Microsoft gerät an zahlreichen Stellen unter Druck. So prüft die EU-Kommission aktuell, ob der Konzern mit der Integration von Teams in sein Office-Paket dem Wettbewerb schadet ("Swiss IT Reseller"
berichtete). Noch höhere Wellen hatte zuletzt jedoch der Verlust eines
Master Keys geschlagen, der mutmasslich chinesischen Angreifern Zugriff auf zahlreiche Microsoft-Cloud-Dienste gewährt haben könnte.
Jetzt wird vor allem aufgrund von Microsofts Verhalten im Anschluss an das Bekanntwerden der Sicherheitslücke Kritik laut – und das von bedeutender Stelle. So hatte Ron Wyden, demokratischer US-Senator aus Oregon, in einem Schreiben an die Leiter der Behörden CISA, FTC sowie den Generalstaatsanwalt des Justizministeriums kein Blatt vor den Mund genommen: "Ich schreibe, um Ihre Behörden zu bitten, Massnahmen zu ergreifen, um
Microsoft für seine fahrlässigen Cybersicherheitspraktiken zur Verantwortung zu ziehen, die eine erfolgreiche chinesische Spionagekampagne gegen die Regierung der Vereinigten Staaten ermöglicht haben." Wyden führt weiter aus: "Selbst mit den wenigen Details, die bisher bekannt geworden sind, trägt Microsoft eine erhebliche Verantwortung für diesen neuen Vorfall."
Wenige Tage später schliesst sich auch Amit Yoran, CEO des Cybersicherheitsunternehmens
Tenable, in einem
Linkedin-Beitrag der Kritik an
Microsoft und der mutmasslich mangelnden Transparenz des Konzerns an. Diese beziehe sich auf "Sicherheitsverletzungen, unverantwortliche Sicherheitspraktiken und Schwachstellen", die Kunden des Unternehmens Risiken aussetzen würden, über die sie absichtlich im Unklaren gelassen werden.
Yoran berichtet zudem aus eigener Erfahrung. Im März 2023 hätten Tenable-Forscher eine Schwachstelle der Azure-Plattform entdeckt, die es einem nicht authentifizierten Angreifer demnach ermöglicht, auf mandantenübergreifende Anwendungen und sensible Daten wie Authentifizierungsgeheimnisse zuzugreifen. Das Team hat Microsoft laut Yoran umgehend informiert. Es habe anschliessend aber mehr als 90 Tage gedauert, um eine Teilbehebung zu implementieren – und das nur für neue Anwendungen, die in den Dienst geladen wurden. Und soweit man wisse, wurden betroffene Kunden noch nicht informiert und sie könnten daher auch keine Entscheidungen über kompensierende Kontrollen und andere risikomindernde Massnahmen treffen, so der Tenable-CEO.
Amit Yoran sieht das Modell der Shared Responsibility daher als gescheitert an. Dieses sieht vor, dass sich Cloud Provider um die Sicherheit der Infrastruktur und der Anwendungen, die Kunden sich wiederum um die Sicherheit der Daten kümmern. "Dieses Modell ist unwiederbringlich gescheitert, wenn Ihr Cloud-Anbieter Sie nicht über Probleme informiert, sobald sie auftreten, und diese nicht offen behebt."
(sta)
