US-Heimatschutz prüft, ob Microsoft Umsatz über Sicherheit stellt
Kurz vor der Anhörung zu Microsofts Security-Verfehlungen erhebt ein ehemaliger Mitarbeiter schwere Vorwürfe: Umsatz sei wichtiger gewesen als Security.
Gang nach Canossa: Brad Smith steht einem Ausschuss des US-Repräsentantenhauses zu Sicherheitsfehlern bei Microsoft Rede und Antwort
(Bild: Homeland Security)
"So habe ich es mir nicht vorgestellt, einen Nachmittag im Juni zu verbringen", eröffnete Microsoft-Präsident Brad Smith seine Aussage vor dem Ausschuss für Heimatschutz des US-Repräsentantenhauses. Das Gremium kam am gestrigen Donnerstag zusammen, um "Microsofts Cybersicherheits-Defizite und die Auswirkungen auf den Heimatschutz" zu erörtern, so der Titel der Sitzung.
Anlass der Vorladung war der Einbruch mutmaßlich chinesischer Angreifer in die Microsoft-Cloud – die Attacke der Gruppe Storm-0558 im Mai vergangenen Jahres diente vermutlich Spionagezwecken und führte zu erheblichen Vorwürfen an den Konzern. Das Cyber Safety Review Board (CSRB) der US-Cybersicherheitsbehörde CISA fällte ein vernichtendes Urteil über Microsofts Sicherheitspraktiken: "Eine Kaskade vermeidbarer Fehler" habe zu den schweren Angriffen geführt, meinten die Experten. Sie schrieben Microsoft einen umfangreichen Maßnahmenplan ins Stammbuch, flankiert von einer Notfall-Direktive der CISA an US-Bundesbehörden.
Microsoft erklärt sich verantwortlich
Zunächst übernahm Smith in seiner Erklärung (die auch schriftlich vorliegt) im Namen seines Arbeitgebers die volle Verantwortung für alle Fehler, die das CSRB und andere Behörden Microsoft ankreideten. Die Mitglieder des Ausschusses sparten dennoch nicht mit kritischen Anmerkungen und Fragen an den Topmanager des Konzerns. Warum nicht Microsoft die Angriffe von Storm-0558 entdeckt habe, sondern das US State Department, fragte Oppositionsführer Thompson – das solle so sein, antwortete Smith. Niemand könne alles sehen. Thompson entgegnete, die US-Regierung bezahle Microsoft für ebendiese Aufgabe und die Firma müsse nun das Vertrauen zurückgewinnen.
Besondere Sorgen bereiten dem Heimatschutz-Ausschuss nicht nur die Angriffe ausländischer Mächte, sondern auch Microsofts geschäftliche Aktivitäten in China. Auf Nachfrage, ob sich der Konzern im Reich der Mitte nicht an die geltende Gesetzgebung halten müsse, antwortete Smith ausweichend, Gesetze wie das chinesische Geheimdienstgesetz (国家情报法) seien zwar gültig, würden aber nicht immer durchgesetzt. Zudem kommuniziere Microsoft intern wie extern sehr deutlich, welche roten Linien man nicht zu überschreiten gewillt sei, etwa bei der Weitergabe von Daten oder Code an die chinesische Regierung.
Smith versuchte, den Ausschuss zu beruhigen: Man habe mit der Initiative "Secure Future" nicht nur einen Kulturwandel eingeleitet, sondern arbeite mit großer Kraftanstrengung daran. Derzeit seien so viele Microsoft-Mitarbeitende mit der Umsetzung der CSRB-Empfehlungen beschäftigt, dass es 34.000 Vollzeitstellen entspräche und somit das größte Cybersicherheits-Entwicklungsprojekt in der Geschichte digitaler Technologie darstelle. Die US-Regierung ist ein großer Microsoft-Kunde und überweist jährlich etwa 300 Millionen US-Dollar nach Redmond.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Whistleblower-Vorwurf: War Microsoft Umsatz wichtiger als Sicherheit?
Gleich mehrere Ausschussmitglieder zitierten einen kurz vor der Anhörung erschienenen Artikel von ProPublica, in dem ein ehemaliger Mitarbeiter schwere Vorwürfe gegen Microsoft erhebt. Andrew Harris, heute beim Microsoft-Konkurrenten CrowdStrike angestellt, gibt an, jahrelang auf die fatalen Auswirkungen einer Sicherheitslücke namens "Golden SAML" in Microsofts Active Directory Federation Services (ADFS) hingewiesen zu haben. Bei seinem damaligen Arbeitgeber sei er jedoch auf taube Ohren gestoßen, weil die Produktverantwortlichen des US-Konzerns negative Auswirkungen auf ihr Geschäft befürchtet haben sollen.
Insbesondere ein lukrativer Cloud-Dienstleistungsvertrag mit der US-Bundesregierung stand damals auf dem Spiel, habe ein Manager gegenüber Harris angeführt. Dieser habe dann auf eigene Faust besonders betroffene Microsoft-Kunden wie die New Yorker Polizei abgesichert und schließlich im Jahr 2020 gekündigt.
Nur wenige Monate später drangen russische Angreifer während des "Solarwinds-Hacks" über Sicherheitslücken unter anderem in Microsofts Authentifizierungsprotokollen in mehrere Regierungsorganisationen ein und schöpften massenhaft Daten ab. Nach dem Angriff stritt Brad Smith ausdrücklich eine Mitschuld Microsofts ab – eine Aussage, die nun zumindest zweifelhaft erscheint.
Von ProPublica um eine Stellungnahme gebeten, lieferte Redmond nur ein allgemein gehaltenes Statement, das erneut die "Secure Future Initiative" gleichsam als Security-Feigenblatt betonte – Interviewanfragen an Smith und andere Manager lehnte der Konzern ab.
Dem Ausschuss hingegen stand Smith Rede und Antwort: Eine neue Struktur aus Abteilungs-CISOs (Chief Information Security Officers) solle Rückmeldungen besorgter Mitarbeiter einsammeln, die – ebenfalls im Rahmen des anstehenden Kulturwandels – stärker gehört werden sollen als früher.
Eher zur Randnotiz geriet eine Nachfrage der Republikanerin Laurel Lee zum umstrittenen Bildschirmrekorder Recall. Dieser sei nach umfangreicher Kritik durch Sicherheitsexperten weiterentwickelt worden und verschlüssele Daten jetzt zusätzlich. Microsoft hat die Verfügbarkeit des Produkts zudem eingeschränkt: Wie kürzlich bekannt wurde, wird Recall vorerst nur noch für Nutzer des "Windows Insider Program" zugänglich sein.
(cku)
