit Monaten unter Druck.
Entwicklungssysteme werden abgesichert
Charlie Bell zufolge will sich sein Unternehmen strikt an die Vorgaben des CSRB halten. Zudem sollen auch Bonuszahlungen für das Top-Management von Microsoft an das Erreichen von Meilensteinen bei Security geknüpft sein. Der Fokus auf Sicherheit soll zudem bei künftigen Neueinstellungen eine Rolle spielen. Bell erkennt an, dass Microsoft "eine zentrale Rolle im digitalen Ökosystem der Welt spielt" und schlussfolgert daraus: "Wir müssen und werden mehr tun."
Neben solchen Versprechungen macht Bell auch konkrete Angaben, vor allem für die Absicherung der eigenen Systeme und der Entwicklungsumgebungen bei Microsoft. Anmeldestrukturen sollen verbessert werden, Netze voneinander isoliert und die Lieferketten für Software besser kontrolliert. Ein Lieferkettenangriff auf die xz-Bibliothek für Linux sorgte kürzlich zu einem Beinahe-GAU für jegliche digitale Infrastruktur, was Bell jedoch nicht ausdrücklich erwähnt.
Nadella nimmt Mitarbeiter in die Pflicht
Während Bell sich vor allem an die Öffentlichkeit wendet, spricht CEO Satya Nadella in einem internen Memo die rund 200.000 Microsoft-Mitarbeiter an: "Macht Security" ist der Kernsatz, wie The Verge aus dem Schreiben zitiert. Diese Entscheidung sollte immer in dieser Richtung gefällt werden, wenn es um die Abwägung zwischen neuen Funktionen oder die weitere Unterstützung veralteter (legacy) Systeme gehe. Nadella betont auch, dass das zunehmend in die Kritik geratene Unternehmen die Bedürfnisse der Kunden endlich ernst nehmen müsse. Security sei ab sofort "Die Top-Priorität für jeden und das größte Bedürfnis unserer Kunden." Ähnlich hatte sich Nadella kurz zuvor bei den jüngsten Quartalsergebnissen geäußert.
(nie)
