Microsofts gestohlener Master-Key: USA stellen Cloud-Security auf den Prüfstand

Anlässlich einer Executive Order des US-Präsidenten zur Verbesserung der Cyber-Security gründeten die USA das Cyber Safety Review Board (CSRB). Es soll "größere Cyber-Ereignisse überprüfen und dazu konkrete Empfehlungen aussprechen". Ein solches "größeres" Cyber-Ereignis war der Einbruch vermutlich chinesischer Angreifer in Microsofts Cloud. Immerhin spionierten diese die Mails zweier US-Behörden aus und hatten zumindest potenziell Zugriff auf die Daten aller Cloud-Kunden. Deshalb nimmt sich das CSRB jetzt diesen Vorfall und Cloud-Security im Allgemeinen vor. Aus dieser Untersuchung soll ein Bericht mit konkreten Handlungsempfehlungen entstehen, der unter anderem US-Präsident Biden und dem Chef der Cybersecurity and Infrastructure Security Agency (CISA) Jen Easterly vorgelegt wird.

Diese Ankündigung ist ein herber Rückschlag für Microsofts Versuche, diesen eklatanten Vorfall herunterzuspielen. Der Cloud-Riese weigert sich nach wie vor hartnäckig, die konkreten Details zum Versagen der eigenen Sicherheitsvorkehrungen zu offenbaren. So ist bisher weder bekannt, wie und wo der Master-Key gestohlen wurde, noch was es mit dem ominösen "Überprüfungsfehler" auf sich hat, der dazu führte, dass dieser überhaupt funktionierte. Denn wie sich erst nach Microsofts ursprünglicher Erklärung zu den angeblich entschärften Angriffen herausstellte, gewährte dieser unberechtigterweise Zugang zu fast der gesamten Microsoft-Cloud.

Bereits früh wurde klar, dass zumindest die CISA den Vorfall überaus ernst nahm. Ihrem Drängen ist es zu verdanken, dass Microsoft zukünftig zumindest die Log-Dateien ohne Zusatzkosten bereitstellen wird, mit denen solche Angriffe entdecken kann. Ob diese CSRB-Untersuchung jetzt zu mehr Klarheit und vor allem Druck auf Microsoft führen wird, transparenter mit dem Thema Security umzugehen, wird sich zeigen müssen.

Reaktionen aus Europa? Fehlanzeige!

Doch schon jetzt bedeutet diese Ankündigung eine heftige Ohrfeige für alle europäischen Sicherheits- und Datenschutz-Behörden. Denn die primären Opfer des Angriffs waren laut Microsoft europäische Regierungsbehörden. Da läge es durchaus nahe, dass die sich jetzt auf die Hinterbeine stellen und von Microsoft eine volle Offenlegung einfordern, wie es zu einem solchen Versagen kommen konnte. Auch eine Re-Evaluierung ihrer Nutzung von Microsofts und anderen Cloud-Diensten sollte eigentlich ganz weit oben auf die Tagesordnung rücken.

Doch Fehlanzeige: "Der Vorfall [...] führt aber nicht zu einer grundsätzlichen Neubewertung der Sicherheit von Cloud-Computing durch das BSI", heißt es in der Stellungnahme der obersten deutschen Sicherheitsbehörde, die uns dazu nach über einer Woche erreichte. Welche europäischen Behörden in welchem Umfang ausspioniert wurden, weiß man nach wie vor nicht. Auf eine diesbezügliche Anfrage von heise Security antwortete das BSI, dass man in der Angelegenheit eng mit Microsoft zusammenarbeite; man habe aber zum jetzigen Zeitpunkt "keine Hinweise, dass Einrichtungen der Bundesverwaltung betroffen sind". In meinem Kommentar "20 Jahre Blaster-Wurm: Der nächste Super-GAU wartet in der Cloud" nannte ich das etwas provokativ "Duldungsstarre".

(ju)