Schon der Sicherheitsvorfall, der im Sommer vergangenen Jahres bekannt wurde, klang so schwerwiegend, dass ihn selbst IT-Experten anfangs kaum glauben wollten: Unbekannte sollten ausgerechnet Microsoft selbst eine Art Generalschlüssel für den Zugriff auf seine Azure-Cloud-Dienste gestohlen haben.
Mehr noch: Microsoft hatte den Diebstahl nicht einmal selbst bemerkt, sondern wurde erst von einem aufmerksamen Azure-Kunden darüber informiert. Basierend auf der gravierenden Sicherheitslücke konnten Hacker der chinesischen Spionagegruppe Storm-0558 in E-Mail-Konten von rund 25 Organisationen eindringen, darunter Medienberichten zufolge auch das Außen- und das Handelsministerium der USA.
Nun liegen die Ergebnisse der daraufhin von der US-Regierung eingeleiteten Untersuchungen vor. Und was die Prüfer des Cyber Safety Review Board (CSRB) darin niedergeschrieben haben, ist die größtmögliche Klatsche für die Cloud-Strategie von Konzernchef Satya Nadella. Der arbeitet seit Jahren daran, Microsoft vom Windows- zum Cloudkonzern umzubauen. Der Erfolg des Plans hängt essenziell davon ab, dass die Kunden und Nutzer der Azure genannten Dienste darauf vertrauen können, dass der Konzern seine Infrastruktur bestmöglich schützt.
Genau dabei aber habe Microsoft, den Prüfern des CSRB zufolge, auf ganzer Linie versagt. „Die Überprüfung des CSRB ergab, dass das Eindringen von Storm-0558 vermeidbar war“, schreiben die Prüfer. Sie hätten bei Microsoft eine Unternehmenskultur vorgefunden, „die Investitionen in die Unternehmenssicherheit und ein rigoroses Risikomanagement zurückstellte“.
„Kaskade vermeidbarer Fehler“
Dem Unternehmen fehlten teils Sicherheitskontrollen, die bei anderen Cloud-Anbietern etabliert seien. Eine ganze „Kaskade vermeidbarer Fehler“ im Konzern habe den Angriff erst ermöglicht gemacht. Und als reiche das alles nicht, habe Microsoft die „Kompromittierung seiner kryptografischen Kronjuwelen“ nicht einmal selbst bemerkt.
Massive Kritik üben die Prüfer auch am Kommunikationsverhalten des Konzerns. So habe Microsoft im Herbst 2023 in einem Blog-Post behauptet, die Ursache des Vorfalls entdeckt zu haben. Tatsächlich aber war das offenbar falsch und Microsoft habe seine Darstellung erst Monate später, nach mehrfacher Aufforderung durch das Board korrigiert, kritisieren die Prüfer.
Die Strategie der Verschleppung und Verzögerung scheint beim Konzern leider Methode zu haben: Bereits in der Vergangenheit, so etwa bei der schweren Sicherheitslücke in seiner Exchange-Server-Software 2021, war der Konzern mit einer unangemessen späten Warnung seiner Kunden unangenehm aufgefallen. Damals wusste Microsoft bereits zwei Monate lang von der „Hafnium“ genannten, gravierenden Schwachstelle, über die Hacker nicht bloß von außen auf E-Mail-Postfächer in Unternehmen und Behörden zugreifen konnten. Sie konnten offenbar sogar komplett die Kontrolle der Server übernehmen und anschließend große Teile der sonstigen IT-Systeme mit Schadprogrammen infizieren.
Bis heute ist nicht klar, wie groß die Schäden durch den Diebstahl der Azure-Generalschlüssel im vergangenen Jahr tatsächlich sind. Doch das Urteil der Prüfer ist so verheerend, wie die daraus resultierenden Forderungen drastisch sind: CEO Nadella und der ganze Vorstand seien gefordert, die „kulturelle Veränderung voranzubringen, die Microsoft dringend braucht“.
Erst mehr Sicherheit, dann neue Features!
Microsoft müsse einen Zeitplan vorlegen, wann und wie man die Unternehmenssicherheit und die seiner Produkte fundamental reformieren werde. Bis substanzielle Verbesserungen bei der Sicherheit erreicht seien, solle der Konzern die Entwicklung neuer Features für die Cloud-Infrastruktur und seiner Produkte zurückstellen. Vor wenigen Tagen erst hatte Microsoft umfassende Pläne angekündigt, wie das Unternehmen seinen KI-Assistenten „Copilot“ besser gegen Missbrauch und Irrtümer schützen will.
Nun aber muss Microsoft das Problem weit grundsätzlicher angehen. Und das dürfte teuer werden – allein schon wegen des technischen Aufwandes, der mit den geforderten Verbesserungen verbunden ist. Die wirtschaftlichen Folgen des selbst verursachten Reputationsschadens für den bis dato dynamisch wachsenden Cloud-Konzern sind dabei allerdings noch gar nicht eingerechnet.
Hinweis: Kleine und mittelständische Unternehmen werden immer öfter Beute für Cyberkriminellen, weil es ihnen an Ressourcen und Know-how für eine wirksame Cyberabwehr fehlt. Beim Cyberprotection Day der WirtschaftsWoche am 9. April 2024 vermitteln Fachleute Strategien und Fachwissen, mit denen sich KMU rasch wirksamer gegen Cyberattacken sichern. Melden Sie sich hier für einen der letzten Plätze an.