Der Raubzug für sich genommen wäre bereits dramatisch genug. Aber wie Microsoft darauf reagiert, dass chinesische Hacker eine Art Generalschlüssel zu verschiedenen Clouddiensten des Windows-Konzerns stehlen konnten, macht den Angriff vollends zum Cybersicherheits-GAU.
Nicht bloß, dass die Angreifer Zugriff auf E-Mail-Konten von Regierungsbehörden in den USA und Europa (darunter das US-Außenministerium) hatten. Nun berichten Forscher des IT-Sicherheitsunternehmens WIZ, dass die Hacker mithilfe der gestohlenen Schlüssel womöglich sogar an Daten aus der Kollaborationsplattform Teams oder aus Sharepoint-Accounts gelangen konnten. Laut Analysen von Technikexperten sollen die Hacker gleich drei Sicherheitslücken in Microsofts Clouddiensten genutzt haben, um an den Schlüssel zu gelangen.
Und was macht Microsoft? Den gleichen schweren Fehler wie Anfang 2021. Auch da informierte der Konzern seine Kunden viel zu spät und zu zögerlich über gravierende Lücken seiner Exchange-Plattform und setzte sie wissentlich weiteren Hackerattacken aus. Nun das gleiche Spiel: Hinweise aufs neue Schlüsselproblem bekam Microsoft Mitte Juni von einer bisher nicht näher identifizierten US-Bundesbehörde – und informierte die Öffentlichkeit doch erst am 11. Juli mit einem Blogpost über den Vorfall. Da hatten sich die Angreifer bereits wochenlang in den Konten ihrer Opfer umsehen können.
Mehr noch: Zugriff auf die Analysedaten ihrer Nutzerkonten, die die Entdeckung des Angriffs erst ermöglichten, bekamen Microsoftkunden bisher nur gegen Geld. Dass der Konzern die Log-Dateien nach einer entsprechenden Empfehlung der US-IT-Sicherheitsbehörde CISA nun doch noch kostenfrei bereitstellt, ändert nichts am Grundproblem: Durch seinen Umgang mit schweren Schwachstellen wird Microsoft selbst zum Sicherheitsproblem für seine Kunden.
Und mit der Strategie der bestenfalls häppchenweisen Kommunikation solcher Vorfälle zudem zu einem Risiko für seine Aktionäre. Im US-Senat werden angesichts des jüngsten Hacks bereits Forderungen laut, das Justizministerium und die Wettbewerbsaufsicht Federal Trade Commission sollten gegen Microsoft tätig werden.
Höchste Zeit, dass Konzernchef Satya Nadella, der sich seit Kurzem auch noch mit EU-Kartellermittlungen herumzuschlagen hat, endlich in Sachen Cybersicherheit aktiv wird und seinem Unternehmen eine offenere und offensivere Kommunikation verordnet.
Dieser Beitrag entstammt dem WiWo-Newsletter Daily Punch. Der Newsletter liefert Ihnen den täglichen Kommentar aus der WiWo-Redaktion ins Postfach. Immer auf den Punkt, immer mit Punch. Außerdem im Punch: der Überblick über die fünf wichtigsten Themen des Tages. Hier können Sie den Newsletter abonnieren.
