Kommentar: Die gefährliche Beißhemmung des BSI gegenüber Microsoft

Nach den Vorfällen bei Microsoft greifen die US-Behörden durch. Das passive BSI sollte sich ein Beispiel an den US-Kollegen nehmen, meint Jürgen Schmidt.

In Pocket speichern vorlesen Druckansicht 151 Kommentare lesen
Windows-Logo mit Rissen, darüber das Wort "Kommentar"

(Bild: heise online)

Lesezeit: 7 Min.
Inhaltsverzeichnis

In den USA eskaliert derzeit die Situation für Microsoft – vorangetrieben vor allem durch die oberste US-Sicherheitsbehörde, das Department of Homeland Security (DHS) und deren Cybersecurity and Infrastructure Security Agency (CISA). Und hier in Deutschland? Das große Schweigen: selbst auf Nachfrage sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) – "die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung" – kein Problem.

Dabei muss Microsoft derzeit schon fast regelmäßig katastrophale Security-Vorfälle offenlegen. Ich schreibe bewusst "muss", weil die Offenlegung eben nicht freiwillig und transparent erfolgt, sondern immer nur Stück für Stück unter dem Druck regulatorischer Auflagen etwa von der Börsenaufsicht oder einer offiziellen Untersuchungskommission des DHS.

Da war zunächst dieser Vorfall mit dem Master-Key zur Microsoft-Cloud. Den hätte es so eigentlich nicht geben dürfen, er hätte dann eigentlich nicht funktionieren dürfen und Microsoft weiß letztlich weiterhin nicht, wer ihn wann und wo gestohlen hat. Kein Wunder, dass das mit der Untersuchung des Vorfalls eingesetzte Cyber Safety Review Board ein Komplettversagen Microsofts mit einer "Kaskade vermeidbarer Fehler" bilanziert und in scharfem Ton eine Neupriorisierung der Sicherheit bei Microsoft einfordert.

Dann gab es den im Januar bekannt gewordenen Einbruch von Midnight Blizzard (aka APT29), bei dem die Täter wohl über Monate hinweg die E-Mails von hochrangigen Microsoft-Managern und deren eigener Sicherheitsabteilung mitlesen konnten. Zwei Monate später sah sich Microsoft gezwungen, der US-amerikanischen Börsenaufsicht bekannt zugeben, dass man Midnight Blizzard bis dato nicht aus den eigenen Netzen herauswerfen konnte. Ganz im Gegenteil hatten sich die Aktivitäten der Angreifergruppe sogar verzehnfacht.

So ganz am Rande kam Anfang April heraus, dass eine Sicherheitsfirma über einen öffentlich zugänglichen Azure-Bucket gestolpert ist, der über eine Million interne Microsoft-Dateien enthält. In den Skripten finden sich unter anderem reihenweise Adressen, Zugangsdaten und -Token für interne Microsoft-Dienste – also tolles Futter für Angreifergruppen wie Midnight Blizzard.

Microsoft benötigte laut den Entdeckern von SOCRadar nach der Benachrichtigung fast einen Monat, um diese überaus sensiblen Daten zu entfernen. Wie lang die da bereits lagen, weiß man nicht. Es ist übrigens auch durchaus typisch, dass Microsoft solche Sicherheitsprobleme nicht selbst entdeckt, sondern erst auf Hinweise Dritter aktiv wird. Das kritisierte das CSRB auch bereits beim gestohlenen Master-Key, dessen Missbrauch erst eine aufmerksame US-Behörde entdeckte, die dann CISA und Microsoft benachrichtigte.

Zusammengefasst: Microsofts Sicherheitskultur ist dokumentiertermaßen verlottert und ihre IT-Infrastruktur unzureichend gesichert; Angreifer verschiedenster Couleur geben sich dort beim Heraustragen von Daten die Klinken in die Hand. Und herausgetragen werden natürlich auch und vor allem die Daten von Microsofts Kunden.

Das wurde der US-Sicherheitsbehörde CISA zu bunt; sie veröffentlichte jetzt die ED 2024-02: "Mitigating the Significant Risk from Nation-State Compromise of Microsoft Corporate Email System". Darin geht es darum, dass und wie US-Behörden ihre IT untersuchen und aufräumen müssen, um den Schaden durch diesen Einbruch bei Microsoft einzugrenzen. Der CISA liegen offenbar Informationen vor, dass etwa die belauschten E-Mails den Angreifern auch sensible Informationen über die IT-Infrastruktur offenbart haben. Dass man sich mit Microsofts Management und Sicherheitsabteilung nicht nur übers Wetter unterhält, ist irgendwie einleuchtend.

Natürlich beschränken sich die Aktivitäten staatlicher Auftragshacker nicht auf die USA; viele davon sind auch in Europa und speziell in Deutschland sehr aktiv. Das BSI führt neuerdings sogar eine Liste der in Deutschland aktiven, staatlichen Angreifergruppen. Und die enthält natürlich die Microsoft-Angreifer von APT29 und führt deren bevorzugte Ziele in Deutschland auf:

  • Auswärtige Angelegenheiten, Verteidigung, Rechtspflege, öffentliche Sicherheit und Ordnung
  • Öffentliche Verwaltung

Die Sicherheitsfirma Mandiant ergänzt ganz aktuell verstärkte Angriffsaktivitäten, gezielt gerichtet auf politische Parteien in Deutschland. Bei so einem Bedrohungspotenzial sollte das BSI doch aufhorchen, schließlich werden diese Ziele ebenfalls Microsofts Produkte nutzen und demgemäß möglicherweise auch mit Microsoft-Mitarbeitern E-Mails ausgetauscht haben.

Zumindest legt das nahe, dass auch in Deutschland dringendst eine Diskussion darüber geführt werden müsste, was Microsofts Security-Schlamperei für die IT Deutschlands bedeutet. Und dass das BSI dabei – ähnlich wie DHS und CISA in den USA – eine aktive und führende Rolle übernimmt. Doch von Deutschlands oberster Sicherheitsbehörde hört man dazu aus eigenem Antrieb gar nichts.

Und wenn man konkret nachfragt, ob denn das BSI analog zur CISA Telemetriedaten über möglicherweise abgehörte E-Mails bei Microsoft angefordert hat, ob deutsche Behörden angehalten werden, ihre Kommunikation mit Microsoft beziehungsweise ihre Nutzung von Microsoft-Diensten im Licht der aktuellen Erkenntnisse auf Sicherheitsrisiken zu untersuchen, dann kommen nichtssagende Phrasen wie: Man stehe dazu "im Austausch mit Microsoft", aber "dem BSI liegen derzeit keine Informationen oder Meldungen über eine Betroffenheit deutscher Behörden oder Unternehmen vor" und "im Zweifel sollten diesbezügliche Nachfragen an Microsoft gerichtet werden".

Insgesamt eine Antwort, wie ich sie auch letztes Jahr zum Diebstahl des Master-Keys erhielt. Frei übersetzt heißt das lediglich: "Wir halten uns da lieber raus."

Meine Fragen an das BSI​

Diese Fragen stellte ich mit Verweis auf unsere Berichterstattung zu den Security-Problemen bei und mit Microsoft und der Emergency Directive 2024-02 an das BSI:

- Sieht das BSI in diesem Kontext Handlungsbedarf? Wenn ja, welchen und was wird konkret getan? Gibt es ähnliche Anweisungen an deutsche Behörden oder wird das
aktuell diskutiert?

- Welche Informationen über Kommunikation kompromittierter Accounts bei Microsoft mit deutschen Behörden, Politikern oder Firmen und Organisationen liegen dem BSI vor? Können Sie ausschließen, dass in diesem Kontext sicherheitsrelevante Informationen aus Deutschland an die Angreifer abgeflossen sind – oder immer
noch abfließen?

- Gibt es eine Kommunikation zwischen BSI und Microsoft in dieser Angelegenheit? Um was konkret geht es da? Welche zusätzlichen Informationen zur Eingrenzung des Schadens stellt Microsoft dem BSI bzw. möglicherweise Betroffenen in Deutschland bereit?

Dabei dürfen sich die "Gestalter einer sicheren Digitalisierung" da nicht heraushalten, sondern müssen sich aktiv einmischen. Ich sprach in diesem Zusammenhang bereits mehrfach von "Duldungsstarre" – zugegebenermaßen ein provokativer Begriff. Doch wie soll man es sonst nennen, wenn Deutschlands oberste Sicherheitsbehörde sich schlichtweg weigert, ihrer ureigensten Aufgabe nachzukommen, wenn es nicht mehr darum geht, uns Bürger zu mehr Sicherheit im Umgang mit IT zu ermahnen, sondern das Gegenüber ein multinationaler Mega-Konzern ist?

Ich will nichts mehr von zwanzigstelligen Passwörtern, freiwilligen Cyber-Sicherheitssiegeln und BSI-Grundschutz hören, bis das BSI die skandalösen Sicherheitsvorfälle bei Microsoft offen anspricht und auch endlich konkrete Maßnahmen ergreift, die geeignet sind, diese Gefahr für unsere Infrastruktur zu verstehen und zumindest einzugrenzen. DHS und CISA haben gezeigt, dass das geht. Die Eskalation über die Untersuchungskommission CSRB und die Notfalldirektive sprechen eine deutliche Sprache. Natürlich hat eine deutsche Behörde nicht das Standing wie diese US-Institutionen. Doch Microsoft generiert traditionell etwa die Hälfte seines Umsatzes außerhalb der USA. Wenn sich dort also, möglicherweise unter deutscher Führung, Unmut regt, der diesen Umsatz bedroht, wird der Konzern das auch nicht ignorieren können.

Die Forderung nach mehr Security ist auch keineswegs so aussichtslos, wie es scheinen mag. Vor etwas über 20 Jahren gab es bereits eine stetig anschwellende Welle der Empörung über Microsofts Ignoranz im Hinblick auf IT-Sicherheit. Diese mündete 2002 in Bill Gates konzernweiter Ansage, dass die Sicherheit der eigenen Produkte ab sofort an oberster Stelle stehe. Das läutete tatsächlich eine Phase ein, in der Microsoft sich eine Art Vorbildfunktion in diesem Bereich erarbeitete. Das CSRB fordert in seinem Abschlussbericht bereits vehement eine Neuorientierung Microsofts nach diesem Vorbild. Und der Auslöser der Emergency Directive 24-01, der US-Konzern Ivanti, verordnete sich selbst einen Ruck hin zu mehr Security. Der Schritt ist also nicht so weit – vielleicht gibt ja das BSI sogar schon den entscheidenden Schubs?

Ein Kommentar von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Sein aktuelles Projekt ist heise Security Pro für Sicherheitsverantwortliche in Unternehmen und Organisationen.

Hier können Mitglieder von heise Security Pro exklusiv mit dem Autor über dieses Thema weiter diskutieren.
Update

In dieser Angelegenheit gibt es eine neue Entwicklung: Das BSI geht aktiv gegen Microsoft vor.

(ju)