Europäische Kommission wegen Einsatz von Microsoft 365 in der Kritik

Schon seit Längerem stehen Produkte und Services von Microsoft wegen intransparenter Datenerhebung, Datenschutzrisiken und Sicherheitslücken in der Kritik. Insbesondere betrifft dies die Microsoft-Cloud-Dienste. 2021 und 2022 kam es bereits zu mehreren schweren Sicherheitsvorfällen in Microsoft Azure. Der Super-GAU ereignete sich jedoch im vergangenen Jahr, als es der chinesischen Hackergruppe Storm-0558 gelang, einen Azure-Masterkey zu stehlen. Mit dem Schlüssel konnten sie auf zahlreiche E-Mail-Konten im Microsoft-Kosmos zugreifen, auch Angestellte der US-Regierung waren betroffen. Ein aktueller Bericht des amerikanischen Cyber Safety Review Board (CSRB) zeigt nun: Microsoft hätte den Vorfall verhindern können.

Rekapitulieren wir noch einmal, was passiert ist: Im Juni 2023 bemerkte eine US-Behörde ungewöhnliche Aktivitäten in ihren Online-Exchange-Konten und alarmierte Microsoft. Die folgende Untersuchung deckte ein erhebliches Sicherheitsproblem auf, das Microsoft jedoch nur zögerlich und schrittweise enthüllte. Offensichtlich hatten die Hacker einen Signaturschlüssel gestohlen, mit dem sie sich eigenständig Zugangsberechtigungen für Outlook Web Access und Outlook.com verschaffen konnten. Schlimmer noch: Bei dem gestohlenen Microsoft-Schlüssel handelte es sich um einen OpenID Signing Key für das Azure Active Directory (AAD). Damit konnten die Angreifer Zugangstoken für die Benutzerkonten fast aller Cloud Services von Microsoft erstellen und sogar auf unternehmensbetriebene AAD-Instanzen und deren Cloud-Applikationen zugreifen, sofern diese einen „Login with Microsoft“ ermöglichten. Microsoft sperrte daraufhin zwar den kompromittierten Schlüssel. Dennoch bleibt laut detaillierter Berichte von Heise die Frage offen, inwieweit die gesamte Microsoft-Cloud während dieser Zeit mit Hintertüren versehen wurde. Selbst einen Monat später war Microsoft noch nicht in der Lage, den genauen Ablauf des Schlüsseldiebstahls zu rekonstruieren. Ebenso ungeklärt blieb, warum die Zugangsberechtigungen überhaupt funktionierten, die mit dem gestohlenen Schlüssel erstellt wurden.

CSRB-Bericht kritisiert Sicherheitsmängel bei Microsoft
Um Licht ins Dunkel zu bringen, leitete das US Department of Homeland Security eine Untersuchung ein und stellte dabei erhebliche Sicherheitsmängel bei Microsoft fest. Laut dem aktuellen Bericht des CSRB hätte der Tech-Gigant den verheerenden Hackerangriff verhindern können. Offensichtlich pflegt Microsoft eine Unternehmenskultur, in der nötige Investitionen in Risikomanagement und Cybersecurity vernachlässigt werden. Laut CSRB steht dies im Widerspruch zur zentralen Rolle, die Microsoft im Technologie-Ökosystem spielt. Das Unternehmen werde dem Vertrauen nicht gerecht, das Kunden ihm entgegenbringen. Weiterhin empfiehlt das CSRB Microsoft dringend, einen konkreten Zeitplan zu veröffentlichen, wie man grundlegende Sicherheitsreformen umzusetzen gedenkt. Besonders kritisiert wird im CSRB-Bericht zudem die unzureichende Kommunikation von Microsoft: Obwohl dem Unternehmen bereits im November 2023 bekannt war, dass es in seinem Blogbeitrag vom 6. September 2023 unzutreffende Aussagen über die Angriffsursache gemacht hatte, wurde der Text erst am 12. März 2024 aktualisiert – nach Abschluss der Prüfung durch das CSRB und nach mehrfacher Aufforderung zur Korrektur.

Microsoft verzeichnet weitere Sicherheitsvorfälle
Auch in diesem Jahr setzt sich die Reihe der Sicherheitsvorfälle beim Tech-Riesen fort. Im März verzeichnete er offenbar unbefugte Zugriffe auf Systeme und Daten durch die kriminelle Hackergruppe „Midnight Blizzard“. Microsoft räumte in einem Blogbeitrag selbst ein, dass es bisher nicht gelungen sei, diese Angreifer zu stoppen. Angesichts solcher Bedrohungen sollten Kunden dringend hinterfragen, ob sie weiterhin auf die Services des Cloud-Giganten setzen möchten oder nicht doch lieber den Rückzug planen sollten. Auch der Staat mit seinen diversen Behörden und Institutionen nutzt bekanntlich Microsoft-Dienste und hat sich über Jahrzehnte hinweg in eine unreflektierte und nachweislich gefährliche Abhängigkeit manövriert. In den USA reagierte jetzt die Cybersecurity and Infrastructure Security Agency (CISA) und erließ den Notbefehl ED 24-02. Dieser verpflichtet IT-Abteilungen ziviler US-Bundesbehörden dazu, Schutzmaßnahmen zu ergreifen.

EDPS nimmt EU-Kommission beim Einsatz von Microsoft 365 in die Pflicht
Unbeeindruckt davon zeigte sich die EU-Kommission, die Microsoft 365 munter weiter einsetzte, bis der Europäische Datenschutzbeauftragte (EDPS) sie stoppte. Er stellte in seinem Bericht fest, dass der Einsatz der Cloud-basierten Office-Suite nicht den vorgeschriebenen Datenschutzstandards entspricht. Daher muss die EU-Kommission jetzt Maßnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen. Sie ist in der Pflicht, die vorhandenen Systeme gründlich zu überprüfen und falls nötig auf andere Lösungen umzusteigen, die die höchsten Datenschutzstandards erfüllen. In seinem Bericht hat der EDPS ausgesprochen, was längst bekannt war, und zwingt die EU-Kommission nun endlich zum Handeln.

Auch auf Kundenseite besteht Handlungsbedarf
Erschreckend ist, dass viele Kunden die Tragweite der mangelnden Sicherheits- und Datenschutzstandards bei Microsoft offenbar noch nicht erkannt haben. Trotz der amtlich bestätigten Unzulänglichkeiten und der wiederholten Sicherheitsvorfälle halten sie weiter an Microsoft 365 fest, obwohl dies im Hinblick auf die eigenen Compliance-Pflichten kaum vertretbar ist. Man mag sich gar nicht ausmalen, welche Konsequenzen es haben könnte, auch noch einer KI aus dem Hause Microsoft Daten anzuvertrauen. Stattdessen sollten
Unternehmen und Behörden alles tun, um wieder mehr Kontrolle über die eigene IT zurückzugewinnen.

Eine effektive Sofortmaßnahme besteht im Einsatz von On-Premises-Software. Indem Kunden ihre Microsoft-Produkte auf ihren eigenen Servern oder Rechenzentren betreiben, können sie auch ihre eigenen Sicherheitsrichtlinien umsetzen und behalten ihre Datensouveränität. Insbesondere gebrauchte Lizenzen, die übrigens auch für aktuelle Versionen von Microsoft-Produkten erhältlich sind, bietet zudem erhebliche finanzielle Vorteile. Wer zusätzlich Cloud Services benötigt, sollte verschiedene Anbieter kombinieren, um Sicherheitsrisiken zu reduzieren und einseitige Abhängigkeiten zu vermeiden.