Gestohlener Azure-Master-Key: Microsofts Sicherheitsversagen ist jetzt amtlich
Vermeidbare Fehler, Unternehmenskultur der Unsicherheit: Die US-amerikanische Cybersicherheitsbehörde CISA erhebt massive Vorwürfe gegen Microsoft.
Das Cyber Safety Review Board der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) hat seinen Bericht zu dem Diebstahl eines Master-Key für Azure im Sommer letzten Jahres veröffentlicht. Und der hat es in sich: Die US-Regierungsbehörde für Cybersecurity wirft Microsoft vielfaches Versagen bei der Cybersicherheit vor und empfiehlt, die Entwicklung neuer Features für die Cloud zurückzustellen, bis substanzielle Sicherheitsverbesserungen gemacht sind.
Im Sommer letzten Jahres war bekannt geworden, dass vermutlich chinesische Hacker einen Master-Key für die Azure-Cloud gekapert und damit unter anderem auf die Online-Exchange-Accounts diverser Regierungsbehörden zugegriffen haben. Schon damals sah Microsoft nicht gut aus: So wurde der Angriff nicht von Microsoft entdeckt, sondern von einem Azure-Kunden. Das Cyber Safety Review Board der CISA sollte schließlich einen Bericht zu dem Vorfall für den US-Präsidenten vorlegen.
Akribische Rekonstruktion
Dazu hat das Board den Angriff und die Versäumnisse Microsofts akribisch rekonstruiert. Es kommt in seinem Abschlussbericht zu einem vernichtenden Urteil. So habe eine "Kaskade vermeidbarer Fehler" seitens Microsoft den Angriff überhaupt erst möglich gemacht. Das Unternehmen habe die "Kompromittierung seiner kryptografischen Kronjuwelen" nicht mal selbst bemerkt. Andere Cloud-Anbieter hätten Sicherheitskontrollen, die bei Microsoft fehlen.
Schließlich habe Microsoft im September 2023 in einem Blog-Post behauptet, die Ursache des Vorfalls gefunden zu haben, obwohl das nicht stimmte, und das erst im März dieses Jahres nach mehrfacher Aufforderung durch das Board korrigiert. Ein weiterer gravierender Sicherheitsvorfall bei Microsoft, der im Januar bekannt wurde, hat das Vertrauen des Cyber Safety Review Board in Microsofts Sicherheitskultur weiter untergraben. Insgesamt habe man eine Reihe von strategischen und operativen Entscheidungen gefunden, die aus einer Unternehmenskultur resultieren, die der Sicherheit und dem Risikomanagement nur geringe Priorität einräumen. Ein Unternehmen wie Microsoft, das so wichtig für Wirtschaft und Sicherheit der USA ist, müsse jedoch höchste Standards bei Sicherheit, Verantwortlichkeit und Transparenz erfüllen.
Auch die Empfehlungen an Microsoft haben es in sich. Um die "kulturelle Veränderung voranzubringen, die Microsoft dringend braucht", seien CEO Nadella und der Vorstand gefordert. Sie müssten sich jetzt auf Microsofts Sicherheitskultur konzentrieren und einen Zeitplan vorlegen, wie man die Sicherheit des Unternehmens und aller seiner Produkte fundamental reformieren kann. Außerdem solle Microsoft die Entwicklung neuer Features für die Cloud-Infrastruktur und seine Produkte zurückstellen, bis substanzielle Verbesserungen bei der Sicherheit erreicht sind.
(odi)