Microsoft-Präsident Brad Smith erhält Vorladung vor das US-Repräsentantenhaus
US-Behörden und -Regierung reagieren auf die IT-Sicherheitsverfehlungen von Microsoft. Brad Smith soll vor dem US-Repräsentantenhaus erscheinen.
(Bild: Ben McShane/Web Summit via Sportsfile CC BY 2.0)
Die US-Behörden und US-Regierung reagieren zunehmend unwirsch auf Microsofts Verfehlungen in der IT-Sicherheit in den vergangenen Jahren. Nun hat Microsofts Präsident Brad Smith eine Vorladung vor den Heimatschutz-Ausschuss des US-Repräsentantenhauses erhalten.
In dem von CNBC veröffentlichten PDF der Vorladung schreiben die Ausschussmitglieder, dass Smith in einer öffentlichen Anhörung mit dem Titel "Eine Kaskade an Sicherheitsverfehlungen: Beurteilung von Microsofts Cybersecurity-Defiziten und die Auswirkungen für den Heimatschutz" aussagen solle. Die findet am 22. Mai statt. Das solle Microsoft die Möglichkeit einräumen, seine eigene Sichtweise auf den Bericht des Cyber Safety Review Board (CSRB) "Übersicht über den Microsoft Online-Exchange-Vorfall aus dem Sommer 2023" vorzustellen.
Vernichtender Bericht der US-Heimatschutzbehörde
Die Heimatschutzbehörde der USA (US Department of Homeland Security) hatte dabei ein vernichtendes Urteil abgegeben, wie Microsoft auf den Vorfall mit dem durch vermutliche chinesische Cyberkriminelle entwendeten Azure-Masterkey umgegangen ist. Mit dem gestohlenen Schlüssel konnten die Angreifer etwa auf Online-Exchange-Konten diverser US-Regierungsbehörden zugreifen. Eine Kaskade vermeidbarer Fehler ermöglichte den Angriff, den Diebstahl der "kryptografischen Kronjuwelen" habe das Unternehmen nicht einmal selbst bemerkt. Im September habe Microsoft zudem behauptet, die Ursache des Vorfalls gefunden zu haben, was jedoch nicht zutreffend war. Die Korrektur erfolgte erst nach mehrmaliger Aufforderung durch das Board im März.
"Bei der Anhörung werden insbesondere Microsofts Ansichten zu den Sicherheitsmängeln des Unternehmens, zu den Herausforderungen bei der Verhinderung signifikanter Cyberangriffe durch mutmaßliche nationale Bedrohungsakteure sowie zu den Plänen zur Stärkung der Sicherheitsmaßnahmen in der Zukunft untersucht", schreiben der Vorsitzende des Heimatschutzausschusses, Mark Green und das leitende Mitglied Bennie Thompson in der Vorladung. Microsoft als Anbieter von Betriebssystemen, Cloud-Plattformen und Produktivitätssoftware für US-Regierungsbehörden – einschließlich der innerhalb der US-Geheimdienste – treffe eine tiefgreifende Verantwortung, effektive IT-Sicherheitsmaßnahmen zu priorisieren und zu implementieren. Der CSRB-Bericht habe jedoch aufgezeigt, dass Microsoft wiederholt versagt hat, Cybereinbrüche zu verhindern und so schwerwiegende Folgen für die Sicherheit und Integrität von US-Regierungsdaten, -Netzwerken und -Informationen verursacht hat. Das gefährde Amerikaner, einschließlich US-Regierungsbeamte.
Auch das Mitlesen von Microsoft-E-Mails durch die kriminelle Gruppe Midnight Blizzard wirft der Ausschuss Microsoft als alarmierend vor. "Dies sind nur zwei von vielen Beispielen für Cyberangriffe, die in den letzten Jahren aufgrund der Nachlässigkeit von Microsoft im Bereich der Cybersicherheit bei bestimmten US-Behörden aufgetreten sind". Es sei zwingend erforderlich, "dass Microsoft, auf das fast 85 Prozent des Marktanteils an der Produktivitätssoftware der US-Regierung entfallen, in gleichem Maße zur Rechenschaft gezogen wird wie die übrigen vertrauenswürdigen Anbieter der US-Regierung". Ein ermutigender Lichtblick seien jedoch die kürzlichen Ankündigungen seitens Microsoft, ergänzen die Autoren der Vorladung.
Microsoft versucht seit einiger Zeit, die Wogen zu glätten. Im vergangenen November verkündete das Unternehmen etwa, eine "Secure Future Initative" (SFI) gründen zu wollen. Die solle Ressourcen bündeln und auf Basis von drei Säulen die Resilienz vor Cyberattacken ausbauen. In einem Gespräch mit Analysten bezüglich der Quartalszahlen von Microsoft hatte Geschäftsführer Satya Nadella vor zwei Wochen zudem angekündigt, dass Microsoft IT-Sicherheit zu "Priorität Nummer 1" machen wolle.
(dmk)